Hacker de seguridad

Término de seguridad informática; alguien que piratea sistemas informáticos.

Un hacker de seguridad o investigador de seguridad es alguien que explora métodos para violar las defensas y explotar las debilidades de un sistema informático o red . ^[1] Los piratas informáticos pueden estar motivados por una multitud de razones, como el beneficio, la protesta, la recopilación de información, ^[2] el desafío, la recreación, ^[3] o la evaluación de las debilidades de un sistema para ayudar a formular defensas contra posibles piratas informáticos.

Existe una controversia de larga data en torno al significado del término " hacker ". En esta controversia, los programadores informáticos recuperan el término hacker , argumentando que se refiere simplemente a alguien con un conocimiento avanzado de computadoras y redes informáticas, ^[4] y que cracker es el término más apropiado para aquellos que irrumpen en las computadoras, ya sean delincuentes informáticos (black hats) o expertos en seguridad informática ( white hats ). ^{[5] [6]} Un artículo de 2014 señaló que "el significado de black hat todavía prevalece entre el público en general". ^[7] La ​​subcultura que se ha desarrollado en torno a los hackers a menudo se conoce como la "clandestinidad informática".

Historia

Bruce Sterling , autor de The Hacker Crackdown

Nacimiento de la subcultura y entrada en la cultura dominante: décadas de 1960 a 1980

La subcultura que rodea a estos hackers se denomina subcultura de hackers de redes, escena hacker o underground informático. Inicialmente se desarrolló en el contexto del phreaking durante los años 60 y la escena de BBS de microcomputadoras de los años 80. Está relacionada con 2600: The Hacker Quarterly y el grupo de noticias alt.2600 .

En 1980, un artículo en la edición de agosto de Psychology Today (con comentarios de Philip Zimbardo ) utilizó el término "hacker" en su título: "The Hacker Papers". Era un extracto de una discusión en el tablón de anuncios de Stanford sobre la naturaleza adictiva del uso de la computadora. En la película Tron de 1982 , Kevin Flynn ( Jeff Bridges ) describe sus intenciones de entrar en el sistema informático de ENCOM, diciendo "He estado haciendo un poco de piratería aquí". CLU es el software que utiliza para esto. En 1983, hackear en el sentido de romper la seguridad informática ya se había utilizado como jerga informática, ^[8] pero no había conciencia pública sobre tales actividades. ^[9] Sin embargo, el estreno de la película WarGames ese año, que presenta una intrusión informática en NORAD , aumentó la creencia pública de que los piratas informáticos de seguridad informática (especialmente los adolescentes) podrían ser una amenaza para la seguridad nacional. Esta preocupación se hizo real cuando, en el mismo año, una banda de hackers adolescentes en Milwaukee, Wisconsin , conocidos como The 414s , irrumpieron en sistemas informáticos en todo Estados Unidos y Canadá , incluidos los del Laboratorio Nacional de Los Álamos , el Centro Oncológico Sloan-Kettering y Security Pacific Bank . ^[10] El caso rápidamente atrajo la atención de los medios, ^{[10] [11]} y Neal Patrick, de 17 años, surgió como el portavoz de la banda, incluida una historia de portada en Newsweek titulada "Cuidado: hackers en juego", con la fotografía de Patrick en la portada. ^[12] El artículo de Newsweek parece ser el primer uso de la palabra hacker por parte de los medios tradicionales en sentido peyorativo.

Presionado por la cobertura mediática, el congresista Dan Glickman pidió una investigación y comenzó a trabajar en nuevas leyes contra la piratería informática. ^{[13] [14]} Neal Patrick testificó ante la Cámara de Representantes de los Estados Unidos el 26 de septiembre de 1983 sobre los peligros de la piratería informática, y seis proyectos de ley sobre delitos informáticos se presentaron en la Cámara ese año. ^[14] Como resultado de estas leyes contra la delincuencia informática, los hackers de sombrero blanco, sombrero gris y sombrero negro intentan distinguirse entre sí, dependiendo de la legalidad de sus actividades. Estos conflictos morales se expresan en " El manifiesto del hacker " de The Mentor , publicado en 1986 en Phrack .

El término hacker, que significa delincuente informático, también fue utilizado por el artículo de Clifford Stoll titulado "Stalking the Wily Hacker" (Acosando al astuto hacker) publicado en la edición de mayo de 1988 de la revista Communications of the ACM . Más tarde ese mismo año, la publicación por parte de Robert Tappan Morris, Jr. del llamado gusano Morris provocó que los medios de comunicación populares difundieran este uso. La popularidad del libro de Stoll The Cuckoo's Egg (El huevo del cuco) , publicado un año después, afianzó aún más el término en la conciencia del público.

Clasificaciones

En el ámbito de la seguridad informática, un hacker es alguien que se centra en los mecanismos de seguridad de los sistemas informáticos y de red. Los hackers pueden incluir a alguien que se esfuerza por fortalecer los mecanismos de seguridad explorando sus debilidades y también a aquellos que buscan acceder a información segura y no autorizada a pesar de las medidas de seguridad. Sin embargo, partes de la subcultura consideran que su objetivo es corregir los problemas de seguridad y utilizan la palabra en un sentido positivo. El término "sombrero blanco" se refiere a los hackers informáticos éticos, que utilizan el hackeo de forma útil. Los hackers de sombrero blanco se están convirtiendo en una parte necesaria del campo de la seguridad de la información. ^[15] Operan bajo un código que reconoce que entrar en los ordenadores de otras personas es malo, pero que descubrir y explotar los mecanismos de seguridad y entrar en los ordenadores sigue siendo una actividad interesante que se puede realizar de forma ética y legal. En consecuencia, el término tiene fuertes connotaciones que son favorables o peyorativas, según el contexto.

Los subgrupos del underground informático, con diferentes actitudes y motivos, utilizan términos diferentes para diferenciarse unos de otros. Estas clasificaciones también se utilizan para excluir a grupos específicos con los que no están de acuerdo.

