HackBack! Conversando con Phineas Fisher
El hacking como Acción Directa contra el Estado de la Vigilancia
Hablamos con el personaje de renombre internacional, y auto-proclamado anarquista, Phineas Fisher, sobre las motivaciones políticas tras sus ataques a la industria de la vigilancia, al partido en el poder en Turquía, y a la policía catalana. Les dejamos con una retrospectiva sobre los exploits de Phineas Fisher, seguidos de algunos comentarios.
Texto original y entrevista por BlackBird. Publicado originalmente en crimethinc, existe también una traducción en francés.
El hacking se describe con frecuencia como algo técnico, una simple cuestión de ataque y defensa. Pero las motivaciones lo son todo. La misma técnica que construye herramientas opresivas puede ser usada como un arma para la emancipación. El hacking, en su forma más pura, no es una cuestión de ingeniería: se trata de aprovechar las dinámicas de poder, cortocircuitando la tecnología. Es una forma de acción directa para el nuevo mundo digital en el que todas vivimos.
En las sombras del tecno-imperio, la escena del hacking se había convertido en
un objetivo para la cooptación y la infiltración. Pero el underground no puede
ser erradicado: de tiempo en tiempo, una nueva acción asoma a la superficie.
Algunos de los hackers que admiramos son programadores que producen
herramientas para la privacidad y el anonimato en línea. Otros grupos crean y distribuyen medios alternativos. Y luego están aquellos que hackean a los
vigilantes.
Los Círculos de Hackers en Desaparición
Para cualquiera que estuviera prestando atención, no era un secreto que, por largo tiempo, el underground hacker estaba también tomando posiciones en la guerra en curso. Aún así, el espíritu que caracterizó a la escena háztelo-tu-misma de las últimas décadas, y su pasada efervescencia, se encontraba moribundo, o al menos se había retraído a lugares menos visibles.
Los pesimistas lamentaban la muerte de las comunidades hacker, en una proliferación de deserciones individuales. Es cierto que el complejo tecno-militar consiguió, con éxito, engrosar las filas de los mercenarios: hay siempre un precio al que una mentalidad particular puede ser comprada, ya sea con dinero, éxito, el sentimiento de poder, o la posibilidad de jugar con juguetes caros mientras se persigue a lo que la propaganda estatal etiqueta como «el enemigo».
El underground buscaba multiplicar las zonas de opacidad y resistencia, mientras la percepción pública se desplazaba hacia la normalización de las relaciones entre la actitud hacker y la tecnología. Los hackers ya no eran vistos como adolescentes rebeldes provocando el caos en un juego casual (como se ven en las películas de los ochenta o los noventa como Juegos de Guerra o Hackers), sino como una unidad altamente especializada de las fuerzas militares de ocupación – o como sus contrapartes al nivel de los villanos de cómic. En sus versiones mas despolitizadas, el término «hacker» se entiende como otro nombre para el emprendedor capitalista, un mito que puedes encontrar en los hackerspaces de cualquier ciudad gentrificada.
La industria de la vigilancia estaba tan orgullosa de su negocio que no se molestaba en esconderlo. Las fuerzas armadas y los fabricantes de programas espía enviaban representantes regularmente a los eventos de la comunidad hacker, abiertamente en pos de reclutar nuevos talentos. Circularon vídeos que promocionaban tácticas de «seguridad ofensiva», vendiendo sus productos a las agencias de inteligencia, corporaciones y gobiernos.
Es un viejo cuento: los estados buscan legitimidad a ojos del público, haciendo ver que persiguen los crímenes que muy pocos se atreven a cuestionar: pornografía infantil, tráfico de personas, terrorismo internacional. Pero tan pronto como las armas de vigilancia están en sus arsenales, comienzan a dirigirlas hacia la población al completo.
Fue en el curso de esta cooptación de la escena hacker que el complejo de la vigilancia experimentó un importante e invisible golpe. Un individuo, o tal vez un grupo, respondió hackeando varias compañías de programas espía y publicando lo que descubrió en sus sus arcas secretas. Cuando estás combatiendo una industria que depende del secretismo, hacer públicas sus comunicaciones internas y herramientas puede llegar a ser una estrategia muy eficaz.
