Hacking es una mentalidad basada en datos, en la creatividad y curiosidad, y también la persistencia.Se aplica al growth hacking en marketing, la innovación lean start up y en la ciberseguridad. Sitios web como lifehacker.com se dedican a los hacks del día a día para optimizar todo.Visitamos a Canarias 2.0 y hablamos sobre hackers, hacking y más. Escúchalo aquí:
Orígenes de la palabra
alguien que fabrica muebles con un hacha
1955: La palabra aparece en una reunión del Tech Model Railroad Club. En este momento, el MIT lo define como trabajar sobre un problema técnico, de una forma diferente, creativa, a la establecida en el manual de instrucciones
1975: En este año se publica Jargon Files, el glosario de términos informáticos. En su primera edición, ya cuenta con 8 definiciones de la palabra Hacker.
7 de ellas son positivas, por ejemplo:
Una persona que disfruta explorando los detalles de los sistemas programables y cómo ampliar sus capacidades, en comparación con la mayoría de los usuarios, que prefieren aprender solo el mínimo necesario
Solo 1 se puede entender como negativa:
Un intruso malicioso que intenta descubrir información confidencial hurgando sin autorización
Las definiciones de la R.A.E. invierten el orden, reflejando también la preferencia mediática:
1. m. y f. Inform. pirata informático.
2. m. y f. Inform. Persona experta en el manejo de computadoras, que se ocupa de la seguridad de los sistemas y de desarrollar técnicas de mejora.
1984: la publicación del libro de Steven Levy, Hackers: los héroes de la revolución informática
Levy promueve una ética de libre acceso a la información y al código fuente del software. Establece 6 fundamentos:
- El acceso a los ordenadores debe ser ilimitado y total
- Toda información debería ser libre
- Es necesario promover la descentralización y desconfiar de las autoridades
- Los hackers deberían ser juzgados por su labor y no por cosas como su raza, su edad, o su posición social
- Se puede crear arte y belleza en un ordenador
- Los ordenadores pueden cambiar tu vida para mejor
¿Qué es un hacker?
Retina publica en agosto de este año una llamada a cambiar la imagen que tenemos del hacker, un joven encapuchado en una habitación oscura frente a un ordenador, trabajando con un programa misterioso, que muchas veces resulta ser de edición de sonido, como en la portada del ABC de 2018. Hasta hemos visto a supuestos hackers en acción con programas de AutoCAD y por supuesto, muchos símbolos verdes a lo Matrix.
Según el estereotipo, no puede faltar una máscara de Guy Fawkes a lo Anonymous.
Si quieren sentirse Hackers por un día, aquí un simulador para el autentico efecto de texto verde.
Bruce Schneier, autor de un reconocido blog sobre tecnología y varios libros, considera al famoso matemático Richard Feynam como un hacker en el sentido mas estricto de la palabra. Feynmann se divertía extrayendo documentos clasificados de cajas fuertes durante su tiempo en el Proyecto Manhattan. Igualmente a Galileo y Marie Curie.
En cambio, Schneier tiene claro que Aristoteles no cualificaría. Y lo explica así:
Aristóteles tenía alguna prueba teórica de que las mujeres tenían menos dientes que los hombres. Un hacker simplemente habría contado los dientes de su esposa. Un buen hacker habría contado los dientes de su esposa sin que ella lo supiera, mientras ella estaba dormida. Un buen hacker malo podría eliminar algunos de ellos, solo para demostrar un punto
Según Helen Nissenbaum, que los hackers sean mal vistos ayuda al gobierno y a los poderes privados con dos cosas:
1) A definir lo que es normal en el mundo computacional haciendo creer que un buen ciudadano es todo lo que el hacker no es;
2) A justificar la seguridad, la vigilancia y el castigo.
Tanya Snook, en un artículo para la London School of Economics, lo define así:
Hackear implica alguna forma de excelencia, por ejemplo, explorar los límites de lo que es posible, haciendo algo emocionante y significativo. Se puede decir que las actividades de inteligencia lúdica tienen «valor de hack»
En el Harvard Business Review tenemos lo siguiente:
Silicon Valley tiene una cultura que cree que «las cosas son hackeables, que la forma en que hemos diseñado varios sistemas no está ordenada ni es inmutable». Podemos jugar, rediseñar y jugar con ellos. Las empresas de Silicon Valley» no piden permiso para hacer lo que hacen … Están menos interesados en las tecnologías per se que en jugar con ellas, las formas establecidas de hacer las cosas y formas convencionales de pensar, crear, aprender y ser «
De ahí el famoso lema de Facebook, que pasó de Move Fast And Break Things a Move Fast And Build Things.
Ciberataques conocidos de los últimos años
No por ello vamos a dejar de lado la definición de cracker, y lo que conlleva, los ciberataques.
En 2017, fueron noticia primero WannaCry, seguido de NotPetya.
Wannacry infecta al ordenador, cifrando todos sus archivos, y los de otros dispositivos que estén conectados a una red local. Así se pueden infectar todos los equipos de una misma empresa. Este malware aprovechó una vulnerabilidad del sistema operativo Windows. La compañía dio cuenta de este agujero de seguridad en su sistema a través de un boletín y lanzó varios parches de seguridad para corregir este fallo.
