"Soy un antiguo sombrero negro. En cierto modo podrían considerarme su enemigo, pero el objetivo que yo tenía en aquella época no era necesariamente económico. Era más político. Sentía que muchas cosas estaban mal en el mundo y que podía utilizar el hackeo como una herramienta para lanzar un mensaje de advertencia…".
Habla Héctor Xavier Monsegur, alias Sabu, de origen puertorriqueño. Hace una decena de años era un enemigo público, perteneciente al grupo Anonymous y fundador de su submarca LuIzSec. Un 'sombrero negro' es un hacker malicioso que entra en sistemas de datos para robar información o hacerse con su control.
En 2011, el ciberdelincuente Sabu fue identificado como Monsegur y detenido por el FBI. Tenía 28 años. Sin empleo conocido. A su grupo se le atribuían intrusiones en múltiples empresas, medios de comunicación, agencias gubernativas de Estados Unidos y Reino Unido e incluso el partido político irlandés Fine Gael.
"Con mi equipo, mi equipo de entonces, podíamos establecer una especie de estrategia política. Podíamos marcar como objetivos a gobiernos extranjeros. Por ejemplo, durante la primavera árabe nuestras dianas fueron Túnez y Egipto, el gobierno y la policía, respectivamente", arguye Monsegur.
Cuando fue detenido en junio de 2011 se le acusaba incluso de haberse infiltrado en los servidores de la CIA. Con todos los cargos que pesaban sobre él, Sabu se enfrentaba a más de 100 años de cárcel. Casi de inmediato, tras su detención, empezó a colaborar con el FBI, ayudando a identificar a otros miembros de su organización.
Situaciones políticas
"Nuestro propósito [durante la primavera árabe] era causar disrupción y concienciación, mostrar que los ciberdelincuentes podíamos involucrarnos en esas situaciones políticas, asesorando a la gente, no protestando sobre el terreno, sino de una manera más inteligente… Me di cuenta de que no era el camino que debía seguir, pero lo bueno es que aprendí mucho para tomar una perspectiva", insiste el antiguo Sabu.
Así que ahora, como director de investigación en ciberseguridad y pruebas de detección de Alacrinet, una consultora de seguridad con diversas sedes en Estados Unidos y Puerto Rico, Monsegur ofrece su "perspectiva" para defender a sus clientes.
En una conversación a tres con Robert Bateman, director de análisis de GRC World Forums, y Patrick Smith, CTO EMEA de Pure Storage, organizadora del encuentro, el exhacker explica cómo fue su transición personal de un lado de la raya al otro.
"Cuando fui capturado tuve que afrontar las consecuencias de mis actos, pero también tomar difíciles decisiones. Era trabajar con el FBI o unos 120 años en prisión. Sin garantías de que fuera ese plazo, pero tenía que pensar en mí familia. Y considerar si quería o no ser un hombre, crecer y formar parte de la sociedad…".
"Era, a la vez, una gran oportunidad para lanzar mi carrera en ciberseguridad, ser capaz de interactuar y socializar, relacionarme con gente de la industria que en un momento había sido mi objetivo", prosigue Monsegur, admitiendo que "puede sonar a locura. Pero funcionó muy bien".
Contento de ser pillado
"Me reuní con mucha gente que había tratado de identificarme, o que indirectamente había sido víctima mía, y eso me dio muchas claves y resultó ser la mejor época de mi vida, de manera que es como una nota aparte", explica, poniendo los ojos en blanco.
"En cierto modo estoy contento de que me pillaran, de que me parasen, porque me dio la oportunidad de comprender que hay muchas otras cosas en la vida que ser… entiéndanme, un chico malo en internet", remata su alegato de arrepentimiento.
La convocatoria, bajo el sugerente título de 'Entrevista con un hacker' (evocando, tal vez, la película de Neil Jordan en la que la última palabra del título es "vampiro"), pretendía, aparte de mostrar al personaje, hablar sobre problemas actuales de ciberseguridad, en especial el ransomware.
