La mente del hacker. Cómo revertir la situación cuando las élites rompen las reglas E-Book

A Tammy

Agradecimientos

Este libro nació durante la pandemia global, en un momento convulso de mi vida personal y sufrió las consecuencias de ambos. Tras escribir 86000 palabras en 2020, ignoré gran parte del manuscrito en 2021, me salté la fecha límite y no lo retomé hasta la primavera de 2022. Luego, con ayuda de Evelyn Duffy, de Open Boat Editing, eliminé 20000 palabras y reorganicé el libro en los pequeños 60 capítulos que (con suerte) vas a leer.

Mucha gente me ayudó durante esos dos años. Me gustaría agradecer a mis asistentes de investigación: Nicholas Anway, Justin DeShazor, Simon Dickson, Derrick Flakoll, David Leftwich y Vandinika Shukla, todos estudiantes de la Harvard Kennedy School, quienes trabajaron conmigo durante varios meses (un verano o todo un semestre). Ross Anderson, Steve Bass, Ben Buchanan, Nick Couldry, Kate Darling, Jessica Dawson, Cory Doctorow, Tim Edgar, FC (alias freakyclown), Amy Forsyth, Brett Frischmann, Bill Herdle, Trey Herr, Campbell Howe, David S. Isenberg, Dariusz Jemielniak, Richard Mallah, Will Marks, Aleecia McDonald, Roger McNamee, Jerry Michalski, Peter Neumann, Craig Newmark, Cirsten Paine, David Perry, Nathan Sanders, Marietje Schaake, Martin Schneier, James Shires, Erik Sobel, Jamie Susskind, Rahul Tongia, Arun Vishwanath, Jim Waldo, Rick Wash, Sara M. Watson, Tarah Wheeler, Josephine Wolff y Ben Wizner leyeron el borrador en alguna etapa y todos me proporcionaron comentarios útiles que (en su mayoría) tuve en cuenta. A Kathleen Seidel, cuya edición consiguió hacer el libro más cercano al lector; al igual que mi asistente y editora, Beth Friedman.

Agradezco a mi editor, Brendan Curry y al resto de personas de Norton que convirtieron mi manuscrito en un producto terminado. También a mi agente, Sue Rabiner, a mi nueva comunidad de Cambridge: Harvard Kennedy School, Berkman Klein Center, Inrupt (y el proyecto Solid), y a mis muchos colegas y amigos. Y Tammy: gracias por todo.

Sobre el autor

Bruce Schneier es un experto en ciberseguridad de renombre internacional, a quien The Economist denominó el «gurú de la seguridad». Es autor de doce libros, entre los que se incluyen Data and Goliath (2014) y Click Here to Kill Everybody (2018), así como de cientos de artículos, ensayos y trabajos académicos. Vive en Cambridge, Massachusetts, e imparte clases en la Harvard Kennedy School.

Contenido

Introducción

PARTE 1. INTRODUCCIÓN AL HACKING

1. ¿Qué es el hacking?

2. Sistemas de hacking

3. ¿Qué es un sistema?

4. El ciclo de vida del hacking

5. La ubicuidad del hacking

PARTE 2. HACKEOS BÁSICOS Y SU PREVENCIÓN

6. Hackear cajeros automáticos

7. Hackear casinos

8. Hackear programas de fidelización de aerolíneas

9. Hackeos en el deporte

10. El hacking es parasitario

11. Defensa ante los hackeos

12. Defensas más sutiles

13. Eliminar los hackeos potenciales en la fase de diseño

14. Aspectos económicos de la defensa

15. Resiliencia

PARTE 3. HACKEAR SISTEMAS FINANCIEROS

16. Hackear el cielo

17. Hacking bancario

18. Hackear los mercados financieros

19. Hackear plataformas de intercambio digitalizadas

20. Inmobiliarias de lujo

21. Los hackeos sociales suelen normalizarse

22. Hackear el mercado

23. « Demasiado grande para dejarlo caer»

24. Capital riesgo y capital privado

25. El hacking y la riqueza

PARTE 4. HACKEAR SISTEMAS LEGALES

26. Hackear las leyes

27. Las lagunas legales

28. Hackear la burocracia

29. El hacking y el poder

30. Socavar las regulaciones

31. Las interacciones jurisdiccionales

32. Las cargas administrativas

33. Hackear el derecho consuetudinario

34. El hacking como forma de evolución

PARTE 5. HACKEAR SISTEMAS POLÍTICOS

35. Disposiciones ocultas en la legislación

36. Legislación de aprobación obligatoria

37. Delegar y retrasar la legislación

38. El contexto de los hackeos

39. Hackear el derecho al voto

40. Otros hackeos electorales

41. El dinero y la política

42. El hacking para destruir

PARTE 6. HACKEAR SISTEMAS COGNITIVOS

43. Los hackeos cognitivos

44. Atención y adicción

45. Persuasión

46. Confianza y autoridad

47. Miedo y riesgo

48. Defensas contra los hackeos cognitivos

49. La jerarquía del hacking

PARTE 7. HACKEAR SISTEMAS DE IA

50. Inteligencia artificial y robótica

51. Hackear la IA

52. El problema de la explicabilidad

53. Humanización de la IA

54. La IA y los robots nos hackean

55. La IA y los ordenadores aceleran el hacking social

56. Cuando las IA se convierten en hackers

57. Hackeo por recompensa

58. Defensa contra los hackeos de IA

59. Las IA hackers del futuro

60. Sistemas de gobernanza del hacking

Consideraciones finales

Créditos

Introducción

«Dicen que el agua nunca corre cuesta arriba, nunca lo ha hecho y nunca lo hará, pero si inviertes suficiente dinero, seguro habrá una laguna en la ley naturaly el agua fluirá cuesta arriba».

–Water Never Runs Uphill [Canción]. Jim Fitting, Session Americana.1

Una compañía llamada Uncle Milton Industries ha estado vendiendo granjas de hormigas para niños desde 1956. Esas granjas consisten en dos láminas verticales de plástico transparente separadas medio centímetro entre sí, selladas a los lados, que se pueden abrir por la parte superior. La idea es que llenes el espacio con arena y pongas hormigas en un entorno bidimensional, para luego verlas cavar sus túneles.

