Hackers

7. Cultura hacker

[00:22:00] Entonces Manuel puede ser una persona muy interesante. La otra cosa que les iba a decir es la siguiente. Digamos que en todo ese proceso de conexión a internet y eso, aparece también un componente muy interesante que es el tema de la cultura hacker en Colombia. Entonces ahí pasa lo siguiente, cuando yo regresé a la universidad en el 95, en esa época empecé a trabajar con un investigador que había aquí que se llama Cristian Treft se fue para Estados Unidos en el 2000 y ya está que se jubila. Él trabaja en la Universidad de Grand Valley State University de Michigan, en Grand Rapids. Y pues Cristian ya había instalado Linux, yo sólo tenía experiencia de Unix por el trabajo de esta empresa en Israel y empezamos a trabajar juntos y Cristian tenía, algunos estudiantes que le administraban las máquinas. Hay una persona que en su momento fue el administrador de máquinas, él se metió en conflictos con grupos de otras universidades pero que puede ser interesante. Se llama Manuel Santander.

Manuel trabajó mucho ese tema, y hay una persona que estaba en la Universidad de los Andes en ese momento que se llama Jeimy Cano. Tengo entendido que es ingeniero de sistemas, pero él ha sido profesor de la Facultad de Derecho y toda la cosa. Y alguna vez hablando con ellos, contaban las travesuras en ese momento, cuando se apagaban los servidores y hacían ese tipo de cosas. Y los dos, tanto Jeimy como Manuel, he incluso también, Diego Zuluaga también de aquí de EAFIT han sido de los promotores del tema de la seguridad de la información en Colombia. Jeimy creó un grupo de Segurinfo en la Asociación Colombiana de Ingenieros de Sistemas (ACIS) y toda la cosa.

15. Seguridad de internet, hackers y rivalidad entre estudiantes

Laura Viviana Manrique Gómez [00:55:55] ¿Cuándo recuerdas que comenzaron a suceder eventos de seguridad, de hackers, de personas que querían intervenir, llegar a los servidores, dañar? No sé, ¿recuerdas esos primeros?

Gonzalo Ulloa [00:56:13] Uy sí, sí, sí, claro, como no lo voy a recordar. Fue con unos estudiantes de la Universidad de los Andes, que los hicimos expulsar. Claro. Había una guerra entre los estudiantes de la Universidad del Valle y los estudiantes de la Universidad de los Andes. Como los estudiantes de la Universidad del Valle estaban manejando los servidores, los de la Universidad de los Andes querían entrar a los servidores a piratearlos. Yo tenía un muchacho que era alumno mío, muy inquieto, pero era de esos que es lengua negra, es horrible, todo le parecía mal, nos criticaba todo el tiempo. Le dije, “Gustavo, mira, en vez de criticarnos, ayúdanos, ¿si? Ayúdanos, sentate a trabajar con nosotros en vez de estar criticando. Vea, es que esto no funciona, es que se les cayó, es que tiene un hueco de seguridad, no sé qué. Ayúdenos”. Entonces se volvió nuestro oficial de seguridad y él era muy inquieto en ese tema. Se dedicó a perseguir a los de la Universidad de los Andes que querían entrar a los servidores de nosotros, que los teníamos bien configurados pero de todos modos teníamos huecos de seguridad. Entonces Gustavo los pilló, le hizo la perseguidora, recogió pruebas y las mandamos a la Universidad de los Andes. Y allá como que les hicieron un proceso disciplinario y expulsaron a los muchachos. Yo no soy partidario de expulsar a un muchacho cuando hace travesuras porque todos los que hicieron internet hicieron travesuras. Todos fueron inquietos y eso es una muestra de la inquietud de un muchacho. Eso es más bien una muestra.

