6. Mis vacaciones de Navidad

En los días inmediatamente posteriores a desentrañar el ataque por IP-spoofing, mi vida no volvió a la normalidad, pues había mucho trabajo de limpieza y reconstrucción pendiente. Pero sí encontré tiempo para patinar al sol invernal de Baja California y hablé regularmente por teléfono con Julia, sopesando la posibilidad de que viniese a visitarme a San Diego. Buena parte de mi tiempo la dediqué a construir un router más seguro para mi red, que no sólo rechazara a los agresores sino que almacenara detallados archivos de registros y nos alertase rápidamente si éramos atacados. También Andrew trabajó largas horas descifrando los programas que los ladrones de datos habían dejado atrás, y juntos pasamos varios días completando los últimos detalles e intentando asegurarnos de que entendíamos perfectamente cómo habían violado nuestra seguridad.

Llamé a Toad Hall para preguntarle a John Gilmore por los primeros sondeos desde toad.com. Él se encontraba cada vez más incómodo debido a mi relación con Julia. Fue una conversación tensa. Le conté lo del ataque contra mis ordenadores y los primeros sondeos desde el suyo. Él examinó los registros de contabilidad que llevaba su ordenador y me informó que no había ninguna actividad sospechosa.

“Sabes tan bien como yo que si alguien irrumpió en toad podría haber alterado tus archivos de registros para ocultarse”, dije.

Más tarde hablé con Julia y ambos decidimos que el ataque era una asombrosa coincidencia. Sabíamos que yo no había estado implicado, pues había estado arriba lejos de los ordenadores, y nos dimos cuenta de que al plantear el asunto podíamos estar abriendo la caja de los truenos. ¿Había alguien tratando de tenderme una trampa a mí, o acaso a John? ¿O se trataba de algo del todo diferente? Resolvimos que lo mejor era no hacer nada, habiendo tantas posibilidades de que la gente se precipitase a extraer conclusiones erróneas.

En San Diego Andrew y yo empezamos a trabajar en la mejora del perímetro defensivo de mi red. Para muchas personas, la seguridad en Internet no requiere actualmente más que salir a comprar un sistema de los llamados firewall o cortafuegos, una solución tipo caja negra que sólo sirve para limitar el tipo de paquetes de información que puede entrar desde el mundo exterior. Yo nunca he creído que el mero hecho de reforzar los muros del castillo ofrezca una mejor defensa, de modo que lo que nosotros hicimos en cambio fue instalar trampas y alarmas en la red, para que nos resulte más fácil detectar y rechazar futuras intromisiones. Ariel fue mejorado una vez más, ahora con la instalación de unidades de disco más modernas. También escribimos un software que nos protegiese contra cualquier acción de IP-spoofing o ataques similares. Queríamos tener inmediata constancia de cualquier futuro intento de manipulación, y nos pusimos a modificar el software de nuestra red de forma que fuera imposible engañar a nuestras máquinas con una falsa dirección de Internet.

Diseñamos nuestro nuevo router de seguridad para examinar la dirección de cada paquete que circulase desde Internet a nuestra red. En caso de descubrir una dirección que al parecer proviniese del interior diría: “Un momento, esto no debería ocurrir”, y a continuación no sólo rechazaría el paquete, sino que además activaría simultáneamente una alarma.

Revolviendo por ahí rescaté una cantidad de piezas de recambio y configuré el router para instalarlo entre el mundo exterior y mi sector de la red del Centro de Superordenadores. Lo construimos de una SunSPARCstation que requisamos para ello en su emplazamiento del armario de cableado al lado de Ariel. Le dimos tres nombres. Si queríamos enviar paquetes al mundo exterior los mandábamos “al caos”. Si se enviaban paquetes a mis ordenadores se dejaban “a la casualidad”; al distribuidor en sí le pusimos “el abismo”.

En el meollo de nuestra defensa estaba una tecnología básica de red informática llamada filtración de paquetes. La posibilidad efectiva de escrutar y capturar paquetes individuales mientras se desplazaban por un cable surgió por primera vez a principios de los ochenta, porque los diseñadores de redes necesitaron una herramienta de diagnóstico para chequear sistemáticamente y poner a punto sus sistemas. Más recientemente, empero, la filtración de paquetes se ha convertido en una poderosa herramienta muy susceptible de ser mal utilizada. Ni la primera red de área local Ethernet ni las primera redes de ordenadores de Internet fueron construidas teniendo en cuenta los factores intimidad y seguridad. Eran simplemente proyectos de investigación diseñados para permitir a los científicos e ingenieros informáticos explorar la idea de enganchar ordenadores dentro de una oficina y entre ciudades y estados. Pero en el periodo comprendido entre los últimos años sesenta y el presente, las redes informáticas evolucionaron, hasta el punto de haberse convertido en parte integral del tejido de nuestra sociedad y no ser únicamente herramientas de investigación. Ethernet funciona anunciando cada paquete por toda la línea. Lo normal es que los ordenadores que están en la red escuchen los anuncios de los paquetes y simplemente cojan los que están dirigidos a ellos. El problema con la tecnología de Ethernet es que alguien puede hacerse con el control de un ordenador en la red y sencillamente vaciar todos los paquetes, estén o no dirigidos a él. Por lo general esa información no está cifrada y constituye un tremendo fallo de seguridad porque el sniffing o husmeo es una actividad pasiva. No hay forma de saber con certeza si los paquetes dirigidos a nuestro ordenador están siendo ilícitamente cogidos y examinados por otra persona.

Según fue aumentando el flujo de información por las redes de ordenadores, en cierto momento los malos de la película empezaron a utilizar filtros de paquete o sniffers, como se los llamó, para observar todo el tráfico que discurría por una red, reservándolo para más tarde extraer contraseñas y cualquier otro dato que circulase entre dos ordenadores.

Pero así como el filtrado de paquetes puede ser usado para invadir la intimidad, también puede ser utilizado para proteger y su seguridad por parte de los operadores de las redes, que de otro modo estarían inermes ante quienes atentan contra sus sistemas. Uno de los proyectos en los que he trabajado durante años ha sido el crear mejores filtros de paquete para estar al día con unas redes de ordenadores cada vez más rápidas. Como resultado, he sido criticado por los defensores de la intimidad en las comunicaciones informáticas a cuenta de haber mejorado una tecnología que en malas manos puede ser peligrosa. Algunos han sugerido incluso que estaba creando tecnología para Big Brother. Obviamente, lo mismo que numerosas tecnologías en este mundo, se puede hacer uso y abuso del filtrado de paquetes, pero en sí mismo no es más que una herramienta. Y las herramientas son únicamente eso, herramientas. La posibilidad de un mal uso no basta para disuadirme de desarrollar una herramienta, especialmente cuando tiene un papel así de vital.

La primera oportunidad que tuve de poner en acción esta tecnología contra un oponente real en la Red se presentó a comienzos de 1991 cuando recibí una llamada de Castor Fu, un ex-condiscípulo de Caltech. Castor había trabajado conmigo en Los Álamos continuando los estudios para graduarse en física en Stanford. En enero de aquel año advirtió que Embezzle, una de las estaciones de trabajo en el departamento de física de Stanford, mostraba un comportamiento extraño.