La caja no trae las hormigas. Sería difícil mantenerlas vivas en las estanterías de los almacenes y probablemente haya alguna regulación de seguridad infantil sobre insectos y juguetes. Sin embargo, incluye una tarjeta para remitir la dirección a la compañía y recibir un tubo de hormigas a vuelta de correo.

Cuando la mayoría de los compradores ven esta tarjeta se maravillan de que la compañía envíe un tubo de hormigas. Cuando yo la vi por primera vez, pensé: «Guau, puedo hacer que esta empresa envíe un tubo de hormigas a quien yo quiera».

Los expertos en ciberseguridad vemos el mundo de un modo diferente que la mayoría de las personas. Casi todo el que ve un sistema, se centra en su forma de funcionar. En cambio, otras personas no pueden evitar centrarse en cómo conseguir que falle y en cómo usar ese fallo para obligar al sistema a comportarse indebidamente y hacer algo que no se debería poder hacer para conseguir algún tipo de ventaja con ese comportamiento.

Eso es lo que es un «hack» o «hackeo»2 : una actividad permitida3* por el sistema, que subvierte su objetivo o intención. Lo mismo que usar el sistema de Uncle Milton Industries para enviar tubos de hormigas a personas que no las quieren.

Enseño política de ciberseguridad en la Harvard Kennedy School. Al final de la primera clase, anuncio a mis estudiantes que en la próxima haré un cuestionario. Explico que deben escribir de memoria las primeras cien cifras del número pi. Les digo: «Entiendo que no es realista esperar que se memoricen cien dígitos aleatorios en dos días. Así que espero que hagáis trampa. No os dejéis atrapar».

Dos días después la clase está llena de emoción. La mayoría no trae ninguna idea original. Escriben los dígitos en un trozo de papel, que esconden en alguna parte o se graban leyendo los dígitos e intentan ocultar sus auriculares. Pero otros son increíblemente creativos. Uno de mis estudiantes usó tinta invisible y gafas especiales para leer los dígitos. Otro los escribió en chino (no sé nada de chino). Otra codificó los dígitos con cuentas de colores y los colocó en un collar. Un cuarto memorizó los primeros y los últimos y escribió cifras aleatorias en el medio, asumiendo que yo no las comprobaría todas. Mi trampa favorita tuvo lugar hace unos años. Recuerdo a Jan escribiendo los dígitos en orden, aunque muy lentamente; fue el último en terminar. Yo lo observaba fijamente, sin tener ni la menor idea de lo que estaba haciendo y lo mismo hacían los demás estudiantes. Me preguntaba si realmente estaba calculando la serie infinita en su cabeza. Pues no: había programado el móvil para que vibrara emitiendo cada cifra en código Morse.

El objetivo de este ejercicio no es convertir a los estudiantes de mi clase en unos tramposos. Siempre les recuerdo que hacer trampas es motivo de expulsión en Harvard. La cuestión es que si se van a dedicar a hacer políticas públicas relacionadas con la ciberseguridad, tienen que pensar como los tramposos. Necesitan cultivar la mentalidad de hacker.

Este libro cuenta la historia del hacking, una muy diferente de la que se muestra en el cine, la televisión y la prensa. No es lo que encontrarás en los libros que enseñan a hackear ordenadores o a defenderte de esos ataques. Cuenta la historia de algo mucho más endémico, esencialmente humano y mucho más antiguo que los ordenadores. Se trata de una historia que involucra poder y dinero.

Los niños son unos hackers naturales. Lo hacen de manera instintiva, porque no entienden completamente las reglas ni su intención (lo mismo sucede con los sistemas de inteligencia artificial, ya llegaremos a eso al final del libro). Sin embargo, los ricos también lo hacen. Aunque ellos, a diferencia de los niños y la inteligencia artificial, entienden muy bien las reglas y su contexto. Pero no aceptan que les apliquen las mismas reglas que al resto de los mortales o, al menos, consideran que su propio interés es prioritario. En consecuencia, se dedican a hackear los sistemas constantemente.

En mi historia, el hacking no es solo algo para adolescentes aburridos, gobiernos rivales o estudiantes poco éticos (que no quieren estudiar). Tampoco se trata de una contracultura de los menos poderosos. Es mucho más probable que los hackers trabajen para fondos especulativos, buscando las lagunas de las regulaciones financieras para desviar ganancias adicionales del sistema; es más factible que estén en oficinas corporativas o que sean funcionarios electos. La piratería o hacking es parte integral del trabajo de cabilderos y grupos de presión. Así es como las redes sociales nos mantienen en sus plataformas.

En mi historia, el hacking lo perpetran los ricos y poderosos para reforzar las estructuras de poder existentes.

Peter Thiel es un claro ejemplo de ello. Las Roth IRA son unas cuentas de jubilación aprobadas por una ley de 1997. Están destinadas a inversores de clase media y limitan tanto el nivel de ingresos del inversor como la cantidad que se puede invertir. Pero el multimillonario Peter Thiel encontró la manera de hacer trampa.4 Como era uno de los fundadores de PayPal, tuvo la posibilidad de invertir solo 2000$ para comprar 1,7 millones de acciones de la compañía a 0,001$ cada una y convertirla en una inversión de cinco mil millones de dólares (libres de impuestos de por vida).

La piratería es la clave de por qué siempre nos parece que el gobierno no puede protegernos de los poderosos intereses corporativos ni de los ricos. Es una de las razones por las que nos sentimos impotentes ante los poderes estatales. Es la forma en que los ricos y poderosos subvierten las reglas para aumentar tanto su riqueza como su poder. Trabajan constantemente para encontrar nuevos hackeos y asegurar su permanencia para seguir beneficiándose de ellos. Ese es el quid de la cuestión. No es que los ricos y poderosos sean mejores saltándose las reglas, es que es menos probable que los castiguen por hacerlo. De hecho, sus trampas suelen convertirse en la forma habitual de funcionar de la sociedad. Arreglar esto requeriría un cambio institucional, algo demasiado difícil, porque son precisamente los líderes institucionales quienes se aprovechan de estas circunstancias contra nosotros.

