Cómo ganar 300.000$ o robar un cajero con un teclado: así trabajan los mejores 'hackers'

Enero de 2016. Un inversor ruso se gasta 10.000 dólares en comprar bitcoins. Como prevé que con el tiempo pueden llegar a valer muchísimo más, los guarda en un archivo comprimido (.zip) que protege con contraseña. El pronóstico le sale redondo: más de tres años después, en el otoño de 2019, el valor se ha multiplicado por 30: los bitcoins por los que pagó 10.000 dólares ahora valen nada menos que 300.000 dólares. Ops, pero hay un problema: ¿cuál era la contraseña que le puso al archivo zip? No la recuerda. Su catastrófico olvido ha hecho que no solo no vaya a tener sus 300.000 dólares, sino que además haya tirado otros 10.000 a la basura.

El inversor se vuelve completamente loco y empieza a husmear por internet para ver si hay forma de recuperar su dinero. A fuerza de navegar se encuentra con Michael Stay, un exingeniero de Google que había publicado un ensayo en el que decía que las contraseñas de algunos archivos zip podían ser 'hackeables'. Ambos hablan por LinkedIn y, tras una intensa negociación, pactan las condiciones: si Stay logra acceder al archivo con los bitcoins, se llevará 100.000 dólares, un tercio del dinero. Pocos días después, el ingeniero consigue el objetivo y siguen sus vidas con felicidad. El tipo de felicidad que te da haberte repartido 300.000 dólares.

Pero, ¿cómo consiguió Michael Stay acceder un archivo protegido? Ojo, porque la historia no es tan bonita como podría parecer por el final feliz. Para empezar, ni el ingeniero se fiaba del todo del inversor ruso ni el inversor ruso se fiaba del todo del ingeniero: el primero no estaba convencido de la procedencia de esos bitcoins y el segundo no quería facilitarle demasiado la tarea. Stay se convenció del origen lícito de las criptomonedas cuando el inversor le dio su portátil y comprobó que ese era el equipo en el que se cifró el archivo.

Stay echó mano de su actual jefe, Nash Foster (CEO de la empresa Pyrofex), y desarrolló un programa que probaba contraseñas de manera aleatoria. Su objetivo era conseguir descifrarla en unos meses, pero pronto se frustraron: la cosa no progresaba bien. Hasta que se dieron cuenta de que el inversor ruso había comprimido su archivo desde una versión antigua del programa Win Zip, una versión en la que Stay había encontrado serias vulnerabilidades. Así pues, 'atacó' al programa y, tras 'reducir' las posibles contraseñas a algunos quintillones, consiguió dar con la clave y liberar el dinero. El proceso completo lo cuenta en el siguiente vídeo.

Michael Stay es una de las muchas personas que este mes han pasado por la DefCon, uno de los congresos de seguridad informática más importantes, en el que los mejores 'hackers' del mundo comparten sus experiencias, sus descubrimientos y, sobre todo, las 'puertas traseras' que han conseguido penetrar. Si piensas que esto va de cometer delitos, te equivocas: la mayoría de estos perfiles comparte estas estrategias tras haber avisado a los posibles perjudicados. Pero sorprende, y mucho, ver algunas de las cosas que son capaces de hacer.

Así se saca dinero gratis de 80.000 cajeros

Otro ejemplo muy llamativo es el de Trey Keown & Brenda So, de la empresa Red Balloon Security, que demostraron cómo 'hackear' un cajero electrónico. Alterar los cajeros para robar tarjetas o contraseñas de usuarios es algo medianamente frecuente, pero Keown y So elevaron esta práctica a la enésima potencia: no necesitaron manipular ni un solo cajero con sus propias manos, ya que lo hicieron todo 'online'.

Los dos investigadores centraron su trabajo en Nautilus Hyosung America, el mayor proveedor de cajeros de todo Estados Unidos. Se dieron cuenta de que, gracias a una vulnerabilidad de Windows, podían acceder a la red de los cajeros para redirigir el dinero. Este fallo podría afectar a cerca de 80.000 terminales en todo el país.

Cómo dejar a oscuras una ciudad entera

Hace pocos meses ya contamos que una empresa española había descubierto cómo manipular los contadores inteligentes de una empresa energética para dejar sin luz a un barrio entero, pero Eyal Itkin multiplicó la apuesta y descubrió un método para dejar sin luz a toda una ciudad.

El investigador se fijó un objetivo: las bombillas inteligentes Philips Hue, frecuentemente usadas en ciudades que apuestan por modelos de 'smart city'. Estas bombillas funcionan bajo un protocolo llamado ZigBee en el que Itkin descubrió una serie de vulnerabilidades. En su charla, el investigador demostró cómo era capaz de acceder a la red informática de estas bombillas, instalarles un 'malware' y apagarlas. De hecho ni siquiera necesitaría hacerse con todas las de una ciudad: 'hackeando' solo algunas de ellas era capaz de desencadenar una sucesión de apagones hasta echar abajo todo el sistema eléctrico.

Manipulando el tráfico con los semáforos

Hace tiempo que los semáforos de todas las ciudades están automatizados y, en algunos casos, obedecen a ciertos parámetros circulatorios como dar preferencia a las bicicletas. ¿Cómo lo hacen? Hay aplicaciones para ciclistas que comparten su ubicación, de modo que en algunas ciudades holandesas, por ejemplo, los semáforos se ponen en verde cuando detectan una alta presencia de ciclistas dispuestos a pasar. Y eso fue lo que se propusieron explotar Wesley Neelen & Rik van Duijn.

Estos dos expertos tomaron una decisión: iban a crear 'ciclistas virtuales' en todas esas 'apps' y manipular su posición. Como demostraron en su charla, fueron capaces de hacerle creer a un semáforo que había varios ciclistas esperando para pasar, con lo que se pusieron automáticamente en verde. Cuando probaron a inflar las cifras de falsos ciclistas consiguieron generar un auténtico caos circulatorio.

Huelga decir que ninguno de estos 'hackers' cometieron ningún delito. Sus prácticas, al contrario que las de los ciberdelincuentes, van destinadas a alertar de fallos de seguridad informática para que los responsables los arreglen. Porque si los cibercriminales se enteran antes de esos fallos, ellos sí que no tendrán piedad.