Investigando, descubrió que un intruso se había hecho con el control de una cuenta llamada Adrian, en desuso desde hacía tiempo, y la estaba utilizando como emplazamiento desde el que lanzar ataques a toda clase de ordenadores del Gobierno. Introduciéndose a menudo por teléfono en la red de Stanford, el pirata utilizaba seguidamente Internet para lanzar sus incursiones desde los ordenadores de la universidad. Irritado, Castor fue a notificarlo a los encargados de la seguridad informática de la universidad. Supo así que ellos estaban enterados del ataque pero habían decidido no hacer nada porque consideraban que era mejor dejar que el intruso continuase, para de ese modo tener alguna idea sobre sus propósitos, en lugar de quedarse totalmente a oscuras.

La falta de preocupación por parte de la universidad aumentó la de Castor, que me pidió que le ayudase en su labor de vigilancia. Instalamos software de control en su red y yo escribí un software que nos permitiese reconstruir a la manera de un vídeo los paquetes que capturásemos durante las incursiones. Al repetir la secuencia de datos podíamos ver exactamente lo que veía el intruso y observar cada uno de sus golpes en el teclado exactamente como los ejecutaba.

En esa época Stanford poseía un banco de modems de libre acceso que permitían a cualquiera conectar con los ordenadores de la universidad. Finalmente, descubrimos que el intruso era un joven holandés que parecía disponer de una cantidad considerable de tiempo libre para dedicarse a atacar a diversos ordenadores —sobre todo militares y del Gobierno— en torno a Internet. Castor supuso que era holandés porque usó la palabra probeeren, “intentar”, en holandés, como nueva contraseña creada para la cuenta robada. También notamos que los ataques se producían en correspondencia con las horas de los programadores en Europa. Durante varios meses vigilamos de cerca sus actividades, tratando de que no hiciera nada destructivo. Cuando efectivamente atacaba a otras cuentas de la Red alertábamos a la gente sobre los ataques.

Resultó que no éramos los únicos en mantener a Adrian bajo vigilancia. Más o menos por la misma época en que nosotros empezamos a seguirle los pasos, Bill Cheswick, un investigador en seguridad informática de Laboratorios Bell advirtió que alguien estaba usando a Embezzle en Stanford para husmear en el sistema de Laboratorios Bell en Murray Hill, Nueva Jersey. El lugar de limitarse a rechazar el ataque, Cheswick decidió jugar como el gato y el ratón. Creó un falso ordenador, al que él y sus colegas se referían como “nuestra cárcel”. Instaló el ordenador pasarela especial fuera de la máquina “cortafuegos” de Laboratorios Bell y creó un software de “cuarto de juegos” en el cual podía vigilar cada movimiento y cada golpe de teclado del intruso.

El holandés a quien llamábamos Adrian era conocido por el equipo de Cheswick como Berferd, por el nombre de la cuenta que había usurpado en Laboratorios Bell. Durante varios meses Cheswick estudió las actividades de Berferd, le proporcionó información falsa y trató de ayudar a la gente de seguridad informática de otros sitios que intentaba seguirle el rastro. Entretanto, se permitía alguna travesura de su cosecha: en el software que escribió para disfrazarse de sistema de Laboratorios Bell, insertó varios estados de “espera” con objeto de simular un sistema de ordenador ocupado. El atacante holandés debe haberse quedado muchas veces tamborileando en el escritorio con los dedos mientras esperaba, pero al parecer nunca se percató.

El intruso intentó alguna vez hacer algo abiertamente destructivo. En una ocasión Cheswick lo vio teclear la orden rm -rf /&, tal vez la más devastadora en el vocabulario de Unix. Cuando se la emplea desde una cuenta raíz hace que el ordenador recorra sistemáticamente todos sus directorios borrando todos los archivos. Aparentemente, Berferd quería cubrir sus huellas, sin importarle el daño que causaba. Dentro de los confines de la “cárcel” de Laboratorios Bell, aquella orden podía hacer poco daño. Pero la voluntad de usarla por parte de Berferd le demostró a Cheswick que el intruso estaba lejos de ser inofensivo. En un artículo sobre el ataque escrito unos meses después, Cheswick escribió: “Algunos piratas informáticos defienden su actividad con el argumento de que no causan ningún daño real. El nuestro lo intentó sin éxito con nosotros (borrar nuestros archivos) y lo logró con esa orden en otros sistemas”. Adrian y algunos compatriotas suyos con quienes daba la impresión de actuar pertenecían aparentemente a un tenebroso bajo mundo informático que compartía información sobre los diversos microbios y vulnerabilidades en los sistemas que atacaban. Es una ironía que sus incursiones provocasen el benéfico efecto de poner de manifiesto el deplorable estado de muchos ordenadores que deberían haber tenido verdaderos cerrojos en sus puertas. En un ordenador de la NASA Adrian intentó registrarse como “noticia” —una rutina en muchos ordenadores Unix para manejar transacciones Usenet entre diferentes ordenadores de la red—. El ordenador respondió que “noticia” carecía de contraseña ¡y le pidió que crease una propia!

Otra vez le observamos utilizar con éxito el famoso microbio “sendmail” de Robert Tappan Morris. Sendmail es el programa estándar de Internet para el manejo del correo, y en 1988 Morris había escrito un programa que aprovechando una insuficiencia en sendmail afectó a más de seis mil ordenadores en Internet. La insuficiencia era ampliamente conocida desde hacía tres años, y Sun había distribuido software para subsanarla. Fue evidente que algunos responsables de sistemas fueron demasiado perezosos para asegurar sus máquinas y pagaron las consecuencias.

También observamos la vez en que Adrian penetró en los ordenadores del Pentágono correspondientes al Comando de la Flota del Pacífico y leyó el correo. Utilizó un mandato de búsqueda para captar todas las instancias en que aparecía la palabra “Golf”. Nuestra impresión fue que en realidad él había estado buscando la palabra “Gulf”, porque en ese mismo momento los militares estaba movilizando sus fuerzas en la región del golfo Pérsico. De hecho, una noche ya muy tarde Castor estaba siguiendo a Adrian, que hurgaba y husmeaba por Internet, cuando alguien se asomó por la puerta y dijo “¿Sabes una cosa?: estamos en guerra”.

Castor le dirigió por un segundo una mirada inexpresiva y luego dijo: “Lo sé, es como una guerra”.

El tío pareció igualmente desconcertado. Finalmente dijo: “No, es una guerra de veras. Los aliados acaban de bombardear Bagdad”.

A pesar del hecho de que ahora Adrian estaba leyendo impunemente incluso el correo electrónico militar no reservado era difícil conseguir que los burócratas en las diversas agencias gubernamentales hicieran algo al respecto. Cuanto más le observábamos, más nos percatábamos Castor y yo de que Adrian/Berferd no era realmente un experto operador de Unix, sino apenas uno persistente. Una vez se puso a teclear “mail-a”, “mail-b”, “mail-c”, y así hasta “mail-z”, y luego repitió el proceso en mayúsculas, buscando una determinada vulnerabilidad que nunca encontró. Mucho de lo que estaba haciendo caía en la categoría de la mera imitación. Puesto que parecía no saber tanto y que simplemente copiaba las técnicas que veía decidí llevar a cabo un experimento propio. Dedicamos cierto tiempo a “enseñar” a Adrian nuevas vulnerabilidades debilitando a propósito alguna parte de la defensa de un ordenador que él estuviera sondeando, haciéndole por un momento accesible la entrada. A continuación restaurábamos la defensa, dejándole efectivamente fuera. Sin percatarse de la estratagema, él repitió el mismo truco por toda la red; si bien fracasó en todas partes, nos dio una especie de firma muy clara por la cual identificarle cuando entrara en acción.