NotPetya salió pocos días después de Wannacry, en junio del 2017, y llegó a causar un daño sin precedentes comparado con los ciberataques hasta entonces conocidos. Las ultimas estimaciones son de unos 2 billones de dolares en daños. Infectó a multinacionales como el gigante naviero Maersk, o Merck y Mondelez y causó daños importantes en España.
En el caso de Maersk, la reinstalación incluyó más de 4.000 servidores, 45.000 PC y 2.500 aplicaciones en solo 10 día. La instalación de una infraestructura así normalmente puede llevar hasta 6 meses.
Mientras que inicialmente se identificó como una variante más sofisticada de Petya, resultó no ser un ransomware típico. Mientras que en otros ataques se paga una cantidad a cambio de la recuperación de datos, NotPetya, también llamado Nyetya, si solicitaba un pago pero no devolvía los datos una vez efectuado el pago.
En 2018, Olympic Destroyer. El ataque en la inauguración de los juegos olímpicos de 2018, que afectó una infraestructura de más de 10.000 ordenadores, 20.000 dispositivos móviles, 6.300 routers WIFI y 300 servidores en Seoul. La buena preparación del equipo ayudó a resolver el ataque antes de que pudiera causar daños reales.
En nuestra serie de ciberseguridad, explicamos en detalle los diferentes tipos de malware y como protegerse, dentro de lo posible.
Serie Ciberseguridad
Metodología Hacking
En su libro Hacking the Hacker, Roger Grimes presenta a famosos hackers profesionales como el propio Bruce Schneier o Eva Galperin, la directora de ciberseguridad de la EFF. Además, explica la metodología Hacker.
1. Recogida de información
(si tiene un objetivo específico en mente) sino, una herramienta puede probar aleatoriamente en sitios vulnerables
a) Footprinting: recoger información no técnica, cuantos sitios web tienen, portales empleados, etc
b) Fingerprinting: que SO utiliza, q versión, aplicaciones, esto ya indica vulnerabilidades conocidas (ejemplos Windows server 2012)
2. Penetración
Con la información recogida, normalmente ya encontró algun punto de entrada por software o dispositivo no actualizado. Y en caso de que todo este a la ultima, y casi nunca lo esta, Telefonica. Siempre queda el factor humano.
a) Zero day: problema de seguridad nuevo que todavía no tiene solución ni se conoce el problema publicamente
b) Malware: trojanos, virus, gusanos, híbridos. Se utiliza un método exploit
c) Social engineering: conseguir q alguien dentro haga algo que afecte su ordenador o seguridad interna. Phishing.
d) Problemas con contraseñas: muy obvios o en un sitio fácil de robar
e) Data leaks
f) Mal configuración de seguridad
g) DDoS: Denial of Service. Puede afectar a cualquier sitio web.
h) Acceso físico
i) mas
3. Opcional: garantizar futuro acceso fácil
(Backdoor)
4. Exploración
Una vez penetrado el sistema, se ejecutan commands y programas para averiguar que mas esta conectado. Redes, usuarios, servicios, programas
5. Opcional: movimiento
Primer acceso a un puesto de trabajo. De ahí, acceso a cuentas privilegiadas, hasta tener propiedad de toda la red
6. Ejecución de acción intencionada
: conseguir información privilegiada, hacer una modificación, causar daño, malware.
7. Opcional: cubrir huellas
Antes un básico, ya es opcional porque no se hace revisión de posibles intrusos. Según Verizon el 80% de ataques se podría prevenir haciendo seguimiento de los logs, firewalls, etc. Es casi imposible diferenciar actividad legal e ilegal, porque acceden a los mismos servicios, servidores, usan las mismas herramientas que los administradores.
Growth Hacking
El Growth Hacking es un conjunto de técnicas de marketing desarrolladas por empresas de software como Facebook, Twitter, AirBnb o LinkedIn. Utilizan la creatividad, el pensamiento analítico y las métricas web y de redes sociales para vender sus productos y ganar visibilidad.
Estas marcas se crearon en muy poco tiempo, sin publicidad tradicional, asociaciones de marca o patrocinios de celebridades.
Ejemplos del growth hacking conocidos son
Hotmail: la firma de email incluye una invitación a crearse una cuenta
Dropbox: si tus amigos se crean perfiles, aumenta tu espacio de almacenaje
Airbnb: publicó sus anuncios en Craiglist, accediendo a la base de usuarios de dicha lista, para redirigir a esos usuarios a su propia web
El growth hacking se define como una combinación de analítica, creatividad y curiosidad para hacer crecer el número de usuarios de una start-up en forma de palo de hockey
Las técnicas empleadas se basan en la analítica pormenorizada, el estudio de las tendencias y comportamientos del usuario para adaptar su estrategia. De esto modo son capaces de diseñar un producto con un alto potencial de penetración y respuesta por parte del consumidor.
Sean Ellis, CEO en GrowthHackers.com y quien anteriormente trabajó en empresas como Dropbox y Eventbrite, lo describe como la persona que tiene como foco el crecimiento de la base de usuarios de un producto. Es la persona que está en constante búsqueda de ideas y tácticas para conseguir la escalabilidad del producto.
Ryan Holiday, que fue director comercial de American Apparel y se hizo famoso por sus técnicas polémicas de growth hacking, lo define como
aprovechar las lagunas y las oportunidades subestimadas
Marca 5 fases de Growth Hacking:
-
- Product Market Fit
- Encontrar el Growth Hack
- Propagación viral
- Retener y optimizar
- Volver a empezar
