SEGURIDAD CORPORATIVA
REVISTA DE
SEGURIDAD
PERFILES PSICOLÓGICOS DE AMENAZAS EN ENTORNOS VIRTUALES
Por: David Olivart
Psicólogo
Imaginemos una situación en la que una persona quiera sustraer una información, listados, planos, etc.. de una empresa. En el caso del ejemplo, sería necesario introducirse dentro de los límites de la empresa, llegar hasta donde esté la información, copiarla o fotografiarla, y después salir de la organización, con considerable rapidez. No me negarán que no todos servíriamos para este cometido. Una tarea como la que he descrito inyecta una considerable presión en el individuo, y esta presión se manifiesta de múltiples formas: aumento de la frecuencia cardíaca, aumento de la presión sanguínea, sudoración, etc.. todo esto a nivel fisiológico, pero además conviene decir que esta presión nos impediría pensar con claridad y afrontar con éxito cualquier contingencia que pusiera a prueba nuestro plan. Si, quien escribe este artículo, tuviera que introducirse en una organización y fotografiar unos planos, no duden que mis manos sudarían tanto que no podrían sostener la cámara. Por lo tanto, existe una tipología especial de personalidad, que combina rasgos de psicoticismo (personalidad dura), con una activación (arousal) más bien bajo: aquello que normalmente llamamos “sangre fría”.
Sin embargo, la era de la información nos ha traído nuevos sistemas de comunicaciones que han dejado una profunda impresión en la organización empresarial; las consecuencias de estas redes de información son en su mayor parte positivas, aunque también tienen su contrapartida. Ahora, en muchos casos, ya no hay que emular a los espías de la guerra fría para robar una información; tampoco es necesario infiltrarse de operario de mantenimiento para llevar a cabo un sabotaje (cortar suministros de luz, agua, etc..); ambas cosas, en muchos casos, pueden hacerse desde casa, en pijama y zapatillas, escuchando a Mozart y con un cigarrillo cómodamente asentado en el cenicero (para aquellos que fumen, claro).
La pregunta entonces es si con el cambio de dimensión de la
información y de los sistemas de control (que han pasado a ser reales a ser
virtuales), el perfil psicológico de las amenazas ha cambiado también y en
caso afirmativo, cómo es este nuevo perfil. Conjuntamente, cualquiera de
nosotros ha podido enterarse a través de diversos medios de comunicación, de
la existencia de grupos organizados dedicados a sustraer o boicotear
información y/o servicios que dependían de ciertos controles virtuales:
hackers, crackers, phreakers y samurais forman parte del vocabulario popular,
aunque pocas personas conocen exactamente cómo son y qué diferencias de
filosofía y actuación hay entre ellos. Este artículo intentará arrojar alguna
luz sobre estas dos incógnitas.
El entorno virtual.
Volvamos al axioma de que el ataque es posible cuando hay motivación, capacidad y oportunidad. ¿Cómo afecta la realidad virtual a este axioma?
Empecemos por el tercer elemento, oportunidad. Si una persona tiene suficientes medios y conocimientos como para saber cuánto tiempo es necesario emplear para localizar una llamada, tiene ante sí una garantía para que la oportunidad, se convierta en “las oportunidades”. Además, en muchos sistemas operativos no hay controles para todos los pasos que dé el intruso, de forma que a veces es posible entrar en muchas ocasiones en un sistema y estudiarlo a fondo, sin llamar la atención, lo que equivale a decir sin poner en marcha el dispositivo que permitiría ser detectado. Todo esto interesa a la psicología porque supone una modificación importante del perfil psicológico del agresor. Si resulta que es posible que la oportunidad pueda repetirse varias veces, si es posible detectar los fallos, mejorar, ensayar y probar, hemos introducido un elemento novedoso en el perfil. Comparado con el ejemplo de colarse a hacer unas fotografías, hay dos diferencias fundamentales. Una es la de poder entrar y salir repetidas veces sin ser descubierto; la otra es desconectar rápidamente cuando se ha sido descubierto. Estas dos acciones suponen un descenso importante del nivel de activación (arousal). La huída ya no es física, no nos persigue nadie, no hay posiblidad de combate físico, no hay nadie que pueda sacar un arma y disparar al intruso. No ha sido posible por el momento, hacer una medición, pero los pocos piratas informáticos que se han dejado entrevistar, afirman que nunca, la posibilidad de ser descubiertos, les ha dejado bloqueados. Las emociones, que las hay, no pasan cierto nivel, y eso es porque nadie ve amenazada su supervivencia.
Estos dos elementos, ausencia de amenaza física y posibilidad de repetir, vuelven a ser determinantes a la hora de estudiar la capacidad. De hecho, todos los piratas informáticos del mundo han hecho sus “pinitos” (por llamarlo de alguna manera) en sistemas verdaderos. Todos han ido adquiriendo capacidad a base de práctica y a todos (en este punto es necesario hacer una aclaración: he tenido ocasión de entrevistarme con cuatro personas que tienen la capacidad de saltarse algunos sistemas informáticos; mi modesto trabajo de campo termina de momento aquí; por lo tanto, cuando en algunos párrafos de este artículo pongo “todos dicen que…”, me refiero a estas cuatro personas. En mi opinión, estas cuatro aportaciones, que se han hecho por separado y que ha costado mucho conseguir, son suficientemente significativas como para empezar a esbozar un estudio más amplio) les ha parecido lo más normal del mundo adquirir estar práctica gradualmente a base de entrar en diversos sistemas de diversas organizaciones. Por lo tanto, capacidad y oportunidad dejan de ser, en el mundo virtual, dos conceptos puros que se expresan en artículos definidos (“la” capacidad, “la” oportunidad), para pasar a ser simples coincidencias espacio-temporales.
