En la Dark Web podemos encontrarnos de todo, tanto páginas de información como medios de comunicación reputados. También podemos encontrar páginas sobre actividades ilegales. Entre eso y ciertos mitos sobre ella, hay miles de personas que van buscando todo tipo de información.
Una de las preguntas más recurrentes en estos medios es la de cómo hackear el Facebook de nuestra pareja o amante. Para comprobar hasta qué punto es útil o fiable la información que circula en la Dark Web sobre este tema, hemos decidido navegar en las profundidades de la red y comprobar en primera persona qué es lo que se dice y si sirve para algo.
Para ello hemos indagado en una comunidad donde se ha tratado este tema con cierta regularidad, y hemos intentado descubrir si existe un método con el que poder hacerlo. Y estas son las conclusiones a las que hemos llegado.
Aprender a hackear: el camino largo
Lo primero es lo primero: en Hidden Answers hay miles de hilos sobre el tema. Es una de las preguntas clásicas de muchísimos usuarios el entrar en la Dark Web: ¿cómo consigo hackear una cuenta de…? Es cierto que hay personas que saben mucho sobre hacking navegando por ella, pero no es el hervidero que series como CSI: Cyber han querido vender al gran público.
En un hilo de la versión inglesa se introducen ciertos conceptos que pueden servir como punto de partida. Ahora bien, para llegar a dominarlos de forma correcta es necesario invertir mucho tiempo para aprender su funcionamiento y su uso. Estos conceptos son los siguientes:
- Phishing. Se trata de enviar un email fraudulento a la víctima haciéndose pasar por un servicio legítimo, de forma que se la engañe para que nos proporcione sus credenciales de acceso, generalmente haciendo que haga clic en un enlace especialmente preparado.
- Keylogger. A grandes rasgos, se lo puede definir como un malware que registra las pulsaciones en el teclado de un usuario. Las víctimas se pueden infectar con ellos de diversas maneras: a través de una persona que tenga acceso físico al ordenador de la víctima y que lo instale en la máquina o a través de un archivo de instalación corrupto.
- Por fuerza bruta. Literalmente, consiste en intentar adivinar la contraseña de la víctima sentándose delante de un ordenador tecleando contraseñas hasta que el atacante dé con la correcta.
- Remote Access Tool (RAT). Se trata de un malware que habitualmente se clasifica como un troyano. A través de este troyano se consigue acceso remoto al PC de la víctima, con lo que no es necesario tener acceso físico al mismo. Usando una de estas herramientas se puede espiar cualquier actividad de una máquina, ya que se diseñan para dotar de control total a los atacantes. Es uno de los métodos de espionaje de la NSA.
Estos conceptos, si bien se usan de forma recurrente como parte del lenguaje de la seguridad informática, presentan desventajas importantes a la hora de atacar el hackeo de una cuenta de Facebook. La principal es que, como ya hemos dicho, para dominar gran parte de ellos hace falta práctica y tiempo. Y en el caso de los ataques por fuerza bruta, podemos estar tecleando contraseñas indefinidamente sin conseguir nada.
En otro hilo de la versión en español se ofrecen manuales sobre hackingpor si quien pregunta quiere intentarlo por sus propios medios. Dichos manuales, por cierto, se pueden descargar desde un cyberlocker situado en la Clear Web. Ni siquiera son recursos ocultos: es información que cualquiera que sepa qué busca puede encontrar.
Esta información está dirigida a personas que deseen aprender conceptos de seguridad informática en general. En ningún momento se dice que sean conceptos que indiquen una forma clara sobre cómo hackear una cuenta de Facebook: sólo son líneas generales sobre cómo empezar a documentarse sobre el tema, y realizar unas primeras prácticas.
La Clear Web está llena de manuales que tratan este asunto. Algunos incluso están planteados como cursos online. Por tanto, no es necesario acudir a la Dark Web en busca de esta información como ya hemos comentado.
El timo de los hackers de alquiler
Según otro hilo que aparece en la versión en español, si alguien dice que puede, probablemente esté intentando timar a quien quiere conseguirlo. En la Dark Web podemos encontrar páginas con supuestos hackers que ofrecen sus servicios al mejor postor, como por ejemplo Rent A Hacker. Esto no viene sino a ser una manifestación del lado más morboso de la Hidden Web: ese supuesto paraíso de hackers y cibercriminales.
