Una perspectiva moderna de la película Hackers

En el marco de vigésimo quinto aniversario de la película, examinamos Hackers en términos de la seguridad de la información actual.

Son varias las ideas erróneas comunes que obstaculizan la adopción generalizada de una cultura de la ciberseguridad. Un mito, según el cual los hackers son realmente listos así que no tiene sentido combatirlos, se popularizó en particular gracias a la película Hackers, estrenada exactamente hace un cuarto de siglo. La película generó una serie de clichés que todavía se usa en la industria cinematográfica.

De hecho, los héroes inadaptados de la película y su adversario, Plague (peste), un experto en seguridad de la información en Ellingson Mineral, se presentan como geeks altamente inteligentes, capaces de encontrar y explotar vulnerabilidades en cualquier sistema informático.

Por ejemplo, el personaje principal se desenvuelve con igual facilidad ya sea irrumpiendo en la base de datos de la escuela o en una red de televisión por cable. Phantom Phreak hace llamadas a Venezuela desde teléfonos públicos sin pagar un centavo. Incluso Joey, el más joven del grupo y el hacker menos experimentado, logra acceder a la supercomputadora Gibson en Ellingson Mineral. Todo parece absolutamente impresionante (para 1995) pero revisemos de cerca los logros del grupo.

 

Hackear una estación de TV

El protagonista, Dade (también conocido como Crash Override), irrumpe en la red de una estación de televisión para reemplazar un aburrido show con algo más cautivador. Y lo logra llamando al guardia nocturno y haciéndose pasar como un empleado de contabilidad que necesita acceso a su computadora, por lo que piden al guardia que le lea en voz alta el número de teléfono en el módem de conexión dial-up.

Por una parte, se trata de ingeniería social básica. Por otra parte, es una locura por parte de la empresa; y no me refiero al infortunio provocado por el guardia. ¿Por qué está la computadora del contador en la misma red que controla la transmisión? ¿Por qué tiene un módem en espera constante de una llamada entrante? ¿Por qué el número de teléfono está escrito en el módem?

Mientras esa intrusión se lleva a cabo, aparece otro hacker que ya está dentro de la red de la empresa: Kate, también conocida como Acid Burn. ¿Cómo llegó allí? Pues bien, la empresa probablemente tiene otras computadoras con módems expuestos.

 

Hackeando al Gibson

Joey, el hacker principiante, logra irrumpir en la supercomputadora Gibson. Es decir, ingresa a través de un módem desde casa pensando como el encargado de relaciones públicas, cuya contraseña súper segura de cuenta es dios. Y ello ocurre a pesar de que todos los personajes de la película (incluyendo al encargado de relaciones públicas y Plague, quien está a cargo de la seguridad de la empresa) saben que la mayoría de las contraseñas comunes en esta película son amor, secreto, sexo y dios. Además, el encargado de relaciones públicas posee derechos de superusuarios por alguna razón inexplicable. Dicho esto, los “grandes” logros de los hackers tienen que ver menos con su genio que con la imprudencia de la empresa.

 

Las trampas de Plague

La trama de la película gira alrededor del astuto plan del hacker Plague, quien trabaja Ellingson Mineral. Escribe un fragmento de malware para restar a cuentagotas algunos centavos de cada transacción de la empresa y transfiere las ganancias a una cuenta secreta en las Bahamas. Eso habría sido un argumento original de no haber sido por un plan similar que se mostró 12 años antes en la película Superman III. Por alguna razón, todos describen al malware como un gusano (worm), aunque el filme no dice nada sobre su distribución y replicación.

Con base en esa información, ¿podemos considerar a Plague un genio cibercriminal? Difícilmente. Él encabeza la seguridad de la información en una empresa donde nadie, excepto él, tiene la primera pista sobre el asunto. ¿Y estaba en convivencia con el encargado del departamento de relaciones públicas, lo cual le daba libertad de acción? Es un ataque de actores internos: el problema no es tanto un error en la ciberseguridad, sino la política de contratación de la empresa.

 

El virus Da Vinci

Cuando Joey descarga accidentalmente parte del “gusano,” Plague lanza un virus (de nuevo no está claro si es realmente un virus o si los escritores solo les gustó el sonido de algo que en 1995 era un nuevo término para la mayoría de los espectadores de cine) bajo el nombre de Da Vinci. El malware toma el control remoto de los buques petroleros con la posibilidad de volcarlos al bombear agua en los tanques de lastre. Pero, de hecho, el “virus” es una maniobra distractora (“red herring”).

Plague lo está utilizando simplemente para: (a) desviar la atención del “gusano” que roba dinero; (b) acusar a Joey y compañía de hackear la empresa y los culpa en última instancia del “gusano”; y (c) entregarlos al Servicio Secreto, infiltrarse en la computadora de Joey y descubrir qué información se ha filtrado, por no mencionar el ganar tiempo para que el malware extraiga más efectivo.

De hecho, dicho “virus” es muy futurista para eso. Para comenzar, resulta estrafalaria la sola idea de una embarcación en 1995 conectada permanentemente con los sistemas de navegación de la empresa operadora. Primero, el Internet no es necesario para la navegación ni lo era en ese entonces; el GPS estaba ya en uso y disponible para usos civiles.

En segundo lugar, que una nave esté constantemente en línea a mediados de 1990 resulta muy alejado de la realidad. La transferencia de datos por vía satelital no existía entonces; habría requerido una conexión por módem permanente  (cuyo costo lo descartaba)  por una línea telefónica.