Galleta

Eric S. Raymond , autor de The New Hacker's Dictionary , defiende que los miembros de la clandestinidad informática deberían ser llamados crackers. Sin embargo, esas personas se consideran hackers e incluso intentan incluir las opiniones de Raymond en lo que consideran una cultura hacker más amplia, una visión que Raymond ha rechazado con dureza. En lugar de una dicotomía hacker/cracker, enfatizan un espectro de diferentes categorías, como white hat , grey hat , black hat y script kiddie . A diferencia de Raymond, suelen reservar el término cracker para actividades más maliciosas.

Según Ralph D. Clifford, un cracker o cracker es "obtener acceso no autorizado a una computadora con el fin de cometer otro delito, como destruir la información contenida en ese sistema". ^[16] Estos subgrupos también pueden definirse por el estatus legal de sus actividades. ^[17]

Sombrero blanco

Un hacker de sombrero blanco viola la seguridad por razones no maliciosas, ya sea para probar su propio sistema de seguridad, realizar pruebas de penetración o evaluaciones de vulnerabilidad para un cliente o mientras trabaja para una empresa de seguridad que fabrica software de seguridad. El término es generalmente sinónimo de hacker ético , y se han desarrollado certificaciones, cursos, clases y capacitación en línea que cubren el diverso ámbito del hacking ético. ^[17]

Sombrero negro

Un hacker de sombrero negro es un hacker que "viola la seguridad informática por poco motivo más allá de la malicia o el beneficio personal" (Moore, 2005). ^[18] El término fue acuñado por Richard Stallman , para contrastar la malicia de un hacker criminal frente al espíritu lúdico y de exploración de la cultura hacker , o el ethos del hacker de sombrero blanco que realiza tareas de piratería para identificar lugares para reparar o como medio de empleo legítimo. ^[19] Los hackers de sombrero negro forman los grupos de piratería ilegales estereotipados que a menudo se retratan en la cultura popular, y son "el epítome de todo lo que el público teme en un delincuente informático". ^[20]

Sombrero gris

Un hacker de sombrero gris se encuentra entre un hacker de sombrero negro y un hacker de sombrero blanco, y hackea por razones ideológicas. [ ²¹ ] Un hacker de sombrero gris puede navegar por Internet y hackear un sistema informático con el único propósito de notificar al administrador que su sistema tiene un defecto de seguridad, por ejemplo. Luego puede ofrecer corregir el defecto a cambio de una tarifa. ^[20] Los hackers de sombrero gris a veces encuentran el defecto en un sistema y publican los hechos al mundo en lugar de a un grupo de personas. Aunque los hackers de sombrero gris no necesariamente realizan hackeos para su beneficio personal, el acceso no autorizado a un sistema puede considerarse ilegal y poco ético.

Hacker de élite

El término élite es un estatus social entre los hackers y se utiliza para describir a los más hábiles. Entre estos hackers circulan nuevos exploits . Los grupos de élite como Masters of Deception confieren una especie de credibilidad a sus miembros. ^[22]

Guión infantil

Un script kiddie (también conocido como skid o skiddie ) es un hacker no calificado que irrumpe en los sistemas informáticos mediante herramientas automatizadas escritas por otros (generalmente por otros hackers de sombrero negro), de ahí el término script (es decir, un script de computadora que automatiza el hackeo) kiddie (es decir, niño, individuo que carece de conocimientos y experiencia, inmaduro), ^[23] generalmente con poca comprensión del concepto subyacente.

Neófito

Un neófito (" novato " o "novato") es alguien que es nuevo en el hacking o phreaking y que casi no tiene conocimiento o experiencia en el funcionamiento de la tecnología y el hacking. ^[20]

Sombrero azul

Un hacker de sombrero azul es alguien ajeno a las empresas de consultoría de seguridad informática que está acostumbrado a probar errores en un sistema antes de su lanzamiento, en busca de vulnerabilidades que puedan solucionarse. Microsoft también utiliza el término BlueHat para representar una serie de eventos de información sobre seguridad. ^{[24] [25] [26]}

Hacktivista

Un hacktivista es un hacker que utiliza la tecnología para difundir un mensaje social, ideológico, religioso o político.

El hacktivismo se puede dividir en dos grupos principales:

• Ciberterrorismo  : actividades que implican desfiguración de sitios web o ataques de denegación de servicio ; y
• Libertad de información  : hacer accesible al público información que no es pública o que es pública en formatos no legibles por máquina.

Estado nación

Agencias de inteligencia y agentes de guerra cibernética de los estados nacionales. ^[27]

Bandas criminales organizadas

Grupos de piratas informáticos que llevan a cabo actividades delictivas organizadas con fines de lucro. ^[27] Los piratas informáticos de hoy en día han sido comparados con los corsarios de tiempos pasados. ^[28] Estos delincuentes toman sistemas informáticos como rehenes, exigiendo grandes pagos a las víctimas para restaurar el acceso a sus propios sistemas informáticos y datos. ^[29] Además, los recientes ataques de ransomware a industrias como la energía, la alimentación y el transporte han sido atribuidos a organizaciones criminales con sede en un actor estatal o cerca de él , posiblemente con el conocimiento y la aprobación del país. ^[30] El robo cibernético y los ataques de ransomware son ahora los delitos de más rápido crecimiento en los Estados Unidos. ^[31] Bitcoin y otras criptomonedas facilitan la extorsión de grandes rescates a grandes empresas, hospitales y gobiernos municipales con poca o ninguna posibilidad de ser atrapado. ^[32]

Ataques

Los piratas informáticos generalmente se pueden clasificar en dos tipos de ataques: ataques masivos y ataques dirigidos. ^[33] Se clasifican en grupos en función de cómo eligen a sus víctimas y cómo actúan ante los ataques. ^[33]

Un enfoque típico en un ataque a un sistema conectado a Internet es:

1. Enumeración de red : descubrimiento de información sobre el objetivo previsto.
2. Análisis de vulnerabilidad : identificación de posibles vías de ataque.
3. Explotación : Intentar comprometer el sistema aprovechando las vulnerabilidades encontradas a través del análisis de vulnerabilidades. ^[34]

Para lograrlo, existen varias herramientas y técnicas recurrentes que utilizan los delincuentes informáticos y los expertos en seguridad.

