La diferencia es que del otro lado del teclado está Lizard, integrante de Chronus Team, uno de los grupos más conocidos actualmente dentro de la escena underground latinoamericana.
Durante los últimos meses, el nombre de Chronus Team ha aparecido relacionado con filtraciones y accesos a instituciones de distintos países de América Latina: dependencias gubernamentales en México y un incidente de gran escala ocurrido en marzo, que habría afectado a 17 entidades de Argentina, entre ellas IOMA, OSEP, el Ministerio de Salud y el Banco Central.
Normalmente conocemos a estos grupos mediante comunicados, capturas de pantalla, bases de datos expuestas o mensajes publicados después de un incidente.
Esta vez tuve la oportunidad de conversar directamente con uno de sus integrantes.
No para pedirle instrucciones técnicas ni detalles que pudieran poner en riesgo a alguien. Tampoco para convertirlo en héroe o villano. Quería entender algo más difícil de obtener desde afuera: cómo piensa una persona que vive detrás de uno de los alias más reconocidos de esta escena.
Lizard aceptó hablar.
Y esto fue lo que me contó.
Cuando el alias se convierte en parte de la vida
Comencé por una pregunta personal: ¿qué se siente vivir con una identidad que tiene peso dentro del underground mientras, fuera de internet, mantienes una vida completamente distinta?
Su respuesta fue menos dramática de lo que uno imaginaría.
Al principio, explicó, puede sentirse extraño. Con el tiempo, termina convirtiéndose en una costumbre.
No habló de una vida dominada permanentemente por el miedo ni de la paranoia cinematográfica que suele rodear a los hackers en las series y películas.
Habló de adaptación.
El alias deja de ser solamente un nombre utilizado en internet y comienza a formar parte de la rutina. Existe dentro de una comunidad, acumula una reputación y representa una identidad distinta de la que se muestra en la vida cotidiana.
Del otro lado de la pantalla sigue existiendo una persona. Pero, dentro de ella, también existe Lizard.
Adrenalina y poder
Quise preguntarle por un momento mucho más concreto.
¿Qué sucede en la mente de alguien cuando confirma que ha logrado entrar o tomar control de un objetivo importante?
No entró en detalles técnicos. No habló de herramientas, vulnerabilidades ni procedimientos. La conversación nunca tuvo como propósito revelar métodos operativos.
Su respuesta fue breve y directa: se siente una descarga intensa de adrenalina y una sensación de poder.
La simplicidad de la respuesta resulta reveladora.
Desde afuera, un incidente de ciberseguridad suele explicarse mediante términos técnicos: vulnerabilidades, credenciales, servidores, configuraciones o vectores de ataque.
Pero detrás de cada operación también existe una dimensión humana: curiosidad, desafío, reconocimiento, adrenalina y la sensación de haber superado una barrera que parecía difícil de cruzar.
Para la institución, ese instante puede representar una crisis.
Para quien está del otro lado, puede representar la confirmación de que lo consiguió.
“Solo son insignias”
También hablamos de las etiquetas dentro del mundo hacker.
Sombrero blanco, sombrero gris, sombrero negro, investigador, pentester, hacktivista o cibercriminal.
Desde afuera, esas clasificaciones parecen fronteras claramente definidas. Dentro de la comunidad, no necesariamente todos las consideran de la misma manera.
Le pregunté si realmente existe una división clara entre el hacktivista y el cibercriminal, o si muchas veces se trata de personas con capacidades similares que justifican sus acciones mediante discursos diferentes.
Lizard fue tajante: los colores y los sombreros son insignias que las personas deciden colocarse. Al final, todos son hackers.
Su respuesta no elimina las diferencias legales o éticas entre proteger un sistema, estudiarlo o ingresar sin autorización. Pero sí revela cómo una parte de esa comunidad percibe las etiquetas que utilizamos desde afuera.
Para Lizard, la identidad principal no depende del color del sombrero.
Depende del conocimiento, de la capacidad y de pertenecer a la cultura hacker.
¿Por qué México aparece una y otra vez?
Cuando la conversación llegó a México, fui directo.
¿Por qué nuestras instituciones aparecen con tanta frecuencia entre los objetivos de grupos y actores relacionados con filtraciones?
Esperaba una respuesta llena de tecnicismos o alguna referencia a capacidades extraordinarias.
La explicación de Lizard fue mucho más sencilla: negligencia, falta de conocimientos y la costumbre institucional de minimizar los incidentes en vez de enfrentarlos con seriedad.
Le pregunté, casi sin filtros, si nuestras instituciones eran como un queso suizo: estructuras aparentemente sólidas, pero llenas de agujeros.
Su diagnóstico fue duro.
Desde su perspectiva, parte del problema se encuentra en la falta de preparación técnica de algunas personas encargadas de la ciberseguridad y en la inversión insuficiente destinada a proteger sistemas e información.
Lo llamativo es que su análisis coincide con algo que especialistas en seguridad llevan años advirtiendo.
La diferencia está en el punto de observación.
Un consultor lo explica desde una auditoría.
Un investigador lo documenta desde un laboratorio.
Lizard lo observa desde el otro lado de la defensa.
No reveló cómo se produjeron los incidentes atribuidos a Chronus Team ni cuáles fueron las vulnerabilidades utilizadas. Pero su respuesta deja una advertencia difícil de ignorar: mientras una institución niega, minimiza o esconde sus debilidades, alguien más está tratando de encontrarlas.
La capa ocho
Le planteé después un ejercicio hipotético.
Si tuviera que defender una organización mediana sin presupuesto para comprar costosas licencias de seguridad, ¿qué protegería primero?
