Pablos Holman es uno de los hackers más hábiles del mundo. En una reciente charla TED en Chicago, hizo una estremecedora exhibición sobre cómo todo sistema de seguridad digital puede vulnerarse.
Pablos (sí, con “ese” final) Holman es uno de los top hackers (1) en el mundo. Nació en Alaska hace 39 años. Su verdadero nombre es Paul Holman. Es una persona muy capaz en lo que hace. Se pasea dando charlas sobre su profesión. El día que hizo su presentación en Estocolmo, los diarios lo definieron como un “delincuente con carisma”, cosa que él mismo no niega. “Un
hacker tiene la mente diferente. Nosotros pensamos distinto. Miramos el mundo desde otro lado.”
Hace unos días, en Chicago y ante unos 400 asistentes a TEDxMidWest, Holman contó algunas experiencias a las que le sugiero que les preste atención, sobre todo si a usted le interesa saber cuán protegido está cuando usa su computadora personal o su teléfono celular.
Se subió al escenario con su laptop conectada a una pantalla gigante que tenía atrás. Dijo que él, como la mayoría de los invitados a estas charlas, había pasado la noche anterior en un hotel (mientras se veía una foto de la habitación) (2):
“Aburrido como estaba, y sin nada atractivo para ver en la ventana, me decidí a hacer lo que hace la mayoría de las personas que pasan las noches fuera de sus casas: mirar televisión. La diferencia está en que los televisores de los hoteles funcionan en red. Están conectados con una ‘cajita’ (parecida a la del ‘cable’ de su casa) por la que llega no sólo la programación de los canales sino que uno también puede ver películas o jugar con los videojuegos”.
“Como no me gusta pagar por estos servicios que deberían estar incluidos en el precio de la habitación, conecté este pequeño aparato (y lo muestra en la pantalla) –que no es muy caro, no llega a los cinco dólares–, y una vez que todo estuvo ubicado, me dediqué a mirar películas y también a jugar. Pero como ninguna de las películas ni los juegos me resultaba interesante, decidí ver qué es lo que estaban mirando otros pasajeros del hotel.”
Acá, una pausa: póngase usted en el lugar de alguno de esos pasajeros que estaban en el auditorio. Holman siguió con un toque de sarcasmo.
“Advertí que muchas personas estaban mirando películas pornográficas, y como no creí que eso fuera adecuado decidí cambiarles el canal y ponerles algunos dibujos animados que el hotel también ofrecía. De esa forma, estarían mejor preparados para las charlas de hoy.”
Y siguió: “Pero como aún así me aburría un poco, me dediqué a mirar lo que estaban haciendo otros pasajeros con sus computadoras, especialmente aquellos que estaban usando el televisor de la habitación como monitor. Siempre es atractivo mirar qué páginas de Internet recorren y cuáles son sus áreas de interés. Ciertamente, es mucho más entretenido que mirar televisión”.
La incomodidad en el auditorio se hacía evidente. Sonrisas nerviosas. Murmullos. ¿Sería verdad lo que estaba diciendo Holman?
Pablos siguió, inmutable: “Al margen de quienes miraban televisión genuinamente, había varios que empleaban el televisor como monitor para usar sus laptops. Algunos hacían algunas transacciones comerciales o financieras, comprando algunos objetos en e-bay, o bien transfiriendo dinero entre sus cuentas personales –y muestra atrás algunas fotos de esos movimientos bancarios–. La mayoría eran por poco dinero, pero hubo una que me llamó la atención –y se ve la foto de un envío de fondos que superaba los 250 mil dólares”.
A esta altura creo que todos los que lo escuchábamos estábamos fuertemente impactados. Las fotos que él reproducía en la pantalla no dejaban lugar a dudas. Si eran o no de pasajeros del hotel es otra historia, pero que Holman había tenido acceso a ese tipo de transacciones en algún momento, tampoco.
No es que ni usted ni yo sospechemos de que todo esto es imposible, en la medida en que operamos con la tecnología digital que hoy tenemos a disposición, pero la bofetada en la cara para todo lo que se dice sobre seguridad era evidente.