Explosiones de seguridad

Un exploit de seguridad es una aplicación preparada que se aprovecha de una debilidad conocida. ^[35] Ejemplos comunes de exploits de seguridad son la inyección SQL , el scripting entre sitios y la falsificación de solicitudes entre sitios que abusan de los agujeros de seguridad que pueden resultar de una práctica de programación deficiente. Otros exploits podrían usarse a través del Protocolo de transferencia de archivos (FTP), el Protocolo de transferencia de hipertexto (HTTP), PHP , SSH , Telnet y algunas páginas web. Estos son muy comunes en el hackeo de sitios web y dominios web.

Técnicas

Escáner de vulnerabilidades

Un escáner de vulnerabilidades es una herramienta que se utiliza para comprobar rápidamente las computadoras de una red en busca de debilidades conocidas. Los piratas informáticos también suelen utilizar escáneres de puertos . Estos comprueban qué puertos de una computadora específica están "abiertos" o disponibles para acceder a la computadora y, a veces, detectan qué programa o servicio está escuchando en ese puerto y su número de versión. ( Los firewalls defienden las computadoras de los intrusos al limitar el acceso a los puertos y las máquinas, pero aún así se pueden eludir).

Encontrar vulnerabilidades

Los piratas informáticos también pueden intentar encontrar vulnerabilidades de forma manual. Un método habitual consiste en buscar posibles vulnerabilidades en el código del sistema informático y luego probarlas, a veces aplicando ingeniería inversa al software si no se proporciona el código. Los piratas informáticos experimentados pueden encontrar fácilmente patrones en el código para encontrar vulnerabilidades comunes.

Ataque de fuerza bruta

Adivinación de contraseñas. Los ataques de fuerza bruta se utilizan para comprobar rápidamente todas las variantes cortas de contraseñas. Para contraseñas más largas, se utilizan otros métodos, como el ataque de diccionario, debido al tiempo que lleva una búsqueda de fuerza bruta. ^[36]

Descifrado de contraseñas

El descifrado de contraseñas es el proceso de recuperar contraseñas de datos almacenados o transmitidos por un sistema informático. Los métodos más comunes incluyen intentar adivinar la contraseña repetidamente, probar las contraseñas más comunes a mano y probar repetidamente contraseñas de un "diccionario" o un archivo de texto con muchas contraseñas. ^[37]

Analizador de paquetes

Un analizador de paquetes ("packet sniffer") es una aplicación que captura paquetes de datos, que pueden utilizarse para capturar contraseñas y otros datos en tránsito a través de la red.

Ataque de suplantación de identidad (phishing)

Un ataque de suplantación de identidad implica que un programa, sistema o sitio web se haga pasar por otro falsificando datos y, por lo tanto, un usuario u otro programa lo trate como un sistema confiable, generalmente para engañar a los programas, sistemas o usuarios para que revelen información confidencial, como nombres de usuario y contraseñas.

Kit de raíz

Un rootkit es un programa que utiliza métodos de bajo nivel y difíciles de detectar para subvertir el control de un sistema operativo de sus operadores legítimos. Los rootkits suelen ocultar su instalación e intentan evitar su eliminación mediante una subversión de la seguridad estándar del sistema. Pueden incluir reemplazos de binarios del sistema, lo que hace que sea prácticamente imposible detectarlos al verificar las tablas de procesos .

Ingeniería social

En la segunda etapa del proceso de selección, los piratas informáticos suelen utilizar tácticas de ingeniería social para obtener suficiente información para acceder a la red. Pueden ponerse en contacto con el administrador del sistema y hacerse pasar por un usuario que no puede acceder a su sistema. Esta técnica se muestra en la película Hackers de 1995 , cuando el protagonista Dade "Zero Cool" Murphy llama a un empleado algo despistado a cargo de la seguridad de una cadena de televisión. Haciéndose pasar por un contable que trabaja para la misma empresa, Dade engaña al empleado para que le dé el número de teléfono de un módem para poder acceder al sistema informático de la empresa.

Los piratas informáticos que utilizan esta técnica deben estar familiarizados con las prácticas de seguridad de su objetivo para poder engañar al administrador del sistema y conseguir que les facilite información. En algunos casos, un empleado del servicio de asistencia técnica con poca experiencia en seguridad responderá al teléfono y será relativamente fácil engañarlo. Otra estrategia consiste en que el pirata informático se haga pasar por un supervisor enfadado y, cuando se cuestione su autoridad, amenace con despedir al empleado del servicio de asistencia técnica. La ingeniería social es muy eficaz, porque los usuarios son la parte más vulnerable de una organización. Ningún dispositivo o programa de seguridad puede mantener a salvo a una organización si un empleado revela una contraseña a una persona no autorizada.

La ingeniería social se puede dividir en cuatro subgrupos:

• Intimidación Al igual que en la técnica del "supervisor enfadado" descrita anteriormente, el hacker convence a la persona que responde al teléfono de que su trabajo corre peligro a menos que la ayude. En este punto, muchas personas aceptan que el hacker es un supervisor y les dan la información que buscan.
• Amabilidad La amabilidad, lo opuesto a la intimidación, explota el instinto natural de muchas personas de ayudar a los demás a resolver problemas. En lugar de actuar con enojo, el hacker actúa angustiado y preocupado. El servicio de asistencia técnica es el más vulnerable a este tipo de ingeniería social, ya que (a) su propósito general es ayudar a las personas; y (b) generalmente tiene la autoridad para cambiar o restablecer contraseñas, que es exactamente lo que el hacker quiere. ^[38]
• Name-dropping El hacker utiliza los nombres de usuarios autorizados para convencer a la persona que responde al teléfono de que él mismo es un usuario legítimo. Algunos de estos nombres, como los de los propietarios de páginas web o los directivos de empresas, se pueden obtener fácilmente en línea. También se sabe que los hackers obtienen nombres examinando documentos descartados ( "dumpster diving" ).
• Técnica El uso de la tecnología también es una forma de obtener información. Un hacker puede enviar un fax o un correo electrónico a un usuario legítimo, en busca de una respuesta que contenga información vital. El hacker puede afirmar que está involucrado en la aplicación de la ley y necesita ciertos datos para una investigación o para fines de mantenimiento de registros.

Caballos de Troya

Un caballo de Troya es un programa que parece estar haciendo una cosa pero en realidad está haciendo otra. Puede utilizarse para crear una puerta trasera en un sistema informático, lo que permite al intruso acceder más tarde. (El nombre hace referencia al caballo de la Guerra de Troya , que tenía una función conceptualmente similar: engañar a los defensores para que llevaran a un intruso a una zona protegida).

Virus informático

Un virus es un programa autorreplicante que se propaga insertando copias de sí mismo en otros documentos o códigos ejecutables. De esta manera, se comporta de manera similar a un virus biológico , que se propaga insertándose en células vivas. Si bien algunos virus son inofensivos o simplemente engaños, la mayoría se consideran maliciosos.

Gusano informático

Al igual que un virus, un gusano es también un programa que se auto-replica. Se diferencia de un virus en que (a) se propaga a través de redes informáticas sin la intervención del usuario; y (b) no necesita unirse a un programa existente. No obstante, muchas personas utilizan los términos "virus" y "gusano" indistintamente para describir cualquier programa que se auto-propague.

Registro de pulsaciones de teclas

Un keylogger es una herramienta diseñada para registrar cada pulsación de tecla en una máquina afectada para su posterior recuperación, generalmente para permitir que el usuario de esta herramienta acceda a información confidencial ingresada en la máquina afectada. Algunos keyloggers utilizan métodos similares a virus, troyanos y rootkits para ocultarse. Sin embargo, algunos de ellos se utilizan con fines legítimos, incluso para mejorar la seguridad informática. Por ejemplo, una empresa puede mantener un keylogger en una computadora utilizada en un punto de venta para detectar evidencia de fraude por parte de empleados.

Patrones de ataque

Los patrones de ataque se definen como una serie de pasos repetibles que se pueden aplicar para simular un ataque contra la seguridad de un sistema. Se pueden utilizar con fines de prueba o para localizar vulnerabilidades potenciales. También proporcionan, ya sea físicamente o en referencia, un patrón de solución común para prevenir un ataque determinado.

Herramientas y procedimientos

Se puede encontrar un análisis exhaustivo de las herramientas y procedimientos de los piratas informáticos en el libro de trabajo de certificación E|CSA de Cengage Learning. ^[39]

Intrusos notables y piratas informáticos criminales

Hackers de seguridad notables

• Andrew Auernheimer , condenado a tres años de prisión, es un hacker de sombrero gris cuyo grupo de seguridad Goatse Security expuso una falla en la seguridad del iPad de AT&T.
• Dan Kaminsky fue un experto en DNS que expuso múltiples fallas en el protocolo e investigó los problemas de seguridad del rootkit de Sony en 2005. Habló ante el Senado de los Estados Unidos sobre cuestiones tecnológicas.
• Ed Cummings (también conocido como Bernie S ) es un veterano escritor de 2600: The Hacker Quarterly . En 1995, fue arrestado y acusado de posesión de tecnología que podría usarse con fines fraudulentos, y sentó precedentes legales después de que se le negara tanto una audiencia de fianza como un juicio rápido.
• Eric Corley (también conocido como Emmanuel Goldstein ) es el editor de 2600: The Hacker Quarterly desde hace mucho tiempo . También es el fundador de las conferencias Hackers on Planet Earth (HOPE). Forma parte de la comunidad hacker desde finales de los años 70.
• Susan Headley (también conocida como Susan Thunder), fue una hacker estadounidense activa a fines de la década de 1970 y principios de la de 1980, ampliamente respetada por su experiencia en ingeniería social , pretextos y subversión psicológica . ^[40] Se involucró mucho en phreaking con Kevin Mitnick y Lewis de Payne en Los Ángeles , pero luego los incriminó por borrar los archivos del sistema en US Leasing después de una pelea, lo que llevó a la primera condena de Mitnick. ^[41]
• Gary McKinnon es un hacker escocés que se enfrentaba a una posible extradición a Estados Unidos para enfrentar cargos penales. Muchas personas en el Reino Unido pidieron a las autoridades que fueran indulgentes con McKinnon, que padece síndrome de Asperger . La extradición ahora ha sido desestimada. ^[42]
• Gordon Lyon , conocido por el nombre de usuario Fyodor, es autor del escáner de seguridad Nmap y de numerosos libros y sitios web sobre seguridad de redes. Es miembro fundador del Proyecto Honeynet y vicepresidente de Computer Professionals for Social Responsibility .
• Guccifer 2.0 , quien afirmó haber pirateado la red informática del Comité Nacional Demócrata (DNC)
• Jacob Appelbaum es un defensor, investigador de seguridad y desarrollador del proyecto Tor . Habla a nivel internacional sobre el uso de Tor por parte de grupos de derechos humanos y otras personas preocupadas por el anonimato y la censura en Internet.
• Joanna Rutkowska es una investigadora de seguridad informática polaca que desarrolló el rootkit Blue Pill y Qubes OS .
• Jude Milhon (conocido como St. Jude) fue un hacker y activista estadounidense, miembro fundador del movimiento cypherpunk y uno de los creadores de Community Memory , el primer sistema público de tablón de anuncios informatizado . ^[43]
• Kevin Mitnick fue un consultor de seguridad informática y autor, anteriormente el criminal informático más buscado en la historia de los Estados Unidos . ^[44]
• Len Sassaman fue un programador informático y tecnólogo belga que también fue un defensor de la privacidad.
• Meredith L. Patterson es una reconocida tecnóloga y biohacker que ha presentado investigaciones junto con Dan Kaminsky y Len Sassaman en numerosas conferencias internacionales sobre seguridad y hackers.
• Kimberley Vanvaeck (conocido como Gigabyte) es un hacker belga reconocido por escribir el primer virus en C# . ^[45]
• Michał Zalewski (lcamtuf) es un destacado investigador de seguridad.
• Solar Designer es el seudónimo del fundador del Proyecto Openwall .
• Kane Gamble, condenado a dos años de detención juvenil, que es autista, obtuvo acceso a información altamente sensible y "aterrorizó cibernéticamente" a funcionarios de inteligencia estadounidenses de alto perfil , como el entonces jefe de la CIA, John Brennan , o el Director de Inteligencia Nacional, James Clapper . ^{[46] [47] [48]}