Una noche dejé abierta una sesión de comunicación a distancia en la Embezzle de Stanford. Yo me había conectado con un ordenador del Laboratorio Nacional en Los Álamos y luego había abandonado la sesión. Con eso dejé una vía hacia el laboratorio expedita para que Adrian la retomase, aunque indicaba un lugar en el que yo estaba muy seguro de que él no podría penetrar. Puesto en antecedentes por Castor y yo, Los Álamos se había interesado en Adrian, pero para tomar medidas al respecto necesitaba disponer oficialmente de un motivo.

Al día siguiente, al activar el comando ps para ver qué programas estaban en ejecución en el ordenador de Stanford, Adrian encontró mi abandonada sesión con Los Álamos —lal.gov— y mordió el anzuelo. Empezó a intentar introducirse en los ordenadores del laboratorio de armas. Yo llamé a los funcionarios de seguridad del laboratorio y les informé que Adrian estaba atacando su red. Aunque no tuvo éxito, Adrian se había convertido oficialmente en un asunto de la incumbencia del Departamento de Energía.

En última instancia, el rastreo telefónico se demostró imposible, porque en esa época no existía en Holanda una ley contra los delitos informáticos y la compañía telefónica holandesa no iba a colaborar ante las solicitudes de rastreo de los funcionarios de Estados Unidos. No obstante, en abril, un experto holandés en seguridad informática llamado Wietse Venema se puso al habla con colegas americanos y les informó que había detectado a un pequeño grupo de programadores holandeses que se estaban introduciendo subrepticiamente en sistemas informáticos de Estados Unidos. Estaba en condiciones de identificar a Berferd con nombre, dirección, teléfono e incluso número de cuenta bancaria. Más o menos por la misma época yo recibí una llamada de John Markoff, el periodista del New York Times. Nunca nos habían presentado, pero Markoff se había enterado de que yo estuve vigilando de cerca al intruso holandés. Yo le describí nuestra vigilancia, y el 21 de abril el artículo de Markoff apareció en la primera página del Times:

Aunque convino en no mencionar mi nombre, como fondo de la historia Markoff incluyó una referencia a mi participación:

El artículo del periódico y el clamor subsiguiente que provocó generaron interés por mi trabajo por parte del Gobierno, y a su debido tiempo expuse ante diversas agencias el tema de Adrian y sus ataques. Como parte de esas conferencias preparé una videocinta de algunas de las sesiones de Adrian, para que las personas no familiarizadas con la informática pudieran comprender exactamente cómo trabajaban los piratas y experimentar cómo era observar una pantalla de ordenador por encima del hombro de uno de ellos. Podrían ver y oír, incluidos los timbres que sonaban en su terminal, lo que él veía y oía en tiempo real. Yo había planeado originalmente utilizar las bandas sonoras extra de la cinta, una para comentarios maliciosos sobre las técnicas de Adrian y la otra para las risas de apoyatura. Lamentablemente, nunca conseguí tiempo ni presupuesto.

El incidente Adrian me proporcionó además una útil lección cívica. En el otoño de 1991 yo estaba en Washington D.C. para mostrarles mi vídeo a unos investigadores en la Oficina de Contabilidad General, a la cual el Congreso había encomendado investigar las violaciones. Pero cuando estaba a punto de iniciar mi intervención, unos abogados del Departamento de Justicia se enteraron del acto. Telefonearon a la OCG y exigieron que yo no presentase la cinta, argumentando que formaba parte de las pruebas en el caso que tenían planteado ante el Gobierno holandés. Mientras yo permanecía sentado esperando en el interior de una sala de conferencias sin ventanas, tres abogados del Departamento de Justicia atravesaron velozmente la ciudad en un taxi para enfrentarse a los de la OCG, al parecer preocupados porque yo iba a poner en evidencia a la burocracia. Todo aquello me parecía ridículo: los burócratas tratando de tapar sus fallos. Al final no se me permitió efectuar la presentación hasta varios meses después… y entonces sólo en presencia de funcionarios del Departamento de Justicia y del FBI.

La conmoción originada por el asunto Adrian contribuyó a mi interés por la investigación en seguridad informática, y éste a su vez me condujo a la búsqueda de mejores herramientas. Una de las que modifiqué para mi tarea fue un sofisticado elemento de software llamado Berkeley Packet Filter. Escrito originalmente en 1990 por Van Jacobson y Steven McCanne en los Laboratorios Lawrence de Berkeley, financiados con fondos federales, tenía por objeto la sencilla tarea de controlar el rendimiento de redes de ordenadores y depurar los errores en las mismas. El inconveniente era que había sido creado para la generación de redes de ordenadores entonces existentes. La mayoría de los negocios y centros de investigación utiliza todavía Ethernet. Sin embargo, Ethernet es un estándar envejecido, y para 1994 me pareció necesario crear software capaz de estar a la altura de las redes de ordenadores mucho más avanzados, como los que emplean cables de fibra óptica y pueden alcanzar velocidades de al menos un orden de magnitud más rápidas que Ethernet. Hoy en día la mayoría de los grandes servicios comerciales online^[18] tienen redes internas de fibra óptica para manejar los billones de bytes de información que circulan diariamente entre sus máquinas. La versión modificada del BPF que yo escribí era capaz de filtrar más de cien mil paquetes por segundo, aun cuando estaba funcionando en una estación de trabajo Sun de varios años de antigüedad. A diferencia del BPF original, mi versión estaba preparada para sepultarse en el interior del sistema operativo de un ordenador y estar alerta a determinada información en el momento en que ésta fluía por el ordenador desde Internet. Cuando un paquete desde una dirección determinada, o bien cualquier otra información deseada por el usuario pasara como un relámpago, BPF intervenía y la colocaba en un archivo donde pudiera conservarse para ser revisada después.

Yo había desarrollado mi versión inicial del BPF más rápido con la expectativa de recibir de la Agencia de Seguridad Nacional fondos adicionales para mi trabajo de investigación. La Agencia había empezado a respaldar mi trabajo con una subvención de los Laboratorios Nacionales de Los Álamos en 1991, y había prometido prorrogar su respaldo, pero los fondos no llegaban nunca. Yo desarrollé la herramienta, pero una vez completado el trabajo, a principios de 1994, los burócratas de la Agencia se echaron atrás con la financiación

La idea de trabajar con la Agencia de Seguridad Nacional suscita controversias en la comunidad de profesionales de la seguridad y de las libertades civiles, muchos de los cuales la consideran una fortaleza oscurantista de la alta tecnología.