El hack a GammaGroup
En agosto de 2014 tiene lugar un hackeo contra el «GammaGroup», un fabricante anglo-alemán de programas espía. Le sigue un volcado de información de 40GB. Tras el hack, nada sobre GammaGroup sigue siendo secreto: todo se hizo público, incluyendo la lista de sus clientes, el catálogo de productos, la lista de precios, y los programas mismos, junto con sus manuales de capacitación.
El producto estrella de la compañía, un programa llamado «FinFisher», había sido vendido a más de 30 agencias gubernamentales y fuerzas de policía para espiar a periodistas, activistas y disidentes. La compañía había estado infectando a disidentes en Baréin y Egipto a raíz de la Primavera Árabe. Solían usar ingeniería social para conseguir que las víctimas, inadvertidamente, instalaran el software.
Era así que funcionaba: un disidente en el punto de mira hacía click en un documento adjunto a un correo, o abría un enlace que instalaría el software. A partir de ese momento, los clientes que habían comprado el softwra espía a la compañía tenían control sobre la computadora o celular infectados, monitorizando los micrófonos, las llamadas de voz y de skype, así como los correos electrónicos, por no mencionar el acceso continuo la la información de geolocalización.
Inmediatamente después del hackeo, alguien comenzó a twitear desde una cuenta haciéndose pasar por el relaciones públicas de Gamma. El volcado de información no era suficiente: un hacker bajo el sobrenombre de PhineasFisher publicaba un archivo de texto vieja escuela, conteniendo un tutorial con los detalles del ataque a Gamma:
«No escribo esto para presumir de lo leet haxor que soy, ni de las habilidades que necesité para ownear a los Gamma. Escribo esto para demistificar el hacking, para mostrar lo simple que es, y con la esperanza de informar e inspirarte para que salgas ahi fuera y te pongas a hackear. Quería
mostrar que el hack del Gamma Group no era nada del otro mundo, y que tú tambien tienes la habilidad de salir y realizar acciones similares»
El nombre de aquel phile era «HackBack – Una guía DIY para aquellos sin la paciencia para esperar a las filtraciones». Para una comunidad hacker gravemente herida, en la que la solidaridad original, la libertad y el intercambio abierto de información estaba perdiendo terreno contra la comodificación del conocimiento a manos del mercado y el imperio, esta acción fue una bocanada de aire fresco. Y, quizás, el comienzo de un movimiento.
HackedTeam
«Quieres más. Tienes que hackear a tus objetivos. Tienes que superar el cifrado y capturar los datos relevantes, ser sigiloso y no dejar rastro.
Exactamente lo que hacemos».
Estas palabras pueden oírse en la publicidad de un producto llamado «Da Vinci», un «sistema de control remoto» que era comercializado a nivel mundial por una compañía italiana llamada «Hacking Team».
Una compañía que con tan poco pudor se llama a sí misma «Hacking Team» es lo que surge cuando un departamente de policía local se aproxima a dos hackers de talante mercenario con una petición de colaboración. La unidad de cibercrimen de la policía de Milán decidió que el monitoreo pasivo no era suficiente para sus propósitos: para satisfacer sus necesidades ofensivas, le pidieron ayuda a Alor y Naga, dos famosos hacker italianos, para modificar una herramienta de hacking bien conocida de la que eran autores.
Quiénes eran sus clientes y cómo conseguían infectar y espiar a sus víctimas era algo que permaneció secreto hasta el 5 de Julio de 2015. Aquél día, la cuenta de twitter de la compañía anunció: «Como no tenemos nada que esconder, vamos a publicar todos nuestros correos electrónicos, archivos, y código fuente», con enlaces a más de 400 GB de datos. Como era de esperar, la compañía argumentó inicialmente que la filtración estaba formada por información falsa, pero falsificar tal cantidad de datos hubiera sido casi imposible.
Los que sospechaban que el ataque tenía un aire familiar no se equivocaban: el apodo sarcástico de Phineas Fisher estaba una vez más detrás de la filtración.
