LECCIN 1 SER UN HACKER

Leccin 1: Ser un Hacker

WARNING
The Hacker Highschool Project is a learning tool and as with any learning tool there are dangers. Some lessons, if abused, may result in physical injury. Some additional dangers may also exist where there is not enough research on possible effects of emanations from particular technologies. Students using these lessons should be supervised yet encouraged to learn, try, and do. However S!"#$ cannot accept responsibility for how any information herein is abused. The following lessons and workbooks are open and publicly available under the following terms and conditions of S!"#$% &ll works in the Hacker Highschool Project are provided for non'commercial use with elementary school students, junior Highschool students, and Highschool students whether in a public institution, private institution, or a part of home'schooling. These materials may not be reproduced for sale in any form. The provision of any class, course, training, or camp with these materials for which a fee is charged is expressly forbidden without a license, including college classes, university classes, trade'school classes, summer or computer camps, and similar. To purchase a license, visit the ( "!)S! section of the HHS web page at http%**www.hackerhighschool.org*licensing.html. The Hacker Highschool Project Project is an open community effort and if you find value in this project, we ask that you support us through the purchase of a license, a donation, or sponsorship.

AVISO
!l proyecto Hacker Highschool es una herramienta de aprendi+aje, y como tal existen riesgos. !l mal uso de algunas lecciones puede terminar en da,o f-sico. !xisten riesgos adicionales ya .ue no existen estudios suficientes sobre los posibles efectos de las emisiones en algunas tecnolog-as. (os estudiantes .ue sigan estas lecciones deber-an ser supervisados y motivados a aprenderlas, probarlas y utili+arlas. )o obstante, S!"#$ no acepta responsabilidad alguna por el mal uso de la informaci/n presentada. (as siguientes lecciones y cuadernos de trabajo son abiertos y accesibles al p0blico bajo los siguientes t1rminos y condiciones de S!"#$% Todas las obras del proyecto Hacker Highschool se proporcionan para su uso no comercial con estudiantes de escuelas primarias, secundaria y bachillerato ya sea en centros p0blicos, instituciones privada, o educaci/n en casa. !ste material no puede ser reproducido para su venta bajo ning0n concepto. mpartir cual.uier clase, formaci/n o actividad con estos materiales cobrando por ello est2 expresamente prohibido sin la ad.uisici/n de una licencia, incluyendo cursos en escuelas, clases universitarias, cursos comerciales, cursos de verano, campamentos de inform2tica, y similares. Para ad.uirir una licencia, visite la secci/n ( "!)" & en la p2gina web de Hacker Highschool en www.hackerhighschool.org*licensing.html. !l proyecto HHS es resultado del esfuer+o de una comunidad abierta. Si encuentra 0til este proyecto, le pedimos .ue nos apoye mediante la compra de una licencia, una donaci/n o patrocinio.

Leccin 1: Ser un Hacker

Tab e !" C!n#en#$

3or the (ove of Hacking............................................................................................................................4 5Por .u1 ser un hacker6...........................................................................................................................7 "/mo hackear...........................................................................................................................................8 9os formas de obtener lo .ue .uieres..............................................................................................8 &limenta tu mente% !spionaje...............................................................................................................:; Hackear para tomar control de tu mundo.....................................................................................:: !l proceso de cuatro puntos.................................................................................................................:< !l proceso !co =!cho>.........................................................................................................................:? @u1 hackear............................................................................................................................................:A !nri.uece tu mente% "lases y "anales................................................................................................:A !nri.uece tu mente% Porosidad.............................................................................................................:7 Becursos....................................................................................................................................................:C (ibros......................................................................................................................................................:C Bevistas y Peri/dicos...........................................................................................................................:8 !nri.uece tu mente% !speculaci/n......................................................................................................<: $otores de b0s.ueda........................................................................................................................<< P2ginas web y &plicaciones web....................................................................................................<? Dines.......................................................................................................................................................<A Elogs......................................................................................................................................................<4 3oros y (istas de correo.......................................................................................................................<4 Frupos de noticias..............................................................................................................................<G Hikis.......................................................................................................................................................<7 Bedes sociales.....................................................................................................................................<7 "hat......................................................................................................................................................<C P<P.........................................................................................................................................................<8 "ertificaciones.....................................................................................................................................<8 Seminarios y jornadas.........................................................................................................................?; (ecturas adicionales ..............................................................................................................................?:

Leccin 1: Ser un Hacker

C!n#ribu#!r$
Pete Her+og, S!"#$ Flenn )orman, S!"#$ $arta Earcel/, S!"#$ "huck Truett, S!"#$ Iim Truett, S!"#$ $arco valdi, S!"#$ Shaun "opplestone, S!"#$ Freg Playle, S!"#$ Jeff "leveland, S!"#$ Simone #nofri, S!"#$ Tom Thomas, S!"#$ &lfonso &rjona, Kalfonsoarjona.net &drian "respo, madrid.crespoKgmail.com

&

Leccin 1: Ser un Hacker

'!r #(e L!)e !" Hackin*

Introduccin de Pete Herzog & pesar de lo .ue hayas podido escuchar sobre los hackers, lo cierto es .ue hacen algo muy, muy bien% investigar. (os hackers est2n motivados, son ingeniosos y creativos. &nali+an a fondo el funcionamiento de las cosas, hasta el extremo de saber c/mo tomar el control de ellas y transformarlas en algo diferente. !sto les permite redise,ar las grandes ideas por.ue llegan a conocer en profundidad su funcionamiento. &dem2s no tienen miedo de cometer el mismo error dos veces, por una especie de curiosidad cient-fica, para ver si este error siempre devuelve los mismos resultados. Por esta ra+/n, los hackers no ven el fracaso como un error o una p1rdida de tiempo, ya .ue cada error significa algo, y es algo nuevo .ue aprender. !stas son las caracter-sticas .ue necesita cual.uier sociedad para progresar.

Muchas personas que han sido llamados hackers, especialmente por los medios de comunicacin, o que se han metido en problemas por hackear no son, de hecho, hackers.

Un (acker e$ una especie de cient-fico experimental pr2ctico, aun.ue a veces el t1rmino Lcient-fico locoM encaja mejor dado .ue, a diferencia de los cient-ficos profesionales, se concentran en algo siguiendo una intuici/n en lugar de una hip/tesis formal. !so no es necesariamente algo malo. $uchas cosas interesantes se han descubierto o inventado por personas .ue no siguieron las convenciones aceptadas sobre lo .ue se conoc-a o se cre-a cierto en ese momento. !l matem2tico Georg Cantor, propuso nuevas ideas acerca del infinito y la teor-a de conjuntos .ue indignaron a mucho de sus colegas matem2ticos, hasta el extremo .ue uno de ellos defini/ sus ideas como Luna grave infecci/nM para las matem2ticas. Nikola Tesla es otra persona considerada como un Lcient-fico locoM en su 1poca, pero sab-a m2s acerca del comportamiento de la electricidad .ue cual.uier otro. 9ise,/ el .ue fuera, posiblemente, el primer motor sin escobillas .ue funcionaba con corriente alterna, aun.ue es m2s conocido por el !fecto Tesla y las Eobinas Tesla. Tambi1n est2 Igna !hilipp "emmel#eis, .uien descubri/ .ue los m1dicos necesitaban lavarse las manos antes de tratar a su siguiente paciente para evitar la propagaci/n de enfermedades. Se pregunt/ si las enfermedades .ue persegu-an a sus pacientes tras sus visitas eran por su culpa, as- .ue decidi/ probar a lavarse las manos entre consultas, y por supuesto la transmisi/n desapareci/. Sus ideas iban en contra tanto de las convenciones cient-ficas sobre lo .ue era conocido en su tiempo acerca de los g1rmenes =nada>, como de la comodidad de los doctores .ue sent-an .ue era demasiado problema estar lav2ndose las manos continuamente. +ue,e$ -en$ar .ue ! .ue $abe$ acerca ,e !$ (acker$ es .ue entran en los ordenadores de otros y toman el control de las cuentas de otras personas. Pueden leer tu correo sin .ue lo sepas. Pueden observarte a trav1s de tu webcam sin tu permiso y verte y o-rte en la supuesta intimidad de tu hogar. )o es mentira.

Leccin 1: Ser un Hacker

&lgunos hackers ven la seguridad de las redes simplemente como otro reto, as- .ue trabajan con formas de enga,ar al sistema, pero lo .ue intentan hacer en realidad es pensar como si fueran los instaladores de la red o su dise,ador. &veriguan tanto de la red como pueden% de d/nde toma sus instrucciones, las reglas .ue usa, c/mo interaccionan con el sistema operativo y con otros sistemas a su alrededor, .u1 usuarios tienen acceso a ella y sobre los administradores .ue la gestionan. !ntonces usan esa informaci/n para probar diversas maneras de obtener lo .ue .uieren. !ste tipo de hacking puede ser muy beneficioso para el mundo, ya .ue permite aprender c/mo estar m2s seguro e incluso desarrollar una tecnolog-a mejor. 9esafortunadamente, algunas veces el hacking se lleva a cabo por criminales, y lo .ue hacen es ilegal, invasivo y destructivo. N son estos sobre los .ue habitualmente lees en las noticias. Un (acker n! e$ alguien .ue publica en la cuenta de otro .ue se ha dejado su p2gina de una red social abierta, o e$-0a -!r enci1a ,e (!1br! las contrase,as para conectarse a la cuenta m2s tarde. !so no es hacking. On hacker tampoco es alguien de descarga una herramienta para $cri-# ki,,ie$ con objeto de entrar en el correo de otras personas. !sos no son hackers% son ladrones y delincuentes.

!l Hacking es investigar. 5Has intentado alguna ve+ hacer algo una y otra ve+ de diferentes maneras hasta obtener lo .ue .uer-as6 5Has abierto alguna ve+ un aparato o dispositivo para ver c/mo funciona, investigar cu2les son sus componentes, y ajustarlos de forma .ue lo haga de forma distinta6 !so es hacking. !st2s hackeando cuando examinas detenidamente c/mo funciona algo con el fin de manipularlo de forma creativa y conseguir .ue haga lo .ue t0 .uieres.

(o .ue ocurre es .ue en la forma en .ue est2 dise,ado nternet, y la gran cantidad de aplicaciones, sistemas, dispositivos y procesos .ue existen en ella, es el lugar m2s habitual para encontrar hackers. Se podr-a decir .ue fue construido por hackers, as- .ue es su mejor patio de recreo. Pero no es el 0nico sitio. Puedes encontrar grandes hackers en pr2cticamente cual.uier campo o industria, y todos tienen una cosa en com0n% dedican tiempo a aprender c/mo funcionan las cosas, por lo .ue pueden hacer .ue funcionen de una forma nueva. )o miran a algo como lo hacen sus dise,adores originales, sino como algo con mayor o mejor potencial para ello, y lo hackean para convertirlo en algo nuevo.