Todos los sistemas pueden ser hackeados. Muchos sistemas lo están siendo actualmente y todo va a más. Si no aprendemos a controlar este proceso, nuestros sistemas económicos, políticos y sociales comenzarán a fallar. Fracasarán porque ya no servirán eficazmente a su propósito y porque las personas comenzarán a perder su fe y su confianza en ellos. Y esto ya está sucediendo. ¿Cómo te sientes al saber que Peter Thiel se salió con la suya y dejó de pagar mil millones de dólares en impuestos sobre las ganancias del capital?

No obstante, como demostraré, el hacking no siempre es destructivo. Si se emplea de forma adecuada, es una de las formas para que los sistemas evolucionen a mejor. Así es como avanza la sociedad o, más específicamente, así es cómo las personas avanzan en la sociedad sin tener que destruir lo que había antes. El hacking también puede actuar a favor del bien. El truco radica en descubrir cómo alentar los buenos hackeos mientras se evitan los malos, y conocer la diferencia entre ambos.

La piratería se volverá más disruptiva a medida que se implementen más sistemas autónomos y de inteligencia artificial (IA). Como se trata de sistemas informáticos, inevitablemente serán hackeados como todos los sistemas informáticos. Afectarán a los sistemas sociales, porque la IA ya toma decisiones sobre préstamos, contratación y libertad condicional, por tanto, esos hackeos afectarán nuestros sistemas económicos y políticos. Peor aún, los procesos de aprendizaje automático que sustentan toda la IA moderna darán como resultado que los propios ordenadoresrealicen los hackeos.

Extrapolando las cosas un poco más, los sistemas de IA pronto comenzarán a descubrir nuevos hackeos. Esto lo cambiará todo. Hasta ahora, la piratería ha sido un esfuerzo exclusivamente humano. Los hackers son humanos y sus hackeos han heredado las limitaciones humanas. Esas limitaciones están a punto de ser eliminadas. La IA comenzará a hackear no solo nuestros ordenadores, sino también nuestros gobiernos, nuestros mercados e incluso nuestras mentes. La IA hackeará los sistemas con una velocidad y habilidad que avergonzará a los hackers humanos. Mientras lees este libro ten siempre en mente el concepto de una inteligencia artificial capaz de hackear, aunque no trataremos esta cuestión hasta el final.

En ello radica la importancia de esta obra en este momento. Es precisamente ahora cuando necesitamos entender, reconocer y defendernos de los hackeos. Y justo aquí es donde los expertos en seguridad servirán de ayuda.

Una vez (desearía poder recordar dónde)5 escuché esta cita sobre las matemáticas: «No es que las matemáticas puedan resolver los problemas del mundo, sino que los problemas del mundo serían más fáciles de resolver si todos supieran un poco más de matemáticas». Creo que esto también se puede aplicar a la seguridad. No es que tener este tipo mentalidad vaya a resolver los problemas del mundo, sino que los problemas del mundo serían más fáciles de resolver si todos entendiéramos un poco más sobre seguridad.

¡Vamos allá!

PARTE 1

INTRODUCCIÓN AL HACKING

Capítulo 1

¿Qué es el hacking?

Los términos «hackeo», «hackear» y «hacker» están repletos6 de significados e insinuaciones. Mi definición no es precisa ni autorizada y tampoco me importa. Mi objetivo es demostrar que la forma de pensar de un hacker es una herramienta muy útil para comprender los sistemas, sus fallos y cómo hacerlos más resistentes a estos.

Def.: hackeo (sustantivo, m.) 7

1.Explotación inteligente y no deseada de un sistema que (a) subvierte las reglas o normas del sistema, (b) a expensas de alguien que resulta afectado.

2.Algo que un sistema permite sin que sus diseñadores lo hayan previsto ni deseado.

Hackear no es lo mismo que hacer trampa. Un hackeo podría ser una trampa, pero lo más probable es que no lo sea. Hacer trampa es hacer algo en contra de las reglas, algo explícitamente prohibido: escribir el nombre y la contraseña de otra persona en un sitio web sin su permiso, no revelar todos los ingresos en la declaración de impuestos o copiar las respuestas en un examen. En todos los ejemplos anteriores hemos descrito trampas, pero ninguno de ellos es un hacking (acto de piratería).

Un hackeo no es ningún progreso, mejora o innovación. Practicar el saque de tenis para ser mejor jugador es un progreso. Cuando Apple añade una nueva característica al iPhone, es una mejora. Descubrir una nueva forma inteligente de usar una hoja de cálculo puede ser una innovación. En ocasiones, un hackeo puede ser una innovación o una mejora, por ejemplo, desbloquear un iPhone para agregar características que Apple no aprueba (jailbreaking); pero no siempre lo es.

Los hacking se centran en los sistemas con el objetivo de volverlos contra sí mismos sin romperlos. Romper la ventanilla de un coche y conectar el encendido, no es un hackeo. Un hackeo es descubrir cómo engañar al sistema sin usar la llave del coche para desbloquear la puerta y ponerlo en marcha.

Toma nota de la diferencia. El hacker no solo es más astuto que su víctima. Ha encontrado un fallo en las reglas del sistema. Hace algo que no debería poder hacer; burla al sistema y, por extensión, a sus diseñadores.

La piratería subvierte la intención de un sistema al subvertir sus reglas o normas: «juega con el sistema». Es un término medio entre la trampa y la innovación.

«Hackeo» es un término subjetivo. Tiene mucho de «lo reconozco cuando lo veo». Algunas cosas son hackeos muy obvios y otras, sin duda alguna, no lo son. Pero hay otras que están en un área gris entre ambos extremos. Aplicar determinadas técnicas para leer más rápido, no es un hackeo. Ocultar un micropunto en uno de los puntos de un texto impreso, definitivamente sí lo es. Las notas de Cliff…, tal vez, no estoy seguro.