Por otra parte, los buques petroleros (que se podrían clasificar como infraestructura crítica) no tienen sistemas manuales de apoyo para controlar la inyección de agua del lastre. El proceso está completamente automatizado. Para esto, una computadora es perfectamente capaz de fallar incluso sin malware. En fin, para que el virus Da Vinci funcionara, alguien habría tenido que realizar el largo y tedioso trabajo de sabotear el buque comercial, incluyendo la etapa de diseño del barco.

 

Preparándose para la confrontación

Los protagonistas deciden detener al ruin Da Vinci y obtener el código completo del “gusano” para descubrir adónde se está transfiriendo el dinero robado. Sus preparativos son todo menos cuidadosos. Pero aquí la película comienza a descarrilarse.

El hacker Cereal Killer se hace pasar por un empleado de la compañía de teléfonos, se infiltra en el edificio del Servicio Secreto de los EE.UU., y planta un bug allí (por qué ninguno de los empleados, que supuestamente son profesionales, sospechan de un adolescente en pantalones holgados es un misterio, al igual que su castigo fuera de la pantalla.)

Dade y Kate inspeccionan la basura de Ellingson Mineral y roban algunos documentos. Esta parte es verosímil;  incluso hoy en día no muchas empresas vigilan cómo y dónde se arroja su basura. Pero la inspección de los documentos desechados arroja 50 contraseñas que se usan para penetrar en el sistema corporativo. Eso no es una filtración, sino una fuga enorme.

 

La batalla final para Gibson

Los personajes principales piden ayuda a la comunidad hacker y juntos bombardean la supercomputadora con virus. En este punto la película finalmente ha perdido toda conexión con la realidad. Desafortunadamente, no sabemos nada sobre la arquitectura de los sistemas de información Ellingson Mineral, y por lo tanto no podemos entender cómo una multitud de atacantes puede conectarse simultáneamente a Gibson, cargar una variedad de virus y descargar el “gusano.”

Ni siquiera queda claro si actuaban en Internet o se conectaron de alguna manera directamente con los módems internos de la empresa. En todo caso, de alguna manera Plague establece de modo claro la fuente de los ataques.

En este punto, se oye la curiosa frase los “múltiples virus GPI y FSI”. GPI significa General Purpose Infectors (contaminador de propósito general), un nombre anticuado para los virus que pueden insertarse en cualquier archivo ejecutable. Los FSI o File Specific Infectors (contaminadores de archivos específicos) son archivos que se dirigen a archivos de un cierto formato. En otras palabras, la frase significa básicamente que el equipo de seguridad puede ver muchos virus.

Llamadas internacionales

A través de la película, el hacker conocido como Phantom Phreak utiliza los teléfonos públicos. La técnica, que parece la menos plausible desde una perspectiva del 2020, es en realidad la más creíble. En esos días, el Phreaking (pirateo de los sistemas de telefonía)  era un componente central de la cultura hacker; de ahí el nombre Phantom Phreak.

Para hacer llamadas gratuitas, él usa un dispositivo que genera tonos que simulan monedas insertadas en el teléfono, un truco llamado red boxing. Realmente funcionaba y las instrucciones circularon extensamente en las comunidades de hackers incluso en la edad anterior a Internet. El teléfono público, al suponer que se habían insertado monedas, le señalaba al sistema de cobro cuántos minutos le daban al phreaker (pirata telefónico).

Para 1995, el red box ya estaba de salida. Las empresas de telefonía, al tanto de la vulnerabilidad, se ocuparon de implementar tecnologías de protección como filtros de frecuencia, duplicación a través de canales digitales y medios de verificación física del número de monedas insertadas.  Pero el red boxing todavía estaba en uso cuando la película se lanzó.

 

Equipo

El equipo que usan los hackers resulta de interés especial. Kate, proveniente de una familia acomodada, trabaja con una laptop P6 que, ella dice, “es tres veces más rápida que una Pentium”. Esa es una referencia al Pentium Pro, el primero de una generación de seis microprocesadores x86 de Intel. En aquellos días, era en realidad el chip más poderoso del mundo, el cual se lanzó, como la película, en 1995. Y el módem de Kate podía registrar una velocidad de 28,800 kbps ; otro récord para ese tiempo.

Sin embargo, un análisis más minucioso revela que al conectarse a través de cabinas de teléfono público, los protagonistas usan lo que parece ser un acoplador acústico, el cual convierte las señales acústicas en digitales. Se trata de un artilugio extremadamente poco confiable que solamente soporta 1,200 kbps, que para 1995 ya era completamente anticuado. Aun así, luce impresionante.

 

Fantasía pura

Otros momentos en la película también explotan la imaginación hasta el extremo. Entre otras cosas, los hackers van tras un agente federal, durante lo cual ellos hacen lo siguiente:

  • bloquean su tarjeta de crédito;
  • añaden multas de tráfico falsas a su expediente;
  • lo declaran muerto en la base de datos del Servicio Secreto

No está claro cómo lograron hacer todo esto, pero, de nuevo, es más un testimonio de la incompetencia del banco, la policía y el Servicio Secreto que del ingenio de los hackers. El único truco convincente del juego de los hackers es fijar un anuncio lascivo en un sitio de citas. Pero eso no requiere las habilidades de un hacker, sino de un particular sentido del humor.

Y el final no estaría completo sin el caos que provocan los antihéroes al hackear los semáforos de la ciudad. Clásico.

 

La moraleja

Incluso los hackers de la pantalla no son sobrehumanos; más bien explotan los errores y la estupidez de otros. Y la mayoría de los atacantes de la vida real son incluso menos expertos y difícilmente genios del mal. Nuestra plataforma de capacitación Kaspersky Automated Security Awareness ayuda a combatir esta y otras ideas falsas, gracias a que les enseña a los empleados a evitar errores obvios.

Consejos