)o pienses .ue puedes ser un gran hacker. S/lo si haces grandes hacks con mucha humildad puedes ser grande.

E (ackin* 2-er $e3 n! e$ i e*a 4 # por lo menos no m2s ilegal .ue tirar una piedra. Todo depende de las intenciones. Si tiras una piedra y tu intenci/n es herir a alguien, es un delito. Si no intentas herir a nadie, pero alguien se hace da,o, puede .ue no sea un delito, pero eres responsable de tus acciones y tendr2s .ue pagar una indemni+aci/n. On proyecto de S!"#$ llamado Hacker +r!"i in* +r!5ec# encontr/ .ue la mayor-a de los da,os provocados por el hacking se deben a hackers j/venes e inexpertos .ue da,an la propiedad ajena accidentalmente. Ser-a algo parecido a tirar piedras en la calle por

Leccin 1: Ser un Hacker

diversi/n, pero abollando coches y rompiendo ventanas en el proceso. Puede .ue el da,o no sea intencionado, pero puedes estar seguro de .ue ser2s declarado culpable y tendr2s .ue pagar por ello. &s- .ue ten cuidado cuando hackees cerca de la propiedad de otros. !s mejor .ue hackees tus propias pertenencias. +ue,e $er i e*a (ackear a *! .ue c!1-ra$#e 7 #e -er#enece4 Hay hackers .ue han sido condenados por hackear sus propios dispositivos y ordenadores. #tros hackearon programas, m0sica y pel-culas .ue compraron, y fueron perseguidos por ello. Para ser m2s exactos, puede .ue no est1s autori+ado a hackear software .ue has ad.uirido, incluso si s/lo lo haces para comprobar .ue es suficientemente seguro para ejecutarse en tu ordenador. !sto es debido a .ue muchas de las cosas .ue compras pueden venir con un contrato o En, U$er Licen$e A*ree1en# 8EULA9 .ue dice .ue no puedes. N te comprometes a ello cuando abres o instalas el producto, incluso si no puedes leerlo hasta .ue hayas abierto o instalado el producto. Ten esto en cuenta cuando practi.ues tus habilidades de hacking en la privacidad de tu hogar sobre las cosas .ue hayas comprado.

:+!r .u; $er un (acker<

Piensa en los cient-ficos .ue hicieron el mapa del genoma humano% usaron un m1todo desarrollado para decodificar contrase,as. (as contrase,as se almacenan habitualmente encriptadas, para .ue sean dif-ciles de robar. (a t1cnica LHierarchical shotgun bru#e="!rcin*3 es una forma de desencriptar contrase,as crackean,! su encriptaci/n% se rompe el (a$( encriptado de la contrase,a, se descifran unos pocos caracteres en cada paso, y luego se une todo de nuevo. (os investigadores del genoma adaptaron la misma t1cnica para cartografiar los ?.?;; millones de pares del genoma humano.

!l hacking apareci/ en la cocina cuando los chefs empe+aron a usar nitr/geno l-.uido como agente congelante para hacer el helado perfecto, o cuando hackean la comida para hacer chips de tomate con salsa de patata en lugar de ketchup, o simplemente cuando necesitaban hacer algo para lo .ue no ten-an las herramientas adecuadas... (os .u-micos han estado hackeando elementos y compuestos durante siglos. Por naturale+a, las mol1culas son tan selectivas en su comportamiento en diferentes ambientes =calor, frio, en las monta,as o en las profundidades del oc1ano> .ue los .u-micos necesitan comprender en profundidad las propiedades de las sustancias .ue emplean, para poder hackearlas y convertirlas en las .ue necesitan. !n ning0n otro lugar esto resulta m2s evidente .ue en la creaci/n de nuevos productos farmac1uticos, donde cientos de plantas de una regi/n se estudian por sus propiedades .u-micas, de la ra-+ a los frutos, se extraen los compuestos y se combinan con otros para obtener nuevos medicamentos. (uego lo intentan una y otra ve+, a veces durante a,os, hasta obtener la combinaci/n correcta y conseguir .ue hagan lo .ue ellos .uieren. !l hacking se utili+a en los negocios para entender un mercado o los h2bitos de compra de ciertos tipos de consumidores. nvestigan a fondo las fuer+as .ue impulsan el 2rea de negocios de su inter1s, y luego intentan cambiarlas o influir en ellas para .ue hagan lo .ue ellos .uieren. & veces hackean el producto, y otras te hackean a ti =con la publicidad y el -ri1in*, algo con lo .ue trabajar2s en la lecci/n de ngenier-a Social>.

>

Leccin 1: Ser un Hacker

!l hacking tambi1n se ha convertido en una parte cada ve+ m2s importante en las guerras. Hay soldados altamente preparados .ue son ingeniosos y creativos cumpliendo con sus objetivos, .ue es justo lo .ue hacen los hackers. (os cript/grafos, analistas de inteligencia y agentes de campo emplean lo .ue son b2sicamente habilidades de hacking para averiguar .u1 tiene el enemigo, lo .ue est2 haciendo y c/mo tomar ventaja de cual.uier debilidad en su e.uipamiento. & medida .ue m2s pa-ses dependen de los ordenadores y las redes, el uso del hacking para ata.ues cibern1ticos y oara la defensa se ha convertido en una parte muy importante para las 3uer+as &rmadas y las operaciones de inteligencia de una naci/n. P(os organismos nacionales e internacionales de seguridad acuden incluso a convenciones de hackers para reclutarlosQ

(a verdadera ra+/n para ser un hacker es por.ue es algo realmente importante. "uando tengas habilidades s/lidas de hacking, podr2s hacer cosas muy interesantes. "ual.uier conocimiento avan+ado te proporciona un gran poder. Si sabes c/mo funciona algo hasta el extremo de poder tomar su control, entonces tienes un serio poder a tu disposici/n. Sobre todo, tienes el poder de protegerte y proteger a tus seres .ueridos.

(a vida de la gente est2 cada ve+ m2s presente en nternet, como hacer amistades, encontrar trabajo o ganar dinero. (a informaci/n puede ser muy valiosa =o peligrosa> y los hackers pueden protegerse a s- mismos mejor .ue nadie. Pueden investigar lo .ue ocurre con su informaci/n. Pueden asegurarse de revelar s/lo lo .ue ellos desean y, por lo general, mantenerse m2s seguros y con mayor privacidad. !sto es una gran ventaja competitiva en la escuela, el trabajo y la vida, por.ue incluso la menor imagen negativa ser2 utili+ada en tu contra. Puedes estar seguro de eso.

Hackea todo, pero no daes a nadie.

Leccin 1: Ser un Hacker

C1! (ackear
"ontarte c/mo hackear es como explicarte la forma de hacer un salto mortal de espaldas en una barra fija% no importa lo detallada .ue sea la explicaci/n, .ue no ser2s capa+ de conseguirlo a la primera. )ecesitas desarrollar las habilidades, los sentidos y la intuici/n mediante la pr2ctica o te dar2s un buen golpe. Pero hay algunas cosas .ue podemos contarte para ayudarte, y .ue te animar2n a seguir practicando. !n primer lugar, deber-as conocer algunos secretillos sobre c/mo funciona el hacking. Ramos a tomar estos de OSST@@ =www.osstmm.org>. (os hackers lo pronuncian Lous' temM. #SST$$ son las siglas de O-en S!urce Securi#7 Te$#in* @e#(!,! !*7 @anua =$anual de $etodolog-a &bierta de Pruebas de Seguridad>, y aun.ue pueda parecerte el manual de un reproductor de 9R9, es el principal documento .ue utili+an muchos hackers profesionales para planificar y ejecutar ata.ues y defensas. 9entro de ese manual encontrar2s algunas joyas .ue te abrir2n los ojos.

A!$ "!r1a$ ,e !b#ener ! .ue .uiere$

Por ejemplo, debes saber .ue hay dos formas de robar algo% hacerlo por ti mismo, o .ue alguien lo haga por ti y te lo entregue. !sto significa .ue esta acci/n re.uiere de la in#eraccin entre la persona y el objeto. #bvio 5cierto6 Pero pi1nsalo un poco m2s% eso significa .ue todos los mecanismos de protecci/n intentar2n evitar .ue alguien interact0e con el objeto .ue est2n protegiendo. & menos .ue guardes todo bajo llave en una caja fuerte, no podr2s evitar todas las interacciones. (as tiendas necesitan poner sus art-culos en estanter-as para .ue los compradores puedan tocarlas. (as empresas necesitan enviar informaci/n usando clientes de correo, .ue se conectar2n a servidores de correo y la enviar2n a otros servidores. Todo esto son interacciones. &lgunas de estas interacciones se dan entre personas y cosas .ue son conocidas entre si, por lo .ue llamamos a estas interacciones C!n"ianBa$. "uando las interacciones se dan entre personas o sistemas desconocidos, las llamamos Acce$!$. Puedes usar un acceso para robar lo .ue .uieres por ti mismo, o puedes enga,ar a alguien .ue sea conocido por el objetivo para .ue tome lo .ue .uieres y te lo entregue. Si lo piensas un momento, esto significa .ue la seguridad significa proteger algo tanto de alguien desconocido, como de alguien .ue conoces y en .uien conf-as.

E5ercici!$
:.: :.< :.? 5@u1 tipo de interacci/n se da al utili+ar un motor de b0s.uedas6 Pi1nsalo cuidadosamente% 5&lguien da acceso6 5&lguien da confian+a6 Pon un ejemplo sencillo sobre usar &cceso y "onfian+a para robar una bicicleta encadenada a un soporte. 9a un ejemplo sencillo de c/mo se puede utili+ar &cceso y "onfian+a para iniciar sesi/n en el webmail de otra persona.