Los hackeos son inteligentes. Provocan una especie de admiración «reticente» (aparte de la justa ira) con cierta cantidad de «es genial, me gustaría haberlo pensado yo», aunque se trate de algo que nunca harías. Esto ocurre incluso cuando se trata de ataques realizados por malvados asesinos. Empecé mi libro Beyond Fear8 (2003) con una larga explicación sobre por qué los ataques terroristas del 11S fueron «sorprendentes». Esos terroristas rompieron las reglas no escritas sobre secuestros de aviones. Antes de ellos, los secuestros implicaban obligar a los aviones a volar a alguna parte, una serie de demandas políticas, negociaciones con gobiernos y policías y casi siempre terminaban de forma pacífica. Lo que hicieron los terroristas del 11S fue horrible y espantoso, pero no se puede negar que fue un ataque muy ingenioso. Solo emplearon las armas permitidas por la seguridad aeroportuaria: transformaron unos aviones civiles en misiles guiados y reescribieron unilateralmente las normas en torno al terrorismo aéreo.

Los hackers y sus ataques nos obligan a pensar de manera diferente sobre los sistemas de nuestro mundo. Ponen en evidencia todo aquello que asumimos o damos por sentado, a menudo para vergüenza de los poderosos y, a veces, a un coste terrible.

Terrorismo aparte, solemos admirar los hackeos porque son inteligentes. MacGyver era un hacker. Las películas que tratan sobre fugas de prisiones están llenas de hackeos inteligentes: Rififí, La gran evasión, Papillon, Misión imposible, The Italian Job, Ocean’s 11, 12, 13 y 8.

Los hackeos son novedosos. La reacción habitual ante un hackeo suele ser algo como: «¿Eso está permitido?» o «¡No sabía que se podía hacer eso!». Con el tiempo también cambia la definición de lo que es y lo que no es un hackeo. Cambian las reglas y las normas. Y cambia el «conocimiento general». Hay cosas que alguna vez fueron hackeos y dejan de serlo porque, con el tiempo, se tiende a prohibirlas o a permitirlas. En algún momento alguien desbloqueó su móvil para convertirlo en un punto de acceso inalámbrico; ahora es una característica estándar, tanto en iOS como en Android. Ocultar una lima en un pastel y enviárselo a un preso fue inicialmente un hackeo, pero ahora es un tópico cinematográfico contra el que todas las prisiones están prevenidas.

En 2019, alguien usó un dron9 para enviar un móvil y marihuana a una prisión de Ohio. En ese momento, se habría llamado un hackeo. Hoy en día, volar un dron cerca de una prisión está expresamente prohibido en algunos estados y no creo que siga siendo un hackeo. Hace poco leí que alguien empleó una caña de pescar10 para arrojar contrabando sobre el muro de una cárcel. Y también que atraparon un gato11 con drogas y tarjetas SIM en una prisión de Sri Lanka (y que luego escapó). Esos también son hackeos.

Con frecuencia son legales. Debido a que siguen las reglas al pie de la letra pero burlan su espíritu, solo serían ilegales si estuvieran prohibidos por alguna regla o norma. Cuando un contable encuentra una laguna en las normas fiscales, suele ser legal aprovecharla si no hay ninguna ley más general que prohíba hacerlo.

En italiano tienen una palabra para este tipo de cosas: furbizia, el ingenio que se despliega para sortear la burocracia y las leyes inconvenientes. En hindi tienen una palabra similar: jugaad, que enfatiza la inteligencia y el ingenio para solucionar problemas. En portugués brasileño, su equivalente es gambiarra.

En ocasiones, los hackeos son morales. Hay quienes asumen que solo porque cierta actividad o comportamiento sea legal, automáticamente se convierte en moral, pero, por supuesto, el mundo es mucho más complicado que eso. Del mismo modo que hay leyes inmorales, existen crímenes morales. La mayoría de los hackeos que trataremos en este libro son técnicamente legales, pero contravienen el espíritu de las leyes (y las leyes son solo uno de los tipos de sistemas que se pueden piratear).

La palabra «hackeo» se remonta12 a 1955, y tuvo su origen en el MIT Tech Model Railroad Club, de donde pronto migró al incipiente campo de la informática. Originalmente servía para describir una forma de solucionar problemas que implicara astucia, ingenio o innovación, sin ningún tipo de acepción criminal ni antagónica. Sin embargo, en la década de los ochenta, el término «hacking» empezó a describir cada vez con mayor frecuencia la violación de sistemas de seguridad informática. No se trataba solo de hacer que un ordenador hiciera algo nuevo, sino de forzarlo a hacer algo que se suponía que no debía hacer.

Desde mi punto de vista, solo una delgada línea separa la piratería informática de hackear sistemas económicos, políticos y sociales. Todos esos sistemas son conjuntos de reglas o normas. Y son tan vulnerables al hacking como los sistemas informáticos.

Esto no es nuevo. Hemos estado hackeando los sistemas de la sociedad a lo largo de la historia.

Capítulo 2

Sistemas de hacking

Cualquier sistema se puede hackear. Resulta útil comparar diferentes tipos de sistemas para resaltar las características de las formas de operar en cada caso, por ejemplo, el código tributario y el informático.

El código fiscal no es software. No se ejecuta en un ordenador. Sin embargo, se puede considerar como un «código» en el sentido informático del término. Es una serie de algoritmos que recibe una entrada (información financiera de determinado año) y produce una salida: la cantidad de impuestos adeudados.

El código tributario es increíblemente complejo. Tal vez no para la mayoría de nosotros como individuos, pero hay un montón de detalles y excepciones y casos especiales para los ricos y las empresas. Consiste en múltiples leyes gubernamentales, resoluciones administrativas, decisiones judiciales y opiniones legales. También incluye las leyes y reglamentos que rigen las corporaciones y varios tipos de sociedades. Es difícil obtener estimaciones creíbles del tamaño de todo esto; incluso los expertos no tenían una idea clara cuando los consulté al respecto. Las propias leyes fiscales13 ocupan unas 2600 páginas. Las regulaciones del IRS14* y las resoluciones fiscales lo incrementan en aproximadamente 70000 páginas. Las leyes que involucran estructuras corporativas y asociaciones son igualmente complicadas, así que voy a agitar mis manos y asumir que el código tributario de Estados Unidos se recoge en un total de alrededor de 100000 páginas o tres millones de líneas. Microsoft Windows 10 ocupa alrededor de cincuenta millones de líneas de código.15 Es difícil comparar líneas de texto con líneas de código informático, pero la comparación sigue siendo útil. En ambos ejemplos, gran parte de esa complejidad está relacionada con la forma en que interactúan entre sí las diferentes partes del código.

El código informático contiene diferentes tipos de errores ( bugs): errores en las especificaciones, errores en la programación, errores que ocurren en algún lugar del proceso de creación del software, errores tan comunes como los tipográficos y los ortográficos. Las aplicaciones de software modernas generalmente contienen cientos, si no miles, de errores. Dichos errores están en todo el software que estás utilizando en este momento: en tu ordenador, en tu móvil, en cualquier dispositivo del «Internet de las cosas» (IoT) que tengas en tu hogar y en tu trabajo. Que todo este software funcione bien la mayor parte del tiempo habla de lo intrascendentes que suelen ser dichos errores. Es poco probable que los encuentres en tus operaciones normales, pero están ahí (como tantas partes del código tributario que nunca ves).

Algunos de esos errores introducen agujeros de seguridad. Con esto me refiero a algo muy específico: un atacante puede activar deliberadamente el error para lograr algún efecto no deseado por los diseñadores y programadores del código. En el lenguaje informático estos errores se denominan «vulnerabilidades».

El código tributario también tiene errores. Podrían ser errores en la forma en que se escribieron las leyes tributarias: errores en las palabras reales de las leyes votadas por el Congreso y firmadas por el presidente. Pueden ser errores en la forma de interpretar el código tributario. Podrían ser descuidos en cómo se concibieron partes de la ley u omisiones involuntarias de algún tipo. También pueden surgir de la gran cantidad de formas en que las diferentes partes del código tributario interactúan entre sí.

Un ejemplo reciente lo encontramos en la Ley de Empleos y Reducción de Impuestos de 2017, redactada en secreto de forma apresurada y aprobada sin tiempo para su revisión por parte de los legisladores, ni siquiera para la corrección de pruebas. Partes de ella estaban incluso manuscritas y es casi inconcebible que cualquiera que haya votado a favor o en contra supiera exactamente lo que votaba. El texto contenía un error que (por accidente) categorizaba los beneficios por muerte militar como ingresos del trabajo. A consecuencia de ese error, los familiares sobrevivientes recibieron unas facturas de impuestos inesperados16 que ascendían a 10000$ o más. Eso es un error.

Sin embargo, no es una vulnerabilidad, porque nadie puede aprovecharla para reducir sus impuestos. Pero algunos errores del código tributario también son vulnerabilidades. Por ejemplo, había un truco relacionado con los impuestos corporativos llamado « doble irlandés con sándwich holandés». Es una vulnerabilidad que surgió de la interacción de las leyes fiscales de varios países, que finalmente enmendaron los irlandeses.

Así es como funcionaba:17 la compañía estadounidense transfería activos a una subsidiaria irlandesa. Dicha subsidiaria cobraba a la compañía estadounidense enormes cánones o derechos por las ventas a los clientes estadounidenses. De este modo se reducían de forma drástica los impuestos estadounidenses de la compañía mientras que los impuestos irlandeses sobre estos cánones están diseñados para ser bajos. Luego, utilizando una laguna en la ley fiscal irlandesa, la compañía transfería las ganancias a entidades ubicadas en paraísos fiscales como Bermudas, Belice, Mauricio o las Islas Caimán, para garantizar que permanecieran libres de impuestos. A continuación, se añade una segunda compañía irlandesa (también gravada con una tasa baja), esta vez para vender a clientes europeos. Por último, se aprovechaba otra vulnerabilidad, que involucraba a una empresa intermediaria holandesa, para transferir los beneficios a la primera empresa irlandesa y luego al paraíso fiscal extraterritorial (offshore). Las empresas tecnológicas son particularmente adecuadas para explotar esta vulnerabilidad, porque pueden ceder los derechos de propiedad intelectual a empresas subsidiarias en el extranjero, que luego transfieren activos en efectivo a paraísos fiscales.

Así es como compañías como Google y Apple han evitado pagar su parte justa de impuestos en EE.UU. a pesar de ser estadounidenses. En definitiva, se trata de un uso no deseado e imprevisto de las leyes fiscales de tres países, aunque Irlanda creó deliberadamente reglas fiscales laxas para atraer a empresas estadounidenses. Y resulta muy rentable para los hackers. Se estima que, solo en 2017, las empresas estadounidenses evitaron pagar casi 200 mil millones de dólares 18 en impuestos, a expensas de los demás ciudadanos.

En el mundo de los impuestos, los errores y las vulnerabilidades se llaman lagunas fiscales. Los atacantes las aprovechan: se llama evasión fiscal. Y hay miles de lo que en el mundo de la seguridad informática llamaríamos black-hat researchers o «investigadores de sombrero negro», que examinan cada línea del código tributario en busca de este tipo de vulnerabilidades: son abogados y asesores fiscales.

Sabemos cómo se corrigen las vulnerabilidades en el código informático. En primer lugar, existe una variedad de herramientas para detectarlas antes de que el código esté terminado. En segundo lugar, después de que el código está disponible para todo el mundo hay varias formas de encontrarlas y, sobre todo, de parchearlas con rapidez.

Se podrían emplear estos mismos métodos con el código tributario. La ley tributaria de 2017 limitó las deducciones del impuesto sobre la renta para los impuestos a la propiedad.19 Esta disposición no entraba en vigor hasta 2018, por lo que a alguien se le ocurrió el truco inteligente de pagar por adelantado los impuestos a la propiedad de 2018 en 2017. Justo antes de fin de año, el IRS dictaminó cuándo era legal y cuándo no, parcheando el código tributario contra este «exploit». Respuesta corta: la mayoría de las veces, no lo era.

A menudo no es tan fácil. Algunos hackeos están descritos en la ley o no se pueden descartar. Aprobar cualquier legislación fiscal es un gran problema, especialmente en Estados Unidos, donde el tema es tan polémico y partidista. El error del impuesto sobre la renta del trabajo para las familias de militares fallecidos no comenzó a solucionarse hasta 2021. El Congreso no solucionó el error real de 2017; sino que subsanó uno aún más antiguo que interactuaba con el de 2017. Y su solución no estará completa hasta 202320 (y este caso fue fácil porque todos reconocieron que se trataba de un error). No existe la capacidad de parchear el código tributario con la misma agilidad que se hace con el software.