Al publicar toda la información interna -y más tarde, otro tutorial (esta vez, ¡en castellano!) en el que se exploraban detalles técnicos y motivaciones políticas- Phineas Fisher ofrecía al mundo evidencias innegables acerca de las operaciones de los 70 clientes de Hacking Team. La mayor parte de estos clientes eran militares, fuerzas de policía, y gobiernos federales y provinciales; los beneficios totales ascendían a más de 40 millones de euros. Acá puedes consultar la lista completa de clientes.
El volcado de información confirmaba que había buenas razones para la demanda global en pos de privacidad y anonimato. Junto con las revelaciones de Snowden, la capacidad de mirar entre los sucios secretos de Hacking Team nos dio una idea de la magnitud de la campaña de vigilancia dirigida llevada a cabo por gobiernos y corporaciones. Sabemos hoy que hay muchas otras firmas sin escrúpulos que se benefician de operaciones de espionaje ilegales -tales como el israelí Grupo NSO, recientemente involutrado en la infección dirigida de los dispositivos de periodistas que investigaban la masacre de Iguala en México,
empleando trucos bajos para atraer a sus víctimas a comprometer sus propios dispositivos.
Este desenmascaramiento anónimo de Hacking Team fue una operación brillante con repercusiones globales.
Un Mercado de Secretos
Un negocio como el de Hacking Team depende del secretismo. Para infectar a sus objetivos, en muchos de los casos se usa algo que se conoce como una «vunerabilidad de día cero», o «zero day» (1). Un «zero day» es una vulnerabilidad en un programa informático que aún no ha sido desvelada públicamente, y que puede ser aprovechada por cualquier que sepa de su
existencia para atacar programas informáticos, datos, o redes, en muchos casos implicando un control absoluto sobre los mismos. Recientemente, el capitalismo de la vigilancia ha creado una red de compañias que actúan a modo de brokers, comprando estas vulnerabilidades en el mercado negro – o de alguna tonalidad de gris. El precio para un sólo zero day puede variar desde unos 10 mil dólares hasta 300 mil o incluso un millón.
Las compañías de software espía como Hacking Team convierten estas vulnerabilidades en un arma, empaquetando juntas varias de ellas y vendiendo licencias a las fuerzas de la represión para que puedan simplemente «hacer click y espiar», con la posibilidad añadida de desarrollos a medida para penetrar en sistemas que pertenezcan a las víctimas elegidas.
La ventana de oportunidad para aprovechar estos «zero days» se hace más corta a medida que pasa el tiempo. Cuanto más usas el conocimiento de una vulnerabilidad desconocida, mayor es la probabilidad de que alguien se de cuenta del ataque y comience a investigar los agujeros que lo permitieron, y también crece la probabilidad de que otros grupos encuentren los mismos agujeros. La oportunidad de usar la vulnerabilidad termina cuando los programa en el dispositivo del usuario son parcheados para arreglar los errores: esta es
la razón por la que es tan importante mantener nuestros dispositivos actualizados. Sin embargo, hay casos en los que los fabricantes de nuestros dispositivos hacen el procedimiento de actualización difícil o incluso imposible.
Los brokers de vulnerabilidades y los fabricantes de programas espía hacen posible que personas técnicamente incompetentes puedan infectar, espiar y exfiltrar datos de sus objetivos sólo rellenando formularios y clicando en una aplicación web. Lo vimos cuando pudimos diseccionar programas como XKeyscore o la suite Galileo de Hacking Team.
La ironía es que el vender a los maderos herramientas de espionaje a prueba de tontos puede darte una falsa sensación de seguridad. Phineas encontró que los sistemas comprometidos usaban contraseñas de absolutos pringados, tales como «P4ssword», «wolverine» o «universo». ¡Nadie está a salvo de las reglas básicas de la seguridad operativa!
¡Hackear el planeta! Erdogan y Rojava
Otra ventaja del ciberespacio es que no tienes que viajar para atacar un objetivo al otro lado del mundo. Ni siquiera tienes que salir de la cama, aunque con frecuencia es una buena idea hacerlo para mantener una mente equilibrada.
«Hackeé al AKP», anunció Phineas en 2016 después de haber penetrado en los servidores del partido turco en el gobierno. Un volcado de más de 100GB de archivos y correos del AKP fue enviado a las fuerzas revolucionarias en el Kurdistán. Phineas tuvo que darse prisa porque Wikileaks publicó la información antes incluso de que todos los datos llegaran a descargarse por completo.