Y la motivación, como no podía ser menos, también se ve afectada por este fenómeno. Por una parte, porque en la situación anterior, si la capacidad era percibida por el propio individuo como limitada y/o la oportunidad como precaria, la motivación podía ser inhibida y el ataque no se realizaba; estos aspectos (capacidad limitada, oportunidad precaria) en la realidad virtual no son tan importantes, por lo que no hay razón para inhibir la motivación. Por otra parte, es necesario recordar que existen todavía grandes vacíos legales acerca del delito informático, por lo que la motivación tiene, desde el punto de vista legal y moral, todavía menos razones para inhibirse.
La motivación en el ataque en amenazas informáticas supone
también un aspecto clave en la diferenciación de perfiles, ya que hackers,
crackers y samurais, teniendo parecida capacidad y disponiendo de las mismas
oportunidades, terminan realizando ataques distintos (unos no atacan y otros
sí). Así pues, antes de seguir adelante, se impone alguna definición de estas
tribus.
¿Y por qué se llaman hackers?
Javier Pedreira es un periodista que se dedica desde hace
años al estudio de los fenómenos de piratería informátcia. En un interesante
artículo profundiza acerca del origen de la palabra Hacker. Reproducimos por
su interés algunos párrafos.
El Club de Modelos de Trenes
En el MIT (Massachusetts Institute of Technology) existen diferentes grupos de intereses especiales, fraternidades y similares que cada añointentan reclutar a los nuevos estudiantes para sus filas. En el otoño de 1958, durante su primera semana en el MIT, Peter Samson, que siempre había estado fascinado por los trenes y en especial por los metros, fue a ver la espectacular maqueta que el Tech Model Railroad Club (Club de Modelos de Trenes) tenía instalada en el Edificio 20, y se quedó inmediatamente prendado de la parte técnica de la instalación.
En el TMRC existían dos facciones claramente diferenciadas: aquellos que se encargaban de construir los modelos de los trenes, edificios y paisajes que formaban la parte visible de la instlación, y el Subcomité de Señales y Energía, dirigido en aquella época por Bob Saunders, y que tenía a su cargo el diseño, mantenimiento y mejora de El Sistema, todo aquello que quedaba bajo los tableros y hacía funcionar los trenes y que permitía controlarlos.
El TMRC daba una llave de sus instalaciones a sus miembros cuando estos acumulaban 40 horas de trabajo en las instalaciones, y Samson obtuvo la suya en un fin de semana.
De exploración por el campus
Los miembros del Subcomité de Señales y Energía no se limitaban a trabajar en las instalaciones del TMRC, sino que no era extraño encontrarlos a altas horas de la madrugada recorriendo edificios y túneles de servicio intentando averiguar cómo funcionaba el complejo sistema telefónico del MIT, sistema que llegaron a conocer mejor que quienes lo habían instalado, o abriendo puertas tras las que oían algún sonido intrigante para ver qué era lo que lo producía, y si no había nadie que lo impidiera, ponerse a tocar la máquina en cuestión intentando ver qué hacía y cómo funcionaba.
Fue durante una de estas
excursiones cuando Samson descubrió la sala EAM en el sótano del Edificio 26
del MIT. En esta sala había Máquinas de Contabilidad Electrónicas. Esas
máquinas servían para perforar las tarjetas con las que se introducían los
programas en el ordenador IBM 704 que había en el primer piso del Edificio
26.
Instalación típica de un IBM 7090. (IBM.)
El 704 costaba bastantes millones de dólares, ocupaba una habitación entera, necesitaba los cuidados contínuos de una legión de especialistas, y una instalación especial de aire acondicionado para mantenerlo lo suficientemente frío como para que las lámparas de vacío que lo hacían funcionar no se fundieran. El acceso al 704 estaba considerablemente restringido, y sólo unos pocos usuarios tenían derecho a pedirles a los especialistas en el perforado de las tarjetas que preparan tarjetas para ellos.
Sin preocuparse en lo
más mínimo por los procedimientos establecidos, Samson y compañía pronto se
pusieron a intentar descubir cómo funcionaban las máquinas de perforado de
tarjetas, en lo que pronto se convirtió en una costumbre
habitual.
El curso 641
En la primavera de 1959 John McCarthy, profesor del MIT, dió el curso número 641, el primer curso de programación al que se podían apuntar alumnos en su primer año, y Samson, Alan Kotok (uno de los miembros más brillantes del Subcomité de Señales y Energía), y otros miembros del TMRC se apuntaron a él.
(…)
Tixo
Fue en aquel entonces
cuando Jack Dennis, un antiguo miembro del TMRC y entonces profesor del MIT
hizo una visita al club y le preguntó a los miembros del Subcomité de
Señales y Energía si les apetecería usar el TX-0. Éste era uno de los
primeros ordenadores que funcionaban con transistores en lugar de con
lámparas de vacío y había sido usado para ayudar en la puesta en marcha del
gigantesco (para aquella época) TX-2, después de lo cual había sido prestado
al MIT "sin fecha de retorno".
El TX-0 estaba en el RLE (Laboratorio de Investigación Electrónica), sito en la segunda planta del Edificio 26, justo encima del IBM 704, y aunque para su época era pequeño, ocupaba una habitación entera y necesitaba unas quince toneladas de equipo de aire acondicionado para funcionar, pero lo que más asombró a los miembros del TMRC es que Tixo (como se le llamaba a veces) no usaba tarjetas sino que disponía de un teclado en el que el propio usuario tecleaba sus programas, que quedaban codificados en una cinta perforada que luego se introducía en el ordenador. El programa era entonces ejecutado, y si algo iba mal, el mismo usuario se podía sentar en la consola del TX-0 e intentar corregir el problema directamente usando una serie de interruptores y controles.