[00:57:58] Tuve un muchacho que lo expulsamos de la universidad, yo era el decano de ingeniería en Icesi, y lo expulsamos de la universidad porque hizo un fraude, se le metió al computador de un profesor y le sacó un examen. Pues sí, pero el profesor tuvo la culpa de dejar ese examen. Está bien, sancionémoslo, pero no lo expulsemos de la universidad. Un muchacho brillante. A nadie se le había ocurrido que él podía entrar por ahí. Pues él entró y lo pirateó. Y hoy en día tiene una compañía de internet, no se graduó, y sigue siendo un tipo brillante, un autodidacta. Entonces, ¿cómo vamos a echar a esa gente. Les digo, en esa situación, ustedes a Steve Wozniak lo hubieran echado de la universidad? ¿A Steve Jobs lo hubieran echado? Bueno, Steve Jobs no hizo travesuras, Steve Jobs se retiró muy temprano. Pero Steve Wozniak si, lo cogieron pirateando la red telefónica y haciendo la caja azul para hacer llamadas internacionales. Todo el mundo hace esas travesuras. Larry Ellison, el de Oracle, también. Todos. Entonces, ¿cómo vamos a cortar la creatividad de la gente? Entonces yo sí soy muy liberal en ese sentido, hay gente más conservadora, pero en Icesi no pude ganar. Todos lucharon, intenté que lo readmitieran pero no, no fue posible. Pero bueno, lo lamento. Y sigue siendo amigo mío. Ahora somos fotógrafos de pájaros ambos y nos vemos en el campo. Pero tengo buenas relaciones con ellos. Y con Gustavo Barreto, que es el hijo del muchacho este que nos hacía travesuras, Gustavo es muy querido, pues es medio hijo mío, hijo putativo.

11. El primer fraude electrónico Hackers

Pedro Villegas [00:38:22] Espera a ver si Google sabe. Creo que era Prieto. El caso es que esta persona logró un fraude... Soto Prieto….1993, cayó en Alemania Roberto Soto Prieto. Fue una cosa porque el tipo usando, desde adentro, o sea “inside-job” mandando un giro, esos usos iniciales, mando una plata no sé a dónde y se la llevó, y luego se fue de Colombia por años. Y por ahí lo cogieron muchos años después. Entonces, todo esto para decirte que cuando ya empiezas a meter dinero de por medio, empieza a ser más necesaria la seguridad. Yo te diría que tal vez en la Universidad de los Andesfue mi primera aproximación, hablando de criptografía, allá fue donde conocí a Milton Quiroga, y la importancia de que los mensajes estuvieran cifrados. Porque hay como un cifrado natural tecnológico, eso no lo escucha nadie, pero luego empezaban a aparecer cosas. Esto que te digo, medio anecdótico, de los tic tic y los teléfonos, pues luego el que sabe cómo es el protocolo del módem lo puede hackear. En TCP/IP me puedo meter y escuchar. Entonces yo creo que al comienzo tampoco había tanta intención maligna y por eso los primeros hackers era como por la medalla, ¿Te acuerdas? “Yo logré hacer esto.” O sea, era como “le puse la página y le cambié el logo a una gran compañía". Hoy no, hoy son multinacionales, hasta el gobierno, ustedes saben que el gobierno de Corea una parte de sus ingresos es por hackers profesionales, es otra cosa. Pero te diría que fue probablemente en la Universidad de los Andes con criptografía, con todos los temas de encriptación, porque hay que encriptar porque yo quiero que este mensaje llegue al otro lado y nadie le escuche, que eso vino mucho del mundo militar.

¿Si? era para otras cosas, entonces yo quiero que la transacción sea segura. Y los passwords y la seguridad de los passwords, cuando inventamos la banca móvil, la banca de internet, pero casi que comparado con lo de hoy era medio inocente, si quieres, era como pasitos pero hoy estamos expuestos a una cosa demasiado sofisticada. Pero te diría que por ahí fue como el primer contacto. Es decir, cuando las comunicaciones eran para propósitos más académicos, si quieres, o exploratorios, pero cuando empiezas a mover negocios empiezan también a llegar los interesados en los fraudes y toca poner la seguridad.

10. Ciberseguridad

Entrevistador [00:35:05] ¿Cómo fue tu entrada a la ciberseguridad? ¿Cómo llegaste a conocer, a absorber información alrededor de esta temática?