Aduanas

La clandestinidad informática ^[3] ha producido su propia jerga especializada, como 1337speak . La escritura de software y la realización de otras actividades para apoyar estos puntos de vista se conoce como hacktivismo . Algunos consideran que el cracking ilegal está éticamente justificado para estos objetivos; una forma común es la desfiguración de sitios web . La clandestinidad informática se compara con frecuencia con el Salvaje Oeste. ^[49] Es común que los piratas informáticos utilicen alias para ocultar sus identidades.

Grupos y convenciones de hackers

El underground informático se apoya en reuniones regulares en el mundo real llamadas convenciones de hackers o "hacker cons". Estos eventos incluyen SummerCon (verano), DEF CON , HoHoCon (navidad), ShmooCon (febrero), Black Hat Conference , Chaos Communication Congress , AthCon, Hacker Halted y HOPE ^{[ cita requerida ]} Los grupos locales de Hackfest se organizan y compiten para desarrollar sus habilidades para enviar un equipo a una convención importante para competir en pentesting grupal, exploit y análisis forense a mayor escala. Los grupos de hackers se hicieron populares a principios de la década de 1980, proporcionando acceso a información y recursos de hacking y un lugar para aprender de otros miembros. Los sistemas de tablones de anuncios informáticos (BBS), como Utopias, proporcionaban plataformas para compartir información a través de un módem de acceso telefónico. Los hackers también podían ganar credibilidad al afiliarse a grupos de élite. ^[50]

Consecuencias de la piratería informática maliciosa

India

Países Bajos

• El artículo 138ab del Wetboek van Strafrecht prohíbe el acceso no autorizado a una obra automatizada , que se define como la intrusión en una obra automatizada o en una parte de ella con intención y en contra de la ley. La intrusión se define como el acceso mediante:
  • Derrotando las medidas de seguridad
  • Por medios técnicos
  • Mediante señales falsas o una clave criptográfica falsa
  • Mediante el uso de nombres de usuario y contraseñas robadas .

La pena máxima de prisión será de un año o multa de cuarta categoría. ^[51]

Estados Unidos

 La Ley de Abuso y Fraude Informático del Título 18 del Código de los Estados Unidos (USC , por sus siglas en inglés) prohíbe el acceso no autorizado o el daño a "computadoras protegidas". Las "computadoras protegidas" se definen en el Título 18 del Código de los Estados Unidos (USC, por sus  siglas en inglés) § 1030(e)(2) como:

• Una computadora para uso exclusivo de una institución financiera o del Gobierno de los Estados Unidos o, en el caso de una computadora que no sea exclusivamente para dicho uso, utilizada por o para una institución financiera o el Gobierno de los Estados Unidos y la conducta que constituye el delito afecta ese uso por o para la institución financiera o el Gobierno.
• Una computadora que se utiliza en, o que afecta el comercio o la comunicación interestatal o exterior, incluyendo una computadora ubicada fuera de los Estados Unidos que se utiliza de una manera que afecta el comercio o la comunicación interestatal o exterior de los Estados Unidos;

La pena máxima de prisión o multa por violaciones a la Ley de Abuso y Fraude Informático depende de la gravedad de la violación y del historial de violaciones a la Ley del infractor .

El FBI ha demostrado su capacidad para recuperar rescates pagados en criptomonedas por víctimas de robo cibernético. ^[52]

La piratería y los medios de comunicación

En el cine y los medios de comunicación, los piratas informáticos suelen ser representados como figuras encapuchadas que escriben en la oscuridad.

Revistas de hackers

Las publicaciones impresas orientadas a los hackers más notables son Phrack , Hakin9 y 2600: The Hacker Quarterly . Si bien la información contenida en las revistas y boletines electrónicos de hackers a menudo estaba desactualizada cuando se publicaban, mejoraban la reputación de sus colaboradores al documentar sus éxitos. ^[50]

Los hackers en la ficción

Los hackers suelen mostrar interés por la literatura y las películas de ficción sobre el ciberpunk y la cibercultura . La adopción de seudónimos ficticios , ^[53] símbolos, valores y metáforas de estas obras es muy común. ^[54]

Libros

• Las novelas ciberpunk de William Gibson  –especialmente la trilogía Sprawl–  son muy populares entre los hackers. ^[55]
• Helba de la serie de manga y anime .hack
• Merlín de Ámbar , el protagonista de la segunda serie de Las Crónicas de Ámbar de Roger Zelazny , es un joven príncipe hacker-mago inmortal que tiene la capacidad de atravesar dimensiones de sombras.
• Lisbeth Salander en La chica del dragón tatuado de Stieg Larsson
• Bloc de notas de Alicia del Cielo
• El juego de Ender de Orson Scott Card
• El genio del mal, de Catherine Jinks
• Hackers (antología) de Jack Dann y Gardner Dozois
• El hermano pequeño de Cory Doctorow
• Neuromante de William Gibson
• Choque de nieve de Neal Stephenson