Hay otra opción: que la vulnerabilidad no se corrija y lentamente se convierta en parte de la forma habitual de hacer las cosas. Muchas lagunas fiscales terminan así. A veces el IRS las acepta. A veces los tribunales reafirman su legalidad. Puede que no reflejen la intención de la ley tributaria, pero el texto de la ley lo permite. A veces incluso son legalizados de forma retroactiva por el Congreso después de que el electorado los respalda. Así es cómo evolucionan los sistemas.

Un hackeo subvierte la intención de un sistema. Cualquier sistema de gobierno con jurisdicción lo bloquea o lo permite. A veces lo aprueba de forma explícita y otras no hace nada y, por tanto, lo permite de forma implícita.

Capítulo 3

¿Qué es un sistema?

Los hackeos siguen la letra de las reglas, pero violan su intención y su espíritu.

Para que haya un hackeo, debe haber un sistema de reglas que pueda ser hackeado. Por tanto, voy a detenerme un momento a definir con mayor precisión lo que significa la palabra «sistema», al menos como la estoy usando en este libro.

Def: sistema (sustantivo m.)

Proceso complejo, limitado por un conjunto de reglas o normas, destinado a producir uno o más resultados deseados.

El procesador de textos en el que escribí este párrafo es un sistema: una colección de señales electrónicas limitadas por un conjunto de reglas de software específicas destinadas a generar texto escrito de manera que las palabras aparezcan en la pantalla, lo que constituye el resultado deseado de este sistema. La creación de este libro es el producto (resultado) de otro sistema, con procesos que incluyen diseñar las páginas, imprimirlas, colocarlas en orden, ponerles una cubierta y empaquetarlas para su envío. Cada uno de esos procesos se completa siguiendo un conjunto de reglas. Y esos dos sistemas, junto a unos cuantos más, dan como resultado el libro que tienes en tus manos, el archivo electrónico que estás leyendo en el lector de libros electrónicos o el archivo que se está reproduciendo en algún sistema de audiolibros. Esto se cumple tanto si los elementos del sistema están alojados bajo el mismo techo o distribuidos por todo el mundo. Independientemente de si el resultado es real o virtual, gratuito o caro, está mal producido o está disponible de forma poco fiable. Siempre habrá uno o más sistemas involucrados.

Los sistemas tienen reglas. Por lo general, se trata de reglas establecidas por las leyes, pero también pueden ser las de un juego, o las de un grupo o proceso, o las reglas tácitas de la sociedad. Los sistemas cognitivos también siguen leyes: las leyes naturales.

Ten en cuenta que los hackeos están permitidos por los sistemas. Y con el término «permitidos», me refiero a algo muy específico. No significa que sean legales, ni autorizados, ni socialmente aceptables ni siquiera éticos, aunque podrían cumplir cualesquiera o todas esas condiciones. Me refiero a que los sistemas, tal como están construidos, no evitan que ocurran hackeos dentro de sus límites. Los sistemas no los permiten de forma deliberada, sino incidental o accidentalmente, por la forma en que fueron diseñados. En los sistemas técnicos, esto suele significar que el software admite ser hackeado; en los sistemas sociales, que las reglas (en su mayoría leyes) que controlan el sistema no lo prohíben expresamente. Por ello, a veces usamos los términos «laguna», «vacío legal», «resquicio legal» y «tecnicismo» para describir este tipo de hackeos.

Esto significa que los hackeos se llevan a cabo contra sistemas en los que los participantes han acordado de antemano, ya sea explícita o implícitamente, cumplir con un conjunto común de reglas. A veces las reglas del sistema no coinciden con las leyes que lo gobiernan. Entiendo que esto puede resultar confuso, por lo tanto, voy a explicarlo con ejemplos. Un ordenador está controlado por un conjunto de reglas que constituyen el software que se ejecuta en él. Hackear el ordenador significa subvertir dicho software. Sin embargo, también hay leyes que potencialmente rigen lo que alguien puede hacer legalmente. En Estados Unidos, por ejemplo, la Ley de Fraude y Abuso Informático hace que la mayoría de las formas de piratería informática constituyan delitos graves (observa lo que pasa aquí: lo que se hackea es un sistema informático, pero dicho sistema también está protegido por un sistema más general: el sistema legal). Hay muchos problemas con la generalidad de las leyes y precisamente debido a esa generalidad se ha convertido en un cajón de sastre que declara ilegal todo tipo de hackeos.

Los deportes profesionales son hackeados constantemente, porque se rigen por conjuntos explícitos de reglas. Las leyes se hackean con mucha frecuencia, porque no son más que reglas.

En algunos sistemas, las leyes son las reglas o, al menos, proporcionan muchas. Como veremos cuando hablemos sobre hacking financiero o del sistema legal en sí, cualquier sencillo error tipográfico o lenguaje algo confuso en un proyecto de ley, contrato u opinión judicial abre la puerta a un sinfín de cuestiones que nunca estuvieron en la mente de los redactores originales ni de los propios jueces.

Ten en cuenta algo muy importante: las reglas no siempre son explícitas. Hay muchos sistemas en nuestro mundo limitados por normas, particularmente los sociales. Las normas son menos formales que las reglas; a menudo no están escritas, sin embargo, guían nuestro comportamiento. Estamos limitados por normas sociales todo el tiempo, distintas normas que se aplican en situaciones diferentes. Incluso la política se rige por normas (aparte de las leyes), algo que hemos visto con frecuencia en los últimos años, a medida que se rompía una norma tras otra en la política de Estados Unidos.

Mi definición de sistema incluye la palabra «deseado». Esto implica que hay un diseñador: alguien que determina el resultado deseado del sistema. Esta es una parte importante de la definición, pero en realidad solo se cumple en ocasiones. En el caso de los ordenadores, los sistemas pirateados han sido creados por alguna persona u organización, lo cual significa que el hacker es más astuto que los diseñadores del sistema. Esto también sucede con los sistemas de reglas establecidos por algún órgano rector: procedimientos corporativos, reglas deportivas, tratados de la ONU...

