@isitreallysafe

El 11 de abril de 2005 Zone-H publicó una nota en la que se leía “Rafael Núñez, venezolano de 25 años de edad, fue detenido el martes 5 de abril en la ciudad de Miami. Las autoridades del FBI lo acusan de haber penetrado ilegalmente en un sistema computacional militar usado por la Fuerza Aérea (americana) para coordinar el entrenamiento de su personal».

«Rafael Nuñez (RaFa), former member of the hacker gang World of Hell was arrested in the Miami airport by ICE on April 2. According to arrest warrants unsealed three days after his arrest, he broke into a US Air Force computer server in Denver Colorado which provided training for Air Force personnel in 2001.

«The reputation of Rafa as a world-famous hacker is known by many, but to more is his reputation for helping others. Rafa is also known for his computer security advisements to the New York Times, PC-World, Computer-World, Security Focus, as well as many other media outlets.”

zone-h.org

El ataque consistió en haber conseguido desplegar un banner en los monitores de personal militar, con el mensaje ‘Besa mi trasero porque el tuyo es mío!’, junto con un link que dirigía a una página que decía pertenecer a un grupo de hacking llamado World of Hell. Adicionalmente, de acuerdo a las investigaciones del agente especial Steven O’Neill del Defense Criminal Investigative Service, Núñez perpetró ataques contra sistemas computacionales de la DISA (Defense Information Systems Agency) que facilitaban el entrenamiento de personal operativo de la USAF (fuerza aérea americana). Según la acusación, RaFa también accedió a información que podía comprometer la seguridad de un programa administrado por DISA y causó la inoperabilidad de esos sistemas por 10 días, causando pérdidas económicas considerables.

RaFa, así conocido entonces, quien pensaba asistir a un entrenamiento de actualización en seguridad informática al que había sido enviado por la entidad para la que entonces trabajaba, fue detenido el 5 de abril de 2005 por orden del Fiscal del Distrito de Colorado Bill Leone.

Rafa, ya no el RaFa de esa época, volvió a su patria después de haber estado detenido durante 9 meses en una cárcel americana. Él es, hasta donde mi conocimiento llega, el único experto en seguridad informática de un país suramericano que puede, con conocimiento de causa, hacer ver tanto a los oficiales de seguridad de la información de las empresas como a los mismos expertos que a veces cambian su sombrero de blanco a negro en sus ratos libres, sobre los riesgos de no asegurar adecuadamente las propias redes y/o de jugar con fuego.

Amablemente, Rafa ha aceptado conceder una entrevista para El Lado Oscuro de Internet, que transcribo a continuación:

Lado Oscuro (LO): Rafa, cómo te iniciaste en el mundo de la seguridad informática?

Rafa: Me inicié cuando participaba en una comunidad de programadores llamada Box Network de Slovakia; empecé allí como diseñador gráfico y posteriormente fui conociendo expertos en el área de seguridad informática y me fui empapando con el tema, muy interesante por cierto.

LO: En las notas de prensa que fueron publicadas con motivo de tu arresto en Miami, se lee que reconociste haber cometido un error y que aceptaste el castigo como una consecuencia justa a tus actos; sabiendo que para tí debió ser una experiencia muy difícil, pensaste alguna vez que algo así te podría pasar?

Rafa: En aquella época de WoH, nunca pensé que me podría pasar algo así, debido a nuestra forma de trabajo, éramos invisibles. Sin embargo luego del tiempo, con la fama y los errores de otros miembros, conllevaron al arresto nunca pensado.

LO: Tú lograste convertirte en un miembro muy importante del World of Hell (WoH), un grupo de hacking muy renombrado en esa época; cómo lograste contactarlos y cómo fue que tu posición se hizo tan importante al interior de WoH?

Rafa: Ellos me contactaron por mi nombre en Box Network, un miembro en específico. Luego de ingresar a WoH, efectué parte de la faena como un juego masivo, que por la notoriedad me posicionó entre el grupo en poco tiempo.

LO: vnunet.com, en una nota del 14 de enero de 2002, comentaba acerca de ti que habías realizado ya 500 defacements en los 14 días de ese año. Cuál era el sentido de realizar tantos ataques?

Rafa: Resulta que habían scripts automáticos haciendo defacements y era algo consecuentemente masivo. El sentido para esa época era algo ególatra en referencia a WoH como el mejor grupo de defacers, en los actuales momentos no tiene sentido hacer esto, es contraproducente perjudicar y violentar servidores sin permiso, además es un delito informático.

LO: Hoy tú estás dedicado a proveer servicios de seguridad informática; qué opinión te merece el estado de esta área de estudio y trabajo en nuestros países, es decir, crees que tenemos expertos suficientemente calificados y con bastante experiencia, como para asumir que nuestras empresas están seguras?

