Tecnología > HISTORIA
Hackeó a la STM y al sistema de bicis de la IM: la historia de El Cuervo, una “ONG” de ciberseguridad
Hackeó a la STM y al sistema de bicis de la IM: la historia de El Cuervo, que se define como una “ONG”No vive de hackear y tampoco quiere dinero por eso. Se define como una ONG que busca ayudar a quiénes tienen sistemas informáticos vulnerables.
Ha detectado todo tipo de fallas: desde bancos a hospitales, desde proveedores de telefonía móvil hasta empresas grandes. Pero por lo que más se hizo conocido hace unos años fue por haber hackeado la STM: podía aumentar el saldo, clonarla y tantas cosas más.
¿Se autodefine como hacker? El Cuervo, como lo apodan, responde así. “Es como autodefinirse como una buena persona. No confíes en nadie que se autodefine como hacker, como yo no confío en nadie que se autodefine como una buena persona”.
Él prefiere describir cuál es su misión a la hora de analizar la seguridad informática del mundo que lo rodea. ”Quiero entender cómo funcionan las cosas que nadie me dijo que debería saber cómo funcionan”.
Este experto, que hizo su carrera de manera autodidacta en base a libros y a internet, agradece a quienes pusieron a disposición su conocimiento de manera gratuita para que él aprendiera.
En una charla con El Observador contó lo que ha hackeado y qué lo moviliza a analizar los sistemas.
El hacker de la STM
“Lo que tiendo a hacer es todo sistema que yo uso para mí, para mi vida, para pagar mis cuentas, para revisar mis datos quiero entender cómo funciona, porque yo estoy confiando en la palabra de alguien de que está todo bien, de que no hay macanas”, dijo.
De lo más conocido que hackeó fue la tarjeta STM. La vulnerabilidad más importante que encontró fue utilizando un lector NFC de bajo costo, un dispositivo que permite explorar cómo funciona el plástico por dentro. Con algo de paciencia, descubrió que podía acceder a las claves de seguridad de una tarjeta STM y, a partir de ahí, clonar tarjetas o alterar el saldo de las mismas sin autorización, llevando a la posibilidad de viajar gratis o con saldo ilimitado. Todo lo que hizo lo contó en su blog.
Quiso reportarlo: desde la comuna le pidieron que enviara un reclamo a buzón ciudadano. Cuando eligió sobre a qué división dentro de la Intendencia debía enviarlo lo hizo a necrópolis. “De todas las opciones que tenía era la única que en mi poesía tenía sentido”, dijo.
Hoy la nueva STM tiene un sistema más robusto, pero el Cuervo asegura que si alguien conoce las vulnerabilidades anteriores podría hackear la actual.
Tras esta investigación, un usuario le contó que le llamó la atención que un inspector en lugar de pedirle el boleto le leyó la tarjeta con el teléfono. Le preguntó al Cuervo si tenía información sobre esto. Y lo que descubrió es una historia que terminó con un final "tragicómico".
El hacker encontró una aplicación de Cutcsa “exclusivamente” para funcionarios. Al analizarla, se dio cuenta de que la aplicación podía interactuar con tarjetas STM de pasajeros. Esa app tenía la posibilidad de cargar y leer datos de viajes, toda esta información se enviaba a un servidor externo. Según descubrió, podría usarse para rastrear a los individuos y sus movimientos.
Cuando lo reportó en 2018, le contestaron con un meme. Finalmente, a la app la dieron de baja.
El hackeo a las bicicletas
Lo segundo más importante fue el sistema llamado Movete, que comenzó en 2015 y murió en 2019. Encontró vulnerabilidades que detalló paso a paso en un un nuevo posteo en su blog.
Allí explica cómo una persona con algunos conocimientos técnicos podía apoderarse de la cuenta de cualquier usuario y que luego de reportarlo al CERTuy (Centro de Respuesta a Ataques Informáticos) el sistema fue dado de baja.
Otros hackeos y el apoyo a la comunidad
El Cuervo tiene una caja donde ha analizado decenas de tarjetas de sistemas de transporte público. Y ha decodificado aquellas que tienen mejor y peor seguridad.
También, durante la pandemia, hizo un experimento al analizar cámaras de Uruguay con vulnerabilidades. Revisó todos los números IP y encontró que había “miles” con problemas. Desde cajeros a hospitales y hasta, paradójicamente, cámaras de empresas de seguridad. Aseguró que todo lo que encontró lo reportó.
“Hay una falacia que pasa mucho, que creo que lo hacen organismos y lo hacen empresas y en menor medida usuarios, que es creer que porque estás en Uruguay no sos un no sos un objetivo. Siempre cuento el mismo ejemplo: cuando conectás una computadora a internet y querés levantar tu sitio. Luego de que lo pusiste en internet a los diez minutos ya le van a estar dando de bomba para tratar de entrarlo”, señaló.
Más allá de todos los problemas que encuentra, considera que el eslabón más débil sigue siendo el humano. El Cuervo recibe “un montón” de mensajes que le piden ayuda porque le hackearon su cuenta de Instagram, de Facebook o su mail.
“Hoy en día el 90% de las estafas es por responder a una invitación externa”, dijo.
Hoy el hacker no es una persona de canguro negro escondido, con conocimientos muy sofisticados. “Puede ser el motochorro que hoy en lugar de salir a robar en el mundo físico, sale a robar en el mundo digital”, indicó.
Por eso, instó a sistemas abiertos, que revelen cómo están confeccionados para que reciban críticas y mejoramientos.
