Hay innumerables programas de hacking y seguridad en Internet. Han sido escritas por profesionales, es decir, por profesionales cualificados o por aficionados. En la mayoría de los casos, este software se puede descargar gratuitamente y sólo requiere un ordenador (o dispositivo móvil) y acceso a Internet.
Por un lado, su uso te permite mejorar tus conocimientos de ciberseguridad y, más adelante, construir una carrera sobre ella. Por otro lado, también te pone en el camino de un hacker, un camino que comienza, la mayoría de las veces, con una posición de script-kiddie. Veamos qué significa este concepto y de qué se trata…
¿Qué Significa “Script Kiddie”?
Script Kiddie (en español, niño de guión, y también conocido como Script Bunny, Skiddie o Script Kitty) es un término para designar a un hacker no cualificado que depende en gran medida del software y los scripts de terceros para llevar a cabo ciberataques en redes informáticas, sistemas y sitios web.
Puede ser un niño o un adulto, pero la mayoría de las veces se trata de un usuario de ordenador adolescente que desconoce los principios éticos de los hackers profesionales, o los rechaza por completo, es decir, quiere el poder de los hackers sin disciplina ni formación. No tiene ningún deseo de conocimiento, ninguna motivación para la autoeducación y ningún respeto por las habilidades: utiliza programas informáticos estándar para el hackeo, el phishing, el phreaking y otras formas de caos electrónico sin saber siquiera cómo funcionan o qué hacen.
En algunos casos, a pesar de ser considerados inexpertos e inmaduros en su empeño, los “script kiddies” pueden causar tanto daño a un ordenador como los hackers profesionales. En la mayoría de los casos, sus experimentos, debido a la falta de conocimientos y al principio de funcionamiento de ciertos programas, comprometen su propia seguridad: los ordenadores se infectan con malware, al tiempo que dejan muchas huellas digitales que permiten identificarlos y encontrarlos en la vida real.
Tipos de Técnicas de Script Kiddie
La mayoría de los medios por los que los script kiddies llevan a cabo sus actividades maliciosas están automatizados y requieren poca o ninguna gestión. No es raro encontrar que el propósito y la función de este tipo de software es la realización de pruebas de penetración, es decir, que fue creado originalmente para la seguridad informática y el análisis forense. La mayoría de las herramientas funcionan según el mismo principio: se define el rango de direcciones IP que se va a examinar y, a continuación, se analizan determinadas vulnerabilidades.
La metodología de búsqueda de vulnerabilidad descrita anteriormente puede aplicarse de muchas formas y con distintos fines. Por ejemplo, se puede lanzar un ataque de denegación de servicio (DoS) contra un sistema informático, una red o un sitio web. El objetivo de este ataque es dejar un sistema inoperativo, hasta el punto de que no se pueda utilizar.
Una forma aún más devastadora sería un ataque de denegación de servicio distribuido (DDoS), en el que un ataque se lleva a cabo simultáneamente desde un gran número de sistemas comprometidos en todo el mundo. Un ejemplo notable de este impacto es el ataque DDoS a GitHub (2018), donde el tráfico fue de 1,35 terabits por segundo. Para obtener el control de un número tan grande de sistemas, se podría aplicar una técnica de script-kiddie. Debido a que las acciones se coordinan a distancia y a que hay un gran número de sistemas implicados, es extremadamente difícil identificar el origen y contrarrestar estos ataques.
Otra forma de ataque que se ha establecido entre los script-kiddies es la ingeniería social. Debido a que los “script kiddies” no tienen suficientes conocimientos y habilidades para escribir su propio programa o script, lo compensan manipulando a la gente.
Crean, por ejemplo, un sitio web falso, realizan correos electrónicos de suplantación de identidad, falsa correspondencia en redes sociales y messenger para engañar a la víctima y obtener detalles de la cuenta o comprometer el sistema de una persona. La ingeniería social no es tan fácil, sino más accesible para el atacante. Aprender HTML y desarrollo web suele ser mucho más fácil que programar, y para los scpit-kiddies, cuanto menos esfuerzo les cueste obtener un resultado, más probable es que este sea el camino que tomen.
¿Cuál es la Diferencia entre un Hacker y un Script-Kiddie?
Script kiddie, hacker, pentester pueden utilizar scripts y programas idénticos para sus actividades, pero la única diferencia será si el usuario entiende con qué está trabajando, qué procesos existen, qué y cómo afectan, si es capaz de recrear algo similar desde cero, modernizarlo y mejorarlo.
La diferencia entre un script kiddie y un hacker no está en las herramientas utilizadas, sino sólo en la motivación y la innovación realizada por la persona. Un script kiddie tiene un conocimiento muy limitado y casi nulo más allá del ataque que está lanzando. Lanzarán ataques y pensarán que son “geniales”, con la esperanza de conseguir algo de respeto.
Un hacker, en cambio, tiene conocimientos profundos, la capacidad de relacionar los ataques, la motivación y la capacidad de comprender las consecuencias de sus acciones. En la mayoría de los casos, no lo hacen para sentirse “guays”, sino para demostrar un punto o para obtener ciertos dividendos. Puedes consultar los diferentes tipos de hackers que existen.
En definitiva, los script kiddies son una especie de etapa de transición y una parte esencial del viaje, porque nadie empieza con un equipaje completo de conocimientos en un campo determinado, todo debe ser aprendido, las habilidades y la experiencia adquirida.
¿Debo Preocuparme por los Ataques de un Script Kiddie?
No cometas el error común de suponer que los script kiddies son incapaces de causar daños. A pesar de su falta de experiencia y conocimientos, las consecuencias de sus acciones pueden ser bastante graves y generalizadas.
Ante todo, los script kiddies buscan el camino fácil, a través de la explotación de vulnerabilidades conocidas, así que recuerda estar atento a las noticias en el espacio mediático para estar siempre al tanto de tal o cual incidente. Recuerda que la mejor defensa contra cualquier hacker o script kiddie proviene del conocimiento, la educación y la ciberseguridad proactiva.