Rafa: Claro que si, he trabajo con personas muy preparadas en el área. Cada día va creciendo la curiosidad a la seguridad informática y por ende vendrán expertos para asumir la seguridad de nuestras empresas.

LO: Cómo ves el estado de nuestras fuerzas armadas? Sí Tenemos policías o militares expertos en hacking capaces de realizar investigaciones en línea y de encontrar a los atacantes?

Rafa: En realidad nunca he tenido acercamiento con fuerzas armadas de Venezuela ni de otro país, solamente con un cuerpo policial (CICPC) nacional, la división contra delitos informáticos y financieros, ellos están bien preparados en el área investigativa y tecnológica, he escuchado que dicho cuerpo es uno de los mejores posicionados en América Latina, acotando que no tienen recursos económicos apropiados y hacen hallazgos increíbles.

LO: Recuerdo un comentario de un ex Agente de la National Security Agency que, relatando apartes de una vieja investigación suya, comentaba que un atacante le decía ’tu tomas tanta agua como yo hackeo; mientras tu te dedicas a muchas investigaciones al tiempo, yo solamente me dedico a hackear. Por esto nunca vas a tener mi nivel’. ¿Qué comentario te merecen las palabras de ese hacker?

Rafa: Es relativo, porque el ex Agente de la Agencia posiblemente no tendrá el nivel de conocimientos del hacker, pero el hacker no tendrá el nivel de conocimiento del ex Agente en área de Inteligencia, Investigación, etc. Además el hacker acota un condicional de _tiempo_ es decir que si el Agente no estuviese en muchas investigaciones lo más probable es que pudiera ser como el, cuestión de dedicación. Tu pregunta me recuerda a una entrevista que me hizo John Swartz del New York Times, él me preguntó, ¿por qué hackeas? Y respondí: ¿por qué comer? Era una necesidad en aquella época, posiblemente como tomar agua, sin embargo son comentarios ególatras de: ‘yo soy mejor que tu’ y en _esencia_ nadie es mejor o peor que nadie.

LO: Quisiera pedirte un consejo para los jóvenes que, en sus ratos libres, se dedican a hackear o a realizar ataques por pura curiosidad y/o por darse a conocer en el mundo del hacking.

Rafa: Les aconsejo aquellos jóvenes que se den a conocer como creativos en el área de seguridad informática, por ejemplo haciendo alguna herramienta o programa que ayude a mejorar las funciones que competen al área, que estudien los métodos de defensa también. Que se dediquen a beneficiar y no a perjudicar. Porque si siembran cactus no pretendrán agarrar las bellas rosas.

LO: Tu eres budista practicante; recorres el Camino del Diamante. Qué ha aportado esta práctica filosófica o religiosa a tu práctica profesional?

Rafa: El budismo no es una filosofía, como muchas personas la consideran, en parte podría ser especialmente si consideramos que las enseñanzas son completamente lógicas. El pensamiento claro es esencial para el desarrollo total de la mente. Pero, ¿por qué no es una filosofía? Porque sus enseñanzas transforman a todo aquel que se involucre con ellas.

La filosofía explica las cosas a nivel de las palabras y las ideas, pero cuando volvemos a poner los libros en la biblioteca nos damos cuenta de que no ha habido un cambio substancial en nosotros. El budismo por el contrario trabaja con nuestra totalidad. Nos conduce a transformaciones permanentes puesto que nos da la clave para entender los eventos internos y externos que tienen lugar en nuestra experiencia diaria.

Tampoco se sostiene el budismo como una religión, es cierto que al ser clasificado como religión el budismo ha podido derivar ciertos beneficios prácticos como trabajar sin ánimo de lucro, sin embargo, calificar al budismo como religión es un punto que merece un amplio debate. Por un lado el budismo no es una «fe». Por otra parte, entre el budismo y la religión hay una diferencia fundamental, basada en el significado mismo del termino «religión».

En latín «re» significa «otra vez» y «ligare» significa reunirse, por lo que la religión trata de reunir a los seres o guiarlos de vuelta hacia algo. El budismo, por el contrario, no busca en el pasado. Si alguna vez nos hubiéramos caído de un paraíso, este no seria confiable porque existiría la posibilidad de volver a caer. La verdad, para ser absoluta, tiene que ser cierta en todos los tiempos y lugares. En conclusión, sí me ha ayudado mucho.

LO: Rafa, mil gracias por darnos este agradable rato. La experiencia que viviste fue, sin duda, muy dura, pero creo que ha sido muy provechosa para ti y que lo será para muchos. La mejor de las suertes!

Rafa: Gracias a ti Carlos, muy amable de tu parte por darme la oportunidad de poder compartir mi experiencia con nuestros amigos del blog. Excelente Sitio. Un abrazo. Éxitos.

Carlos S. Álvarez
blogladooscuro @ gmail.com
@isitreallysafe