Pedro Villegas [00:35:23] Qué pregunta tan interesante. Pero mira. Mi primera experiencia con eso fue el lado de los hackers, yo creo. Porque en la Pontificia Bolivariana había muchos estudiantes costeños. Pues, no muchos, pero algunos, lo mismo que en la Universidad de los Andes. Entonces ellos venían y una llamada a larga distancia costaba, o sea, no era trivial, o ibas a Telecom, que era un sitio, o ellos se quedaban en una residencia o un lugar que contrataban, pero digamos que llamar todos los días a la casa, no estaba en el presupuesto de un estudiante. O sea, eso no era una posibilidad. Entonces ellos encontraron un sistemita de hackear los teléfonos públicos. Pero el teléfono era de disco, ¿Se acuerdan? Marcó el uno, dos, y eso realmente lo que tiene detrás es un swich. Si es el 1 hace tic, si es dos hace tic tic, si es el ocho, tic, tic, tic, tic, tic. Entonces ellos descolgaban el teléfono. Cuando utilizaba la moneda eso activa el disco, pero ellos encontraron que descolgaban el teléfono y solo con eso, colgando, marcaban. Entonces 236 era tic tic, dos, esperaban un poquito, tic tic tic, tres, y luego seis. Eso es súper sofisticado, pero es que nosotros éramos ingenieros electrónicos y sabíamos cómo funcionaba la central telefónica, y estos iban y hackeaban los teléfonos DPM así.

Eso de hecho terminó siendo una fuente de pérdidas para las empresas. Luego las empresas cambiaron los discos por los tornos, para hacer lo que tenemos ahora, pip, pip, pip. Entonces empezaron a construir aparatitos que hacían pip, pip y lo ponían en la bocina. Sí, pero eso hacían ellos. Yo creo que ese fue el primer fraude que hubo. Sí, como de ese tipo de cosas que son recursos. Tal vez en su momento no eran la preocupación, pero yo creo que es lo que pasa normalmente. En este mundo, aprovecho para contarte, hay un dilema entre funcionalidad y seguridad siempre. Si lo hago seguro no lo usa nadie. Y ahora es más evidente. Ustedes ven, las compañías que son más exitosas logran una poca fricción, pero suficientemente seguro. Ese es el reto. Entonces ahí yo creo que estamos privilegiando la funcionalidad. Pues si no me conecto con nadie, ¿Qué puede pasar? Pero en la medida en que aumenta la adopción, hay más gente, pues también llegan los defraudadores. En los datafonos esto pasaba. Esto que te digo que era solo usar unos minutos, luego empezó a pasar con los temas de internet.

No sé si te acuerdas un fraude, eso vale la pena que lo consulten un poquito, pero un fraude de los primeros que se hizo en Colombia, un tipo del Banco de la República que terminó en Suiza, en Alemania y luego lo capturaron, ¿Se acuerdan? Nieto, Prieto, algo, fue usando sistemas electrónicos. ¿No lo tiene en el radar?