Libertarios por inclinación o por influencia de sus colegas, los mejores expertos informáticos de la nación tienden a poseer una marcada sensibilidad, incluso hacia la más leve insinuación de una violación de las libertades civiles. Contemplan con gran desconfianza el trabajo de la Agencia de Seguridad Nacional, que tiene las misiones gemelas del espionaje electrónico alrededor del globo y la protección de los datos informáticos del Gobierno. Esta desconfianza se extiende a cualquiera que trabaje con la agencia. ¿Estoy yo contaminado porque acepté financiación de la ANS para mi investigación? La situación me recuerda la escena de la película ¿Teléfono rojo? Volamos hacia Moscú en la que el general Jack D. Ripper está obsesionado por la idea de que sus fluidos corporales están contaminados. Creo que la idea de culpa por asociación es absurda.

Mi punto de vista es muy diferente. En primer lugar, no creo en la investigación reservada y, por tanto, no la hago. Se suponía que la tarea que yo había acometido sobre filtrado de paquetes estaba financiada por la agencia para hacerse pública. Las herramientas iban a estar ampliamente a disposición de cualquiera, para utilizarlas contra las malas personas que ya estaban empleando herramientas similares para invadir la intimidad de los demás y comprometer la seguridad de las máquinas en Internet.

Pero lo que es aún más pertinente, yo creo que la agencia, más que ser inherentemente civil, es esencialmente inepta. Muchas personas temen a la ASN, sin darse cuenta de que es como cualquier otra burocracia, con todas las debilidades de los empleados de una burocracia. Como el personal de la ASN vive en un mundo reservado, los sistemas normales de comprobación y balance no les son aplicables. Pero eso no significa que su tecnología supere a la del mundo informático abierto; sólo significa que son atrasados y pedestres.

En cualquier caso, estoy convencido de que herramientas como el BPF son absolutamente imprescindibles para que haya seguridad en Internet y para que podamos rastrear en ella a los vándalos. Las personas cuya preocupación es que esté en riesgo la intimidad de las comunicaciones personales probablemente deberían preocuparse menos sobre quién debe tener el derecho de supervisar las redes, y en cambio centrar sus esfuerzos en conseguir que el software criptográfico fuera ampliamente asequible. Si la información está cifrada no importa quién la vea si no sabe interpretar la clave. La criptografía es otro ejemplo para mi argumento de que una herramienta no es más que una herramienta. En realidad, hasta hace únicamente dos décadas fue utilizada fundamentalmente por reyes, generales y espías. Después, la labor realizada por los científicos en Stanford, el MIT y la UCLA, coincidente con el advenimiento del ordenador personal de bajo coste, pusieron el necesario software al alcance de cualquiera. Como resultado, el equilibrio de poder está cambiando de forma notable, a expensas de la NSA y en favor del individuo y de la protección de nuestras libertades civiles.

En San Diego, mientras nos preparábamos para volver a situarnos on-line, nuestro intruso continuó importunándonos, poniéndonos una segunda llamada la tarde del 30 de diciembre. Cuando regresé a mi despacho y escuché mi buzón de voz allí estaba de nuevo mi antagonista. El sistema me dijo que el mensaje había sido efectuado sólo minutos antes, a las 2:35 de la tarde. Empezó por algo semejante a un fuerte maullido —¿o era un gallo cacareando?— y terminó tras un curioso gimoteo decreciente.

“Su técnica de seguridad acabará vencida”, empezó el mensaje, en una voz que sonó como la de una persona distinta a la de la primera llamada. “Su técnica no sirve”. Lo siguiente fue una frase inconexa: la escuché una y otra vez sin poder desentrañar su sentido.

Al parecer el intruso había calculado que ahora estábamos fuera de la Red, y estaba tratando de irritamos para conseguir acceso. “Estos se están volviendo bastante insolentes”, le dije a Andrew cuando le hice escuchar el mensaje. “¿Por qué no dejan de bobear?” Quienquiera que fuese —él, ellos— la intención era sacarnos de quicio, pero yo no veía claro el porqué. Parecía una cosa pueril. Al mismo tiempo sentía cierto alivio, pues era obvio que creían haber salido indemnes, y cabía la posibilidad de que ese exceso de confianza los hiciera más vulnerables en el futuro.

La noche de fin de año estuvimos los dos en el Centro trabajando en el router de seguridad. Hicimos un breve paréntesis para ir al apartamento de Andrew, donde su esposa, Sarah, y un pequeño grupo de amigos estaban de fiesta. Tenían la televisión puesta, había champán, y finalmente el reloj dio las doce. Nos quedamos un rato más y luego regresamos al trabajo. Estuve codificando afanosamente un par de horas más y pasadas las 3 de la mañana me fui a casa dormir, con mi parte del filtro distribuidor casi acabada.

Julia me preocupaba cada vez más, pues cuando hablábamos me parecía más deprimida. Había pasado días sin salir de Toad Hall, y aunque repetía que vendría a visitarme, había perdido un par de vuelos. De modo que al día siguiente, ya que Julia seguía discutiendo con John sobre la idea de su venida a San Diego, decidí ir al norte.

A eso de las 8 de la tarde Andrew me llevó al aeropuerto y yo le dejé una lista de cosas que terminar y cabos sueltos de los que ocuparse. Él dijo que tenía la esperanza de regresar al trabajo esa noche y adelantar en su labor. Pero al final nuestro ritmo de trabajo pudo con él, ya que habíamos venido durmiendo a un promedio de cuatro horas diarias durante cinco días. Andrew se fue a casa, directamente a la cama, y durmió todo el día siguiente.

Yo volé a San José, donde cogí un coche de alquiler y fui a San Francisco, con una parada en casa de Mark Lottor para recoger el equipo de esquiar que había dejado allí la mañana del veintisiete. Mi idea era sacar a Julia al aire libre, ya fuera de excursión o a esquiar en las montañas, confiando en que lejos de Toad Hall tendría la oportunidad de pensar las cosas desde una nueva perspectiva. Hacía mucho tiempo que éramos íntimos amigos, y yo le había prometido que si alguna vez se sentía presa de la rutina o el decaimiento vendría a pasar un tiempo a su lado lejos de la ciudad. Ella me había prometido otro tanto.

Para cuando llegué a la ciudad eran ya las 11 de la noche. Julia y yo nos reunimos en nuestro punto de encuentro convenido: el apartamento de Dan Farmer en el Panhandle, en el distrito de Haight-Ashbury. Dan y yo éramos amigos desde hacía mucho tiempo y ambos teníamos poco respeto por el convencional mundo de la seguridad informática. Él es un discutido experto que obtendría la atención internacional en 1995 mientras trabajaba como especialista en seguridad para Silicon Graphics, Inc., una empresa fabricante de estaciones de trabajo de Mountain View, California. La controversia al respecto se debió a un programa de control de la seguridad llamado SATAN (Security Administrator Tool for Analyzing Networks) del que fue autor con Venema, el experto en seguridad holandés. SATAN fue diseñado para controlar automáticamente vulnerabilidades de sistemas informáticos ampliamente conocidas, para que los encargados del sistema tuviesen un modo rápido de identificar y estimar los puntos débiles de sus propias redes. Esperando sacar de su autocomplacencia a los profesionales informáticos, Dan planeaba que el programa fuera accesible a todo el mundo en Internet. Esto significaba que todos los piratas dispondrían de una forma fácil de husmear en la Red en busca de puntos débiles, y que todos aquellos encargados de sistemas informáticos lo bastante perezosos como para no haber protegido sus sistemas estarían en peligro.