La gente del TMRC se enamoró inmediatamente de esa máquina que sí podían tocar, y pronto pasaban tanto tiempo como podían con ella, con el apoyo del encargado de su mantenimiento, John McKenzie.
Dado que Tixo sólo tenía
el equivalente a 9 KB de memoria, era fundamental optimizar al máximo los
programas que se hacían para éste, por lo que una de las obsesiones
fundamentales de los que lo usaban y se consideraban hábiles era hacer los
programas tan pequeños como fuera posible, eliminando alguna instrucción
aquí y allá, o creando formas ingeniosas de hacer las cosas. A estos apaños
ingeniosos se les llamaba "hacks" y de ahí es de dónde viene el término
"hacker", denominación que uno recibía de sus compañeros.
(…)
La ética de los "hackers"
El TX-0 hizo algo más que dar acceso a los miembros del Tech Model Railroad Club a una máquina que les permitía disfrutar de la informática. Alrededor de ese ordenador se creó una nueva forma de vivir, con una filosofía, una ética y un sueño
No se puede decir que la docena de "hackers" originales fuera consciente de ello ni que en un momento dado lo pusieran por escrito; los términos de esta ética de los "hackers" nunca fueron debatidos y discutidos sino que poco a poco se fueron poniendo todos de acuerdo. Nadie escribió ningún manifiesto, nadie intento reclutar nuevos conversos; fue el ordenador quien los convirtió, y más tarde vendrían otros que tomarían todavía más en serio lo que estas normas significan y representan.
Esta ética de los "hackers" tiene seis puntos fundamentales:
1. El acceso a los ordenadores y a cualquier cosa que te pueda enseñar cómo funciona el mundo debería ser ilimitado y total. Siempre deberías poder ponerle las manos encima.
2. Toda la información debería ser gratuita. Si no tienes el acceso a la información necesaria para arreglar las cosas, ¿cómo vas a a arreglarlas? Además, un intercambio libre de información permite una mayor creatividad en general y evitar tener que reinventar la rueda una y otra vez.
3. Desconfía de la autoridad. Promueve la descentralización. Lo mejor para favorecer el intercambio de información es un sistema abierto sin fronteras entre un "hacker" y la información que necesita.
4. Los "hackers" deberían ser juzgados por sus "hacks", no por criterios extraños como calificaciones académicas, edad, raza o posición. De hecho, uno de los "hackers" originales era Peter Deutsch, un niño de 12 años que dominaba el TX-0 y que estaba por ello perfectamente integrado en el grupo.
5. Puedes crear arte y belleza en un ordenador, aunque aparte de la belleza en su sentido tradicional, los "hackers" creen que el código de un programa tiene una belleza propia, sobre todo cuando está escrito con maestría.
6. Los ordenadores pueden mejorar tu vida. Si sabes cómo pedírselo, un ordenador hace lo que tú le pidas, y eso para los "hackers" representa la posibilidad de que cada usuario tenga a su disposición una herramienta poderosísima con la que puede hacer cualquier cosa que desee.
Por debajo de esta historia, que tiene tintes incluso
románticos, subyacen unas interesantísimas consideraciones que valdrá la pena
retomar más adelante. Pero no hemos terminado con las tribus. Ya sabemos el
origen y el significado de la palabra “Hacker”. Vamos a ver ahora algunas
definiciones de las otras tribus y después ahondaremos en las diferencias, que
lo son sobre todo, de motivación. Veamos los distintos términos según su
definición.
HACKER
[originalmente, alguien que fabrica muebles con un hacha]
1. Persona que disfruta con la exploración de los detalles de los
sistemas programables y cómo aprovechar sus posibilidades; al contrario
que la mayoría de los usuarios, que prefieren aprender sólo lo
imprescindible.
2. El que programa de forma
entusiasta (incluso obsesiva).
3. Persona capaz de
apreciar el "valor del hackeo."
4. Persona que
es buena programando de forma rápida.
5. Experto en
un programa en particular, o que realiza trabajo frecuentemente usando cierto
programa; como en "es un hacker de UNIX." (Las definiciones 1 a 5 están
correlacionadas, y la gente que encaja en ellas suele congregarse.)
6. Experto o entusiasta de cualquier tipo. Se puede ser un
"hacker astrónomo", por ejemplo.
7. El que disfruta
del reto intelectual de superar o rodear las limitaciones de forma
creativa.
El término "hacker" tiende a connotar participación como miembro en la comunidad global definida como "la red". También implica que la persona descrita suele suscribir alguna versión de la ética del hacker. (ver ética del hacker.)
Los hackers se consideran a sí mismos algo así como una élite (en la que los méritos se basan en la habilidad), aunque suelen recibir amablemente a nuevos miembros. Por lo tanto, hay una parte de satisfacción del ego en considerarse a sí mismo un hacker (si dices ser uno y luego no lo eres, rápidamente te etiquetarán como falso.)
CRACKER El que rompe la seguridad de un sistema. Acuñado hacia 1985 por hackers en defensa contra la utilización inapropiada por periodistas del término hacker. Falló un intento anterior de establecer "gusano" en este sentido en 1981-1982 en Usenet.