10. Adicción temprana a internet

Jorge Giraldo [00:31:58] Me acuerdo el tema social, el tema de humanidades. Por ejemplo, me acuerdo en el año 96 le propuse al área de Psicología que se estudiara el tema de la adicción de internet. Estoy hablando que en el 96 ya la adicción era impresionante. En eso no me siguieron [en el área de psicología] porque no sabían mucho qué era el internet. Pero yo siendo profesor y empleado, veía chinos hasta las 3-4 de la mañana conectados, y se la pasaban viendo pendejadas en internet … a veces pues uno lo primero que uno hace es… ¡empezar a ver pendejadas!. Era una adicción. Yo vi mucha gente adicta a internet. Nosotros en la Universidad de los Andes y en ese tiempo, creo que hubo una explosión [de contratación] en el Centro de Cómputo éramos unas 10 o 12 personas para poder desarrollar todo lo que tocaba, o sea, para conectarse al mundo. Internet nos abrió el mundo gigante. Nos tocó trabajar en muchas cosas al tiempo, y lo que hicimos fue apoyarnos en los estudiantes. Yo inicié como un estudiante con Mauricio Pinilla. Luego, yo contraté a diez estudiantes. Tenía un grupo de diez estudiantes ayudándome a configurar, por ejemplo, en ese tiempo una de las máquinas importantes o de los servidores importantes era Sun Microsystems. Nos volvimos un sitio de Sun a nivel mundial en América Latina. Entonces me tocaba armar toda una biblioteca de cosas, gigante acá. Contraté uno o dos estudiantes para esto. ¿Cómo armamos la línea de atención a los estudiantes? Entonces [lanzamos] la línea de la 3333, si uno tenía un problema con cualquier cosa, llama al 3333. Esa es la línea de ese numerito me lo inventé yo. Contratamos a un estudiante y él me ayudaba entonces a armar la línea de soporte a los estudiantes.

Me acuerdo en el tema de ciberseguridad fue un tema muy complejo, porque se armaron unos grupos de la Universidad de los Andesde hackers. Me acuerdo de un grupo muy famoso que se llamó Los 69RS y ese grupo empezaba a jugar ahí, con las máquinas nuestras, atacarse entre unos y otros, a “mamar gallo”. Se tiraban las máquinas. La estrategia que hicimos con Hugo Sin fue reconocer que lo que teníamos ahí, en vez de unos hackers era mano de obra. Los llamamos y empezaron a trabajar con nosotros. Y de ese grupo, hoy en día, por ejemplo, Jeimy Cano trabajó mucho con la universidad y fue profesor también. Es también un gurú de seguridad. Nació de ese grupo, entonces fue uno de los que reconvertimos del lado oscuro, al lado bueno. Fueron y trabajaron con nosotros en el lado bueno. De todos esos pues tuvimos nuestro “Darth Vader“ y, por ejemplo, me acuerdo, tuvimos que sacar a un par de estudiantes de la universidad porque hicieron trampa mandando correos falsos que decían yo hice este trabajo con este compañero y mentiras, no lo habían hecho. Con investigación de seguridad encontramos que algunos hacían eso, e inclusive, alguna vez me llamaron del FBI en Estados Unidos porque había un pelado de la Universidad de los Andes que estaba tratando de meterse allá al FBI en Estados Unidos. Como éramos el dominio punto Co (.co), los que mandábamos en Colombia y yo era el responsable del dominio punto Co (.co), me llamaban del FBI: “Oiga, venga, hay un señor”. Me tocó llamar al padre Giraldo allá. Oiga, hay un estudiante de la Universidad Javeriana (Bogotá) que está haciendo hackeos. Muchos estudiantes involucrados con esto. Creo que ahí fue el nacimiento de todo un mundo de conocimiento impresionante. La explosión de eso fue muy chévere. Ver todo ese todo ese mundo.

5. El primer ataque hacker

Ya como un añito después de que nos metimos en eso, empezó a llegar la web como la conocemos con ese primer navegador que era Mosaic. Y a partir de ahí se empezaron a crear las primeras páginas, estando yo en el área administrativa, incluso creé mi propia página. Jorge Giraldo es un tipo de Ibagué…que no sé qué… y puse mi primera [página en línea], de las primeras páginas personales que hubo en Colombia. No estaba público en internet, pero yo armé mi HTML primero y ahí ya la podía ver en un servidor web. Decía “aquí está mi primera página”, [pero] no conservo esa página.

En mi caso particular, cuando empecé a ser administrador de las máquinas, estoy hablando del año 95, tuve mi primera mala experiencia con internet y yo creo que es de las de las primeras experiencias que hubo en el tema de seguridad. Yo creo que fui la primera persona que atacaron vía internet en Colombia, [el ataque] fue a mi o [mejor], a la Universidad de los Andes. Es una anécdota bien interesante. Yo creo que ahí nació el concepto de seguridad en internet en Colombia y es lo que me ha dado de comer toda esta vida, entre otras cosas. Hoy en día, yo soy reconocido como uno de los gurús de ciberseguridad por esa primera experiencia que no fue agradable. Me acuerdo de que el 4 de julio del año 95 ya teníamos un año de haber entrado en internet y hasta ese momento todo bien iba funcionando. Yo ya estaba de administrador de las máquinas. El 4 de julio fue festivo en Colombia, así como fue festivo en Estados Unidos, por aquí era de San Pedro y de San Pablo, por allá, era la fiesta nacional de Estados Unidos.