El inminente lanzamiento de la versión final de su programa en Internet, fijado para abril de 1995, daría lugar a un intenso debate. El mantener la información sobre seguridad informática a buen recaudo o distribuirla libremente ha sido siempre un tema candente en los círculos profesionales. Era obvio que Dan había esperado aumentar la temperatura al dar a su programa un nombre tan demoniaco: SATAN.

Dan, un ex marine, tiene además un estilo personal que choca con el más formal de la gente de Silicon Valley. De complexión liviana, pero con una roja cabellera rizada que le cae más allá de los hombros, una preferencia por las camisetas y la ropa de cuero negras, y una inclinación por diversos objetos de metal que le perforaban diversas partes del cuerpo, Dan no casa con el estereotipo del fanático de los ordenadores. A comienzos de 1995, Silicon Graphics, en un arranque de cobardía y miopía empresariales, decidió echar a Dan poco antes de que tuviese lista la versión final de SATAN. Unas semanas después fue contratado por la Sun, competidora de la SGI, pero el asunto provocó tal conmoción en Silicon Valley que lo que consiguió la SGI fue perder doblemente, al ser criticada duramente y quedarse sin Dan.

Julia y yo conversamos hasta muy avanzada la noche; y ella me habló de la profundidad del rencor y el sufrimiento entre John y ella. Las cosas se habían vuelto mucho más tensas en la última semana. Julia empezaba a ver claro que la relación no funcionaba, pero yo empezaba a preguntarme si había algo autodestructivo en su renuencia a poner fin a todo aquello.

Planeábamos realizar una excursión por Marin Headlands al día siguiente, pero John llamó por la mañana preguntando por Julia. Después de hablar con él, Julia pareció todavía más tensa y desasosegada. Fuimos los dos hasta un puesto de burritos^[19] en Haight Street, donde yo pensaba que íbamos a comprar comida para nuestro viaje, pero Julia insistió en llevarle a John. Compramos la comida, fuimos a Toad Hall, y yo aguardé en el coche comiendo mi burrito. Poco después salieron los dos y partimos para nuestra excursión.

Yo había creído que para Julia el objetivo era alejarse del ambiente por el que se sentía asfixiada, pero esto lo dejaba todo sin sentido. Parecía que los tres íbamos a tener que pasar una incómoda tarde juntos, y yo me preguntaba, “¿por qué hace esto?” Durante el trayecto hacia Marin yo iba conduciendo con Julia a mi lado y John en el asiento trasero. Los dos no pararon de intercambiar réplicas mordaces hasta que por fin les interrumpí diciendo: “Haced el favor de tranquilizaros”.

Para un extraño la situación puede resultar muy rara, pero los celos nunca han intervenido en mi relación con Julia. A pesar del enfriamiento cada vez mayor de nuestra amistad, John había declarado que él no era celoso, pero yo había acabado por descartar la afirmación como un esfuerzo por ser políticamente correcto, pues pensaba que estaba actuando de forma posesiva. Tenía claro desde hacía largo tiempo que nada de lo que yo hiciese cambiaría al final la relación entre ellos. Yo quería que Julia pudiera decidir por sí misma lo que quisiera hacer con su vida. Si honradamente no me sentía amenazado, era porque en mi fuero interno creía que la decisión le correspondía a ella, no a mí.

Al llegar a los Headlands aparcamos el coche y salimos andando del Tennessee Valley Trail hacia la playa. Julia y yo habíamos caminado muchas veces por allí, y ahora me puse a contemplar cómo rompían las olas y a escuchar el oleaje, mientras Julia y John caminaban a lo largo de la orilla. Estaba nublado, ventoso y frío, lo que se sumaba al talante gris que parecía impregnarlo todo. Al final del día regresé a casa de Dan a pasar la noche, solo.

No obstante, a lo largo del par de días que siguieron Julia y yo pasamos un montón de tiempo juntos. Uno de los días hicimos una caminata por las proximidades de Cliff House, en un lugar llamado Land’s End, un sitio salvaje al borde del océano, con rocas, leones marinos y majestuosos cipreses. Disfrutamos de nuestra mutua compañía, y ella empezó a escapar de la situación en la que se había sentido atrapada. Aun así, yo veía que temía provocar la hostilidad de John y me di cuenta de que no podía hacer mucho más para ayudarla. Como yo seguía con ganas de ir a esquiar, lo arreglé con Emily Sklar para volver con ella a la montaña al día siguiente.

Esa noche fui a Menlo Park a visitar a Mark Lottor. Me reuní con él en el aeropuerto de San Francisco, donde entregué el coche alquilado, y a continuación salimos en busca de una comida rápida sin grasa y relativamente sana. Yo no había abandonado el propósito de correr un montón de carreras de esquí de fondo durante el invierno, así que trataba de comer razonablemente bien, incluso cuando viajaba. Pero después de las diez de la noche en la península, eso resultaba imposible. Finalmente, encontramos un sitio en Redwood City. Yo quería un sándwich de pescado, que como si no hay más remedio, pero no estaba en la carta, de modo que acabé tomando unas patatas fritas. No muy saludable, pero a esas horas no importaba. Cuando llegamos a casa de Mark estaba exhausto, pero él necesitaba su router de seguridad para protegerse contra el tipo de ataques con manipulación de IP que yo le había descrito y estaba obligado a ayudarle. Estuvimos los dos trabajando hasta el amanecer.

A la mañana siguiente, martes 5 de enero, me desperté sobresaltado a eso de las once y vi que en el busca tenía varios mensajes de Emily, que vive en Palo Alto. Estaba alarmada por no encontrarme y necesitaba coger la carretera para Truckee, donde iba a dar clases de esquí de fondo ese fin de semana.

Diez minutos después se presentó en una camioneta cargada de leña para calentar la cabaña. Arrojamos mis esquís atrás y partimos hacia la sierra. Por el momento me alejaba de la preocupación por Julia, y me libraba del intruso. Como amigos, Emily y yo nos sentíamos cómodos hablando de toda clase de cosas, y como hija de dos terapeutas, ella poseía útiles conocimientos acerca de la naturaleza íntima de las relaciones. Su sugerencia en este caso fue que me apartase de la situación por un tiempo: consejo que me pareció razonable y que, dadas las circunstancias, era fácilmente practicable.

Llovía durante el trayecto de ascenso por Sacramento, y a la altura de Auburn, al pie de la montaña, la lluvia se había convertido en nieve. Era inevitable un control de cadenas, pero la tormenta estaba empezando a amainar. Nos detuvimos a por vituallas en Ikeda, un restaurante de comida rápida con tienda de comestibles, al lado de la carretera, donde hay hamburguesas —que yo no como—, pero también buenos batidos de leche, patatas fritas, así como fruta fresca y frutos secos, que sí como. Cuando arribamos a Trucke, compré en el pueblo una pizza para cenar, que estaba fría como una piedra cuando llegamos a la cabaña, quince minutos más tarde. Como era tarde, desempaquetamos únicamente lo esencial del material para esquiar y del equipo informático. El interior de la cabaña estaba helado, de modo que encendí un fuego, calenté la pizza en el horno y me la comí mientras Emily, que es alérgica a los productos lácteos, se preparaba su propia cena.