“Levanten la mano las personas que tengan las tarjetas de crédito más modernas, aquellas que tienen un código de seguridad en un cuadradito [3] (y mostró un ejemplo) que supuestamente es inviolable. Necesito cinco voluntarios.”
Cinco personas, reticentes en principio, subieron al escenario. Holman escaneó las cinco tarjetas, consiguió los datos personales que buscaba y los exhibió en la pantalla gigante que estaba detrás de él. La inviolabilidad de las tarjetas quedó destruida.
“Este aparato se puede conseguir en e-bay por ocho dólares. O en cualquier negocio que venda artículos electrónicos.”
Holman siguió. “Si me lo propusiera, podría rastrear los movimientos de todas las personas que están acá en la sala y que tienen un teléfono celular inteligente [4]. Y podría saber dónde están y/o dónde estuvieron. Y sin apelar a nada diferente de lo que ahora usan todos los autos modernos: un GPS. Más aún: con un poquito más de sofisticación, podría interceptar todas las conversaciones telefónicas.”
La lista podría seguir, pero creo que es más que suficiente. En todo caso, todo lo que uno sospecha que podría pasar cuando usa una computadora personal, un teléfono celular o cualquier aparato equivalente... pasa. O en todo caso, puede pasar. Basta que alguien (un hacker) quiera buscar el costado vulnerable que uno deja en forma totalmente inconsciente para que lo encuentre.
No quiero decir con esto que toda transacción comercial o financiera esté siendo violada, ni que todas los operaciones con cajeros automáticos o compras con tarjetas de crédito lo sean, o que cada vez que uno usa una laptop o computadora está siendo observado. No. Sólo quiero decir que hay un grupo de personas que tiene acceso a muchas operaciones cotidianas a las que el ciudadano común, como usted y como yo, no les prestamos atención.
Hay sistemas de seguridad que funcionan bien, pero hay que usarlos. Sobre todo, si uno cree que le importa conservar su privacidad. De todas formas, uno ha venido dejando señales y rastros de muchas otras formas sin haberlo advertido en forma consciente. Si alguien quisiera, podría llevar un registro de todas sus conversaciones telefónicas, los números a los que usted llamó, desde qué teléfonos los hizo, descubriendo además desde dónde los hizo, cuántos minutos habló, etc. Puede descubrir también quiénes lo llamaron y desde dónde, y la duración de las llamadas. Pero también, si le interesara, una persona podría saber todo lo que usted consumió y pagó con su tarjeta de crédito, a qué restaurants concurrió, cuánto pagó, qué libros compró, qué películas vio, cuánto pagó de luz, de gas, qué revistas lee, qué diarios lee, qué auto usa, cada cuánto cambia su auto, etc. La lista de huellas que hemos dejado es imposible de borrar ahora.
Tuve una charla con Holman de más de una hora. Le pregunté ¿qué es lo que no puede hacer un hacker? Me respondió con total convicción: “Nada. Si yo tengo las herramientas, el dinero y el tiempo, no hay nada que sea inviolable. Lo que la gente tiene que hacer es no repetir los passwords y cambiarlos con mucha frecuencia, no creer en la seguridad de las páginas web”.
Y siguió: “Pero no hay que volverse paranoico. ¿Por qué habría alguien de seguir a algún o algunos individuos? En principio, los objetivos son otros. Todos los programadores usan para escribir software los mismos ladrillos, como si fueran los bloquecitos de Lego [5]. Si alguno de nosotros descubre una hendija para acceder a una de las construcciones, la va a usar cada vez que aparezca en cualquier otro emprendimiento. Y la variedad no es tan grande: sólo hay tres sistemas operativos que usa la abrumadora mayoría de las personas: las diferentes variantes de Windows, los OS X (que usan las Mac) o Lynux. Pero le insisto: yo no quiero decir que esto es lo que yo hago, digo que esto es lo que se puede hacer. Pero para poder hacerlo, hay que querer... y tener los recursos para hacerlo”.
