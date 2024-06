Un chaval de 14 años en clase, sentado delante de un ordenador en el que ha metido un USB. Está aprendiendo a dar sus primeros pasos como hacker y no descansa ni en el instituto. Ese chaval, un año después, trabajando en un bar, ganando un dinero que no le llega para nada. Lo abandona a los tres meses. Ese chaval con 19 años, al otro lado del teléfono, ya ni se plantea un trabajo legal. Es un hacker profesional.

"Yo decía: 'Joder, no soy pobre del todo, como bien y todo, tengo donde caerme muerto'. Pero veía a los chavales de mi edad y decía: 'Este tío, joder, tiene aquí esto, tiene aquí lo otro'. Y yo, coño, me daba vergüenza pedir a mi madre", explica el hacker, que pide ser nombrado R4. "Me rentaba más estar aquí (hackeando). Me hago mis 1.000 euros en una semanita rápida y me compro la Play 5, un ordenador mejor, unas zapatillas Nike, invito a un colega de fiesta, invito a una chica de compras… Joder, renta, ¿sabes?, el dinero que te da y encima siendo menor, te renta, está bien".

Con 19 años, R4 ya ha tenido tiempo de cambiar varias veces de especialización. Empezó "sacando logs de usuarios de bancos", después, duplicando las webs de los propios bancos que vendía a terceros para que cometieran estafas, después, lo que más dinero da: el hackeo y robo de datos personales para su posterior venta. Cinco años de experiencia como hacker y ya tuvo un susto con la justicia, "un problemilla" que le ha hecho replantearse su forma de trabajar. Ahora es más discreto. Gana menos, pero aprende más.

19 años. No se plantea un trabajo legal. En realidad, uno sí: "Si me llega una oferta de trabajo un día de alguna empresa de ciberseguridad me voy sin pensármelo dos veces. Voy, pillo y me meto y ya está, calmado".

—¿Dejarías de hackear?

—"No, también haría algo de fondo, porque me gusta a mí también en el lado malo, porque aprendes más. Un hackeo difícil te da adrenalina, como si metes un gol en la final de la Champions. Dices: 'Soy yo, tío, soy yo, lo he hecho yo y esto es mío'".

El valor de los datos

Una sucesión de noticias sobre robos masivos de datos de grandes empresas han puesto el foco en las últimas semanas sobre la ciberseguridad en España. Banco Santander, Telefónica, Iberdrola, Decathlon España, Ticketmaster y Dirección General de Tráfico (DGT). Todas ellas admitieron que hackers habían logrado acceder a sus sistemas y robar datos de cientos de miles de clientes. Un bien muy preciado en el mercado negro con el fin de ser usados posteriormente para lanzar operaciones masivas de estafas online.

Estas estafas se llevan a cabo a través de mensajes sms, de Whatsapp, correos o incluso llamadas en las que los delincuentes intentan hacerse pasar por la empresa de la que la potencial víctima es cliente o por un conocido, una técnica conocida como phishing. Normalmente, los estafadores solicitan datos bancarios que permitan consumar el robo de dinero o, directamente, piden a la víctima que realice un ingreso a una cuenta o un 'bizum'. Cuanto más específicos sean los datos robados, mayor valor tendrán en el mercado negro.

"Simplemente con una lista de correo, los delincuentes ya tienen direcciones que saben que están operativas a las cuales pueden lanzar campañas fraudulentas con correos maliciosos para comprometer sus sistemas", explica Manuel Ransán, responsable de conocimiento y concienciación de ciudadanos y empresas del Instituto Nacional de Ciberseguridad de España (Incibe). "Si, además, saben que esa base de datos es de un cliente de la empresa equis, pueden personalizar los mensajes fraudulentos, o relacionarlos con otra información de la base de datos para hacerlos mucho más personalizados".