Leccin 1: Ser un Hacker

A i1en#a #u 1en#e: E$-i!na5e

"uando el hacking se utili+a en contra de un gobierno extranjero para cometer actos criminales de incursi/n, allanamiento, robo o destrucci/n y conseguir ventajas en informaci/n pol-tica o militar, se llama e$-i!na5e. Pero cuando el hacking se hace desde una empresa extranjera contra otra en un pa-s distinto para obtener ventajas en los negocios, se llama e$-i!na5e ec!n1ic!. "uando el hacking se emplea para obtener informaci/n personal y privada sobre alguien con el objetivo acosarlo y humillarlo p0blicamente, se denomina A!Din*. Si se busca informaci/n p0blica sobre una persona o una empresa para un ata.ue, pero no se cometen delitos para obtenerla, se denomina ,!cu1en# *rin,in* u OSIn# 8O-en S!urce In#e i*ence9. "uando el hacking se emplea para entender el funcionamiento de la red de una empresa, sus sistemas, aplicaciones y dispositivos para atacarla, pero sin allanar o entrar en sus sistemas, se le llama ne#E!rk $ur)e7in* 8#!-!*ra"iar a re,94 "uando el hacking se emplea para entender mejor a un competidor sin .uebrantar las leyes =a pesar de .ue lo .ue se haga pueda considerarse malo u ofensivo> se le llama in#e i*encia c!1-e#i#i)a4 Posiblemente te mueras de ganas por saber .u1 clase de cosas malas u ofensivas siguen siendo legales. Piensa por ejemplo en infligir estr1s o preocupaci/n a alguien para obtener informaci/n. $ientras no le mates, mentirle sigue siendo legal =aun.ue hay leyes sobre provocar el p2nico en lugares p0blicos, como gritar LP3uegoQM en un cine lleno de espectadores cuando no lo hay>. magina .ue el hacker .uiere saber d/nde planea instalar una nueva f2brica una empresa. Otili+ar2 document grinding para encontrar .u1 personas est2n en los puestos clave para tomar la decisi/n. !ntonces el hacker llamar2 a sus oficinas para averiguar .u1 ciudades han visitado, y posiblemente tambi1n .u1 f2bricas. Pero, por supuesto, eso es informaci/n confidencial de la compa,-a, y nadie puede contarlo sin dar se,ales de aviso. &s- .ue el hacker necesita sonsacarles la informaci/n. )o es dif-cil imaginarse el proceso% Hacker% Hola, soy el 9octor JonesS le llamo desde la escuela de su hija )ancy. R-ctima% 5!n serio6 5@u1 ha hecho ahora6 Hacker% Eueno, tiene una hemorragia nasal persistente .ue no podemos detener. $e gustar-a preguntarle si ha estado expuesta a alg0n producto .u-mico, como los .ue se emplean en las f2bricas. (os s-ntomas .ue presenta son raros, excepto en personas .ue han estado expuestas a este tipo de productos. 5$e puede decir algo6 R-ctima% =lo cuenta todo> !n muchos sitios, hacer esto no es ilegal, pero causa un estr1s innecesario. Por no mencionar .ue lo .ue acaba de hacer ha preocupado a un padre.

1F

Leccin 1: Ser un Hacker

Hackear -ara #!1ar c!n#r! ,e #u 1un,!

Hacking no consiste s/lo en interacciones. (o sabes. &lgunas personas dicen .ue la pol-tica es interacci/n, Puede ser. Pero posiblemente pensaste .ue el hacking es romper la seguridad. & veces lo es. !n realidad se trata de tomar el control de algo o cambiarlo. "omprender las interacciones y su significado en el mundo real, empleando los t1rminos b2sicos .ue hemos anali+ado, es 0til cuando est2s intentado infiltrarte, descubrir o incluso inventar. 5Por .u1 .uerr-as hacer esto6 Para tener la libertad de conseguir .ue algo .ue posees haga lo .ue .uieres. N para evitar .ue otros cambien algo tuyo en nombre de lo .ue algunos llamar-an seguridad =pero no somos ese tipo de personas>.

& veces compras algo y la empresa a la .ue lo compraste intentar2, a la fuer+a o sigilosamente, .ue no puedas personali+arlo o modificarlo m2s all2 de sus reglas. N podemos estar de acuerdo con eso, siempre y cuando aceptes el hecho de .ue si lo rompes, entonces no se puedes esperar .ue te lo reparen o reemplacen. &s- .ue hackear algo de tu propiedad lo hace, sin lugar a dudas, a0n m2s tuyo de manera irreversible. &lgo tan aterrador como le puede sonar a algunos tiene, sin duda, sus ventajas. !specialmente si necesitas mantener a otros lejos de tus pertenencias.

Para muchas, muchas personas =podr-amos poner m2s veces el adverbio LmuchasM para indicar .ue en realidad .ueremos decir Linfinitamente much-simas muchas m2sM>, la seguridad es colocar un producto en un lugar, en el cual hay una cerradura, alarma, firewall o cual.uier otra cosa .ue la mantenga segura. Pero en ocasiones estos productos no funcionan tan bien como deber-an, o vienen con sus propios problemas .ue incrementan tu Su-er"icie ,e a#a.ue =&ttack Surface>, cuando un producto de seguridad deber-a reducirla. =(a LSuperficie de ata.ueM son todas las formas y todas la interacciones .ue permiten .ue algo o alguien sea atacado>. N buena suerte cuando ad.uieras ese producto mejorado para su comerciali+aci/n masiva, y tengas .ue pagar peri/dicamente por su uso y hacer crowd'sourcingS lo compraste tal cual es, y tendr2s .ue vivir con eso. Por eso hackeas tu seguridad. )ecesitas anali+arla y averiguar d/nde falla y saber c/mo cambiarla para .ue funcione mejor. 9espu1s, Pdeber-as hackearlo un poco m2s para evitar .ue la compa,-a a la cual se lo compraste vuelva a ponerlo en su configuraci/n por defectoQ &s- .ue cuando pienses en el hacking como una forma de romper la seguridad, recuerda .ue eso s/lo es un 2rea de aplicaci/n, por.ue sin la posibilidad de hacerlo, deber2s rendirte y entregar parte de tu libertad y privacidadS y eso no es algo .ue .uieras hacer. =N puede ser .ue ahora no te importen ciertas cosas .ue dices o .ue env-as, pero nternet tiene una gran memoria .ue mejora con el tiempo y ayuda a otros a recuperar esos recuerdos sobre ti. (o .ue ocurre en la Bed, se .ueda en la Bed. &s- .ue piensa en el futuro, incluso si hoy no te importa>. &hora .ue comprendes el concepto de interacci/n, vamos a entrar en m2s detalles. "onoces los tipos b2sicos de interacciones como &cceso y "onfian+a, pero 5Has o-do hablar de la Vi$ibi i,a,6 !s el tercer tipo de interacci/n. !s tan potente como los otros dos. !n lenguaje policial, se resume como oportunidad pero en hacking se trata m2s de saber si hay algo sobre lo .ue interactuar o no. !sta interacci/n trae consigo un mont/n de nuevas t1cnicas de seguridad como el enga,o, la ilusi/n, el camuflaje, Py todas las nuevas t1cnicas de hacking para evitar y evadir las medidas de seguridadQ

11

Leccin 1: Ser un Hacker

"uando al famoso ladr/n de bancos Jesse James se le pregunt/ por .u1 robaba bancos, dijo .ue por.ue es ah- donde est2 el dinero. (o .ue .uer-a decir es .ue a trav1s de la visibilidad sab-a .u1 bancos ten-an dinero, adem2s de otras cosas .ue pod-a robar o no. (os bancos tienen visibilidad% la gente sabe cu2les son los bienes .ue poseen. Pero no todo tiene Risibilidad. !s un hecho .ue la Privacidad es lo opuesto a la Risibilidad, y es una forma efica+ de evitar ser un blanco. Na sea en calles peligrosas, en la jungla, o en nternet, mantener una baja EG-!$icin y evitar la visibilidad es una forma de evitar ser atacado en primer lugar.

E5ercici!$
:.A nternet es conocido por crear mitos y perpetuar historias falsas durante tanto tiempo .ue es dif-cil saber .u1 informaci/n es real y cual es un hoax. &s- .ue si .uieres ser un buen hacker, ad.uiere la costumbre de revisar los hechos y aprender la verdad acerca de las cosas. Por este motivo, vas a buscar si Jesse James dijo eso realmente. N no te .uedes con la respuesta corta .ue aparece en el primer resultado .ue encuentres. nvestiga un poco. &hora .ue te estas acostumbrando a investigar las cosas, encuentra la verdad sobre estos hechos aceptados% :.4 :.G (a palabra L gl0M viene del idioma nuit. 5@u1 significa en realidad6 5@u1 tipo de interacciones usas para encontrar su significado6 $uchos padres afirman .ue el a+0car vuelve hiperactivos a los ni,os pe.ue,os. 5@u1 hay de verdad en eso6 5@u1 interacciones se producen realmente en sus tripitas cuando los ni,os comen muchos dulces o alimentos a+ucarados .ue les incitan a hacer tonter-as y ser hiperactivos6 Tambi1n habr2s escuchado .ue el a+0car agujerea los dientes =caries>, pero 5"u2l es la interacci/n real .ue tiene lugar6 5@u1 causa en realidad la caries6Si no es el a+0car, entonces 5@u1 es6 Puntos extra si puedes explicar .ue cepillarse los dientes es una interacci/n para luchar con la causa real del problema, y encuentras el nombre de al menos un producto .u-mico .ue ataca la ra-+ del problema =una pista% no es el 3l0or>

:.7

E -r!ce$! ,e cua#r! -un#!$

"uando unes los tres tipos de interacciones, tienes +!r!$i,a,, la base de un &ta.ue de superficie. Tal y como indica la palabra, se trata de los poros o TagujerosT en las defensas .ue necesitas tener para .ue puedan darse las interacciones necesarias =as- como cual.uier otra posible interacci/n desconocida o innecesaria .ue se produce>. Por ejemplo, una tienda sigue teniendo .ue poner los productos en estantes para .ue la gente los pueda tocar, ponerlos en una cesta y comprarlos. Son las interacciones .ue se necesitan para vender las cosas. Pero podr-an no ser conscientes de los empleados .ue est2n escondiendo material en el 2rea de carga y descarga, y eso es una interacci/n .ue no .uieren. (a porosidad es algo .ue necesitas conocer para protegerte o atacar alg0n objetivo. Pero no es suficiente para anali+ar algo para poder hackearlo. Para hacer esto, necesitas conocer m2s profundamente los tres tipos de interacciones .ue acabas de aprender. !se es otro pe.ue,o secreto de #SST$$ y se llama +r!ce$! ,e Cua#r! +un#!$8'++ ! '!ur +!in#$ +r!ce$$9. !ste describe cuatro formas en las .ue estas interacciones se utili+an para anali+ar algo tan profundamente como sea posible, y por anali+ar se entiende pasar tiempo con ello para .ue podamos observarlo y ver .u1 hace.