Películas

• Antimonopolista
• Sombrero negro
• Cifrar
• Ojo de águila
• Enemigo del Estado
• Cortafuegos
• La chica con el dragón tatuado
• Piratas informáticos
• Vive libre o muere duro
• La serie Matrix
• La red
• La red 2.0
• Piratas de Silicon Valley
• Caída del cielo
• Zapatillas
• Pez espada
• Terminator 2: El juicio final
• Terminator Salvación
• Derribar
• Trón
• Tron: Legado
• Inrastreable
• Juegos de guerra
• Ciencia extraña
• El quinto poder
• ¿Quién soy yo? Ningún sistema es seguro (película)
• " Johnny English ataca de nuevo "

Series de TV

• Señor robot

Libros de no ficción

• El arte del engaño de Kevin Mitnick
• El arte de la intrusión, de Kevin Mitnick
• El huevo del cuco de Clifford Stoll
• Fantasma en los cables: mis aventuras como el hacker más buscado del mundo, por Kevin Mitnick
• Hackers: Héroes de la revolución informática, de Steven Levy
• La represión de los hackers por Bruce Sterling
• Manual del hacker de Hugo Cornwall (Peter Sommer)
• Hacking: El arte de la explotación Segunda edición de Jon Erickson
• Fuera del círculo íntimo, de Bill Landreth y Howard Rheingold
• Underground de Suelette Dreyfus

Véase también

• Cracking de redes inalámbricas
• Espionaje cibernético
• Ejercicio de tormenta cibernética
• Delito cibernético
• Piratería informática del gobierno
• Cultura hacker
• Hacker (experto)
• Manifiesto Hacker
• Riesgo de TI
• Belleza matemática
• Proyecto Metasploit
• Prueba de penetración
• Evaluación de tecnología
• Vulnerabilidad (informática)