R4 certifica que los datos de simples usuarios que puede robar un hacker a cualquier gran empresa o incluso a partidos políticos tienen un valor casi insignificante para los estafadores, pero la cosa cambia cuando se trata de trabajadores de empresas importantes. "Tu información vale dos céntimos, porque nosotros no valemos nada básicamente", sentencia el hacker. "Pero hay gente decente, gente que trabaja en empresas como Google, ahí ya sí que se vende más caro. Gente que trabaja de administrador en algún sistema y sí que se vende más duro. Porque ahí ya sí, con ingeniería social, te mandan un mensaje, te llama una latina y te dice: 'Mira, don Pepe, que vives aquí, no sé qué, pues tenemos que cambiar tu contraseña'".

Organizaciones transnacionales

Lo que antes eran intentos de fraude masivos y poco afinados se han convertido en campañas cada vez más sofisticadas tanto por la personalización de los mensajes como por la complejidad de la red criminal que las desarrolla, explica Gabriel Cea, jefe del grupo 2 de ciberataques de la Unidad Central de Ciberdelincuencia (UCC) de la Policía Nacional.

Se acabaron los tiempos de los lobos solitarios. Los ciberdelincuentes forman parte ahora de "auténticos grupos organizados transnacionales" con alto grado de especialización en las que las distintas capas -programadores, hackers, estafadores, etc.- contactan unas con otras a través de aplicaciones de mensajería como Telegram, Signal o Jabber. Todos los servicios son pagados mediante criptomonedas, haciendo aún más difícil la persecución policial de sus actividades.

Las organizaciones de ciberdelincuentes se han profesionalizado en los últimos años, según la Policía Nacional. Carlos Gámez

"No hay honor entre ladrones", sentencia Cea. "El mismo que roba datos para venderlos puede utilizarlos en una estafa o para bloquear una empresa y pedir un rescate por ella". El mando policial admite que, aunque no es siempre el caso, el tópico de que la policía siempre va por detrás de los ciberdelincuentes es muchas veces una realidad. "Al fin y al cabo, la mente del delincuente solo tiene que dedicarse a eso, nosotros tenemos que dedicarnos a ir a cogerlos pero además también tenemos nuestra propia vida. Hay delincuentes que se dedican las 24 horas del día a pensar en el mal", se lamenta.

Aunque es lo más habitual, la motivación de los hackers no es siempre económica. Grupos internacionales a los que se conoce genéricamente como APT -amenaza persistente avanzada, por sus siglas en inglés- se dedican a robar datos o documentos que, supuestamente, venden a precio de oro a gobiernos nacionales. El último de estos episodios lo denunciaron EEUU y Reino Unido, que acusaron al grupo chino APT31 de de orquestar una campaña de ciberespionaje contra políticos, periodistas, y empresas tecnológicas de estos países.

"Si se crea una cosa nueva en Estados Unidos pues los chinos cogen, lo hackean, lo roban y lo hacen ellos. Y eso es lo que hacen los APT, roban información, normalmente planos, de cazas, de tanques, secretos de estados, eso vale mucho, mucho dinero", explica R4, que admite que ese tipo de hackeos se salen de su ámbito de acción. Son trabajo de veteranos y hackers del máximo nivel.

Jóvenes y veteranos

La formación como hacker de R4 fue prácticamente autodidacta. Los grupos de Telegram, las plazas donde consiguió ir vendiendo poco a poco sus primeros trabajos y dándose a conocer a personas interesadas en sus servicios. "Dentro de Telegram te vas haciendo tus contactos, como en la calle, pero en tu casa", explica el hacker, que se fue haciendo un nombre vendiendo logs y, después, programando duplicados falsos de páginas de bancos.

"Las que yo programaba duraban más que las de otros, en plan un mes, así que dije: 'Con esto puedo hacer ya mi negocio'. Empecé a hacer buen dinero, la verdad, la gente me empezó a conocer y llegó un momento que dije: 'Esto no me llena. Necesito hacer algo más, necesito hacer algo importante'. Y empecé, pues, a hackear. En vez de que sea yo el que le doy la página web falsa ¿Por qué no cojo y le doy ya la propia información de los usuarios? Que valen más”.