Pensé que hablaría de firewalls, sistemas operativos, configuraciones o herramientas gratuitas.
Su primera respuesta fue otra: habría que parchar la capa ocho.
En el modelo tradicional de redes existen siete capas. Dentro del lenguaje informal de la ciberseguridad, la “capa ocho” es la persona que está frente a la pantalla.
El usuario.
El administrador.
El directivo.
El empleado que abre un archivo, reutiliza una contraseña, comparte información o confía en un mensaje aparentemente legítimo.
Para Lizard, no hay nada más vulnerable que el ser humano.
La frase podría aparecer en cualquier curso de concientización. Pero escucharla de alguien situado en el entorno ofensivo le da un peso diferente.
Las instituciones suelen pensar primero en comprar tecnología. Sin embargo, una herramienta costosa no compensa a una persona sin capacitación, un procedimiento mal diseñado o una organización en la que nadie sabe cómo reaccionar ante un incidente.
No explicó si Chronus Team utiliza ingeniería social ni habló de algún procedimiento particular.
Pero dejó claro dónde observa una de las debilidades más persistentes de cualquier organización: las decisiones humanas.
Los temas que prefirió reservarse
No todas las preguntas produjeron respuestas extensas.
Cuando llevé la conversación hacia la seguridad física, el anonimato y los riesgos de operar en una región donde existen actores con poder político, económico y criminal, Lizard se volvió más reservado.
Al principio puede preocupar, explicó, pero después hay que asumir los riesgos que la propia actividad representa.
No dio detalles.
Tampoco insistí en obtener información que pudiera identificarlo, revelar su ubicación o exponer sus medidas personales de seguridad.
Hay una diferencia entre conocer una perspectiva y tratar de descubrir quién se encuentra detrás del alias.
Esta conversación buscaba lo primero.
Sus silencios, sin embargo, también dicen algo. Detrás de la adrenalina, el reconocimiento y la sensación de poder existe una actividad que conlleva consecuencias reales.
Lizard lo sabe.
Y, por momentos, se nota que hay territorios sobre los que prefiere no hablar.
Una conversación inesperadamente cercana
La charla terminó de una forma muy distinta a la imagen fría y distante que normalmente asociamos con estos grupos.
Hubo un agradecimiento, un emoji y la sensación de haber conversado con alguien que, más allá del alias y de la reputación, también quería ser escuchado sin caricaturas.
Eso no significa compartir todas sus ideas.
Escuchar no equivale a justificar.
Pero difícilmente podemos comprender el entorno de la ciberseguridad si solamente hablamos con quienes defienden los sistemas y nunca intentamos escuchar a quienes buscan las grietas.
Una de sus últimas frases se quedó dando vueltas en mi cabeza:
“Al pueblo no es fácil engañarlo”.
La afirmación refleja parte de la visión con la que Lizard interpreta su actividad y el papel de grupos como Chronus Team.
También abre una pregunta incómoda.
Cuando una institución es vulnerada, ¿quiénes terminan pagando realmente las consecuencias?
No siempre son los funcionarios responsables de la seguridad.
Con frecuencia son ciudadanos comunes cuyos nombres, teléfonos, domicilios, identificaciones o expedientes terminan expuestos sin que hayan participado en el conflicto.
Esa contradicción no invalida la conversación. Al contrario: muestra que el mundo del underground no puede reducirse fácilmente a buenos y malos, héroes y villanos, sombreros blancos y sombreros negros.
Es un espacio lleno de capacidades técnicas, motivaciones, egos, causas, rivalidades y contradicciones.
Lo que me dejó hablar con Lizard
Después de la conversación, no me llevé una fórmula secreta ni una explicación técnica sobre cómo Chronus Team entra en sus objetivos.
Me llevé algo quizá más importante.
La confirmación de que muchas instituciones no son vulneradas exclusivamente porque exista, del otro lado, una especie de genio capaz de romper cualquier sistema.
También son vulneradas porque arrastran años de negligencia, presupuestos mal asignados, personal insuficientemente capacitado, sistemas abandonados y una cultura que prefiere negar los incidentes antes que aprender de ellos.
Eso no elimina la responsabilidad de quien entra sin autorización o difunde información.
Pero tampoco elimina la responsabilidad de las organizaciones que exigieron nuestros datos, prometieron protegerlos y después dejaron las puertas abiertas.
Hablar con Lizard fue asomarme por unas horas al otro lado de la pantalla.
No encontré al personaje de película que muchos podrían imaginar. Encontré a una persona acostumbrada a su alias, atraída por la adrenalina y convencida de que las etiquetas importan menos que las capacidades.
También encontré una advertencia.
Mientras las instituciones continúen minimizando sus fallas, habrá personas y grupos dispuestos a encontrarlas antes que sus propios responsables de seguridad.
El queso suizo seguirá ahí.
Y alguien, desde el otro lado, continuará mirando a través de sus agujeros.
¿Qué puedes hacer si tus datos fueron expuestos?
Si consideras que tu información pudo quedar comprometida en una filtración, cambia las contraseñas que hayas reutilizado y activa la autenticación de dos factores en tus cuentas.
Habilita alertas bancarias y revisa periódicamente movimientos, accesos y solicitudes de recuperación de contraseña.
Desconfía de llamadas, mensajes y correos que utilicen datos personales para parecer legítimos. Que una persona conozca tu nombre, CURP, domicilio o teléfono no significa que represente a una institución.
Después de una filtración, el mayor riesgo no siempre está en la base de datos original. También está en los fraudes, extorsiones y suplantaciones de identidad que pueden construirse posteriormente con esa información.