Me dio después algunas respuestas a lo que intuyo es su preocupación, porque es la mía: no pensar que porque uno está conectado vía ethernet está más protegido que si usa una conexión wi-fi. No creer que porque la información que circula aparece encriptada, eso la hace inviolable. Es más segura, pero siempre es violable, si hay alguien a quien le interesa interceptarla.
Pablos me explicó después cómo puede intervenir la conexión bluetooth entre un teléfono celular y un audífono inalámbrico, probando con ¡10.714.295 (más de diez millones) de PINS (o códigos de seguridad) por segundo! Otra vez, en seis segundos la conexión ha sido “crackeada”. Y por lo tanto, todo lo que funcione con tecnología bluetooth puede ser “intervenido” de la misma forma.
Holman me habló de la posibilidad de detectar los pasaportes (que ahora tienen un chip incorporado), o los mensajes de texto que son enviados entre teléfonos o computadoras o lo que fuere.
A esta altura, ya me había convencido. No necesitó más ejemplos.
Para terminar: Holman se encargó sistemáticamente de aclarar que no se trataba de que él (o un grupo cualquiera de hackers) estuviera haciendo ninguna de las actividades que él describía. Pero lo que sí quería enfatizar es que es posible. Después, hacerlo o no hacerlo, es otra historia.
El mundo de los hackers es fascinante. La capacidad creativa que tienen es notable y ciertamente no convencional. Dos ex alumnos míos penetraron en una de las computadoras de la NASA. Dejaron un mensaje: “No queremos hacer ningún daño, sólo mostrarles la vulnerabilidad de los sistemas de seguridad que usan”. ¿Cuál fue la respuesta de la NASA? Los convocó a Estados Unidos y los contrató. Ahora ellos forman parte del grupo de “defensa” de las computadoras que usan los norteamericanos y trabajan desde la Argentina. Y lo mismo sucede con muchísimas grandes empresas que contratan hackers para que los ayuden. Como dice Holman: “Lo que sucede en la mente de un hacker es lo que hace falta para poder inventar y descubrir nuevas posibilidades”.
Moraleja: si usted estaba preocupado por las potenciales invasiones a su privacidad, hace bien. Protéjase entonces. Use diferentes passwords. Cámbielos con frecuencia. Si necesita hacer transacciones importantes, hágalas con gente que entienda..., incluso si tiene que contratar hackers para que lo protejan, hágalo. Pero no tiene sentido volverse paranoico.
Una frase última de Pablos me dejó pensando: “Si a usted lo persigue un oso, su preocupación no debería ser poder correr más rápido que el oso. Le alcanza con correr más rápido que sus amigos”. Traducción: los que buscan vulnerar los sistemas de seguridad tienen peces más grandes para freír que usted. Puede que su turno no llegue nunca, pero no se crea invulnerable.
Notas:
(1) Hacker es la palabra inglesa que sirve para describir a quienes se especializan en acceder a los códigos de seguridad de las computadoras, acceden a ellas afectando la privacidad que supuestamente cada uno de nosotros cree que tiene. Algunos de ellos, quizás la mayoría, pero es difícil saberlo, intentan socializar el software, de manera tal que nadie pueda arrogarse la propiedad intelectual de algo que se escriba para ser usado en una computadora personal. Para Holman, un hacker es aquel que intenta descubrir todo lo que es posible hacer con un objeto que usa tecnología digital.
(2) Si bien la palabra de Holman aparece entre comillas, no se trata de una versión textual de sus dichos porque yo no tenía grabador ni tampoco hay hasta acá una filmación accesible. Pero la esencia de lo que dijo es lo que me importa reproducir en el texto.
(3) Se refiere a las nuevas tarjetas de crédito que tienen un chip incluido y usan la tecnología RFID que permite que usted haga una compra usando la tarjeta sin necesidad de firmar: basta con que un escaner lea su información “encriptada” y que la transmita por radiofrecuencia.
(4) Holman hablaba de los Blackberry o Android o Iphones, etc. Cualquier teléfono celular que funcione como un GPS (Global Position System).
(5) LEGO es una marca registrada de los bloquecitos o ladrillos que los niños (o no tanto) usan para construir desde casas hasta aviones, autos, tractores, etc.