La utilización de ambos neologismos refleja una fuerte repulsión contra el robo y vandalismo perpretado por los círculos de crackers. Aunque se supone que cualquier hacker auténtico ha jugado con algún tipo de crackeo y conoce muchas de las técnicas básicas, se supone que cualquiera que haya pasado la etapa larval ha desterrado el deseo de hacerlo con excepción de razones prácticas inmediatas (por ejemplo, si es necesario pasar por alto algún sistema de seguridad para completar algún tipo de trabajo.)
Por lo tanto, hay mucho menos en común entre el mundo de los hackers y de los crackers de lo que el lector mundano, confundido por el periodismo sensacionalista, pueda suponer. Los crackers tienden a agruparse en grupos pequeños, muy secretos y privados, que tienen poco que ver con la poli-cultura abierta y enorme que se describe en este diccionario; aunque los crackers a menudo se definen a sí mismos como hackers, la mayor parte de los auténticos hackers los consideran una forma de vida inferior. A los crackers, también se los ha llamado cyberpunks, sobre todo por la filosofía anti-sistema y porque muchas veces sabotean sistemas informáticos de grandes empresas, que acumulan grandes beneficios.
Consideraciones éticas aparte, los hackers consideran que cualquiera que no sea capaz de imaginar una forma más interesante de jugar con su ordenador que romper algunos sistemas ha de ser bastante perdedor. Algunas de las otras razones por las que se mira con desprecio a los crackers tienen que ver con el phreaking i los samurais.
En resumen: un hacker es simplemente alguien capaz de manejar con gran habilidad un aparato, no necesariamente un ordenador, con el fin de sacarle más partido o divertirse. ¿Qué hay hoy en día que no sea programable? Desde el reloj de pulsera hasta el vídeo o la radio del coche. Y todos esos pequeños aparatos pueden ser programados y "hackeados" para que hagan cosas que se supone que no pueden hacer.
¿Por qué están tan mal considerados?
En general, los medios han hecho un flaco favor a los hackers al hablar sin conocimientos sobre los asuntos en los que se ven envueltos. Los hackers son muy diferentes de los crackers, que como dice la definición del diccionario, son hackers maliciosos cuyo objetivo es introducirse ilegalmente en sistemas, desproteger productos y hacer cosas similares.
Los crackers maliciosos utilizan mal sus conocimientos, y suelen meterse en problemas por hacer precisamene eso. Hay muchos que han acabado en prisión por sus andanzas, a pesar de que la ley nunca ha sido demasiado explícita (al menos hasta los años 90) sobre las acciones que informáticamente podrían considerarse ilegales. Introducirse en un sistema a través del teléfono no es lo mismo que atravesar una puerta de una empresa, y esto ha permitido que en muchas ocasiones estos personajes salieran impunes.
Entre las variantes de crackers maliciosos están los que realizan Carding (Tarjeteo, uso ilegal de tarjetas de crédito), Trashing (Basureo, obtención de información en cubos de basura, tal como números de tarjetas de crédito, contraseñas, directorios o recibos) y Phreaking o Foning (uso ilegal de las redes telefónicas).
Hemos dejado para el final a los Samurais. Un Samurai es un experto informático, con conocimientos propios del cracker, capaz de introducirse en un sistema y sabotearlo o robar una información, pero por encargo de terceros y a cambio de dinero, naturalmente. No he podido saber el origen de la palabra, ya que los samurais son unos guerreros japoneses con un estricto código de honor y la descripción se acerca más a la palabra mercenario que a la de samurai.
Así pues, ya podemos empezar a establecer una pequeña diferencia en cuanto a su motivación. Para ello, vamos a clasificar la motivación en:
Intrínseca: no persigue otro premio que nuestra propia satisfacción. Este tipo de motivación está fuertemente relacionada con las necesidades psicológicas Los atacantes con motivación intrínseca no persiguen explícitamente el dinero. Lo que pretenden es atacar a la organización, hacerle daño, para hacer daño normalmente a las personas que la dirigen.
Extrínseca: aquella que se guía en función de los resultados de nuestra acción, ya sean estos positivos o negativos. Se basa en el viejo sistema de premios y castigos. Las personas que pretendan atacar nuestra organización con una motivación extrínseca buscarán simplemente el premio, o sea, dinero o bienes cambiables por dinero.
Así, queda claro que hackers y crackers actúan movidos por una motivación intrínseca, y phreakers y samurais lo hacen con una motivación extrínseca. Aunque las diferencias subyacen. En el caso de hackers, ciertamente ha quedado claro que tienden a ser creativos, algo obsesivos y desde luego no tienen intención de dañar nada. Quizá el único posicionamiento ideológico reside en admitir que la información debería ser universal (de libre acceso), y a la vez hacer cualquier cosa para acceder a esta información. De este modo, ellos reconocen que la información es en sí misma un valor, pero no reconocen que este valor pueda ser propiedad privada. Si no fuera por esta pequeña contradicción, el perfil del hacker no sería distinto del de cualquier adolescente obsesionado con su afición, ya sea ésta el motociclismo, el violín o el fútbol. Un grupo de iguales con los que conversar del tema, unos acontecimientos clave, y otra vez a reunirse para seguir rememorando el episodio. Y que quede claro que la obsesión ya sea por los ordenadores o por el violín, continúa cuando se deja atrás la adolescencia. Se puede profesionalizar, se puede canalizar, pero queda para siempre como una gran afición.