Referencias

1. Gao, Xing (2015). "Inversión en seguridad de la información para empresas competitivas con comportamiento de hackers y requisitos de seguridad". Anales de investigación de operaciones . 235 : 277–300. doi :10.1007/s10479-015-1925-2. S2CID  207085416.
2. Winkler, Ira. Espías entre nosotros: Cómo detener a los espías, terroristas, piratas informáticos y criminales que ni siquiera sabes que encuentras todos los días. John Wiley & Sons. 2005. Pág. 92. ISBN 9780764589904 . 
3. Sterling, Bruce (1993). "Parte 2(d)". La represión de los hackers . McLean, Virginia: IndyPublish.com. pág. 61. ISBN 1-4043-0641-2.
4. "El diccionario del hacker". Archivado desde el original el 8 de noviembre de 2020. Consultado el 23 de mayo de 2013 .
5. Notas políticas de 2012: septiembre-diciembre Archivado el 9 de diciembre de 2012 en Wayback Machine . stallman.org .
6. Raymond, Eric S. "Jargon File: Cracker". Archivado desde el original el 29 de junio de 2011. Consultado el 8 de mayo de 2010. Acuñado ca. 1985 por hackers en defensa contra el mal uso periodístico de hacker.
7. Yagoda, Ben (6 de marzo de 2014). "Una breve historia de 'Hack'". The New Yorker . Archivado desde el original el 10 de noviembre de 2015. Consultado el 21 de junio de 2019. Aunque Lifehacker y otras aplicaciones neutrales o positivas de la palabra [hack] son ​​cada vez más prominentes, el significado de black-hat aún prevalece entre el público en general.
8. Véase la versión de 1981 del Jargon File Archivado el 2 de abril de 2018 en Wayback Machine , entrada "hacker", último significado.
9. "Hackeo informático: ¿dónde empezó y cómo creció?". WindowSecurity.com. 16 de octubre de 2002. Archivado desde el original el 16 de enero de 2013. Consultado el 6 de septiembre de 2015 .
10. Elmer-DeWitt, Philip (29 de agosto de 1983). "La banda 414 ataca de nuevo". Time . p. 75. Archivado desde el original el 2 de diciembre de 2007.
11. Detroit Free Press . 27 de septiembre de 1983. {{cite news}}: Falta o está vacío |title=( ayuda )
12. "Cuidado: los piratas informáticos están en acción". Newsweek . 5 de septiembre de 1983. pp. 42–46, 48.
13. "Cronología: el gobierno de Estados Unidos y la ciberseguridad". Washington Post . 16 de mayo de 2003. Archivado desde el original el 16 de noviembre de 2018 . Consultado el 14 de abril de 2006 .
14. Bailey, David (abril de 1984). "Ataques a las computadoras: audiencias en el Congreso y legislación pendiente". Simposio IEEE sobre seguridad y privacidad de 1984. Oakland, CA, EE. UU.: IEEE. págs. 180-186. doi :10.1109/SP.1984.10012. ISBN 978-0-8186-0532-1. S2CID  15187375. Archivado desde el original el 24 de junio de 2024 . Consultado el 21 de julio de 2023 .
15. Caldwell, Tracey (22 de julio de 2011). "Hackers éticos: poniéndose el sombrero blanco". Seguridad de redes . 2011 (7): 10–13. doi :10.1016/s1353-4858(11)70075-7.
16. Clifford, D. (2011). Delito cibernético: investigación, procesamiento y defensa de un delito informático . Durham, Carolina del Norte: Carolina Academic Press. ISBN 978-1594608537.
17. Wilhelm, Douglas (2010). "2". Pruebas de penetración profesionales . Syngress Press. pág. 503. ISBN 978-1-59749-425-0.
18. Moore, Robert (2005). Ciberdelito: investigación de delitos informáticos de alta tecnología . Matthew Bender & Company. pág. 258. ISBN 1-59345-303-5.Robert Moore
19. O'Brien, Marakas, James, George (2011). Sistemas de información gerencial . Nueva York, NY: McGraw-Hill/ Irwin. págs. 536–537. ISBN 978-0-07-752217-9.{{cite book}}: CS1 maint: multiple names: authors list (link)
20. Moore, Robert (2006). Ciberdelito: investigación de delitos informáticos de alta tecnología (1.ª ed.). Cincinnati, Ohio: Anderson Publishing. ISBN 978-1-59345-303-9.
21. Okpa, John Thompson; Ugwuoke, Christopher Uchechukwu; Ajah, Benjamín Okorie; Eshioste, Emmanuel; Igbe, José Egidi; Ajor, Ogar James; Okoi, Ofem, Nnana; Eteng, María Juachi; Nnamani, Rebecca Ginikanwa (5 de septiembre de 2022). "Ciberespacio, piratería de sombrero negro y sostenibilidad económica de las organizaciones corporativas en el estado de Cross-River, Nigeria". SABIO Abierto . 12 (3): 215824402211227. doi : 10.1177/21582440221122739 . ISSN  2158-2440. S2CID  252096635.{{cite journal}}: CS1 maint: multiple names: authors list (link)
22. Thomas, Douglas (2002). Cultura hacker . Prensa de la Universidad de Minnesota. ISBN 978-0-8166-3346-3.
23. Andress, Mandy; Cox, Phil; Tittel, Ed – (2001). CIW Security Professional . Nueva York, NY: Wiley. pág. 638. ISBN 0-7645-4822-0.
24. "Definición de hacker de sombrero azul". Enciclopedia PC Magazine . Archivado desde el original el 8 de marzo de 2013. Consultado el 31 de mayo de 2010. Un profesional de seguridad invitado por Microsoft para encontrar vulnerabilidades en Windows .
25. Fried, Ina (15 de junio de 2005). "La cumbre de Blue Hat pretendía revelar las formas de actuar del otro lado". Microsoft se reúne con los hackers . CNET News. Archivado desde el original el 3 de diciembre de 2013. Consultado el 31 de mayo de 2010 .
26. Markoff, John (17 de octubre de 2005). "En Microsoft, los intrusos se pronuncian sobre seguridad". The New York Times . Archivado desde el original el 19 de diciembre de 2014. Consultado el 31 de mayo de 2010 .
27. Chabrow, Eric (25 de febrero de 2012). "Los 7 niveles de los piratas informáticos: aplicación de una antigua lección china: conozca a sus enemigos". Seguridad de GovInfo. Archivado desde el original el 31 de diciembre de 2018. Consultado el 27 de febrero de 2012 .
28. Egloff, Florian. La ciberseguridad y la era del corso. En: Understanding Cyber ​​Conflict: Fourteen Analogies , Capítulo 14, George Perkovich y Ariel E. Levite, Eds., Georgetown University Press, 2017.
29. Tidy, Joe. Ransomware: ¿Debería ser ilegal pagar rescates a piratas informáticos? Archivado el 21 de mayo de 2021 en Wayback Machine BBC 20 de mayo de 2021.
30. Morrison, Sara. Lo que necesita saber sobre el ransomware y el futuro de los ciberataques Archivado el 19 de junio de 2021 en Wayback Machine . Vox, 16 de junio de 2021.
31. Abigail Summerville, Protéjase contra el delito de más rápido crecimiento: los ataques cibernéticos Archivado el 23 de junio de 2021 en Wayback Machine , CNBC (25 de julio de 2017).
32. Myre, Greg. Cómo Bitcoin ha impulsado los ataques de ransomware. Archivado el 19 de junio de 2021 en Wayback Machine NPR, 10 de junio de 2021.
33. Dey, Debabrata; Lahiri, Atanu; Zhang, Guoying (2011). "Comportamiento de los hackers, efectos de red y el mercado de software de seguridad". Revista electrónica SSRN . doi :10.2139/ssrn.1838656. ISSN  1556-5068.
34. Gupta, Ajay; Klavinsky, Thomas y Laliberte, Scott (15 de marzo de 2002) Seguridad mediante pruebas de penetración: penetración en Internet Archivado el 3 de julio de 2019 en Wayback Machine . informit.com
35. Rodríguez, Chris; Martínez, Richard. "La creciente amenaza de la piratería informática a los sitios web: un compromiso permanente con la seguridad de las aplicaciones web" (PDF) . Frost & Sullivan . Consultado el 13 de agosto de 2013 .
36. Kerner, Sean Michael. "Sentry MBA usa el robo de credenciales para hackear sitios". Eweek (2016): 8. Academic Search Complete . Web. 7 de febrero de 2017.
37. Weir, Matt, Sudhir Aggarwal, Breno de Medeiros, Bill Glodek. 2009. "Descifrado de contraseñas mediante gramáticas probabilísticas libres de contexto". 2009 30º Simposio IEEE sobre seguridad y privacidad: 391-405 .
38. Thompson, Samuel TC "¿Cómo ayudar al hacker? Información, seguridad e ingeniería social en bibliotecas". Information Technology & Libraries 25.4 (2006): 222-225. Academic Search Complete . Web. 7 de febrero de 2017.
39. Prensa, EC-Council (2011). Pruebas de penetración: procedimientos y metodologías . Clifton, NY: CENGAGE Learning. ISBN 978-1435483675.
40. "Archivos de DEF CON III - Discurso inaugural de Susan Thunder". DEF CON . Archivado desde el original el 20 de abril de 2019 . Consultado el 12 de agosto de 2017 .
41. Hafner, Katie (agosto de 1995). «Kevin Mitnick, unplugged». Esquire . 124 (2): 80. Archivado desde el original el 15 de mayo de 2019 . Consultado el 13 de agosto de 2017 .
42. "La sentencia de extradición de Gary McKinnon se conocerá antes del 16 de octubre". BBC News . 6 de septiembre de 2012. Archivado desde el original el 7 de agosto de 2019 . Consultado el 25 de septiembre de 2012 .
43. "Memoria comunitaria: precedentes en redes sociales y movimientos". Museo de Historia de la Computación . 23 de febrero de 2016. Archivado desde el original el 3 de julio de 2019. Consultado el 13 de agosto de 2017 .
44. "Kevin Mitnick condenado a casi cuatro años de prisión; pirata informático obligado a pagar indemnización..." (Comunicado de prensa). Fiscalía de los Estados Unidos , Distrito Central de California. 9 de agosto de 1999. Archivado desde el original el 26 de septiembre de 2009. Consultado el 10 de abril de 2010 .
45. Holt, Thomas J.; Schel, Bernadette Hlubik (2010). Piratería informática corporativa y delitos tecnológicos: dinámicas sociales e implicaciones. IGI Global. pág. 146. ISBN 9781616928056.
46. "Adolescente británico que 'aterrorizó cibernéticamente' a funcionarios de inteligencia estadounidenses recibe dos años de detención Archivado el 14 de junio de 2018 en Wayback Machine ". The Independent. 21 de abril de 2018.
47. "El adolescente británico Kane Gamble accedió a las cuentas de los principales funcionarios de inteligencia y seguridad de Estados Unidos Archivado el 21 de junio de 2018 en Wayback Machine ". Deutsche Welle . 21 de enero de 2018.
48. "Kane Gamble: un adolescente autista de una urbanización de Leicestershire se apoderó de información clasificada engañando a la gente para que pensara que era el jefe del FBI Archivado el 19 de julio de 2019 en Wayback Machine ". The Independent. 21 de enero de 2018.
49. Jordan, Tim; Taylor, Paul A. (2004). Hacktivismo y ciberguerras. Routledge. Págs. 133-134. ISBN. 978-0-415-26003-9Las imágenes del lejano oeste han permeado los debates sobre las ciberculturas.
50. Thomas, Douglas (2003). Cultura hacker . University of Minnesota Press. pág. 90. ISBN 978-0-8166-3346-3.
51. Artikel 138ab Archivado el 2 de febrero de 2015 en Wayback Machine . Wetboek van Strafrecht, 27 de diciembre de 2012
52. Nakashima, Ellen. Los federales recuperan más de 2 millones de dólares en pagos de ransomware de los piratas informáticos de Colonial Pipeline. Archivado el 19 de junio de 2021 en Wayback Machine . Washington Post, 7 de junio de 2021.
53. Swabey, Pete (27 de febrero de 2013). «Datos filtrados por Anonymous parecen revelar la operación de elaboración de perfiles de hackers del Bank of America». Information Age . Archivado desde el original el 19 de abril de 2016. Consultado el 21 de febrero de 2014 .
54. "Hackers y virus: preguntas y respuestas". Scienzagiovane . Universidad de Bolonia . 12 de noviembre de 2012. Archivado desde el original el 10 de junio de 2016 . Consultado el 21 de febrero de 2014 .
55. Staples, Brent (11 de mayo de 2003). "Un príncipe de la ficción ciberpunk se incorpora al mainstream". The New York Times . Archivado desde el original el 13 de octubre de 2016. Consultado el 20 de febrero de 2017. Las novelas y los cuentos del señor Gibson son venerados por los hackers .