En el caso de Rent A Hacker, nos encontramos con una persona cuya publicidad no tiene desperdicio:
¡Hacker experimentado ofreciendo sus servicios!
El hacking (ilegal) y la ingeniería social son mi negocio desde que tenía 16 años. Nunca he tenido un trabajo a tiempo completo, con lo que he tenido tiempo más que de sobra para mejorar como hacker y ganar un buen montón de dinero en los últimos 20 años, aproximadamente.
He trabajado para otras personas antes, y ahora también ofrezco mis servicios a quien esté dispuesto a pagarlos.
Este supuesto hacker cobra 200 euros por hackear una cuenta de Facebook. Dice que tiene mucha experiencia en su modelo de negocio y en ingeniería social, que puede manipular a cualquiera. Sin embargo, ¿son legítimas este tipo de páginas?
Según lo que se comenta en este hilo en DeepDotWeb, no lo son en absoluto. Distintos usuarios intentaron contratar los servicios de este hacker de alquiler, y al parecer (y tal y como ya comentábamos más arriba) han pagado por humo. Se han dedicado a engordar los bolsillos de uno de los muchos timadores que hay sueltos por Internet, no sólo en la Dark Web.
En otro hilo de respuestas en la Clear Web, en este caso en Quora, se advierte de que los hackers no se dan publicidad de esta manera. Cualquiera que lo haga, seguramente esté intentando estafar a quien busca contratarlo.
En otro artículo publicado en Forbes, se dice que incluso existen sitios en la Clear Web como Hacker’s List que apestan a estafa desde lejos: ni existe una protección para los usuarios que intenten contratarlos, ni existe un método de pago seguro para quienes lo hagan. Si necesitábamos una confirmación de que estos servicios son legítimos, en su inmensa mayoría está claro que no lo son.
Vale, entonces ¿qué se puede hacer?
Algo en lo que todo el mundo (usuarios y medios) parece estar de acuerdoes en que, para conseguir las credenciales de acceso al Facebook de una víctima, probablemente haya que tener acceso físico a su ordenador o recurrir a la ingeniería social.
La ingeniería social como método de ataque está muy extendida en la actualidad, debido a que el eslabón más débil de la seguridad de un usuario es el propio usuario. Tal y como comenta otra persona en una de las respuestas más completas que hemos encontrado, la única forma que funciona de verdad es confiar en «la estupidez humana».
¿A qué se refiere con esto? A que es más fácil intentar engañar al usuariopara que nos de amablemente sus credenciales de acceso, que intentar conseguirla por nuestros propios medios. Quienes usan la ingeniería social se preocupan de conocer muy bien a su víctima, llegando hasta el punto de poder manipular sus emociones para conseguir lo que quieren. Pueden incluso construir un perfil de la misma con sus publicaciones en redes sociales.
Por si fuera poco, existen recopilaciones de herramientas informáticaspara atacar al elemento humano, y que están agrupadas en el Social Engineering Toolkit. Esta recopilación se puede encontrar en Kali Linux, una distribución orientada a la auditoría de seguridad.
Supongamos que conseguimos robar las credenciales de acceso de la vítcima usando este método. Aún con toda la información en la mano, pueden pasar varias cosas:
- Facebook informa al usuario a traves de cuenta de correo de que se ha accedido a su cuenta desde otro dispositivo. Es posible que la propia red social ni siquiera deje entrar al atacante por no ser el dispositivo habitual, de modo que envía al propietario de la cuenta la dirección IP, el sistema operativo que usa y, además, su geolocalicación. Teniendo en cuenta que Tor no es totalmente anónimo, se podría localizar al atcante.
- Si el usuario tiene activada la autenticación en dos pasos, el intento de ataque probablemente quedará frustrado.
En pocas palabras, es casi imposible hackear una cuenta de Facebook. A un experto le llevaría muchísimo tiempo conseguirlo, debido a las trabas que la propia red social ha puesto para intentar asegurar al máximo las cuentas de sus usuarios. Y si para alguien con muchos conocimientos en la materia es muy complicado, no digamos para un usuario cualquiera.