12

Leccin 1: Ser un Hacker

E -r!ce$! Ec! 8Ec(!9

Hemos crecido descubriendo y aprendiendo cosas interactuando directamente con ellas. (os ni,os pe.ue,os pinchan con un palito una ardilla seca para ver si est2 muerta. !sto se conoce como el +r!ce$! ,e Ec!. !s la forma m2s simple e inmadura de an2lisis. &l igual .ue gritar en una cueva y escuchar la respuesta, el proceso de eco re.uiere lan+ar diferentes tipos de interacciones de acceso sobre un blanco y luego vigilar sus reacciones para averiguar las formas en las .ue puedes interaccionar con 1l. !l proceso de eco es un proceso de verificaci/n de tipo causa y efecto. !sto es una forma un tanto extra,a de probar algo, por.ue a pesar de ser un test muy r2pido, no es muy preciso. Por ejemplo, cuando se utili+a el proceso de eco en pruebas de seguridad, un objetivo .ue no responde se considera seguro. Ser-a lo mismo .ue no tener Risibilidad. Pero tambi1n sabemos .ue s/lo por.ue algo no responda a un tipo particular de interacci/n, no tiene .ue considerarse TseguroT. Si esto fuera cierto, los depredadores no matar-an a las +arigUeyas cuando estas se hacen las muertas y todo el mundo estar-a a salvo de ata.ues de osos con s/lo pasar miedo. Pero eso no es cierto. !vitar la visibilidad puede ayudar a sobrevivir a algunos tipos de interacciones, pero desde luego no a todos. Por desgracia, la realidad es .ue la mayor-a de las formas .ue utili+an las personas para investigar las cosas en su vida diaria se basan 0nicamente en el proceso de eco. Pero se pierde tanta informaci/n con este tipo de an2lisis unidimensionales .ue deber-amos agradecer .ue la industria de la salud haya evolucionado m2s all2 del m1todo de diagn/stico L5Te duele si hago esto6M. Si los hospitales usaran el 'i*ure 141: The 3our Point Process proceso de eco para determinar la salud de una persona, en raras ocasiones podr-an ayudar a la gente. Pero mir2ndolo por el lado bueno, las estancias en las salas de espera ser-an muy, muy cortas. Por eso algunos m1dicos, muchos cient-ficos y especialmente los hackers utili+an el Proceso de "uatro Puntos para asegurarse de no perder nada. !l Proceso de "uatro Puntos te hace mirar las interacciones de la siguiente manera%

14 In,uccin 8In,uc#i!n9% 5@u1 podemos decir del objetivo a partir de su entorno6

5"/mo se comporta en ese entorno6 Si el objetivo no se ve influido por el entorno, tambi1n es interesante.

24 In)e$#i*acin 8In.ue$#9% 5@u1 se,ales =emanaciones> emite el objetivo6 nvestiga

cual.uier rastro o indicador de esas emanaciones. On sistema o proceso deja por lo general una firma de sus interacciones con el entorno.

1%

Leccin 1: Ser un Hacker

%4 In#eraccin 8In#erac#i!n9% 5@u1 pasa cuando lo investigas6 !ste punto re.uiere hacer
test de eco, incluyendo las interacciones esperadas e inesperadas con el blanco, para provocar respuestas.

&4 In#er)encin 8In#er)en#i!n9% 5"u2nto puedes for+arlo antes de romperlo6 nterponte

entre el blanco y los recursos .ue necesita, como la electricidad, o entrom1tete en sus interacciones con otros sistemas para saber cual es el rango en el .ue puede seguir funcionando.

V! )ien,! a nue$#r! e5e1- ! ,e (!$-i#a 444 las cuatro fases del 3PP ser-an parecidas a estas%

14 (a funci/n de in#eraccin es el proceso de hecho en el cual el doctor examina a los

pacientes, habla con ellos, comprueba sus reflejos en codos y rodillas, y usa otras herramientas del tipo L5Te duele si hago esto6M presi/n sangu-nea o las ondas cerebrales..

24 (a in)e$#i*acin, la cual consiste en leer e1anaci!ne$ del paciente como el pulso, la %4 (a in#er)encin ser-a alterar o excitar la homeostasis del paciente, su
comportamiento, rutinas o nivel de confort para ver .ue si desencadena algo malo.

&4 N finalmente la in,uccin, la cual examina el entorno, los lugares en .ue estuvo el

paciente antes de enfermar y c/mo han podido afectarle. "osas como .u1 ha tocado, comido, bebido o respirado.

E5ercici!
:.C "omo has visto, el Proceso de "uatro Puntos =3PP> te permite investigar en profundidad las interacciones. &hora prueba t0% !xplica c/mo puedes utili+ar el Proceso de "uatro Puntos para saber si un reloj funciona =y si lo hace correctamente, dando la hora exacta>

Hu; (ackear
"uando est2s hackeando, debes establecer unas reglas m-nimas. )ecesitas el lenguaje y los conceptos para saber .ue estas hackeando. !l A cance =Scope> o I1bi#! ,e a- icacin es un t1rmino .ue utili+amos para describir el posible total del entorno operativo, y consiste en todas las interacciones .ue posee lo .ue vas a hackear.

Enri.uece #u 1en#e: C a$e$ 7 Cana e$

!n terminolog-a profesional =algo muy 0til para los hacker>, el &lcance se compone de tres C a$e$ y se divide en cinco Cana e$% C a$e$ Seguridad Fsica Humano Cana e$

1&

Leccin 1: Ser un Hacker

(PHYSSEC) Seguridad del espectro (SPECSEC) Seguridad de las comunicaciones (COMSEC)

Fsico

Wireless

Telecomunicaciones Redes de datos

)o deber-as preocuparte por las C a$e$, pero debes saber .ue son las eti.uetas oficiales usadas en la actualidad por las industrias de seguridad, gobierno y militar. (as clases definen un 2rea de estudio, investigaci/n u operaci/n. &s- .ue si est2s buscando m2s informaci/n sobre cual.uier asunto, es bueno .ue sepas c/mo lo llaman los profesionales. (os Cana e$ son la terminolog-a com0n para referirse a las formas en las .ue interaccionas con los &ctivos. )o es raro hackear un dispositivo usando el Proceso de "uatro Puntos sobre cada "anal. Si, puede parecer mucho trabajo, pero piensa en lo emocionante .ue es descubrir una forma de hacerlo funcionar .ue no aparece en el manual, o mejor incluso% P.ue ni si.uiera sabe el fabricanteQ

On Ac#i)! puede ser cual.uier cosa .ue tenga valor para su propietario. Puede tratarse de una propiedad f-sica como el oro, las personas, unos planos, un port2til, la t-pica se,al telef/nica en una frecuencia de 8;;$H+, el dinero, o bienes intelectuales como informaci/n personal, una relaci/n, una marca, un proceso de negocios, contrase,as o algo .ue se dijo sobre la se,al telef/nica en los 8;;$H+. (as Ae-en,encia$ son a.uellas cosas .ue est2n fuera de la capacidad del propietario de proporcionarlas de forma independiente. Por ejemplo, no muchos propietarios de computadores generan su propia electricidad. &un.ue no sea probable .ue alguien vaya a cortarte el suministro el1ctrico, eso es algo .ue todav-a se encuentra dentro de tu 2mbito de aplicaci/n. !l objetivo de la seguridad es la Se-aracin entre un activo y sus dependencias, y cual.uier amena+a para ellos.

9ecimos .ue a $e*uri,a, e$ una "uncin ,e $e-aracin . Hay cuatro formas para crear esa separaci/n% $over el activo y crear una barrera entre 1l y las amena+as. "ambiar la amena+a a un estado inofensivo. 9estruir la amena+a. 9estruir el activo. =P)o se recomiendaQ>.

1/

Leccin 1: Ser un Hacker

&s- .ue cuando estamos hackeando, buscamos lugares donde las interacciones con el objetivo sean posibles, y donde no lo son. Piensa en las puertas en un edificio. &lgunas son necesarias para los trabajadores, mientras .ue otras son necesarias para los clientes. &lgunas pueden ser necesarias para huir de un incendio. N algunas pueden no ser necesarias en absoluto. "ada puerta, sin embargo, es un punto de interacci/n, .ue ayuda tanto a las operaciones necesarias como a las no deseadas =como el robo>. "uando llegamos a escena como hackers, no lo hacemos sabiendo el motivo de todos estos puntos de interacci/n, por lo cual los anali+amos empleando el Proceso de "uatro Puntos. Reamos el ejemplo de una persona .ue .uiere estar completamente a salvo de los rayos. (a 0nica manera de hacer esto =mientras siga en (a Tierra> es ir al interior de una monta,a, donde es completamente imposible .ue entre un rayo a trav1s de la tierra y las rocas. Suponiendo .ue no tenga .ue salir de nuevo podemos decir .ue su seguridad es absolutamente un :;;V. Pero si comen+amos a taladrar agujeros en la monta,a, el rayo tendr2 un punto m2s de acceso con cada agujero, y la porosidad aumenta. Por eso, #SST$$ diferencia entre estar Se*ur! =Safe> de los rayos y estar +r!#e*i,! =Secure>de ellos. !l hecho es .ue cuanta m2s porosidad haya, es m2s posible .ue un hacker pueda reali+ar cambios y controlar lo .ue .uiera.

'i*ure 142: Porosidad

16

Leccin 1: Ser un Hacker

1>

Leccin 1: Ser un Hacker

Enri.uece #u 1en#e: +!r!$i,a,

& continuaci/n, presentamos algunos ejemplos para describir c/mo encontrar los poros, clasificarlos y determinarlos durante el proceso de hacking. T;r1in! Ae"inicin "uando la polic-a investiga un crimen, busca los medios, el motivo y la oportunidad. Si un activo es visible, puede ser atacado, pero si no es visible, no puede ser el objetivo =aun.ue podr-a ser descubierto>. & algunos profesionales de la seguridad les gusta decir .ue la !"u$cacin es una seguridad deficiente ya .ue no protege nada, s/lo lo oculta. Pero eso no es algo malo sobre todo por.ue no siempre se necesita un mecanismo de seguridad permanente. & tal efecto #SST$$ ofrece esta pe.ue,a joya% T(a Seguridad no tiene por .u1 durar para siempre, s/lo durar m2s .ue cual.uier otra cosa antes .ue pueda darse cuenta de .ue ha desaparecidoT !l acceso es el n0mero de lugares diferentes donde pueden producirse interacciones en el exterior del 2mbito. Para un edificio podr-an ser las puertas de la calle o las ventanas, y para un servidor en nternet podr-a ser el n0mero de puertos de red abiertos o servicios disponibles en ese e.uipo. (a confian+a es cuando una entidad acepta la libre interacci/n con otra entidad dentro de su 2mbito. Por eso .ue no pides a tu madre .ue se identifi.ue cuando viene a abra+arte. Tambi1n es la ra+/n por la cual no sospechas .ue haya envenenado tu comida. &prendes a confiar en las cosas dentro de tu 2mbito. Pero si un d-a es abducida por una ra+a alien-gena, la sustituyen =como en T La in)a$in ,e !$ a,r!ne$ ,e cuer-!$T> y envenena tu comida, la comer2s sin sospechar nada. &s- .ue la confian+a es a la ve+ un agujero de seguridad y un reempla+o com0n para la autenticaci/n, es decir, la forma de comprobar si una persona es .uien creemos .ue es. (a confian+a es un tema extra,o, por.ue es algo muy humano y muy valorado por la sociedad. Sin confian+a, nunca ser-amos capaces de interaccionar libremente. Pero debido a la confian+a, es f2cil enga,arnos, confundirnos, robarnos y mentirnos. nvestigaciones recientes sobre la confian+a muestran .ue hay :; ra+ones para confiar en alguien y si esas die+ ra+ones se ven satisfechas, entonces podemos confiar en esa persona con seguridad y sin ning0n tipo de preocupaci/n. Pero esa misma investigaci/n muestra .ue la mayor-a de las personas s/lo necesitan .ue se cumpla una ra+/n para confiar, y .ue los realmente paranoicos o c-nicos se ven satisfechos con tan s/lo tres ra+ones.