Así pues, el perfil del hacker es el de una persona joven, perfeccionista, algo obsesionada por su afición, desde luego inteligente, algo elitista, y desde luego no un psicópata introvertido sin vida social. Puede que salgan poco, pero se comunican bastante y por supuesto tienen conciencia de comunidad. La organización susceptible de ser atacada por un hacker tiene que cumplir con la condición de poseer algo que le interese. Si no, aunque pudiera ser accesible a su conocimiento, simplemente no perderá el tiempo. Así pues, no es difícil imaginar que las empresas de comunicaciones, software e informática en general son las preferidas por los hackers.
El cracker también se guía por motivación intrínseca, aunque en su caso hay algunas diferencias. La satisfacción se obtiene en este caso en sabotear sistemas, en hacer daño a la organización. Son personas disconformes con el sistema, con rasgos de personalidad anti-social, más solitarios, menos estables, y muchos de ellos, convencidos de estar haciendo un servicio a la comunidad. Las organizaciones susceptibles de ser atacadas por un cracker tienen que proyectar una imagen pública que resulte odiosa para cualquier joven anti-sistema: bancos, medios de comunicación, gobiernos, grandes empresas que estén en boca de la opinión pública por actividades “contra el pueblo” (vertidos, contaminación, etc…). Un ejemplo reciente lo constituye la alarma informática que se vivió el año pasado en Irak y China, producida por un grupo de crackers que decidieron bloquear los respectivos sistemas informáticos nacionales en protesta por lo maltratados que están en estos países los derechos humanos. Aunque el cracker también puede actuar de acuerdo con una motivación extrínseca. De hecho, tambien es muy corriente. Entrar en un sistema, sustraer información, hacer copias y venderlas a un módico precio, es una práctica habitual y es el timo más extendido en el mundo de la informática.
Los phreakers tienen un único objetivo: las empresas telefónicas. No es de extrañar, teniendo en cuenta algunas de las cosas que todos hemos pronunciado cuando hemos recibido la factura: imaginense que tienen ustedes menos años, más rebeldía, conocimientos para derivar la factura a alguna multinacional petrolífera y muchas ganas de seguir conectado a Internet; agítese fuerte y sírvase frío. Difícilmente un phreaker querrá hacerse rico a base de estafar a Telefónica. Lo que sucede es que considera que la compañía estafa a todo el mundo y “quien roba a un ladrón, cien años de perdón”. He puesto a este grupo en motivación extrínseca porque de hecho, lo que persiguen es no tener que pagar una factura, y esto se traduce en dinero.Por lo demás, se parecen bastante a los crackers y no tienen, desde luego, la ética del hacker.
Los samurais serían lo más parecido a una amenaza, en su
sentido más puro. Su objetivo no ha sido elegido al azar, sabe lo que busca,
dónde encontrarlo y cómo acceder. Procura elegir el mejor momento y si puede,
se va sin dejar rastro. Todo esto por encargo de terceros y a cambio de
dinero. Hay también dos diferencias con respecto a las otras tribus: en primer
lugar, que no tienen conciencia de comunidad. De hecho, no son comunidad. Son
individuos aislados que trabajan para terceros. En segundo lugar, que no
tienen una tipología de objetivos. Ahora no podemos decir que las empresas
susceptibles de ser atacadas por un samurai responden a este o al otro perfil.
Cualquier organización puede ser atacada o saboteada. Tan sólo hace falta que
alguien lo quiera, esté dispuesto a pagar por ello y tenga los contactos
suficientes.
Las pequeñas organizaciones.
Está claro que cuanto más grande sea una organización, tenga
mayor proyección pública, acumule mayores beneficios, tenga una actividad que
pueda ser calificada como de “contra el pueblo”, y un nivel alto de
comunicaciones informáticas, es más fácil que sea el blanco del ataque de
alguna de estas tribus o individuos que hemos estado describiendo hasta aquí.
Así pues, no sería descabellado pensar que pequeñas organizaciones, pequeñas
empresas, empresas sin proyección pública, y organizaciones cuya actividad sea
acogida con satisfacción por la comunidad, quedaran fuera de este artículo.
Nada más lejos de la realidad. Ciertamente, las primeras tienen un índice
mayor de probabilidad de ser atacadas pero también más recuros para
defenderse. Y también es necesario recordar ahora que todas estas tipologías
de amenazas informáticas de las que he estado hablando, lo son “desde fuera”.
Todavía queda relatar lo que constituye un gran paquete de problemas derivados
de tener la información en sistemas informáticos, y esto es lo que podríamos
llamar amenazas “desde dentro”. La diferencia es que en estos casos no es
posible trazar perfiles psicológicos que sean eficaces. Mantienen lo dicho al
principio respecto a capacidad y oportunidad (si bien en la mayoría de los
casos, esta capacidad es limitada. Puede que incluso, esa poca capacidad les
impida saber que pueden tener más de una oportunidad), también lo sostenido
acerca de motivación intrínseca y extrínseca. La diferencia es que las
amenazas desde dentro son inclasificables. Cualquier persona, dentro de una
organización, puede hacerle daño a través de su sistema informático. Así pues,
estaríamos hablando de un problema de seguridad, en su sentido más estricto, y
el caso se escapa de trazar perfiles psicológicos generales, por lo que
no vamos a extendernos aquí. Tan sólo quiero recordar dos cosas: en primer
lugar, que el hecho de que una organización no haya sido reflejada en los
perfiles que he estado trazando en amenazas desde fuera, no significa que no
sea susceptible de un ataque desde dentro. Y en segundo lugar, recordar hasta
qué punto la sensación de rutina consigue bajar la guardia, sobre todo en
personas que no sean profesionales de la seguridad. Esto viene a cuento de que
en muchas ocasiones, la seguridad informática se organiza a través de password
o claves de acceso. Pero para que ello funcione, se necesita que cada persona
haga de su clave de acceso algo muy personal. Y esto puede resultar difícil en
pequeñas organizaciones, donde existe una mayor comunicación entre sus
miembros. Cualquiera que haya trabajado en una empresa pequeña (hasta 50
trabajadores), reconocerá que no le ha sido difícil hacerse con un poco de
tiempo, con la contraseña de algún compañero, que le ha cedido gentilmente a
causa de alguna necesidad, o porque un terminal se ha estropeado, etc.. Así
pues, hay que tener en cuenta el perfil psicológico de las personas que
trabajan en la organización, y convenir que las claves de acceso no son
siempre la mejor solución. Pero si han leído ustedes los otros artículos de
esta revista, a estas alturas ya lo tendrán claro.