El 5 de julio a las 06:00 me llaman de la universidad: “Oiga, que no prende nada”. Los sistemas están apagados. Llego a la universidad y empiezo a ver la máquina. La máquina que estoy hablando es la que le daba internet a Colombia, el DNS de Colombia. La que sabía cuáles eran todas las páginas en Colombia o todas las direcciones en Colombia. Esa máquina estaba muerta. Y empecé pues a recuperarla. Me demoré como dos días recuperando la máquina. En ese tiempo no se hablaba de backups. Entonces reconstruir todo a mano. Me enteré luego después de la investigación que estaba haciendo, ya que el 4 de julio, día festivo en Estados Unidos, los hackers gringos que llevaban ya varios años sabiendo de lo que es internet y lo que era la inseguridad, habían estado jugando con una máquina por allá de estos “chibchombianos” en Colombia que no aseguraban esas máquinas y estaban jugando con mi maquinita y la volvieron un naco, pues nada menos y nada más, que la máquina principal de Colombia en internet.

Nos demoramos como tres días en eso y a partir de ahí, el orgullo propio de que la máquina que yo administro me la volvieron a naco, me empezó a carcomer. Empecé a investigar todos los temas de seguridad y pues hoy en día soy, y he sido durante toda la vida, el experto de ciberseguridad en Colombia en materia de internet. Ya la seguridad existía para los sistemas, para los bancos, para todo eso, pero seguridad en internet ahí fue la primera vez que nos atacaron, o sea, lastimosamente fue mi primera experiencia, pero fue la experiencia que me generó ser el gurú de seguridad en internet, en Colombia y uno de los pioneros en este tema.

12. Cultura hacker

Entrevistador [00:41:32] en esta época en la que era estudiante graduado y que hacía prácticas en el departamento de cómputo de la universidad, ¿No se estaba pensando en protocolos de seguridad, sino únicamente conectividad o eso era lo más importante?. ¿Recuerda algunos eventos de primeros hackers que estaban jugando a tratar de conectarse, cosas de ese estilo?

Milton Quiroga [00:42:02] Sí. Había una ética que tal cual, esta ética, la ves tal cual en el MIT, en Boston. Yo no sé si ustedes están familiarizados con los pranks, las chanzas de los estudiantes del MIT. Por ejemplo, hubo una que cogieron un carro de policía, lo desarmaron y lo subieron encima del domo y pusieron un muñeco de policía comiendo donas. Un carro de la policía del campus comiendo donas con café. Desde el punto de vista técnico, subir un carro a un domo eso es complicadísimo. Pero la ética, el ethos del MIT es: usted haga lo que quiera, desde que lo arregle después. Desde que lo deje como estaba. Entonces más o menos eso era lo que se veía. Lo que se hacía en la Universidad de los Andes en esa época. Usted puede entrar a curiosear, pero no haga daño. Vuelva y deje como estaba todo antes. Pero yo les quiero hacer notar que este ethos no es sostenible. Ahí hay una malicia de la gente para tratar de ir más allá. Eso era en esa época. Entonces yo voy, aprendo, curioseo, me unto de la tecnología, miro a ver qué puedo hacer, pero me retiro sin hacer daños permanentes. Es como muy inocente, pero era el ethos de la época. Es que el reto era yo quiero hacerlo, quiero hacer algo interesante, me estoy retando a mí mismo. Eso era lo que se estilaba en esa época. Hoy en día son otras cosas completamente diferentes. El tema de hacking hoy en día es de lo más siniestro.