El viernes apenas si esquiamos, pero el sábado, cuando finalmente la tormenta acabó, aprovechamos la nieve fresca para pasar el día en las pistas. Fue un gran entrenamiento después de un largo periodo de no hacer ejercicio y dormir poco, y me sentí agradecido por la oportunidad de olvidar las dos semanas anteriores.

No había comprobado regularmente mi buzón de voz de San Diego porque el teléfono de la cabaña no funcionaba cuando llegamos, pero cuando por fin hice la llamada, había un mensaje telefónico de Becky Bace, una científica informática de la NSA. A esas alturas, la agencia tenía para mí nula credibilidad, debido a su incumplimiento en proveer fondos para un grupo de seguridad informática que me había instado a formar. Pero Becky, mi principal contacto en la sección de seguridad informática de la agencia, que parecía hallarse atrapada en medio de una organización insensible, seguía tratando de conseguirlos.

Durante meses había estado asimismo tratando de convencerme de que asistiera a la Conferencia sobre Abusos en la Informática y Detección de Anomalías (CMAD en inglés), una reunión anual sobre seguridad informática y la detección de intrusiones, que la agencia copatrocinaba todos los años con el Centro de Guerra Informativa de la Fuerza Aérea. Yo me había estado negando, porque no quería hablar y porque estaba harto de tratar con la agencia. Pero ella había continuado dorándome la píldora, y ese año, en lugar de celebrarse en el campus David de la Universidad de California como las dos anteriores, la conferencia tendría lugar en la Sonoma Mission Inn Spa and Resort^[20].

Por lo general las discusiones académicas y teóricas sobre seguridad informática me aburren rápidamente, pero esta vez, con nuestra intrusión reciente, parecía haber una oportunidad de hablar de algo más interesante, y lo que es más, de usar nuestros datos para describir exactamente lo que había sucedido. Una de las áreas de la detección de delitos informáticos que se halla todavía relativamente en pañales es la de la metodología. Durante cientos de años la gente ha estado investigando delitos de orden físico, y aunque en parte sigue siendo una actividad oscura, existen métodos firmemente establecidos para investigar la escena del crimen y descubrir pruebas. En cambio en el mundo digital todavía hay muy poco en materia de metodología formal de detección.

Llamé a Becky y ella volvió a invitarme a la conferencia. “¿Por qué no vienes simplemente a disfrutar de las aguas termales?”, dijo. “Ni siquiera tienes que dar una charla, simplemente conversar con gente”. Yo le dije que no tenía interés en unas vacaciones gratis, pero que ahora pensaba que después de todo podría interesarme asistir y hablar. Ella quedó encantada, y concluyó la conversación diciendo que no había renunciado a la idea del equipo para investigar en seguridad informática, a lo que añadió que estaban a punto de conseguir la aprobación de los fondos. “Sí, claro”, respondí yo.

Pero ella estaba dispuesta al menos a pagar mis gastos e incluir unos honorarios. Yo no le había dicho de qué planeaba hablar, sino que lo ultimo que dije fue que aportaría “una sorpresa”.

Ese día, más tarde, hubo otro mensaje en el buzón de voz del UCSD. Consistió en una melodía, como si alguien estuviese pasando la banda sonora de un thriller de suspense que no reconocí. Duró treinta segundos y se cortó abruptamente. Era la clase de música que hace que uno se vuelva para ver si alguien lo acecha. ¿Había alguien? ¿Estaba todavía el intruso allí fuera esperando a que yo bajase la guardia? No tenía cómo saberlo, pero él parecía estar recordándome que no había abandonado la cacería. Si era así, iba a tener que encontrar un truco todavía más sofisticado para colarse en mi sistema.

Después de irme de San Francisco, Julia y yo hablamos a menudo y no me costó trabajo darme cuenta de que ella necesitaba salir del ambiente en el que se encontraba atrapada, así que la invité a reunirse conmigo en la CMAD. Un balneario de aguas termales le brindaría una oportunidad para desconectar. La conferencia se inició en medio de las mayores inundaciones habidas en un siglo en California, especialmente en el condado de Sonoma. Llegamos a Sonoma Mission Inn en jueves 10 de enero, a tiempo para una recepción nocturna, y dimos unas vueltas probando comida de un bufé mexicano y charlando con gente a la que no había visto hacía tiempo. Además de profesionales de la seguridad informática había representantes del estamento militar y de la comunidad gubernamental de inteligencia. Estar con gente del mundo del espionaje es siempre una extraña experiencia, porque uno nunca está seguro de que sean quienes dicen ser. En el resto del mundo generalmente hay chequeos de cordura que te avisan cuando estás divagando, pero en el mundo de reserva y fantasía de la inteligencia esas pruebas no existen, y es fácil que algunas de esas personas se alejen considerablemente de la realidad.

Le presenté Julia a Blaine Burnham, que trabaja en la sección de protección de la información en la NSA. Él le estrechó la mano y sentenció en tono significativo: “He oído muchas cosas sobre usted”, como si fuera razonable esperar que alguien que trabaja en una agencia de espionaje poseyera un expediente de cada una de las personas presentes en un cóctel. Ella se puso inmediatamente en guardia y desconfiada, y rápidamente nos apartamos.

El mundo de la seguridad informática es en realidad una comunidad notablemente cerrada y endogámica, y muchos de los grandes nombres en el ambiente estaban en la conferencia. No es un mundo del que yo forme parte directamente, sino en el que me gusta aparecer de vez en cuando, dejar caer unas bombas y alejarme. El problema de las conferencias como CMAD es que son en general representativas del triste estado de la seguridad informática. En cualquiera de estos acontecimientos, los asistentes se inclinan casi siempre por enterrar la cabeza en la arena y negarse a reconocer que perciben una creciente sofisticación en los ataques. Son numerosos los usuarios poseedores de sistemas informáticos anticuados que, en lugar de realizar modificaciones básicas para hacerlos más seguros, deciden comprar una caja negra que, colocada entre sus ordenadores y el mundo exterior, les proporciona la ilusión de estar protegidos. Como resultado, se gasta un montón de dinero en sistemas “detectores de intrusiones” automatizados, derivados de un software de inteligencia artificial que busca lo que sospecha es un “comportamiento anómalo” de parte de un usuario y suelta la alarma. También se invierten muchos esfuerzos en tratar de reemplazar a los muy costosos funcionarios de seguridad que actualmente examinan los registros, por un programa que intente desarrollar las mismas funciones.

Nos encontramos con Bill Cheswick, el investigador de Laboratorios Bell que unos años atrás había vigilado a Adrian/Berferd y que es un reconocido experto en protección de ordenadores. Yo lo conocía a través de conversaciones telefónicas y del correo electrónico, pero nunca nos habíamos encontrado personalmente. Tiene una cara redonda, cabello rizado, y es algo robusto sin ser realmente grueso. Le gasté una broma sobre su presencia en aquel sitio elegante y él me respondió que era más divertido que estar clavado en su despacho de Nueva Jersey en mitad del invierno.