Risibilidad =Risibility>

&cceso =&ccess>

"onfian+a =Trust>

Recur$!$
Euscar efica+mente y tener capacidad de aprendi+aje son las habilidades fundamentales de un hacker. !l hacking, en realidad, es un proceso creativo .ue se basa

1?

Leccin 1: Ser un Hacker

m2s en un estilo de vida .ue en estudiar lecciones. )o podemos ense,arte todo lo .ue necesitas saber, pero podemos ayudarte a reconocer lo .ue necesitas aprender. 9ebido a .ue la ciencia avan+a tan r2pidamente, lo .ue nos ense,an hoy puede no ser relevante ma,ana. !s mejor para ti ad.uirir las costumbres de estudio de un hacker, .ue son probablemente la parte m2s vital del hacking, y .ue te diferenciar2n de los $cri-# ki,,ie$ =un t1rmino hacker .ue deber-as conocer, y .ue define a las personas .ue usan herramientas sin saber realmente c/mo o por .u1 funcionan>. Si te encuentras con una palabra o un concepto .ue no entiendes en esta lecci/n, es esencial .ue la bus.ues. gnorar nuevos t1rminos s/lo har2 .ue te resulte m2s dif-cil entender conceptos en las pr/ximas lecciones. Se te pedir2 .ue investigues un tema y se espera .ue utilices la informaci/n .ue encontraste para completar los ejercicios de esa lecci/n =pero en esas lecciones no se te explicar2 c/mo hacer las investigaciones>. &s.ue aseg0rate de dedicar tanto tiempo como necesites para investigar, de forma .ue aprendas a usar los recursos .ue tienes disponibles.

Libr!$
Puede .ue te extra,e .ue no te dirijamos directamente a nternet, pero los libros son la mejor manera de aprender las bases y conocimientos cient-ficos de todo lo .ue .uieres explorar. 5@uieres saber algo sobre inform2tica, como los detalles del hardware de tu P"6 )ada te ayudar2 m2s .ue leer un libro actual sobre el tema. !l principal problema de los libros sobre inform2tica es .ue se vuelven obsoletos r2pidamente. !l secreto es aprender a ver la base estructural .ue se encuentra bajo la fina piel de los detalles. $S' 9#S y Hindows son claramente diferentes, pero ambos se basan en los principios de la l/gica Eooleana .ue utili+an los computadores desde .ue &da, "ondesa de (ovelace, escribi/ el primer programa de ordenador en el siglo W W. (os problemas de seguridad y privacidad pueden haber cambiado en los 0ltimos <.4;; a,os, pero el Ar#e ,e a Guerra de Sun T+u cubre principios fundamentales .ue todav-a se aplican hoy. =Por cierto, la forma m2s r2pida de parecer un nFFb es citar a Sun T+u. Hay cosas .ue debes saber, pero no decir. N citar el &rte de la Fuerra demuestra .ue no lo has le-do, ya .ue Sun T+u dec-a .ue hay .ue mantener tus conocimientos reales en secreto>. & pesar .ue la informaci/n .ue encuentres en los libros puede no estar tan actuali+ada como la .ue viene de otras fuentes, te dar2s cuenta de .ue la informaci/n .ue veas en ellos est2 mejor escrita .ue en muchas de las otras fuentes. & veces, tambi1n son m2s precisas. !s m2s probable .ue un escritor .ue dedica un a,o a escribir un libro compruebe los hechos, .ue lo haga alguien .ue actuali+a un blog seis veces al d-a. =$ira la secci/n sobre Dines y Elogs para m2s informaci/n>. Pero recuerda% precisi/n no es e.uivalente a imparcialidad. (as fuentes de informaci/n del autor pueden no ser objetivas. L(os libros de historia los escriben los vencedoresM =busca esta cita>S esto tambi1n se aplica a la pol-tica, y reglas sociales de una 1poca impiden .ue cierta informaci/n se publi.ue. !sto ocurre habitualmente con los libros de texto seleccionados mediante un proceso pol-tico y contienen s/lo la informaci/n .ue se considera socialmente aceptable para aprender. )o pienses .ue has encontrado una regla de oro s/lo por.ue lo le-ste en un libro. (o cierto es .ue cual.uiera puede escribir un libro, y cual.uier libro puede contener cual.uier versi/n de la verdad.

1C

Leccin 1: Ser un Hacker

)o mires un libro para luego abandonarlo, incluso antes de empe+ar a leerlo, por.ue es muy grande. )adie de los .ue veas sentados a tu alrededor lee esos enormes libros de principio a fin. +ien$a en e !$ c!1! en -J*ina$ Eeb -re(i$#rica$. &bre uno por una p2gina al a+ar y empie+a a leer. Si no entiendes algo, retrocede y busca la explicaci/n =o s2ltatelo y avan+a hasta algo .ue tenga sentido>. Salta a trav1s del libro, hacia atr2s y hacia delante, tal y como lo har-as saltando de un enlace a otro en una p2gina web. !sta forma de lectura no lineal es con frecuencia mucho m2s interesante y satisfactoria para los hackers, ya .ue se trata m2s de satisfacer tu curiosidad .ue de leer.

3inalmente, algo .ue ad.uieren los lectores de libros es la valiosa capacidad de escribir bien. !sta es una gran ventaja cuando intentas participar y entender un nuevo campo. Tambi1n hacen m2s cre-bles las cosas .ue .uieres contar a otros lectores, especialmente a a.uellos .ue ocupan puestos de autoridad.

Re)i$#a$ 7 +eri,ic!$
(as revistas y peri/dicos son muy 0tiles para obtener informaci/n de forma concisa y puntual. &mbos tipos de publicaci/n pueden ser, sin embargo, muy escuetos en los detalles. &dem2s ten en cuenta .ue cada peri/dico o revista tiene su propia audiencia y una linea editorial o tem2tica, a pesar de cual.uier anuncio sobre Lneutralidad e imparcialidadM. "onoce la tem2tica de la publicaci/n% una revista sobre (inux no es precisamente una buena fuente de informaci/n sobre $icrosoft Hindows, dado .ue Hindows es un tema espinoso =un sistema operativo competidor>, y sinceramente, el lector de una revista sobre (inux .uiere leer sobre la superioridad de (inux. $uchas de las revistas especiali+adas utili+an c(err7 -ickin*K una t1cnica .ue destaca s/lo los aspectos positivos de algo .ue encaja en la linea editorial de la revista, y destaca los aspectos negativos de a.uello .ue no lo hace.

Ten en cuenta los posibles sesgos de la publicaci/n. &h- es donde te dan opiniones en lugar de hechos, o dejan a un lado los hechos de una historia para satisfacer sus propias opiniones, de forma .ue no puedes formar tu propia opini/n. PTen en cuenta la fuenteQ ncluso los peri/dicos TneutralesT pueden estar llenos de prejuicios y especulaciones, una bonita forma de decir TconjeturasT, pero a menudo son TelucubracionesT por parte del periodista.

Hay un importante movimiento en el campo m1dico para .ue se publi.uen todas las pruebas m1dicas y farmac1uticas =o al menos todos los ensayos financiados con fondos p0blicos>, incluso de a.uellas .ue han resultado fallidas, de forma .ue los m1dicos puedan contar con m2s informaci/n a la hora de aplicar tratamientos y tomar decisiones. $ientras .ue en las revistas m1dicas actuales publican los ThechosT de los ensayos de investigaci/n, los detalles y las circunstancias detr2s de esos hechos siguen siendo turbia. !so es muy importante cuando se tratan temas .ue dependen de causas profundas. (a causalidad re.uiere .ue la causa le preceda y es la ra+/n del efecto. #tro truco utili+ado por las revistas =tanto de forma accidental como a prop/sito> son las -rueba$ anec,#ica$, .ue son opiniones de personas publicadas como pruebas

2F

Leccin 1: Ser un Hacker

independientemente de si son expertos o noS -rueba$ eG-er#a$, en las .ue se presentan a empleados de la industria en cuesti/n como expertos para dar sus opiniones, o personas .ue son expertos en un 2rea y dan su opini/n en otra en la cual no tienen experienciaS y finalmente, la e$-ecu acin, clasificando algo como cierto por.ue Ltodo el mundoM cree .ue lo es, sin atribuirlo a nadie en particular. (a mejor manera de combatir los problemas de exactitud y tem2tica es leer mucho y bien. Si lees algo interesante en una revista, busca m2s sobre el tema. Toma partido por una de las opiniones, y busca informaci/n .ue la confirmeS luego, ponte del otro lado y busca refutarla. &lgunas culturas hacen esto por defecto. !s parte de sus costumbres sociales buscar otra versi/n de la historia. !sto es un rasgo cultural muy importante, especialmente si intentas garanti+ar el 1xito de una democracia.