Muchos de los sistemas que discutiremos en este libro no han sido diseñados por ningún individuo en particular. Nadie diseñó el capitalismo de mercado; su evolución estuvo en manos de muchas personas a lo largo del tiempo. Lo mismo sucede con los procesos democráticos: en Estados Unidos, es una combinación de Constitución, legislación, fallos judiciales y normas sociales. Y cuando alguien hackea sistemas sociales, políticos o económicos, burla una especie de combinación formada por los diseñadores del sistema, el proceso social por el cual evolucionó dicho sistema y las normas sociales que lo gobiernan.

Nuestros sistemas cognitivos también han evolucionado con paso del tiempo, sin que haya ningún diseñador involucrado. Esta evolución es una parte normal de los sistemas biológicos: surgen nuevos usos para los sistemas existentes, los sistemas antiguos se reutilizan y los innecesarios se atrofian. Pero hablamos de la «función» de los sistemas biológicos: del bazo o de la amígdala. La evolución es la forma en que los sistemas se «diseñan» a sí mismos sin precisar de ningún diseñador. Para esos sistemas, comenzaremos con la función de un sistema dentro de un cuerpo o ecosistema, aunque nadie lo haya diseñado con ese propósito, es decir, para realizar esa función.

La piratería es una consecuencia natural de analizar los sistemas. Los sistemas impregnan gran parte de nuestras vidas. Sustentan la mayor parte de las sociedades y se están haciendo más complejos a medida que dichas sociedades se vuelven también más complejas. En consecuencia, la explotación de estos sistemas (es decir, el hacking) se hace también cada vez más importante. Básicamente, si conoces a fondo un sistema, no precisas jugar con las mismas reglas que los demás. Puedes encontrar los defectos y las omisiones de las reglas. Las restricciones impuestas por el sistema no funcionan para ti. Es evidente que vas a hackear el sistema. Y si eres rico y poderoso, es probable que te salgas con la tuya.

Capítulo 4

El ciclo de vida del hacking

En términos de ciberseguridad, los hackeos constan de dos partes: una vulnerabilidad y un «exploit».

Una vulnerabilidad es una característica que permite que ocurra un hackeo en el sistema. Lo que constituye un defecto del sistema informático. Se puede tratar de un error o un descuido: en el diseño, la especificación o el código en sí mismo. Podría ser algo tan nimio como que falte un paréntesis, o tan significativo como una propiedad de la arquitectura de software. Es la razón subyacente por la que funcionan los hackeos. Un exploit es el mecanismo para hacer uso de una vulnerabilidad.

Un sitio web que permite que el nombre de usuario y la contraseña de inicio de sesión se transmitan sin cifrar, es la vulnerabilidad. El exploit sería el software para espiar las conexiones y registrar el nombre de usuario y la contraseña, con el fin de acceder a las cuentas de los usuarios. Si una pieza de software permite ver los archivos privados de otro usuario, eso es una vulnerabilidad y el exploit es el software que permite verlos. Si la cerradura de una puerta se puede abrir sin su llave, eso también sería una vulnerabilidad. El exploit sería la herramienta necesaria para abrir la cerradura.

Veamos un ejemplo informático: EternalBlue. El nombre en clave de un exploit contra el sistema operativo Windows empleado por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) al menos durante cinco años hasta 2017, cuando los rusos lo robaron. EternalBlue explotaba una vulnerabilidad en la forma en que Microsoft implementaba el protocolo Server Message Block (SMB) para controlar la comunicación cliente-servidor. Debido a la forma en que Microsoft había codificado dicho protocolo, un atacante podía enviar un paquete de datos cuidadosamente diseñado a través de Internet a un equipo con el sistema operativo Windows y ejecutar un código arbitrario para controlarlo. Básicamente, la NSA era capaz de explotar EternalBlue para comandar remotamente cualquier ordenador con Windows a través de Internet.

Hay muchos tipos de personas (con diferentes conjuntos de habilidades) relacionadas con los hackeos y el término «hacker» está relacionado con todas ellas de forma confusa. Primero, está el hacker creativo, que usa su experiencia y su curiosidad para descubrir la vulnerabilidad y crear el exploit. En el caso de EternalBlue, fue un informático de la NSA quien lo descubrió. En el caso de la doble laguna fiscal irlandesa, fue un experto en derecho fiscal internacional quien estudió minuciosamente las diferentes leyes y cómo interactuaban entre ellas.

En segundo lugar, está la persona que utiliza el exploit. En la NSA, fue un empleado quien lo desplegó contra un objetivo. En una empresa de contabilidad, sería el contable que aplica las leyes fiscales irlandesas y holandesas a la estrategia de evasión fiscal de determinada corporación. El hacker que realiza ese tipo de hackeo se aprovecha de la creatividad de otra persona. En el mundo de la informática, los llamamos burlonamente « script kiddies»21* . No son lo suficientemente inteligentes o creativos como para descubrir las cosas por su cuenta, pero pueden ejecutar programas informáticos (scripts) y se aprovechan del resultado de la creatividad de otras personas.

Por último, está la organización o persona a cuyo servicio se realiza todo esto. Aquí podemos hablar de la NSA cuando se dedica a hackear una red extranjera, de Rusia cuando hackea a EE.UU. o de Google con el código fiscal.

Todo esto es importante, porque vamos a hablar con mucha frecuencia de cómo los ricos y poderosos hackean los sistemas. No quiero decir que la riqueza y el poder hagan que ningún hacker sea mejor técnicamente, pero sí le proporcionan mejor acceso a las herramientas para hacerlo. Como en el caso de Estados Unidos, Rusia o Google, que pueden contratar a personas con la experiencia técnica necesaria para hackear con éxito muchos sistemas.

Los hackeos se descubren y se inventan. Para ser más específicos, se descubre la vulnerabilidad subyacente y luego se inventa el exploit. Se emplean ambas palabras indistintamente, pero prefiero el término «descubrir» porque refuerza la noción de que la capacidad está latente en el sistema incluso antes de que alguien se dé cuenta de su existencia.

Lo que sucede una vez descubiertos depende de la persona que haga el descubrimiento. Por lo general, la persona u organización que descubre el hackeo lo utiliza en beneficio propio. En los sistemas informáticos, podría tratarse de un hacker o una agencia de inteligencia nacional como la NSA, o cualquier cosa intermedia. Dependiendo de quién comience a usarlo y cómo lo haga, puede que otros lleguen a conocerlo o no, o que también lo descubran por su cuenta. El proceso puede tardar semanas, meses o años.