Siempre he experimentado un gran respeto hacia Ches —como le llaman—, que tiene un gran sentido del humor y mucho entusiasmo. Los dos nos habíamos criado en el ambiente de los fanáticos de la informática, en el que un juego de aventura llamado Zork fue uno de los primeros basados en un texto que surgieron en los ordenadores de gran formato a fines de los setenta. Como muchos de esos juegos, Zork creó una serie de imaginarias cuevas subterráneas a través de las cuales uno cazaba pulsando en el teclado unas órdenes que significaban Este, Oeste, Norte, Sur, Arriba y Abajo. No tenía gráficos, pero eso realmente no importaba, puesto que los mejores gráficos son los que están en nuestra cabeza. La moneda de Zork eran los Zorkmids, y fue Ches quien me inició en la noción de pensar en los Zorkmids como representación genérica del dinero, en lugar de los dólares. Según su razonamiento, hay demasiada emoción vinculada a los dólares, pero no a los Zorkmids. Las personas podían ser avaras con los dólares, pero nunca con los Zorkmids. Ches había señalado (sólo en parte en broma, creo) que para los hackers las grandes empresas servían para suministrar los suficientes Zorkmids como para poder continuar jugando al Zork.

Ches fue asimismo autor del texto más importante en seguridad informática sobre los firewalls, escrito con Steve Bellovin, quien, irónicamente, fue también el autor del influyente artículo que describió el ataque IP-spoofing en 1989. Ches me comentó que en su propia intervención de aquel día había mencionado el tema, señalando que nunca había sido visto “al natural”.

Otra persona con quien me encontré esa primera noche fue Tom Longstaff, uno de los mejores técnicos integrantes del Equipo Informático de Respuesta de Emergencia, una organización financiada por el Gobierno con base en la Carnegie Mellon University, de Pittsburgh. El CERT, como se le conoce, fue formado en 1989 tras el episodio del microbio de Robert Tappan Morris en Internet. Su misión es reunir y propagar información oportuna sobre problemas de seguridad relativos a Internet, pero tienden a operar con unas precauciones burocráticas que contradice lo de la “Emergencia” del título. Siempre he tenido la sensación de que él es una persona que quiere hacer lo correcto pero con frecuencia tiene las manos atadas por la organización para la que trabaja. Yo había intentado ponerme en comunicación con él en diciembre, después del ataque a mis sistemas, pero no nos habíamos encontrado. Al describirle el ataque con manipulación del IP quedó claramente intrigado, y yo le prometí que le daría la descripción técnica completa en mi charla del día siguiente.

A la mañana siguiente me presenté abajo con mi RDI PowerLite y mi piolet. El ordenador portátil tenía mis notas para la charla, y de hecho iba a utilizar el hacha de hielo como puntero para hacer comprender mi afirmación de que las herramientas son sólo herramientas. No iba a referirme al piolet, sino que esperaba en cambio que su mera presencia hiciera preguntarse a la gente para qué era aquella herramienta, y puede que captaran mi idea. Yo había querido conectar mi ordenador directamente a un proyector y al sistema audiovisual del hotel, pero los organizadores de la conferencia no habían podido encontrar ningún equipo audiovisual en tan corto tiempo. Estaba programado que yo interviniese después del primer descanso, y durante éste me las arreglé para crear unas transparencias a partir de las cuales hablar, aunque en su mayor parte eran sólo tomas cinematográficas de directorios o listas de comandos.

Titulé mi charla “Lo que hice durante mis vacaciones de Navidad”, un chiste implícito para quienes me conocían. No soy una persona que de mucha importancia a la Navidad, a la que suelo referirme como “descanso invernal”.

Aun cuando el tema de la manipulación del IP estaba posiblemente obsoleto, sentí que el interés en el recinto aumentaba, porque yo era el primero que en la reunión describía un ataque real y no un problema teórico de seguridad informática. Yo quería mostrar cómo había sido llevada a cabo la investigación, describiendo con detalle cómo había seguido la pista. Señalé que el ataque parecía seguir un guión o estar automatizado, basándome en el cálculo del tiempo de ocurrencia de los hechos que nosotros habíamos realizado. Había sido un factor importante, pues si el ataque estaba empaquetado como programa, era probable que pudiera ser utilizado por personas sin una cualificación técnica especial, que simplemente formaran parte de la red de boletines de anuncios y sistemas de conferencia de Internet del submundo informático que trafica con esa clase de información. No se trata de que exista una conspiración muy bien organizada ahí fuera; es sólo que los piratas hablan entre sí y no están constreñidos por las reglas de una burocracia con mentalidad de “cubrirse”. Su existencia asegura que cualquier nueva debilidad o fallo de seguridad que se descubre es conocido por el bajo mundo informático con mucha mayor rapidez que por el ámbito oficial de la seguridad informática, donde la gente no se comunica con la misma eficacia.

El hecho de que reconstruir la intrusión me hubiera exigido una gran cantidad de análisis detallado fue algo que claramente impresionó a la audiencia. La situación que yo describía era el tipo de ataque que podría haber estado ocurriendo todo el tiempo bajo sus propias narices sin ser detectado. La implicación de mi charla era que la gente puede tener enormes candados en las puertas, pero entre la puerta y el suelo existe un estrecho espacio por el que los delincuentes pueden deslizarse tranquilamente.

A continuación hice escuchar los dos mensajes del buzón de voz que había almacenado como archivos digitales en mi ordenador agenda. Cuando el altavoz del ordenador emitió aquel acento desagradable, la distorsión era tal que era difícil discernir las palabras exactas, pero la gente captó la idea de que alguien me había escogido deliberadamente. Muchos profesionales de la seguridad informática han metido de tal forma la cabeza en la arena que han olvidado que los verdaderos enemigos está ahí fuera. “Yo y mis amigos, te liquidaremos”. Delante de una audiencia de profesionales de la informática, aquella voz resultaba escalofriante. Hubo silencio en la sala mientras yo esperaba que me hicieran preguntas.

Mi argumento era que se trataba de una vulnerabilidad que afectaba a buena parte de Internet, debido a lo mucho que la red confiaba en una autenticidad basada en las direcciones. Si yo envío, por ejemplo, un mensaje por correo electrónico, ¿cómo sabe el receptor que el remitente soy realmente yo? Es lo mismo que si uno recibe una postal por correo: puede que reconozca la escritura, pero es el único indicio en el que fundarse para discernir si el mensaje ha sido falsificado. El método de las direcciones que subyace en Internet no fue en ningún momento pensado como elemento de autentificación. Es posible burlarlo de muchas maneras haciéndose pasar por un ordenador conocido. La función de Internet es simplemente la de asegurarse de que los paquetes van de aquí para allá, no la de proporcionar autenticación, y aquel ataque demostró que el sistema era demasiado vulnerable a la subversión. Sencillamente, confiamos en que la dirección es correcta y el remitente aquel que dice ser. El ataque a mis máquinas demostraba que el carácter elemental de los protocolos de Internet, que sustentan básicamente las comunicaciones por la red, los convierte en sumamente abiertos y susceptibles de abusos. Impedir por completo ese tipo de subversión requeriría una reelaboración exhaustiva de aquellos protocolos básicos.

La última pregunta formulada desde la audiencia fue: “¿Tiene usted alguna idea de quién le hizo eso?”

“En realidad, no”, repliqué.