Para finalizar, les dejo unas cuantas referencias
bibliográficas que hablan del tema y que espero que sean de su interés. Quiero
terminar recordándoles que si bien los entornos pueden ser reales o virtuales,
las amenazas nunca lo son; las amenazas siempre son reales.
REFERENCIAS
[La información sobre libros está sacada en su mayor parte de la Guía Macworld, y no se puede reproducir sin autorización previa a menos que sea a modo de cita breve e indicando la referencia. Para más información sobre la Guía Macworld, puedes enviar correo a la revista.]
LIBROS
Sobre Informática, Historia de Apple y Hackers
Almost
Perfect
Prima. W. E.
Pete Peterson. ISBN: 1-55958-477-7. 236 páginas.
Historia de la creación de WordPerfect
Corporation. El apropiado subtítulo, Cómo un puñado de tipos mediocres
construyeron la WordPerfect Corporation, describe este libro prácticamente
auto-biográfico escrito por el antiguo vicepresidente ejecutivo de la que en
tiempos fue una de las más importantes fábricas de software de la industria
informática. Al igual que De Pepsi a Apple, es una entretenida historia sobre
los orígenes de una mítica corporación. El libro está aderezado con consejos
sobre la gestión en la empresa, aunque sea de una forma tan paternal y
familiar como en WordPerfect. Describe la historia de las versiones de
WordPerfect para Apple II y Macintosh y cómo Microsoft les sacó una ventaja
fundamental en el terreno de los tratamientos de texto porque en aquellos
momentos estaban muy ocupados.
Distribuidor: Librerías
especializadas.
Cyberpunk
Touchstone. Katie Hafner & John Markoff. ISBN: 0-671-77879-X. 368
páginas.
Los cyberpunks son
los forajidos y hackers de la frontera informática. Este clásico ensayo sobre
phreakers (hackers telefónicos) y crackers (piratas informáticos destructivos)
narra las aventuras de tres hackers bien diferentes: Kevin Mitnick, uno de los
más conocidos hackers telefónicos; Pengo, el hacker que flirteó con los espías
de más allá del telón de acero y RTM (Robert Tappan Morris), quien creó el
famoso gusano de Internet y puso de rodillas a toda la red mundial. Muy
informativo y entretenido por su narrativa.
Distribuidor: Librerías
especializadas.
De Pepsi a
Apple
Ediciones B. John
Sculley. ISBN: 0-00-6372-4-8. 609 páginas.
La autobiografía de John Sculley es tal vez
uno de los libros más conocidos sobre la historia de Apple. Escrito en 1.987,
poco después de que Sculley desbancara a Steve Jobs del trono de Apple, este
libro clasificado en la estantería del marketing tiene dos claras partes: la
que narra la vida de Sculley desde su niñez, incluyendo el paso por
Pepsico y las guerras de la Cola, y su historia en Apple Computer, desde que
Jobs le tentara con la ya famosa frase ¿quieres pasarte el resto de tu vida
vendiendo agua azucarada o quieres una oportunidad para cambiar el mundo? En
perspectiva histórica, demuestra cómo los puntos de vista y las personas
cambian con el tiempo, y que el que despide a los demás puede acabar
despedido. Incluye excepcionales experiencias sobre la historia interna de la
compañía , así como sobre el marketing de Apple, las campañas de publicidad,
sistemas de producción y, por si alguien las necesita, lecciones de marketing
con moralina al final de cada capítulo, firmadas por el propio Sculley.
Distribuidor: Grupo Zeta, Tel.:
(91) 586 33 00.
Defying
Gravity
Beyond Words
Publishing. Markos Kounalakis. ISBN: 0-941831-94-9. 175 páginas.
Este espléndido libro de lujo,
mitad álbum fotográfico, mitad historia, narra de forma atractiva la creación
del Newton, el primer Asistente Personal de Apple. Tan interesantes son las
fotografías tomadas durante los años de desarrollo y concepción del Newton
como la narración de todas las aventuras y desventuras del equipo empeñado en
cambiar el mundo (de nuevo) con un invento revolucionario. Las sesiones de
hackeo de los programadores, las presiones de los grupos de marketing y
la ilusión de todo el equipo humano en Apple se logran transmitir
perfectamente a través de una narrativa fluida y una excelente colección de
fotografías.
Distribuidor:
Librerías especializadas.
Guide to the
Macintosh Underground
Hayden Books. Bob LeVitus & Michael Fraase. ISBN: 0-672-48549-4.
Colección de ensayos sobre el
Macintosh, su mundo y su cultura. Incluye las visiones de Steve Jobs y el
resto de creadores del Mac. Aporta información nueva sobre los mitos, las
campañas de publicidad y descubre por qué el Macintosh puede llegar a ser el
ordenador del futuro. Como curiosidad, sus páginas muestran en una de las
esquinas la famosa película 1984 con que se presentó el Macintosh al
mundo.