E5ercici!$
:.8 :.:; Eusca en nternet tres revistas online .ue traten sobre Seguridad. 5"/mo encontraste estas revistas6 5(as tres revistas tratan espec-ficamente sobre seguridad inform2tica6 5@ue otras cosas ofrecen .ue puedan resultar de ayuda en otros campos o negocios6

21

Leccin 1: Ser un Hacker

Enri.uece #u 1en#e: E$-ecu acin

!l siguiente p2rrafo es de un art-culo sobre un robo publicado en un peri/dico. 5Puedes encontrar la especulaci/n6 Se,ala las frases de las .ue sospeches%
El banco Lake Meadow Bank and Mortgage Lender fue atracado el Martes a ltima hora cuando unos pistoleros enmascarados entraron unos momentos antes de la hora del cierre, y retuvieron a los empleados como rehenes durante una hora en lo ue parec!a ser un intento de fuga en un "#$ ltimo modelo% &inguno de los rehenes fue herido% &adie pudo identificar a los atracadores, lo ue hace pensar a la polic!a ue pod!a tratarse de profesionales, ya ue momentos despu's del robo, el coche fue visto tras el banco ale()ndose hacia el sur hacia los densos bos ues de Bluegreen Mountains% La polic!a busca a atracadores con e*periencia, ue puedan tener antecedentes policiales y mantengan relaciones con personas ue vivan en la +ona% ,on una media de -. atracos diarios a bancos entre esta +ona y el condado de Bluegreen, y una poblaci/n apro*im)ndose a las -0%000 personas para el a1o ue viene, esto podr!a ser el comien+o de una oleada de atracos a bancos en esta regi/n% 2arece el comien+o de una moda declar/ el comisario de polic!a "mith%

& medida .ue nos volvemos m2s insensibles a la especulaci/n y permanecemos como ignorantes funcionales sobre la parcialidad de los datos y resultados estad-sticos, el futuro de la informaci/n pueden ser un 0nico periodista especulando sobre las noticias conforme vayan ocurriendo. !n el breve ejemplo anterior s/lo hay un dato real% atracaron un banco el martes a 0ltima hora. &hora, para hacerlo a0n m2s obvio, as- estar-a redactada la noticia si modificamos todas las especulaciones para hacerlas a0n m2s rid-culas%
El banco 3ighteous Bank and Mortgage Lender fue atracado el martes a ltima hora cuando lo ue parec!an ser unos pollos enmascarados entraron momentos antes del cierre, lo ue significa ue podr!an haber retenido a los empleados como rehenes durante una d'cada antes de lo ue parec!a ser un intento de fuga en un globo aerost)tico% &o se ha informado sobre si alguno de los rehenes fue emplumado% &adie pudo identificar a los pollos, lo ue lleva a la polic!a a creer ue deb!an contar con un profesional del disfra+ entre ellos, adem)s de un piloto de aerostatos, dado ue instantes despu's del robo se vio un globo flotando sobre el banco, volando en direcci/n sur hacia las tundras de la 4nt)rtida% La polic!a se encuentra, posiblemente, buscando a e*pertos ma uilladores ue tengan v!nculos con los aficionados a los globos% ,on una media de -. atracos en bancos cada d!a en el pa!s, y la industria de globos aerost)ticos informando de ue sus ventas podr!an alcan+ar los 5. muchimillones de d/lares en un futuro pr/*imo, esto podr!a ser el comien+o de una oleada de robos usando globos% 2arece el comien+o de una moda di(o el comisario de polic!a 6ordon%

"on el abrumador uso de la especulaci/n y estad-sticas en todas los sectores, no es de extra,ar .ue haya entrado en la industria de la seguridad con tanta fuer+a. !l t1rmino usado com0nmente para esto es 'UA, siglas de 'earK Uncer#ain#7K an, A!ub# $Miedo, Incertidumbre % &uda'. !s la forma de utili+ar la especulaci/n y los an2lisis subjetivos de riesgo para llamar la atenci/n sobre los intereses propios y vender soluciones de seguridad. 9esafortunadamente, funciona muy bien con los sentimientos primitivos de paranoia de la psi.ue humana y genera un aumento de la insensibilidad a la especulaci/n. !sto ha dado lugar a soluciones de seguridad inadecuadas, aplicadas de forma inapropiada, controles reactivos de seguridad y una falsa sensaci/n de confian+a en las autoridades. !s evidente .ue existe una falta de habilidades en pensamiento cr-tico en la poblaci/n, y esto es algo explotado tanto por el sector comercial como por los delincuentes.

22

Leccin 1: Ser un Hacker

@!#!re$ ,e bL$.ue,a
Foogle es un motor de b0s.ueda muy conocido, pero no es el 0nico .ue existe. Eing es muy bueno con preguntas sencillas, y Nahoo lo es para hacer investigaciones exhaustivas. Pero ten en cuenta .ue todos estos servicios web .uieren saberlo todo acerca de ti, y probablemente saben m2s de lo .ue deber-an. Fuardan tus resultados y los sitios visitas despu1s de tus b0s.uedas.

Hay motores como &ltaRista y 9uck9uckFo.com .ue pueden proporcionarte algo =o mucho> de anonimato, lo cual puede ser bueno cuando buscas en los rincones oscuros.

(os sitios web se pueden consultar mientras est2n en linea y normalmente mucho tiempo despu1s de eso. )ormalmente, se conservan en forma de -J*ina$ cac(ea,a$. Ona cach1 de nternet es un registro online de las versiones anteriores de un sitio web, o incluso de sitios web .ue ya no existen. (os motores de b0s.ueda y los sitios de archivo almacenan esa informaci/n indefinidamente, lo .ue en terminolog-a de nternet significa Lpara siempreM. !s muy importante recordarlo incluso antes de .ue pongas algo en nternet% no va a desaparecer. )unca. Puede .ue tengas .ue buscarlo en un link a la copia en cach1 de una p2gina. Foogle, por ejemplo, sol-a poner un enlace llamado L"ach1M junto al link del resultado. !sto ha cambiado a un men0 flotante a la derecha, y puede haber cambiado otra ve+ cuando leas esto. &dem2s de los motores de b0s.ueda, tambi1n existen cach1s p0blicas muy 0tiles en sitios como In#erne# Arc(i)e 8(##-:MMEEE4arc(i)e4!r*94 Puedes encontrar versiones cacheadas de sitios web completos a trav1s de los a,os, lo cual puede ser muy 0til para encontrar informaci/n .ue ha desaparecido. Ona 0ltimo detalle sobre los sitios web% no asumas .ue puedes confiar en un sitio web s/lo por.ue apare+ca en un motor de b0s.ueda. $uchos de los ata.ues de hackers y virus se propagan con s/lo visitar un sitio web, descargar programas de aspecto inocente, protectores de pantalla o archivos compartidos. Puedes protegerte no descargando programas desde sitios web no confiables, y asegur2ndote de .ue tu navegador se ejecuta en un entorno limitado =$an,b!G>. Pero esto puede no ser suficiente. On navegador es una ventana a nternet y como una ventana, pueden entrar flotando cosas malas tan s/lo por.ue est2 abierta. & veces ni si.uiera lo sabremos hasta .ue sea demasiado tarde.

E5ercici!$
:.:: Hay muchos motores de b0s.ueda ah- fuera. &lgunos son buenos para consultar la Web In)i$ib e, 2reas de nternet .ue son dif-ciles de rastrear para muchos motores de b0s.ueda, como ciertas bases de datos privadas. On buen investigador saber c/mo usarlos todos. &lgunos sitios web se especiali+an en el seguimiento de motores de b0s.ueda. &s- .ue encuentra cinco motores de b0s.ueda .ue no hayas utili+ado o de los .ue no hayas o-do hablar antes. Tambi1n hay motores de b0s.ueda .ue buscan otros motores de b0s.ueda. Se llaman 1e#a $earc( en*ine$. !ncuentra uno de esos meta search engines.

:.:<

2%

Leccin 1: Ser un Hacker

:.:? :.:A

Eusca Lseguridad y hackingM =incluyendo las comillas> y anota los tres primeros resultados. 5"u2nto difieren los resultados si )# usas comillas6 !s muy distinto buscar sobre un tema a buscar una palabra o frase. !n el ejercicio anterior buscaste una frase. &hora buscaremos una idea. Para hacer esto, -ien$a en "ra$e$ .ue -ue,an e$#ar en a -J*ina .ue e$#J$ bu$can,!4 Si .uieres .ue el motor de b0s.ueda te devuelva una lista de revistas online sobre hacking, no ir2s muy lejos si buscas Luna lista de revistas online sobre hackingM. P)o hay muchas p2ginas web .ue contengan esa fraseQ Podr2s obtener algunos resultados, pero no demasiados. !n lugar de eso, necesitas pensar% Lsi yo estuviera creando una revista sobre hacking, 5cual ser-a una frase t-pica .ue pondr-a en la revista6M Pon las siguientes palabras y frases en un motor de b0s.uedas y encuentra cual te proporciona los mejores resultados para tu b0s.ueda% :. mi lista de revistas favoritas sobre hacking <. lista de revistas profesionales sobre hacking ?. recursos para hackers A. revista de hacking 4. revistas hacking seguridad lista recursos

:.:4 :.:G

Eusca el sitio web m2s antiguo de $o+illa en L nternet &rchiveM. Para hacerlo, necesitas buscar Lwww.mo+illa.orgM en http%**www.archive.org &hora vamos a unir las cosas. 9igamos .ue .uieres descargar la versi/n : de navegador )etscape. Otili+ando motores de b0s.ueda y L nternet &rchiveM, mira si puedes locali+ar y descargar la versi/n :.

+J*ina$ Eeb 7 A- icaci!ne$ Eeb

!l est2ndar de (acto actual para compartir informaci/n es a trav1s de un navegador web. & pesar de clasificar todo lo .ue vemos como Lla webM, m2s y m2s cosas de las .ue utili+amos son en realidad Laplicaciones webM, dado .ue no todo en la web es un sitio web. Si compruebas tu correo usando un navegador web, o compras m0sica a trav1s de un servicio web, est2s utili+ando una aplicaci/n web. &lgunas veces las aplicaciones web re.uieren privilegios. !sto significa .ue necesitas un login y un password para acceder. Tener acceso cuando tienes derecho legal a entrar se llama tener -ri)i e*i!$. Hackear un sitio web puede significar .ue tengas acceso, pero como no tienes derecho a estar ah-, no tienes un acceso privilegiado. "onforme vayas utili+ando la web, encontrar2s muchos sitios .ue te otorgan acceso a 2reas privilegiadas por accidente. "uando encuentras algo as-, es una buena costumbre avisar al administrador del sitio web. Sin embargo, ten cuidado con las posibles consecuencias legales. 9esgraciadamente, muchos administradores fruncen el ce,o cuando reciben un informe de vulnerabilidades .ue no han solicitado.