Después de la sesión se me acercó una mujer que se presentó como Martha Stansell-Gamm. Yo la recordaba de un suceso ocurrido años atrás relacionado con el cumplimiento de la ley. Con el cabello rubio atado en un moño detrás de la cabeza y vestida de forma muy conservadora, Marty tenía el aspecto de alguien práctico y eficiente. Trabajaba en la unidad contra el delito informático del Departamento de Justicia y me preguntó si le había comunicado el ataque sufrido por mí al FBI. Le dije que no, y le expliqué que en el pasado no había tenido mucha suerte en mis tratos con el Bureau. Ellos habían mostrado desinterés y, por tanto, esta vez no se me había ocurrido el llamarles.

“Me sorprende oír eso, Tsutomu”, dijo ella. “Me ocuparé de que en lo sucesivo seamos más receptivos”. Prometió hacer que alguien hablase conmigo sobre el incidente. Por más que dijo que no había sido capaz de seguir todos los detalles técnicos de mi descripción, tuve la sensación de que poseía una mente alerta y de que no iba a actuar como un burócrata.

Tras la charla con Marty tropecé con Jim Settle, un fornido agente del FBI que estuvo al frente del equipo de delitos informáticos del Bureau. Lo había abandonado y ahora trabajaba para I-Net, un contratista de seguridad informática de la zona de Washington D.C. En 1991, cuando él estaba aún en el Bureau, yo había intervenido en una de sus sesiones de entrenamiento para agentes y les había mostrado mis cintas de Adrian para que se hicieran una idea de cómo es un ataque. En aquella ocasión tuve la impresión de que quedaba algo desconcertado y no sabía cómo catalogarme. Ahora se mostró amistoso y dijo que pensaba que tal vez él tuviese alguna idea sobre quién estaba detrás del ataque. Yo mencioné el software telefónico Oki y comenté nuestras sospechas de que se tratase de Kevin Mitnick porque estábamos bastante seguros de que él había intentado robárselo a Mark Lottor. Pero Settle dudaba de que fuera Mitnick, debido a la competencia técnica necesaria, y en cambio sugirió que podrían ser algunos piratas informáticos de los que había oído hablar operando fuera de Filadelfia.

Después de mi intervención, mientras hablaba con integrantes de la audiencia, empecé a darme cuenta de que los asistentes a la conferencia parecían tomarse seriamente aquella vulnerabilidad, pero presentí que no sería fácil que sus respectivas organizaciones hicieran lo mismo. Tuve una larga charla con Tom Longstaff, quien reconoció que el IP-spoofing era un problema importante pero que dudaba de poder persuadir al CERT de emitir una advertencia, debido a la política en torno a la cuestión de dar publicidad a las vulnerabilidades. Como agencia financiada por el Gobierno, el CERT siempre había sido tremendamente conservador y temeroso de ofender a alguien. Si emitía una advertencia sobre el peligro de la manipulación de direcciones tendría que mencionar los nombres de los fabricantes cuyos equipos fueran vulnerables, un paso políticamente muy delicado.

Más tarde, después de la cena y de abundantes libaciones, estaba yo hablando con Bill Cheswick y Marcus Ranum —otro eficaz especialista en seguridad informática— sobre la pasividad del CERT, y Marcus planteó la idea de no esperar al CERT, sino adelantarse a publicar los detalles de la vulnerabilidad por nuestra cuenta. Vi a Longstaff y me acerqué a él.

“¿Qué harían ustedes si lanzásemos un boletín falso del CERT detallando el problema y advirtiendo sobre el mismo?”, le pregunté.

“Supongo que tendríamos que efectuar una rectificación”, replicó, para luego añadir, con una sonrisa: “Si el texto es realmente bueno, puede que simplemente lo distribuyésemos”.

Me explicó que una buena falsificación sería verdaderamente difícil porque el CERT firmaba digitalmente cada boletín con un número de identificación generado mediante el PGP^[21], el sistema criptográfico creado por Philip Zimmermann. Yo señalé que aun cuando todo el mundo supiera que era una falsificación, un anuncio apócrifo lograría el mismo efecto de alertar a la gente sobre el problema. Al final de nuestra conversación tuve la impresión de que a Longstaff no le importaría que lo intentásemos, pero que no había forma de que fuera a alentamos a hacerlo.

Julia y yo hicimos novillos durante buena parte del último día de la conferencia, porque el estar en la Sonoma Mission Inn era una ocasión demasiado buena para desperdiciarla pasando todo el tiempo en un oscura sala de reuniones. Donde sí estuve fue en una charla que dio Marty sobre cómo la Ley de Telefonía Digital, firmada por el presidente Clinton el pasado octubre, había otorgado a los usuarios del servicio online y a los proveedores de Internet la posibilidad de monitorear el tecleado de las personas que se comunicaban a través de sus sistemas. Era un anatema para los grupos defensores de los derechos a la intimidad, pero una herramienta importante que resultaba absolutamente vital para rastrear intrusos.

Por la tarde decidimos meternos en los baños calientes, y volvimos a encontrarnos con Marty. Para entonces su aspecto no tenía nada de conservador, con su bañador azul de una pieza. De entrada estuvo un tanto cohibida porque, al igual que nosotros, sabía que la conferencia no había terminado aún, pero igual que nosotros estaba probablemente muerta de aburrimiento. Nos explicó que estaba tomando aquel baño para sentirse plenamente relajada, porque iba a volar directamente a su casa, en Washington, donde tendría que lidiar con sus hijos, incluido un bebé enfermo, y con su esposo, que estaba cansado de cuidar a la familia en su ausencia.

Llovía ligeramente, con lo que toda la zona de aguas termales cobraba un estupendo aspecto neblinoso. Charlamos sobre las intervenciones del día. Marty dijo que en febrero el Departamento de Justicia planeaba un seminario en San Diego sobre las cuestiones legales relativas al delito informático. El departamento quería reunir a todos los ayudantes de fiscal a quienes había adjudicado responsabilidades en la materia. Me invitó a una de las sesiones y yo dije que estaría encantado de asistir y hablar de tecnología.

Aunque la lluvia empezó a caer con fuerza, estábamos demasiado a gusto como para movernos, y a través de la neblina de Sonoma nos pusimos a hablar del ataque a mis ordenadores. Marty no podía entender por qué no éramos más activos en la revisión de lo que teníamos registrado del tráfico de paquetes, procedente de Ariel. “Recogimos interesantes indicios apuntando a sitios como la Colorado SuperNet y la Universidad Loyola de Chicago”, le dije. “Pero no tenemos recursos, así que no he podido seguir adelante con nada”. Le expliqué que había estado meses tratando de reunir un equipo de investigación en seguridad informática, pero había quedado completamente empantanado por la demora de la NSA en proveernos de fondos. “Estoy cansado de darme de cabeza contra la burocracia y no llegar a ninguna parte”, dije. “Estoy harto”.

“Pero Tsutomu, este es un ámbito legal nuevo”, replicó ella. “Es importante que encontremos casos que sirvan de prueba y los sigamos hasta el final para sacar algún provecho”.

La conferencia estaba casi por terminar y los tres decidimos que debíamos hacer una última aparición en la clausura. Mientras salíamos de los baños me volví y dije: “Me encantaría avanzar en este asunto, pero no tengo pruebas concluyentes. Basado en los datos tomados sospecho que Kevin Mitnick podría estar detrás de esto. Pero carezco de pruebas convincentes. Y por lo que sé, este tipo de ataques se encuentra verdaderamente más allá de su capacidad técnica”.