Distribuidor:
Prentice Hall, Tel.: (91) 501 87 96.
Hackers
Delta.
Steven Levy. ISBN: 0-385-31210-5. 455 páginas.
Apodados como los "héroes de la revolución
informática, este libro cuenta la historia de los hackers en su acepción
original de manitas informáticos. El libro describe la vida de los hackers
electromecánicos de los 50 y 60, en los tiempos del Tech Model Railroad Club
del MIT, la llegada de los primeros ordenadores, las primeras redes, los
primeros hackers del hardware, Steve Wozniak y el ordenador personal y el
popular Homebrew Computer Club (donde recalaban figuras del estilo de Steve
Jobs y Bill Gates), así como las primeras ferias. Concluye en los 80 con
los hackers de la industria de los vídeojuegos. El libro es de 1984, pero
incluye un nuevo epílogo del autor en 1994.
Distribuidor: Librerías
especializadas.
Hindsights
Beyond Words Publishing. Guy Kawasaki. ISBN: 0-941831-95-7. 300
páginas.
Este libro marca un
giro en la obra (y, como él mismo dice, en la vida) de Guy Kawasaki, el
conocido evangelista del mundo Mac. Se trata de una serie de entrevistas que
describen la sabiduría y logros de gente destacable. Poco tendría que ver con
el mundo Apple, excepto por la personalidad de su autor y por incluir una
espléndida entrevista con Steve Wozniak, el creador del
Macintosh.
Distribuidor:
Díaz de Santos, Tel.: (91) 431 24 82.
Insanely
Great
Viking. Steven
Levy. ISBN: 0-670-85244-9. 292 páginas.
El subtítulo del libro es La vida y obra del
Macintosh, el ordenador que lo cambió todo. Y la frase es, cómo no, de Steve
Jobs, haciendo referencia a lo genial que era el nuevo ordenador de Apple.
Este libro es tal vez la más objetiva historia de la creación del Macintosh y
la historia de Apple en los 80. Incluye muchas referencias y anécdotas vistas
desde fuera por uno de los más prestigiosos periodistas de sector.
Distribuidor: Librerías
especializadas.
Los piratas
del chip
Ediciones B.
Bryan Clough & Paul Mungo. ISBN: 84-406-3152-9. 336 páginas.
A pesar de la traducción del título
buscando la espectacularidad de lo que denomina la mafia informática es tal
vez el mejor relato sobre los phreakers (hackers telefónicos), y uno de los
pocos libros que ofrece versiones completas sobre casos como el del robo del
QuickDraw de Apple por parte de los crackers, los primeros virus informáticos
con nombres propios y la historia del Chaos Computer Club. El título original,
Approaching Zero, hace referencia al posible borrado-global de toda la
información de los ordenadores del planeta por culpa de los ataques de los
piratas, una de las catastróficas perspectivas que plantea el libro.
Distribuidor: Grupo Zeta, Tel.:
(91) 586 33 00.
Masters of
Deception
Harper. Michelle
Slatalla & Joshua Quittner. ISBN: 0-06-017030-1. 225 páginas.
En este libro sobre los crackers
(piratas informáticos destructivos) y los phreakers (hackers telefónicos) se
describen las andanzas por las redes de bandas como los MOD (Masters of
Deception), la LOD (Legion of Doom) y las personalidades y técnicas empleadas
por muchos de sus componentes, incluyendo algunos tan populares como Acid
Phreak y Phiber Optik. Narra una auténtica batalla entre bandas rivales, las
reiteradas detenciones de muchos de sus miembros y la persecución por todo el
ciberespacio por parte de los agentes del FBI, para terminar con la detención
de los componentes de los grupos y su comparecencia ante la justicia.
Distribuidor: Librerías
especializadas.
Neuromante
Ediciones
Minotauro. William Gibson. ISBN: 84-450-7084-3. 316 páginas.
Es la novela de ciencia ficción que dio
nombre al ambiente cyberpunk y al ciberespacio. Describe un futuro invadido
por la informática y las redes, en el que la información es la principal
mercancía. Ganadora de los premios Hugo, Nébula y Philip K. Dick.
Distribuidor: Ediciones Minotauro,
Tel.: (93) 487 10 89.
Selling the
Dream
Harper. Guy
Kawasaki. ISBN: 0-06-016632-0. 337 páginas.
Guy Kawasaki propone en este libro cómo
promocionar un producto, empresa o idea, marcando diferencias, mediante el
evangelismo cotidiano. Como ejemplo se incluye, naturalmente, el Macintosh de
Apple. Este libro es más completo, serio y detallado que The Macintosh Way
(del mismo autor). Como coleccionable histórico se incluye el plan de
introducción original del Macintosh, tal y como se concibió a principios de
los 80.
Distribuidor:
Librerías especializadas.
Steve Jobs
& the NeXT Big Thing
Atheneum MacMillan. Randall E. Stross. ISBN: 0-689-12135-0. 374
páginas.
Interesante
historia no autorizada de NeXT, la compañía fundada por Steve Jobs tras su
retirada de Apple. El autor investiga tanto a la empresa como a los empleados
para descubrir al lector a un Jobs arrogante e infantil, capaz de hundir una
compañía a causa de sus decisiones y manías personales. Narra toda la historia
desde el día en que Jobs decide fundar NeXT, incluyendo todos los problemas y
tropiezos, y hasta la estrategia empleada por Jobs para conseguir financiación
(incluyendo entre los inversores a Ross Perot y a Canon) para crear la máquina
de sus sueños. El libro se completa con múltiples referencias a datos, notas
de prensa y entrevistas. Realmente crítico, aunque realista, da una visión
poco convencional de Jobs y su personal forma de dirigir los negocios,
que puede acabar con la idea de ídolo que muchos tienen de él.
