Gary McKinnon, un administrador de sistemas escocés, fue acusado de llevar a cabo el mayor hackeo militar de la historia entre febrero de 2001 y marzo de 2002.
Desde Londres y bajo el seudónimo “Solo”, accedió a 97 computadoras pertenecientes al Ejército, la Armada, la Fuerza Aérea de EE. UU., el Departamento de Defensa y la NASA.. Bajo la motivación declarada era descubrir pruebas de encubrimientos de OVNIs y tecnologías suprimidas.
¿Pero cómo fue capaz Gary McKinnon de llegar tan lejos?, ¿Cómo ejecuto técnicamente sus ataques?, ¿Cómo fue capaz de acceder a los departamentos de seguridad más relevantes del mundo?
Aquí, vamos a intentar conocer un poco más a fondo todas estas dudas y el paso a paso del ataque ejecutado por McKinnon.
Vectores de Ataque y Métodos Utilizados
McKinnon se encargó de buscar sistemas con seguridad débil o inexistente. Utilizando software comercial para escanear puertos abiertos y máquinas sin protección.
Una de sus herramientas clave entre sus utensilios habituales, era un script creado en Perl que le permitío escanear hasta 65.000 máquinas en menos de ocho minutos.
Con esa herramienta fue capaz de identificar a todas aquellas máquinas con contraseñas activadas por defecto o que ni tan siquiera estuviesen en uso de una contraseña.
Qué técnicas de Explotación usó McKinnon
Gary aprovechó la amplia utilización de sistemas operativos Windows en las redes gubernamentales de USA, descubriendo que muchas computadoras carecían de protección por contraseña o utilizaban contraseñas predeterminadas fácilmente adivinables, como por ejemplo la contraseña: “password”.
Según sus propias palabras, “era como iniciar sesión con un nombre de usuario y sin contraseña, y más de la mitad de las computadoras ni tan siquiera tenían contraseña establecida para iniciar sesión en el sistema”.
Accesos y Control Remoto
Una vez dentro, reconocidas y detectadas todas las máquinas débiles, McKinnon se encargó de instalar software de acceso remoto (como RemotelyAnywhere). Este software, le permitía controlar las computadoras comprometidas a través de un navegador web.
Además, esta herramienta, al ser un software legítimo y comercial; jamás fue detectado por los programas antivirus y esto le permitió operar sin ser descubierto durante un período que podría haber llegado a ser de varios años.
Persistencia y Escalada de Privilegios
Gracias a la mala gestión de credenciales y la falta de políticas de seguridad, McKinnon paso a poder obtener accesos con privilegios de administrador; una vez llegados a este punto.
Era capaz de copiar archivos sensibles, datos de cuentas y contraseñas a su propia máquina y sin ningún tipo de interrupción. Información que McKinnon analizará posteriormente más detalladamente, una vez está se encontraba bajo su poder.
Acciones e Impacto
McKinnon afirma haber encontrado y descargado archivos relacionados con “oficiales no terrestres”, transferencias entre flotas y listas de naves espaciales que creía estaban vinculados a programas espaciales secretos.
También accedió a imágenes satelitales de alta resolución de la NASA, incluyendo una que describió como un “OVNI en forma de cigarro” con cúpulas geodésicas.
Disrupción de Sistemas
Las autoridades estadounidenses alegan que McKinnon eliminó archivos críticos del sistema, lo que resultó en:
- La desactivación de la red del Distrito Militar de Washington del Ejército de EE. UU. (de 2.000 computadoras) por un período de tiempo de 24 horas.
- La eliminación de registros de armas en la Estación de Armas Navales de Earle, paralizando las entregas de suministros de municiones para la Flota del Atlántico de la Armada de EE. UU. (con 300 computadoras afectadas).
Dejó mensajes en los sistemas comprometidos, incluyendo “your security is crap” (tu seguridad es una mierda) y declaraciones políticas criticando la política exterior de EE. UU.
Consecuencias de Seguridad
Los ataques dejaron las redes vulnerables a compromisos adicionales, ya que McKinnon no intentó cubrir sus huellas ni parchear las vulnerabilidades que explotó.
El costo total de rastrear y corregir los problemas causados por McKinnon fue estimado por las autoridades estadounidenses en más de 700.000 dólares.
Herramientas y Scripts Utilizados
Además del script en Perl para escanear contraseñas, McKinnon utilizó herramientas como RemotelyAnywhere para el control remoto de las máquinas comprometidas.
Esta combinación de scripts personalizados y software comercial le permitió acceder y manipular sistemas sin ser detectado durante un período prolongado y de manera completamente ininterrumpida.
Conclusión
Los ataques de Gary McKinnon a las redes de la NASA y el ejército de EE. UU. fueron facilitados por prácticas de ciberseguridad sorprendentemente deficientes: uso generalizado de contraseñas predeterminadas o en blanco, falta de firewalls y monitoreo inadecuado.
Sus métodos eran técnicamente simples pero devastadoramente efectivos, basándose en un reconocimiento básico, explotación de autenticación débil y herramientas administrativas nativas.
El incidente sigue siendo un caso emblemático en ciberseguridad, demostrando cómo ataques de baja complejidad pueden tener consecuencias de alto impacto cuando se descuidan las defensas básicas.