2&

Leccin 1: Ser un Hacker

Para contribuir a hacer de nternet un lugar m2s seguro mientras te proteges a ti mismo, deber-as pensar en utili+ar un servicio an!ni1iBa,!r =por ejemplo% Tor, remailers an/nimos, etc...> para enviar informes de vulnerabilidades a estos administradores. Pero ten cuidado% Ptodas esas tecnolog-as anonimi+adoras tienen su punto d1bil y puede .ue no seas tan an/nimo como creesQ =$2s de un hacker lo ha aprendido por la v-a dura>

E5ercici!$
:.:7 Otili+a un motor de b0s.ueda para encontrar sitios .ue han cometido el error de dar acceso privilegiado a todo el mundo. Para hacer esto, buscaremos carpetas .ue nos dejen listar el contenido =un Ldirectory listingM>, algo .ue en condiciones normales no deber-a estar permitido. Para esto, usaremos algunos trucos con los comandos de Foogle en http%**www.google.com. !scribe esto en la caja de b0s.ueda% allintitle:"index of" .js !xamina los resultados y deber-as encontrar alguno .ue pare+ca un volcado de directorio =directory listing>. & este tipo de b0s.uedas se le denomina LFoogle HackingM :.:C :.:8 5Puedes encontrar otra clase de documentos usando esta t1cnica6 !ncuentra tres directory listing m2s .ue contengan archivos .doc files, y .avi. 5!xisten otras opciones de b0s.ueda similares a Lallintitle%M6 5"/mo puedes encontrarlas6

Nine$
(os Nine$, tambi1n llamados e=Bine$, son los descendientes de los "anBine$% revistas pe.ue,as, generalmente gratuitas con una tirada muy reducida =menos de :;.;;; lectores> y frecuentemente producidas por periodistas aficionados y amateurs. (os fan+ines se imprim-an en papel. (os +ines en nternet, como el famoso 26FF o +(rack Eeb Bine, est2n escritos por voluntariosS esto implica .ue, con frecuencia, los editores no editan los art-culos buscando errores no t1cnicos. &lgunas veces, el duro lenguaje .ue emplean puede sorprender a a.uellos .ue no est2n familiari+ados con este g1nero.

(os +ines tienen una tem2tica o linea editorial bastante contundente, y tienden a ser bastante parciales. Sin embargo, tambi1n son m2s propensos a mostrar y discutir ambos lados del problema, ya .ue no tienen .ue preocuparse por complacer a sus anunciantes y suscriptores.

E5ercici!$
:.<; :.<: Eusca en nternet tres +ines sobre hacking. 5"/mo los encontraste6 5Por .u1 clasificas esos resultados como +ines6 Becuerda, s/lo por.ue se eti.uetan como +ine o ponen L+ineM en el t-tulo no significa .ue lo sean.

2/

Leccin 1: Ser un Hacker

O !*$
Podemos considerar a los b !* c/mo una evoluci/n de los +ines, y cuentan con una plantilla de escritores de una persona. (os blogs se actuali+an con m2s frecuencia .ue la mayor-a de publicaciones escritas o los +ines, y crean comunidades alrededor de temas de inter1s. !s importante leer tanto los comentarios c/mo los art-culos. ncluso m2s .ue en el caso de los +ines, en los blogs las respuestas son inmediatas y bastante posicionadas, con comentarios de ambos bandos. !sto es uno de sus valores especiales.

&un.ue hay millones de blogs en nternet, s/lo un pe.ue,o porcentaje de ellos siguen activos. (a informaci/n contenida en la mayor-a de ellos, sin embargo, sigue disponible.

E5ercici!$
:.<< :.<? :.<A Eusca en nternet tres blogs .ue traten sobre hacking. 5"on .u1 grupos o comunidades est2n asociados6 5Hay temas de seguridad, legalidad o acad1micos en el blog6

'!r!$ 7 Li$#a$ ,e c!rre!

(os f!r!$ y i$#a$ ,e c!rre! son medios de comunicaci/n desarrollados por comunidades, muy parecidos a grabar las conversaciones en una fiesta. Se esc1ptico acerca de todo lo .ue leas ah-. (as conversaciones cambian de tema con frecuencia, muchas de las cosas .ue se dicen son rumores, hay #r! in*, surgen " a1e Ear$, y, cuando la fiesta se termina, nadie est2 seguro de .ui1n dijo .u1. (os foros y listas de correo son similares, por.ue hay muchas formas de contribuir con informaci/n incorrecta =a veces de forma intencionada> y se puede participar an/nimamente o suplantando a alguien. "omo los asuntos y temas cambian r2pidamente, para conseguir toda la informaci/n es importante leer el hilo completo de comentarios, y no s/lo unos pocos de los primeros. Puedes encontrar foros sobre casi cual.uier tema, y muchas revistas y peri/dicos online ofrecen foros para .ue sus lectores escriban r1plicas a los art-culos .ue publican. 9ebido a esto, los foros tienen un valor incalculable para conseguir m2s de una opini/n sobre un art-culo% no importa lo mucho .ue le gustase a una persona, con total seguridad habr2 alguien a .uien no.

Hay muchas listas de correo sobre temas espec-ficos, pero pueden ser dif-ciles de encontrar. & veces, la mejor t1cnica es buscar informaci/n sobre un tema en particular para locali+ar una comunidad de listas de correo .ue traten sobre 1l.

"/mo hacker, lo m2s importante .ue debes conocer es .ue no se puede buscar en muchos foros y listas de correo usando los motores de b0s.ueda m2s importantes. $ientras .ue es posible encontrar un foro o lista utili+ando un buscador, puede .ue no encuentres informaci/n sobre mensajes individuales. !sta informaci/n es parte de la web

26

Leccin 1: Ser un Hacker

invisible por.ue contienen datos .ue s/lo pueden buscarse directamente en el sitio web o foro.

E5ercici!$
:.<4 !ncuentra dos foros de hackers. 5"/mo encontraste esos foros6 5Puedes determinar los temas o asuntos en .ue se especiali+an estos sitios web6 5(os asuntos del foro reflejan la tem2tica del sitio web .ue los aloja6 :.<G !ncuentra dos listas de correo sobre hacking o seguridad. 5@ui1n es el propietario =owner> de esas listas6 5Puedes ver la lista de miembros6 =!s posible .ue tengas .ue averiguar .u1 aplicaci/n web se ha empleado en la lista, y buscar en la web los comandos ocultos .ue te permiten ver la lista de miembros de esa clase de lista de correos> 5!n .u1 listas esperar-as .ue la informaci/n fuera m2s objetiva y menos sesgada6 5Por .u16

Gru-!$ ,e n!#icia$
(os NeE$*r!u-$ o Gru-!$ ,e n!#icia$ llevan mucho tiempo entre nosotros. Hab-a grupos de noticias incluso antes de .ue existiera la web. Foogle compr/ el archivo completo de grupos de noticias y lo puso online en http%**groups.google.com. (os grupos de noticias son como listas de correo... pero sin el correo. (a gente escrib-a all- directamente, tal y como lo har-an comentando en un sitio web. !ncontrar2s mensajes desde principios de los 8; en adelante.

gual .ue en los archivos web =the web archives>, los grupos de noticias pueden ser importantes para encontrar .uien tuvo originalmente una idea o .uien cre/ un producto. Tambi1n son 0tiles para encontrar esa informaci/n oculta .ue nunca apareci/ en una p2gina web.

(os grupos de noticias no son menos utili+ados hoy en d-a de lo .ue se usaban a,os atr2s, antes de .ue la web se convirtiera en la fuente principal para intercambiar informaci/n. Sin embargo, tampoco han crecido ya .ue su popularidad se ha reempla+ado por nuevos servicios web como blogs y foros.

E5ercici!$
:.<7 :.<C :.<8 :.?; Osando FoogleXs groups, encuentra el grupo de noticias sobre hacking m2s antiguo .ue puedas. !ncuentra otras formas de usar los grupos de noticias. 5Hay aplicaciones .ue puedas utili+an para leer los )ewsgroups6 5"uantos grupos de noticias puedes encontrar .ue traten sobre hacking6 5Puedes encontrar una lista actuali+ada sobre todos los diferentes grupos de noticias .ue existen en la actualidad6

2>

Leccin 1: Ser un Hacker

Wiki$
(os Wiki$ son el fen/meno m2s reciente en nternet. Hikipedia =www.wikipedia.org> es probablemente el m2s famoso, pero hay muchos otros. "omo muchos otros sitios, los wikis los construyen las comunidades. (os informes afirman con frecuencia .ue los wikis no son precisos por.ue han contribuido amateurs y fan2ticos. Pero esto tambi1n es cierto en los libros, listas de correo, revistas y todo lo dem2s. (o .ue es importante es saber .ue los expertos no son la 0nica fuente de ideas geniales e informaci/n objetiva. "omo se,ala #SST$$, los hechos vienen de los pe.ue,os pasos .ue damos al comprobar las ideas, y no de grandes avances en los descubrimientos. Por eso los wikis son grandes fuentes de ideas amateurs y profesionales .ue poco a poco, progresivamente, se verifican entre ellas.

(os wikis tambi1n suelen hablar sobre las m0ltiples facetas de un tema y te permiten seguir como se refuta, refina y cambia la informaci/n a trav1s de una lista de ediciones. Por tanto son grandes lugares en los .ue buscar informaci/n, pero con frecuencia tendr2s .ue ir al sitio web del wiki para ejecutar las b0s.uedas.

E5ercici!$
:.?: :.?< :.?? Eusca L&da (ovelace.T 5!ncuentras resultados de wikis6 Re a la Hikipedia y repite esta b0s.ueda. 9ale un vista+o al art-culo .ue encontrar2s sobre ella. 5!staba incluido en la lista de resultados de tu b0s.ueda6 "omprueba las ediciones de esa p2gina de la Hikipedia, y busca .ue clase de cosas se han cambiado y corregido. 5@u1 clase de cosas han cambiado6 5Hay algo .ue se haya cambiado y luego devuelto a su estado anterior6 &hora elige una estrella de cine o cantante famoso, ve a esa p2gina en Hikipedia y comprueba las ediciones 5Puedes ver la diferencia6 !ncuentra otra wiki y ha+ la misma b0s.ueda. 5&lguno de los resultados .ue aparecen estaban en la primera b0s.ueda con el motor web6

:.?A

Re,e$ $!cia e$
5Osas alguna red social6 5# m2s de una6 "omo hacker est2s bien informado de los sitios m2s populares del momento. 5N .ue hay de esos .ue no son populares como eran antes6 Todav-a existen, y todos los datos siguen disponibles en la mayor-a de los casos.

!sto significa .ue existen un gran repositorio de informaci/n sobre nosotros, mucha de la cual se ha proporcionado libremente, N permanecer2 all- para siempre.

(as redes sociales, con frecuencia, tienen subgrupos o comunidades con intereses comunes. (os sitios con una tem2tica profesional cuentan frecuentemente con grupos de ciberseguridad, y en los sitios de tem2tica LundergroundM existen habitualmente grupos de hackers. !n los sitios profesionales se espera =todos los dem2s tambi1n> .ue uses tu nombre real. !n los sitios de hackers, no tanto.

2?