Información no es lo único que llegó al Kurdistán gracias a las acciones de hacking: Phineas también explotó una vulnerabilidad en los sistemas de seguridad de un banco no divulgado, y envió 10.000 euros en bitcoin al Plan Rojava, un grupo que coordina la solidaridad internacional con la región autónoma de Rojava.
De Mossos y Chivos Expiatorios
En mayo de 2016, después de ver el documental «Ciutat Morta», Phineas pensó en probar un ataque simple contra las Fuerzas Policiales catalanas. Ciutat Morta es una película sobre el caso 4F, un caso famoso en la historia del estado español en el que las fuerzas represivas torturaron y mantuvieron en prisión a varios jóvenes en un acto de venganza después de que un policía quedara en estado de coma por el impacto de una piedra tras una carga policial en el centro de Barcelona.
Como resultado de esta nueva acción de hacking, usando una vulnerabilidad conocida, Phineas defaceó el sitio web del sindicato de la policía catalana, con un manifiesto irónico en el que se declaraba que la organización «se refundaba como un sindicato en favor de los derechos humanos». Un volcado de información con los detalles personales de 5.000 cuentas policiales se hizo público, junto con un video-tutorial de 40 minutos sobre las técnicas usadas en el hackeo.
Poco después, la policía llevó a cabo varios registros en centros sociales y hacklabs de Barcelona, y afirmó haber apresado al famoso hacker. Sólo algunas horas después, los periodistas reportaban que la misma persona les había contactado para decir que estaba «vivo y en buen estado», y que las fuerzas policiales sólo habían apresado a un chivo expiatorio que había retwiteado la información publicada en los dumps.
Pero, ¿Quién diablos es Phineas Phisher?
Una de las consecuencias más interesantes de las acciones de Phineas Fisher es la mirada que puedes observar en los ojos de tus compañeroas hackers cuando conversáis sobre la cuestión. Esa sensación de complicidad inexplicable, de comunidad inconfesable, en la que no hace falta decir nada. Podría ser la persona que tienes enfrente, pero el que nadie necesite decir ni preguntar es justo parte de nuestro poder.
Los chilenos te dirán que es obvio que Phineas es latino. Los okupas en Karcelona juran que el tono les resulta familiar. Lo mismo con las compas italianas. Los usamericanos creen que habla como uno de ellos. Y luego está la premisa de sentido común: como todo buen hacker, Phineas debe ser ruso – uno de esos rusos que habla un español sorprendentemente bueno.
Hay desde luego algo familiar en las acciones de este fantasma: un profundo sentido de justicia e internacionalismo, y la sensación de que sus acciones continuarán bajo el radar, porque –como en el pasado– nadie puede creer que una persona que vive una vida por lo demás normal podría ser la mente detrás de semejantes hazañas.
Lo cierto es que a nadie le importa (excepto a los maderos, que deben estar pasando un mal rato identificando al personaje, a pesar de toda su parafernalia de modelización de adversarios y herramientas de análisis estilístico). No nos importa la identidad de la persona que hizo estas cosas. Nos da igual: cuando una identidad se quema, una nueva aparecerá. Una vez que te desprendes del culto a la personalidad, de repente ganas mucha libertad.
Lo que nos importa es que, quienquiera que sea, es una de nosotras, y sus acciones nos ayudan a ser conscientes de nuestro poder.
Estas acciones directas muestran que, aunque un gran esfuerzo y dedicación pueda a veces ser necesario para cultivar una habilidad concreta, la mayor parte del tiempo nada extraordinario es absolutamente necesario. Quizás no tienes una particular inclinación técnica, pero tal vez se te dan bien las personas: con frecuencia, ésa es la única cosa que hace falta para realizar un hack increíble. O quizás no provengas de un ambiente ténico, pero una perseverancia determinada y lúdica puede conseguir más que cualquier entrenamiento formal cuando se trata de abrir una brecha en el reinado de los burócratas de cubículo, a quienes sólo les preocupa hacer cumplir alguna normativa.