Lectura adicional

• Samuel Chng, Han Yu Lu, Ayush Kumar, David Yau (marzo de 2022). "Tipos de hackers, motivaciones y estrategias: un marco integral". Computers in Human Behavior Reports . 5 . ISSN  2451-9588 . Consultado el 27 de enero de 2022 .{{cite journal}}: CS1 maint: multiple names: authors list (link)
• Apro, Bill; Hammond, Graeme (2005). Hackers: La búsqueda del cracker informático más infame de Australia . Rowville, Vic: Five Mile Press. ISBN 1-74124-722-5.
• Beaver, Kevin (2010). Hacking for Dummies [Hackeo para principiantes]. Hoboken, Nueva Jersey: Wiley Pub. ISBN 978-0-7645-5784-2.
• Conway, Richard; Cordingley, Julian (2004). Hacking de código: guía para desarrolladores sobre seguridad de redes . Hingham, Mass.: Charles River Media. ISBN 978-1-58450-314-9.
• Freeman, David H.; Mann, Charles C. (1997). At Large: El extraño caso de la mayor invasión de Internet del mundo. Nueva York: Simon & Schuster. ISBN. 0-684-82464-7.
• Granville, Johanna (invierno de 2003). "Dot.Con: los peligros del delito cibernético y un llamado a soluciones proactivas". Revista australiana de política e historia . 49 (1): 102–109. doi :10.1111/1467-8497.00284 . Consultado el 20 de febrero de 2014 .
• Gregg, Michael (2006). Certified Ethical Hacker . Indianápolis, Ind: Certificación Que. ISBN 978-0-7897-3531-7.
• Hafner, Katie; Markoff, John (1991). Cyberpunk: Forajidos y hackers en la frontera informática. Nueva York: Simon & Schuster. ISBN 0-671-68322-5.
• Harper, Allen; Harris, Shon; Ness, Jonathan (2011). Gray Hat Hacking: The Ethical Hacker's Handbook (3.ª ed.). Nueva York: McGraw-Hill. ISBN 978-0-07-174255-9.
• McClure, Stuart; Scambray, Joel; Kurtz, George (1999). Hacking Exposed: Network Security Secrets and Solutions [El hackeo al descubierto: secretos y soluciones para la seguridad de redes] . Berkeley, California: McGraw-Hill. ISBN 0-07-212127-0.
• Russell, Ryan (2004). Robar la red: cómo adueñarse de un continente . Rockland, Mass.: Syngress Media. ISBN 978-1-931836-05-0.
• Taylor, Paul A. (1999). Hackers: Crimen en lo sublime digital . Londres: Routledge. ISBN 978-0-415-18072-6.

Enlaces externos

• Medios relacionados con Hacking (seguridad informática) en Wikimedia Commons
• Personal de CNN Tech PCWorld (noviembre de 2001). Cronología: 40 años de historia de piratería informática desde 1960 hasta 2001
• ¿Pueden los hackers ser héroes? Vídeo producido por Off Book (serie web)