Ahora, como 'sombrero blanco' (o sea, de los buenos), y después de que Patrick Smith llamase la atención sobre la tendencia del llamado ransomware as a service, que lo convierte en un sencillo negocio de piratería digital, Monsegur lanza una comparación romántica con su pasado.
"Si volvemos diez años atrás, cuando el activismo era algo grande, el ransomware ya era una constante. Pero no era tan efectivo como ahora, por la prevención ante las criptomonedas".
"Además –continúa–, eran necesarios muchos requisitos técnicos. Para usar un software malicioso, el atacante tenía que desarrollarlo y luego 'comprar' a alguien de la oficina para que lo instalase en algún punto donde no lo cazase el antivirus…".
Ransomware 'as a service' y criptomonedas
"Ahora es muy fácil para un atacante alcanzar sus objetivos", continúa Monsegur. "Puedes comprar online el ransomware as a service, o participar en algún plan global. Como atacante, ya no tienes que hackear, puedes usar ingeniería social para descargar documentación maliciosa, que posiblemente se saltará los filtros antispam, alguien abrirá el documento y se infectará".
"Lo aterrador es que hemos ido más allá y ya no necesitas ser un hacker ni tener conocimientos técnicos", sentencia Monsegur, que además lanza una piedra a "algunos" proveedores de ciberseguridad.
"Sabemos que, desgraciadamente, algunos pagan para que se lancen ataques desde dentro, expandiendo el miedo: aunque no seas hackeado [desde fuera], qué pasa si uno de nuestros empleados quiere cobrar un extra, con lo fácil que es para ellos desplegar un ransomware dentro de la red, eludiendo cualquier defensa… desde la perspectiva de un sombrero negro, todo ha cambiado mucho en 10 o 20 años".
No ve fácil solución a la multiplicación y rentabilidad de ese tipo de ataques por culpa de la popularización de las criptomonedas. "Antes, para el pago se tenía que hacer una transferencia y esperar un email con la clave para desbloquear los ficheros".
Tirando de su experiencia, cree que sólo podría servir de algo, en su opinión, vigilar los intercambios de toda clase de criptomonedas, pero tampoco lo afirma con rotundidad.
En lo que sí insiste es en mantener la seguridad de contraseñas y la actualización constante del software, con los parches de seguridad como primeras medidas preventivas.
Su colega Patrick Smith subraya el problema que supone utilizar sistemas sin soporte, pasados de fecha, porque "hay muchas organizaciones que, cuando vas a sus centros de datos, parece que estás en un museo".
Y en lo que coinciden es en la necesidad de tener planes defensivos bien estructurados, porque, en los ataques actuales, cuando se trata de bloquear los datos de una compañía, "intentan destruir todas las reservas de datos" desde los que se podría hacer una recuperación.
'Sombrero blanco'
Monsegur, que ahora habla como 'sombrero blanco', afirma que intenta asesorar a sus clientes desde una perspectiva defensiva, pero también desde el punto de vista atacante. Es la ventaja profesional que le otorga su pasado clandestino.
Un pasado que le permite otra consideración: "Cuando yo era parte de LulzSec, en la primavera árabe, nuestro propósito era comprometer elementos del gobierno tunecino sin más. Tanto si era una televisión, la red del primer ministro, un proveedor de telefonía móvil para los militares… lo que fuera, sin parar, buscando e identificando posibles objetivos".
Al compararlo con sus asuntos de ahora, Monsegur constata que "si un atacante quiere concentrarse en tu compañía, puede dedicar años hasta que alguien le abre una puerta o alcanza la madurez para identificar un camino que puede explotar. Pero cuando los ciberdelicuentes no hacen hacktivismo, si no están obsesionados con una organización en particular, por algún motivo, y resulta complicado entrar o requiere mucho tiempo, la escanearán y pasarán de largo".