La seguridad no es una cualidad absoluta; nunca habrá un poder absoluto en el ciberespacio. En palabras de Phineas: «Ésa es la belleza y asimetría del hacking: con sólo 100 horas de trabajo, una persona puede deshacer años de trabajo de una compañía de varios millones de dólares. El hacking le da al desamparado la oportunidad de luchar y salir victorioso».
Las acciones de un hacker humilde pero motivado pueden llegar más lejos que los grandes, inflados egos de la industria de la seguridad, o los acacadémicos que no se atreven a pensar fuera de la casilla. No son siempre los grandes hacks los que cambian la realidad: alguien que aprende cómo permanecer anónimo, alguien que no tiene miedo y mantiene la disciplina necesaria para no filtrar detalles personales tiene de entrada una gran ventaja. No tener un ego que alimentar es también crucial en el juego de manter la libertad personal.
Al final, Phineas quedó en silencio. «Maté todas las cuentas porque no tenía nada más que decir». Y probablemente había sido suficiente. Algunas veces, una pequeña acción es todo lo que se necesita para movilizar el ánimo colectivo. Para hacernos conscientes de nuestro propio poder.
Epílogo: Los silenciosos años de las expropiaciones venideras
Phineas Fisher está muerto. Se trataba de algo más que un nombre: apenas la parte visible de una red subterránea de prácticas y deseos. No fue una, sino varias acciones. Guerrilla cibernética: atacar y esconderse.
Sin embargo, como cualquiera que haya escrito al correo electrónico de hackback puede atestiguar, Phineas aún disfruta de su libertad estos días. Involucrándose en una conversación apasionante, te demostrará que el estado no tiene un control absoluto. Tal y como le gusta repetir: es todavía posible atacar al sistema y salirte con la tuya.
Phineas se ha mantenido entretenido. Disfruta hablando desde las sombras sobre su nueva ocupación. Como nos dijo:
«La expropiación tiene algo de efecto inmediata material, pero realmente es una arma ideológica. Que la gente se ve que las reglas del sistema no son hechos inmutables, sino reglas que una minoría decidieron y que podemos
cuestionar, cambiar, e incluso romper. Cuando alguien roba un banco, el estado gasta muchísimos recursos en investigar, no porque gastar 100.000 investigando un robo de 3.000 tenga sentido económico. Gastan 100.000 para proteger la ilusión compartida de propiedad privada, para intentar extinguir ese espíritu rebelde que juega fuera de sus reglas.
Y Añade:
«Estamos en un momento único dónde la convergencia de nuevas tecnologías (Tor, bitcoin, darknet markets, etc) ha habilitado al crimen de una forma, y a una escala que está creciendo exponencialmente, que la policia no puede controlar. Pero no hace falta una carrera en informática para poder participar en este mundo de «cibercrímen», cosa que el ex-jefe del NSA Keith Alexander dice «es responsable por la redistribución de riqueza más grande en la historia
del mundo»
«En este gran proyecto de redistribución, la mayoría del «trabajo» no está hecho por hackers, sino por delincuentes de la calle, que saben buscar direcciones dónde se puede recibir correo y paquetes, usar un ID falso de modo convincente, y hacer llamadas con un burner phone. Que son todos los habilidades que necesitas para abrir contratos de celular y recibir unos nuevos, abrir cuentas bancarias y pedir préstamos y lineas y tarjetas de
crédito, hacer compras y recibir los paquetes, etc. Todo el mundo puede aprender a usar Tor Browser y bitcoin, ir a los darknet markets, y participar. Los mafias y el crimen organizado han reconocido este cambio, pero lxs
anarquistas abiertxs a ilegalismo y expropiación no se han dado cuenta que ya no estamos en los tiempos pre-internet, y que ya hay tácticas mejores que entrar en un sucursal bancaria con una pistola. Estamos en un momento único en la historia y tenemos una gran oportunidad. La policía y las fuerzas de seguridad y control no han podido mantenerse al ritmo, y tenemos que aprovechar.»
Desde luego que la tenemos. Larga vida al hacking, y a todas las expropiaciones silenciosas por venir.
1. Para aprender más sobre vulnerabilidades de software y la ciberguerra
gubernamental, mírate el documental «Zero Days», sobre el asunto «Stuxnet».