Distribuidor: Prentice Hall, Tel.:
(91) 501 87 96.
The Computer
Curmudgeon
Hayden Books.
Guy Kawasaki. ISBN: 1-56830-013-1. 200 páginas.
Kawasaki deja correr en este libro su
imaginación y descarga su cáustico humor sobre todos los aspectos de la
informática, los Macintosh y las interioridades de Apple. Todo un manual de
ingeniosidades, estructurado a modo de diccionario, en el que se critica todo
(y a todos) lo relacionado con los Mac, Apple, y la industria
informática.
Distribuidor:
Prentice Hall, Tel.: (91) 501 87 96.
The Cuckoo's
Egg
Pan Books. Tom
Clancy. ISBN: 0-330-31742-3. 393 páginas.
Historia novelada de una de las persecuciones
informáticas más apasionantes de finales de los 80: la de un profesor de
universidad a la caza y captura de los crackers que desde el otro lado del
atlántico se infiltraban en los ordenadores americanos. Interesante y
entretenida precisamente por estar escrita a modo de novela de espías... sólo
que, como dice en la cubierta, todo es cierto.
Distribuidor: Librerías
especializadas.
The Hacker
Crackdown
Bantam Books.
Bruce Sterling. ISBN: 0-553-56370-X. 316 páginas.
Este es uno de los libros más clásicos sobre
el mundillo de los hackers, los crackers y piratas telefónicos. Cuenta la
historia de los hackers y los piratas telefónicos desde la invención del
teléfono, el surgimiento de los primeros BBS, la historia de los primeros
cyberpunks, las primeras batallas entre bandas rivales y termina con la
narración de varias historias sobre libertades y derechos civiles en el
ciberespacio. Es un libro muy completo que describe la personalidad de muchos
hackers, grupos y entidades del mundillo informático, como los círculos del
boletín 2600, el WELL de San Francisco y la EFF (Electronic Frontier
Foundation). El autor ha publicado el libro también en formato electrónico, en
modo texto, en Internet, donde se puede conseguir de forma gratuita (Proyecto
Gutenberg; URL ftp://mrcnext.sco.uiuc.edu:/pub/etext).
Distribuidor: Librerías
especializadas.
The
Macintosh Reader
Random.
1992. Doug Clapp. ISBN: 0-679-74242-5. 452 páginas.
En este libro hay de todo, Dynabook y
PowerBooks, historia y humor. Trucos, secretos, noticias, opiniones y más,
mucho más, de Doug Clapp y de 30 de los hombres y mujeres más conocidos del
mundo Macintosh. Es un salvaje y provocativo juego hacia el pasado, el
presente y el futuro de Macintosh. Nunca ha habido un libro de ordenadores
como este. Simplemente, el mejor libro jamás escrito sobre el ordenador más
maravilloso de Apple.
Distribuidor: Diaz de Santos, Tel.: (91) 431 24 82.
The
Macintosh Way
Harper.
Guy Kawasaki. ISBN: 0-06-097338-2. 209 páginas.
Apropiadamente subtitulado El arte de la
guerrilla en la gestión, este manual de Kawasaki es, en tono humorístico, una
guía para que el desarrollador o empresario del mundo Mac aprenda a hacer lo
correcto. Incluye notas de la historia de Apple y el Macintosh, pero
básicamente una serie de consejos sobre cómo usar el evangelismo en el mundo
Mac, llegar a los usuarios finales, hacer buenas presentaciones, ir a ferias y
atender a los grupos de usuarios. Todo ello, salpicado con múltiples ejemplos
de la experiencia de Kawasaki durante sus años en Apple, con un humor
corrosivo y divertido. También incluye ejemplos y ejercicios jocosos.
Distribuidor: Librerías
especializadas.
The New
Hacker's Dictionary, Second Edition
The MIT Press. Eric S. Raymond, comp.. ISBN:
0-262-18154-1. 505 páginas.
Esta segunda edición del Diccionario del Hacker es sin duda referencia
obligada para todos los hackers como para los quiero-y-no-puedo (una de las
definiciones del diccionario). Es una edición de lujo del famoso archivo
JARGON (jerga) de Internet, en el que durante décadas se ha ido incorporando
información sobre la jerga de los hackers, y usos y costumbres del lenguaje
informático. Muchos de los términos y chistes proceden de las oscuras
épocas de los orígenes de los hackers, pero no dejan de tener su gracia.
Incluye capítulos sobre costumbres gramaticales de los hackers, el folklore
relacionado, un retrato del prototipo del hacker y bibliografía adicional. Al
Macintosh se le califica en la jerga como Macintoy (considerado como juguete)
o Macintrash (por los hackers que realmente no aprecian separarse de los
verdaderos ordenadores por una interfaz bonita). Un hacker es, cómo no, una
persona que disfruta con la exploración de los detalles de los sistemas
programables y cómo aprovechar toda su capacidad, frente a la mayoría de los
usuarios que prefieren aprender sólo el mínimo necesario.
Distribuidor: Librerías
especializadas.
SEGURIDAD CORPORATIVA
LA PRIMERA
REVISTA VIRTUAL ESPAÑOLA
PARA USUARIOS DE
SEGURIDAD
Apartado de correos nº 251
08080 -
BARCELONA
e-mail: seguridad@seguridadcorporativa.org