Leccin 1: Ser un Hacker

N lo m2s importante de todo% 5usas tu nombre real en los medios sociales, o usas un alias6 5Hay alguna forma de .ue tu alias sea tra+ado hasta tu nombre real6 $ucha gente no se da cuenta de eso cuando utili+an alias, pero no es raro .ue publi.uen accidentalmente o a prop/sito su nombre real, direcci/n, ciudad, escuela, empleo y cosas parecidas cuando usan su alias. Si otro hacker te hace un 9oW desde tu alias, entonces puede darse cuenta r2pidamente de .uien eres precisamente por esos pe.ue,os y est0pidos errores. Si usas un alias para permanecer an/nimo ante .uien no conoces, aseg0rate .ue contin0as as-. N )O)"& te e.uivo.ues de alias si tienes m2s de uno.

E5ercici!$
:.?4 :.?G :.?7 E0scate a ti mismo. 5#btienes algunos resultados tuyos =.ue sean realmente tuyos>6 5&lguno de esos vienen de redes sociales6 Re a una red social .ue utilices. )o hagas login, pero repite la b0s.ueda como si no estuvieras registrado. 5"u2nto puedes encontrar acerca de ti6 Re a una red social .ue utilice un amigo. 9e nuevo, no te registres si tienes una cuenta. Eusca a tu amigo. 5"u2nto puedes averiguar acerca de 1l6

C(a#
!l C(a#, se presenta como In#erne# Re a7 C(a# 8IRC9 e @en$a5er0a in$#an#Jnea 8I@9 , es una forma muy popular de comunicarse.

"omo medio de b0s.ueda, el chat es extremadamente inconsistente por.ue est2s tratando con individuos en tiempo real. &lgunos pueden ser amistosos y otros bastante groseros. &lgunos ser2n bromistas inofensivos, pero otros ser2n mentirosos malintencionados. &lgunos ser2n inteligentes y .uerr2n compartir informaci/n, y otros estar2n completamente desinformados, pero no menos deseosos de compartir. Puede ser dif-cil saber .ui1n es .uien.

Sin embargo, una ve+ .ue te sientas c/modo con ciertos grupos y canales, puedes ser aceptado en la comunidad. Se te permitir2 hacer m2s y m2s preguntas, y aprender2s en .uien puedes confiar. (legado el momento, tendr2s acceso a los exploits m2s recientes =los llamados Ber! ,a7, .ue significa .ue se acaban de descubrir> y profundi+ar en tus propios conocimientos.

E5ercici!$
:.?C :.?8 !ncuentra tres programas de mensajer-a instant2nea. 5@u1 los hace diferentes 6 5Pueden utili+arse para hablar uno con otros6 Eusca lo .ue es un B", y c/mo puedes conectarte a 1l. 5Puedes encontrar .ue red tiene el canal de S!"#$6 Ona ve+ .ue te unas a la red, 5"/mo puedes conectarte al canal isecom'discuss6 5"/mo sabes .ue canales existen en una red de B"6 !ncuentra tres canales de seguridad, y tres canales de hacking. 5Puedes entrar en esos canales6 5Hay gente hablando en ellos, o son bots6

:.A;

+2+

2C

Leccin 1: Ser un Hacker

+eer #! +eer, tambi1n llamado +2+, es una red dentro de nternet. & diferencia de las redes habituales cliente'servidor, donde cada computador se comunica a trav1s de un servidor central, los computadores en redes P<P se comunican directamente unos con otros. $uchas personas asocian el P<P a descargar $P? y pel-culas pirateadas, como con el infame )apster, pero hay muchas otras redes P<P =todas con el prop/sito de intercambiar informaci/n y como medio de reali+ar investigaciones sobre el intercambio de informaci/n distribuida> !l problema de las redes P<P es .ue, mientras .ue puedes encontrar casi cual.uier cosa en ellas, algunas est2n en las redes ilegalmente. #tras cosas est2n all- legalmente pero las compa,-as .ue las crearon piensan .ue no deber-an estar, y son felices demandando por dinero al propietario de cual.uier -!r#a ,e In#erne# de donde es descargado

!or el momento, no ha% mucho consenso sobre si el propietario del acceso a Internet que se ha usado para descargar contenidos es responsable, o si la polic)a deber)a buscar a la persona que lo hi o. *sto es como decir que si tu coche se ha utili ado para cometer un crimen, es el propietario de coche % no el conductor quien debe ir a la c+rcel. ,as le%es de Internet actuales no son -ustas % equitati.as, as) que se e/tremadamente cuidadoso.

Seas o no el tipo de persona .ue se arriesga descargando propiedad intelectual, no hay duda .ue las redes P<P pueden ser un recurso vital para encontrar informaci/n. Becuerda% no hay nada ilegal en una red P<P =hay muchos ficheros disponibles para ser distribuidos libremente bajo una gran variedad de licencias> pero tambi1n hay archivos en esas redes .ue no deber-an estar all-. )o tengas miedo a usar redes P<P, pero se consciente de los peligros, y de lo .ue te est2s descargando.

E5ercici!$
:.A: :.A< :.A? 5"u2les son las tres redes m2s populares y utili+adas en P<P6 5c/mo funciona cada una de ellas6 5@u1 programa necesitas usar6 nvestiga el protocolo de una de esas redes P<P. 5@u1 hace, y c/mo consigue descargar m2s r2pido6 Eusca L9escargar (inuxM.5Puedes descargarte una distribuci/n =o distro> de (inux usando P<P6

Cer#i"icaci!ne$
Hay certificaciones #SST$$ para Security Tester y Security &nalyst, distintas variantes de certificaciones LhackerM, certificaciones basadas en alguna versi/n deMbuenas pr2cticasM y otros certificados con toda clase de iniciales o s-mbolos extra,os.

5Por .u1 preocupate por las certificaciones6 Pues debido a .ue puedes obtener algunas de ellas a cual.uier edad, ya .ue no es necesario tener un t-tulo universitario para conseguirlas, y por.ue puede ponerte en la posici/n de persona codiciada, en lugar de ser una persona .ue solicita un puesto.

%F

Leccin 1: Ser un Hacker

!l problema de las certificaciones basadas en Lbuenas pr2cticasM es .ue estas cambian a menudo, debido a .ue Lbuenas pr+cticasM no es m2s .ue otra forma de decir Llo .ue est2 haciendo todo el mundo ahoraM. N con frecuencia lo .ue hacen los dem2s durante esta semana es incorrecto, y lo seguir2 siendo cuando se actualice la semana siguiente. (uego tenemos las certificaciones basadas en la investigaci/n, .ue se centran en investigaciones v2lidas y reproducibles del comportamiento de humanos y sistemas. )o hace falta decir .ue nuestra organi+aci/n matri+, S!"#$, entra de lleno en el campo de las autoridades de certificaci/n basadas en la investigaci/n. Na sea de S!"#$ o cual.uier otra, busca certificaciones basadas habilidades, an2lisis o c!n!ci1ien#!$ a- ica,!$ .ue te permitan demostrar .ue puedes aplicar lo .ue dices haber aprendido. Te resultar2 muy 0til cuando tengas .ue hacerlo.

Se1inari!$ 7 5!rna,a$
&cudir a seminarios es una buena forma de escuchar en detalle las explicaciones sobre la teor-a, y ver las t1cnicas puestas en pr2ctica. ncluso es interesante asistir a seminarios .ue presentan un producto y muestran c/mo debe utili+arse, siempre y cuando tengas en cuenta .ue el evento es marketing y su finalidad es venderlo. Por nuestra parte, ser-amos negligentes si no mencion2ramos .ue podemos ofrecer seminarios de Hacker Highschool en muchos lugares, y .ue podemos tratar cual.uiera de las lecciones disponibles. (os seminarios consisten en hackers profesionales hablando a los estudiantes sobre hacking y c/mo ser un hacker, tanto bueno como malo. !stos seminarios dan una visi/n profunda sobre lo .ue son los hackers reales desde la perspectiva del Hacker +r!"i in* +r!5ec#, un proyecto de colaboraci/n con )aciones Onidas .ue investiga .uienes son los hackers y por.u1 hackean. !ntonces podr2s descubrir el lado positivo del hacking y c/mo no siempre est2 en el (ado oscuro. Ona de las cosas m2s importantes en las .ue podemos ayudarte es a encontrar los medios para ser intelectualmente curioso e ingenioso como un hacker. (os hackers triunfan en lo .ue hacen por.ue saben c/mo aprender, ir m2s all2 del contenido de las lecciones disponibles y aprender las habilidades .ue necesitan para avan+ar. &s- .ue eres bienvenido si dices a tus padres y profesores .ue .uieres ayudar y crear una delegaci/n de Hacker Highschool en tu colegio. "ontacta con S!"#$ para obtener m2s informaci/n.

%1

Leccin 1: Ser un Hacker

Lec#ura$ a,ici!na e$
&hora deber-as practicar hasta .ue seas un maestro de las b0s.uedas. "uanto mejor lo hagas, m2s r2pidamente encontrar2s la informaci/n y aprender2s m2s r2pido. Pero desarrolla tambi1n un ojo cr-tico. )o toda la informaci/n es cierta.

Becuerda .ue siempre debes preguntarte% 5Por .u1 mienten6 5Hay dinero de por medio al ser deshonesto o perpetuar un rumor o una historia6 59e d/nde vienen los hechos6 N lo m2s importante, 5"u2l es el alcance6

&l igual .ue en el hacking, la investigaci/n incluye un 2mbito de aplicaci/n. !so es muy importante cuando ves las estad-sticas =las matem2ticas .ue usan porcentajes, fracciones y probabilidades>. &s- .ue mira siempre donde se llev/ a cabo el 2mbito de aplicaci/n y reconoce .ue 2mbito tienes .ue aplicar. =0n e-emplo com1n para .er esto es la delincuencia nacional o las estad)sticas de salud, tomadas de una peque2a muestra en una sola parte del pa)s. "lo porque algo a(ecta al 345 de las personas de los 644 estudiados en una sola ciudad, no signi(ica que el 345 de la nacin entera tenga ese mismo problema > &s.ue s1einteligente acerca de c/mo leer la informaci/n y de la forma de encontrarla. P!ntender el alcance de la informaci/n siempre es una gran diferenciaQ Para ayudarte a convertirte en un mejor investigador para el programa Hacker High School, a.u- hay algunos temas adicionales y unos t1rminos para .ue puedas investigar% $eta Search The nvisible Heb Foogle Hacking How Search !ngines Hork The #pen Source Search !ngine The Jargon 3ile #SST$$ S!"#$ "ertifications% #PST =#SST$$ Professional Security Tester> #PS& =#SST$$ Professional Security &nalyst> #PS! =#SST$$ Professional Security !xpert> #HS! =#SST$$ Hireless Security !xpert> "T& ="ertified Trust &nalyst> S& =Security &wareness nstructor>

%2