¿Es tan fácil para un adolescente sin más formación que la aprendida por su cuenta lograr acceder a esos datos? Según R4, los sistemas de seguridad de los bancos son alarmantemente sencillos de atravesar para un hacker medianamente avezado. "Yo, de hacking, sabía, pero la típica, hackea de una panadería o una página web del instituto, no sabía más. Y dije: 'Hostia, pero esto es muy grande para mí, ¿no?'. Empecé a contactar con gente, y me decían: 'No, no, es igual'", asegura R4. "Si yo hackeo ahora mismo la página web de mi instituto, por así decirlo, es lo mismo que hackear la página web de un banco".

Los dos grandes perfiles de 'hackers', según la Policía Nacional. Carlos Gámez

En el mundo del hacking hay dos perfiles. Uno, el mayoritario, es cosa de jóvenes, en muchos casos menores de edad, que se dedican a aprender haciendo trabajillos por encargo y forman la tropa rasa de las organizaciones criminales en el ciberespacio. El otro, los veteranos, con mayor conocimiento y centrados solo en los trabajos más grandes.

Así lo describe R4, que afirma que "en este mundo, hay gente joven y gente muy adulta, no hay punto medio". A la misma conclusión llega el jefe policial Gabriel Cea, que describe ambos perfiles como "un chico joven que está empezando en el tema de la ciberseguridad, que tiene ciertos conocimientos y ciertas inquietudes" y "gente mucho más profesionalizada, que ya tiene conocimientos de verdad, expertos en ciberseguridad que, en un momento dado, han decidido utilizar esos conocimientos que han ido adquiriendo para el mal en vez de para el bien".

La posibilidad de pasar del primer grupo al selecto segundo escalón lo marca, en muchas ocasiones, que la policía no trunque una prometedora carrera de un joven hacker que se pase de frenada con alguna acción. Generalmente, en busca de prestigio entre sus iguales. Uno de esos errores tan habituales en los jóvenes -sobre el que prefiere no dar detalles- fue el que hizo a R4 replantearse su camino. Ahora el hacker ya solo hackea por encargo. ¿Para quién? Cuando menos sepa él, mejor.

"No me voy a hacer ya el chico duro por grupos ni tal porque ya no me renta. Yo ya prefiero ganar 5.000 euros menos y estar solo con esta gente. Así aprendo y estoy tranquilo", afirma R4, que con 19 años, ya está entre los más mayores de los jóvenes. "Básicamente lo hacía por sentirme mejor. A lo mejor ganaba 7.000 euros en tres semanas y me los gastaba en apuestas o en coger y decir: 'Mira, invito hoy yo'". Ninguno de sus amigos del mundo físico sabe realmente a lo que se dedica. Es, en sus propias palabras, "un chico tranquilo". Un chico tranquilo, con miles de euros en criptomonedas almacenados en algún lugar del ciberespacio.

"Es como meterte cocaína"

En toda la conversación, solo una vez transmite R4 algo de conciencia sobre las consecuencias de su actividad delictiva. ¿Has sentido cargo de conciencia?: "Sí, por las estafas. A mí no me gustaba, llegó un punto que no me complacía del todo. No, es que no soy yo, ¿sabes? A mí no me han criado así de robarle la tropa. Es que no soy yo".

De momento, el chaval que empezó hackeando como hobby en un ordenador del instituto está libre. Con 19 años, ya es casi un veterano y ha aprendido hasta dónde puede llegar y qué líneas no le interesa cruzar. Pero sigue en ello, sigue sin plantearse un trabajo legal.

Solo, quizás, alguno en ciberseguridad. Un empleo decente que pueda sacarle de una situación tan arriesgada como adictiva: "Es como meterte cocaína, tío, tú empiezas metiéndote cocaína y llega un punto que, si no te la metes para tomarte una caña, no tomas la caña. Si cogen y me llaman (para trabajar en ciberseguridad) de puta madre, claro. Si no, siendo realista, yo creo que probablemente seguiría haciendo lo mismo con un trabajo de mierda, secundario, para que la gente no me joda y ya está".

