Confesión de un hacker: cómo un experimento accidental dejó sin conexión a miles de personas en Brasil

Cuando se habla de hackers, a menudo la imaginación dibuja escenarios de caos digital: personas que rompen sistemas deliberadamente por beneficio, diversión o ideología. Pero detrás de muchas historias hay algo más: psicología, conflictos internos y decisiones tomadas al borde de lo permitido. Un exintegrante de una comunidad clandestina decidió contar su pasado, explicando por qué no solo importa el poder técnico, sino también la capacidad de detenerse a tiempo.

A mediados de la década de 2000 participó en numerosas operaciones en las que accedió a servidores importantes e infraestructuras de distintos sectores. Sin embargo, su objetivo no era destruir ni tomar control total de las redes. Para él, lo más importante era no perder el control sobre sus propias acciones y su entorno. Si el resultado no era predecible, prefería no intervenir. Según sus palabras, esto distingue a quienes hackean por investigación de quienes lo hacen sin importar las consecuencias.

Uno de estos episodios ocurrió en 2008. Junto con un compañero, accedió al servidor de un proveedor de internet mediante escritorio remoto; todo resultó sorprendentemente fácil: la contraseña coincidía con el nombre de usuario. En el servidor se encontraba instalado un software para la gestión de terminales satelitales. Entre los dispositivos estaban los entonces populares módems de las series HN7000S y DW7000, que funcionaban mediante el sistema VSAT. Esta tecnología se utiliza para conectar regiones remotas y suele dar servicio a empresas, entidades gubernamentales y estructuras militares.

En lugar de usar la infraestructura para insertar código malicioso o controlar canales satelitales, los hackers decidieron no correr riesgos. La decisión de no explotar el acceso fue deliberada: el nivel de incertidumbre era demasiado alto, y el más mínimo error podía tener consecuencias graves. Al final, el servidor solo se utilizó para almacenar contenido ilegal: una especie de compromiso entre la tentación y la contención.

Otro episodio tuvo lugar a principios de los 2000, cuando el grupo accedió a la infraestructura de un banco. En aquel entonces, muchas instituciones utilizaban protocolos obsoletos como Telnet, que transmiten datos sin cifrado. Los hackers se conectaron a uno de estos bancos mediante acceso terminal, usando credenciales de administrador. Resultó que estaban dentro del centro de operaciones de seguridad (SOC), ubicado directamente en el centro de datos del banco. Desde ese momento, tenían acceso prácticamente a toda la red interna.

Paradójicamente, todo ocurrió porque el administrador simplemente no hacía nada. No supervisaba la actividad y estaba viendo sitios de contenido explícito. Los hackers tuvieron la oportunidad de robar dinero, modificar el sistema o extraer información confidencial. Pero no lo hicieron. En su lugar, se limitaron a observar lo que ocurría, mientras capturaban paquetes de tráfico para analizarlos después. El dinero del banco, recuerda el narrador, estaba asegurado, pero detrás había personas reales, su tiempo, su trabajo y sus esperanzas. Fue una de esas veces en que la conciencia del daño real pesó más que la tentación de obtener ganancias.

Sin embargo, no siempre lograron evitar consecuencias. En 2009, en un intento por ampliar su botnet, decidieron instalar firmware malicioso en módems DSL ampliamente utilizados. Con un script en Python automatizaron el proceso de cargar el firmware modificado en dispositivos vulnerables. En teoría, eso les permitiría crear una red distribuida de nodos controlados. En la práctica, todo salió mal. Por falta de comprensión de la arquitectura del hardware y del código original, el nuevo firmware dañaba los dispositivos: ya no encendían ni podían ser recuperados.

Como resultado del ataque, más de 100 mil módems en Brasil quedaron fuera de servicio. Esta campaña se convirtió en uno de los primeros ejemplos conocidos de un ataque del tipo Phlashing: una forma de denegación de servicio en la que el dispositivo se daña físicamente mediante la instalación de un firmware defectuoso. Según el participante, la conciencia de las consecuencias no llegó de inmediato. En ese momento, simplemente pensaron que el experimento “había fracasado” y pasaron a otro objetivo. No se tomaron en serio la responsabilidad por los dispositivos rotos ni por las personas desconectadas.

Con el tiempo, a medida que maduraba, su visión cambió. Empezó a preguntarse cada vez más: ¿realmente cada servicio vulnerable merece ser hackeado? Muchos en la comunidad hacker justifican sus acciones diciendo que es necesario “enseñar” a los propietarios de sistemas a configurar la seguridad correctamente. Pero en la práctica, estos argumentos suelen ocultar un simple deseo de autoafirmación y búsqueda de adrenalina. Rechazar un ataque se convierte en una señal de madurez, no de debilidad.

Él subraya que la posibilidad de hackear no justifica la acción. Hackear sin propósito, sin entender las consecuencias y sin querer asumir responsabilidad no es poder, sino solo una ilusión de poder. La verdadera fuerza está en saber detenerse.