En otros sistemas, la utilidad del hackeo depende de la frecuencia y la forma pública en que se use. Los delincuentes pueden aprovechar de forma ocasional alguna vulnerabilidad de un sistema bancario y permanecerá sin ser detectada por el banco durante años. Un buen hackeo del código tributario proliferará con facilidad porque quienquiera que lo conozca probablemente venderá su conocimiento22 del mismo. Una manipulación psicológica inteligente podría hacerse pública cuando suficientes personas hablen de ella, o podría mantenerse oculta durante generaciones.

Tarde o temprano, el sistema reacciona. El hackeo puede ser neutralizado si la vulnerabilidad subyacente es parcheada. Con esto quiero decir que se actualiza el sistema para eliminar la vulnerabilidad o hacer que sea inutilizable. Sin vulnerabilidad, no hay hackeo posible. Así de fácil.

Pero esto implica que hay alguien que controla el sistema objetivo y está a cargo de cualquier proceso de actualización. Esto es obvio si el sistema es, por ejemplo, el sistema operativo Microsoft Windows o cualquier otro paquete de software grande; para eso está el desarrollador. Empresas como Microsoft y Apple se han vuelto muy eficientes parcheando sus sistemas.

Esto también funciona con el software de código abierto y de dominio público; por lo general, hay una persona u organización que se ocupa de ello y el código está ahí para que todos lo vean. No funciona tan bien con el software de bajo costo del Internet de las cosas (IoT), que en su mayoría está diseñado en el extranjero, con un margen de beneficio mínimo, por equipos de software que se han disuelto hace mucho tiempo. Peor aún, muchos dispositivos IoT no se pueden parchear. Y ello no se debe a que no se sepa cómo hacerlo: en muchos de estos dispositivos el código informático se incrusta en el hardware y, por tanto, son inherentemente «imparcheables». Este problema empeora a medida que las líneas de producción se disuelven y se cierran las empresas, dejando atrás millones de dispositivos huérfanos conectados a Internet.

En los sistemas técnicos, los hackeos suelen parchearse tan pronto como se descubren. Este proceso no funciona tan bien con los sistemas sociales abordados en este libro. La actualización del código tributario, por ejemplo, requiere un proceso legislativo de, al menos, un año de duración. Además, las personas que se benefician del hackeo también presionan para evitar que se produzca ningún cambio en la ley. Puede haber un desacuerdo legítimo sobre si determinado hackeo beneficia o no a la sociedad. Y, como veremos en gran parte del resto del libro, los ricos y poderosos tienen una voz descomunal en lo que nominalmente constituye el proceso democrático para resolverlo.

Si el sistema no se parchea, entonces el hackeo se integra en las reglas del sistema. Se convierte en la nueva normalidad. Entonces, lo que comienza como un hackeo se convierte rápidamente en un negocio (como de costumbre). Ese es el recorrido de muchos de los hackeos no técnicos de los que hablaré aquí.

Capítulo 5

La ubicuidad del hacking

Sin importar cuán seguro pueda ser un sistema, siempre habrá vulnerabilidades y será posible hackearlo. En 1930, el matemático austrohúngaro Kurt Gödel demostró que todos los sistemas matemáticos son incompletos o inconsistentes. Sostengo la teoría de que esto se cumple también de manera más general. Todos los sistemas tendrán ambigüedades, inconsistencias y descuidos, que siempre se podrán explotar a favor de alguien. En particular, los sistemas formados por reglas, necesitan salvar la delgada línea entre ser completos y comprensibles, dentro de los muchos límites del lenguaje y la comprensión humanos. Si combinamos esto con la tendencia natural de los seres humanos a saltarse límites y restricciones, y con la inevitabilidad de la existencia de las vulnerabilidades, obtendremos siempre el mismo resultado: todos los sistemas son hackeados todo el tiempo.

El Club Penguin era un juego en línea infantil de Disney que estuvo funcionando entre 2005 y 2017. Siempre nos ha preocupado que los niños se comuniquen con extraños a través de Internet, por lo que Disney creó el modo «Ultimate Safe Chat» que prohibía el texto libre y restringía los mensajes que se podían enviar a una lista preestablecida. La idea era evitar que los niños mantuvieran charlas libres con depredadores mientras jugaban. Pero los niños son niños y querían conversar entre ellos. Así que hackearon esta restricción usando las posiciones corporales de sus avatares para comunicar cosas como letras y números.

Los niños son hackers naturales. No entienden la intención de las normas y, en consecuencia, no ven las limitaciones del sistema de la misma manera que los adultos. Abordan los problemas de manera integral y acaban hackeándolos sin darse cuenta. No se sienten tan limitados por las normas y, en definitiva, no entienden las leyes de la misma manera. Para ellos, llevar las reglas al límite es un signo de independencia.

Al igual que el Club Penguin, muchos juegos para niños han intentado restringir la comunicación para evitar la intimidación, el acoso y los depredadores. Los niños los han hackeado todos.23 Para eludir a los moderadores y a los filtros de malas palabras se emplean trucos como: el uso de errores ortográficos deliberados y de acrósticos, así como separar la información clave en varios tramos para que ninguno infrinja las reglas. Algunos sitios prohibían a los usuarios escribir números; la respuesta de los niños fue usar palabras: «won» en vez de «one», «too» por «two», «tree» por «three»24*, y así sucesivamente. Lo mismo con los insultos.

Los colegios han intentado restringir las formas de usar sus ordenadores y la respuesta de los estudiantes ha sido hackearlos. Se intercambian entre ellos los buenos hackeos. Cuando un distrito limitó los sitios web que se podían visitar, los estudiantes se dieron cuenta de que podrían saltarse estas restricciones, mediante el uso de VPN, que impedía que se detectara esta violación y se aplicaran restricciones. Cuando otro distrito bloqueó las aplicaciones de chat, los estudiantes descubrieron que podían comunicarse compartiendo un Google Doc.

Ese truco no era nuevo, incluso tiene nombre propio: « foldering».25