Martes, 14 de Noviembre de 2017: ¿Cual es tu mejor hackeo?

Querido diario…

Ya tengo amigos, y me llevaron al cine… y a comer. Tengo un amigo, bueno… hay que guardar las identidades de todos.. pero tengo un amigo pipope, un veracruzano, una regia, una paraguaya, dos bogotanas y una argentina. y hoy comiendo les expliqué básicamente como me ganó la vida. Ósea no justamente la parte fea donde tengo que pasar varios de cocaína de un país a otro, sino lo que hay detrás y a lo que hace mucho tiempo me dedicaba… vulnerar sistemas.

Y les hice una simple demostración en donde entré a un CMS interceptando las credenciales de uno de ellos. De lo más simple, luego les expliqué como podía saber la posición exacta de una persona a través de un web service, comprometiendo su celular con un SMS. ¡Básico!.

Unos sushis más tarde, creo que mis nuevos amigos me tenían un poco de miedo. Nunca he entendido eso, los amigos no se hacen cosas malas, así que no tendrían porque preocuparse, yo jamás les haría algo. Pero ellos estaban asustados, y una de ellas me preguntó.

– Oshe pibe, deja ver se entendo; eres jodido pelotudo que haces todo de todos, podrías sacarme mis nudes del Tinder y contarle a todos mis secretos. Pero, ¿alguna vez has hecho algo bueno con todo eso?, ¿algo que la gente diga wow, el vendetta, jodido boludo que bueno que estaba aquí?.

Y recordé que si, en efecto… una vez hice algo bueno.

Corrían los años del 2013, yo trabajaba como pentester en el área de consultoría de una empresa de data centers en México. De pronto un cliente pidió hacer una consulta y me mandaron a mi; realmente no sabía ni que querían, a veces pensaba que era un incidente, tal vez dimensionar un proyecto, no tenían idea.

Me comuniqué con el cliente y me dijeron si podía recuperar una contraseña de Facebook, teoricamente un profesionista no debiese hacer eso; pero ya estoy tan acostumbrado que dije “claro que si, sin problemas”. Al día siguiente tomé el autobus a la ciudad donde debía de realizarlo y me fui.

Un día antes le pedí ciertas cosas: un servidor con Backtrack (en ese entonces aun no era Kali) y una dirección IP homologada. Mi idea, simple.. montar un SET con Facebook y atraer a la víctima, ¿qué podía salir mal?.

Al llegar a las oficinas me di cuenta que el cliente no era cualquiera cliente, era una agencia de inteligencia. Entré y me llevaron al site donde estaba el servidor; me pusieron una cámara al lado y me empezaron a grabar. Era algo extraño, pero seguí trabajando. De pronto escuché un grito y entró un tipo medio de avanzada edad muy algo y gordo, me jalo del cuello y gritó:

– ¡Traíganme a ese hijo de la chi&%/( para acá!

Las personas que me habían recibido, que hasta donde sé eran como los encargados de sistemas, se disculparon por el comportamiento del tipo y me llevaron a una oficina donde estaba allí sentado. Me miró, me hizo una seña para que me sentase, se sentó y sacó una pistola que pusó de forma firme en el escritorio que nos separaba.

– ¿Quién chin&/( eres tú que le moviste algo a mis servidores?

Como consultor amable le intenté explicar lo que estaba haciendo a lo que sólo me grito varias cosas que no puedo escribir; luego me empezó a preguntar algunas cosas a modo de control, y cuando pudo verificar que yo realmente era quién decía ser, me dijo:

– Bien, te voy a explicar el problema.

La situación era está. Me encontraba en un área de inteligencia del estado; había un tipo que enamoraba niñas, las secuestraba, las violaba, las descuartizaba, guardaba todo eso en vídeo y luego lo vendía en la deep web. Ya llevaba varias víctimas y unos días antes había secuestrado a una niña de 16 años; así que mi misión era hacerme pasar por su hermana y obtener el password de algo que me persistiese obtener su ubicación.

¿Era complicado?, bueno en realidad relativamente pero todo se volvía complejo. No era lo mismo estar intentando obtener una contraseña cuando sabes que si no encuentras nada bien, porque el cliente está seguro y se la encuentras, igual bien porque demostraste que estaba inseguro; a que de tus acciones dependa la vida de alguien.

En ese entonces yo no estaba envuelto en problemas como los actuales; era una persona normal con un empleo normal.

Al final lo conseguí, si usé SET, me hice pasar por la hermana de la niña secuestrada y mandé una imagen por el chat de Facebook. Hoy en día cuando se manda una imagen por el chat de Facebook se carga la imagen al servidor y obvio tiene una ruta diferente; en ese entonces no, se copiaba el link, se precargaba y hacia la petición hacia la imagen original. Por lo que obtuve la IP y pude dar una localización aproximada que mediante técnicas policiales sirvieron para encontrar al tipo.

No, la historia no acabó bien, la niña no se puedo salvar, pero al menos se evitó que volviese a pasar; y el tipo fue capturado. Cuando me fui de la oficina del cliente estaba dandole unos tehuacanazos y con el fiscal inventando una historia coherente para poder justificar que estuve realizando acciones ilegales para encontrarlo.

El general me invitó unos tacos de carnitas; uno de los agentes me preguntó como modificar el fstab en Linux. Y tomé mi autobus para regresar a la ciudad. Una semana más tarde renuncié y me fui a vivir a Aguascalientes.

Fue un proyecto raro, pero probablemente es una de las pocas veces en las que algo que hice tuvo un impacto positivo.

Sé que he hecho muchas cosas malas y no se compensa, pero podría hacer cosas buenas, sólo… supongo mi destino es hacer todo mal.

Cuando platiqué eso mis amigos dijeron “wow”, y sólo dije “si, wow… pero, mira.. tengo tu password”. Se rieron y pensaron que había sido broma mi historia. No lo había sido, pero creo que es mejor… soy vendetta, yo siempre soy mala persona.

Marcar el Enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *