Alejandro Cáceres, el ‘hacker’ que dejó a Corea del Norte sin internet desde su casa: “Mi ataque fue respuesta a su intento de espiarme”
Más conocido como P4x o _hyp3ri0n, este experto en ciberseguridad fue reclutado por el Gobierno estadounidense tras su gesta. Ahora ha decidido revelar su identidad y seguir la lucha por su cuenta
El arranque de 2022 debió ser ajetreado en los altos despachos de Pyongyang. El ejército norcoreano realizó durante el mes de enero varias pruebas de misiles balísticos, lo que para el régimen es sinónimo de júbilo y celebración. Pero la fiesta duró poco. Justo después del último ensayo, se cayó internet en todo el país. Una oleada de ciberataques dejó colgados todos los sistemas durante más de siete días. Primero fallaron las principales webs patrias, desde el portal oficial de noticias hasta la página de reservas de la aerolínea nacional. Luego, se interrumpieron las conexiones del estado asiático con el resto del mundo. No se podían enviar ni recibir emails; tampoco recurrir a servicios en la nube. El bloqueo fue total.
La coincidencia en el tiempo de las maniobras militares y el asalto cibernético hizo que muchos leyeran el incidente como la respuesta de algún gobierno occidental a esos juegos de guerra. Nada más lejos de la realidad. Todo había sido orquestado por un solo hombre desde su casa de Miami, alguien conocido como P4x (se lee Pax). Lo hizo por las noches, en pantalones cortos y chanclas y con visitas frecuentes a la nevera a por cerveza y tentempiés. Escribió algunos programas que él considera sencillos en su portátil, alquiló varios servidores remotos y se sentó a ver cómo se ejecutaban sus planes. Su motivación no fue geopolítica, lo de los misiles le daba igual. Fue algo personal: quería devolverle el golpe a los norcoreanos, que trataron de entrar en su ordenador un año antes. “Había que hacer algo. Yo creo que si alguien te ataca, tienes que responder”, dice a EL PAÍS en perfecto castellano el estadounidense P4x.
El hacker documentó su ciberataque, grabando vídeos y tomando pantallazos de todo el proceso para probar que lo había hecho él solo. Le contó los pormenores de su incursión norcoreana a Wired, que confirmó su autoría y publicó la historia en febrero de 2022, poco después de los hechos. Ahora, pasados dos años, P4x ha tomado una decisión insólita en el mundillo: dar la cara. El hombre que paró internet en un país entero se llama Alejandro Cáceres, tiene 39 años y es dueño de su propia empresa de ciberseguridad, Hyperion Gray. Nacido en EE UU de padres colombianos, le asoman tatuajes por las mangas de la camiseta: en el brazo derecho lleva escrito el sobrenombre que usaba antes del affaire norcoreano, _hyp3ri0n; en el izquierdo, un hash criptográfico (una secuencia alfanumérica) que encierra una palabra. Su compromiso con la comunidad hacker va más allá de sus brazos. A la pregunta de si ha participado en la ciberdefensa de Ucrania, una causa apoyada por miles de expertos en ciberseguridad de todo el mundo, responde: “no me acuerdo”.
Cáceres ha desafiado a un régimen totalitario y luego ha revelado su identidad. No parece temer por su vida, aunque toma precauciones. “De hecho… mira”, desliza durante la videollamada con EL PAÍS desde su casa-despacho de Florida. Abre un cajón, saca una pistola automática y la muestra a la cámara. “No me gustan las armas, pero hablando con militares y oficiales del servicio de inteligencia, me dijeron que podían pasar cosas. Así que ahora en mi mesa tengo el teclado, el ratón, el micrófono y el Glock”, suelta entre risas. Sus ojos claros destacan en su rostro algo pálido y barbudo. Los rizos castaños asoman bajo su gorra de béisbol raída. Allí son las 11 de la mañana y su aspecto es el propio de quien se ha pasado la noche en el ordenador. Va dando sorbos a una bebida energética durante toda la entrevista, celebrada mes y medio después de que saliera del armario del ciberespacio.
“En este tiempo no me ha atacado nadie. Antes de hacer lo que hice, miré los números. En los últimos 45 años, el régimen norcoreano solo ha asesinado a dos personas: una fue el hermano de Kim Jong-un y la otra, un estadounidense que estaba en el país”, dice en referencia a Otto Warmbier, un joven que estuvo preso en Corea del Norte y llegó en estado vegetativo a EE UU, donde murió a los pocos días. Decidió que el riesgo era asumible. “Todavía no ha venido Dennis Rodman a pegarme”, suelta entre carcajadas en referencia a la leyenda de los Chicago Bulls, que ha hecho gala de su amistad con Kim Jong-un.
Todavía no ha venido Dennis Rodman a pegarme. Pero ahora en mi mesa tengo el teclado, el ratón, el micrófono y el Glock
Recuerda que le ha pasado “una cosa rara”. Conoció a través de una aplicación de citas a una chica que decía ser una neurocientífica canadiense-japonesa. “Cuando quedamos vi que era claramente coreana. También comprobé que quien escribía los mensajes era otra persona, a la que apenas se le entendía. Me dio por buscar información sobre ella y no encontré nada. Me dijo que se había cambiado el nombre porque estaba relacionada con un dictador de Corea del Norte, de apellido Kim. Ahí fue donde dije adiós”. Eso pasó en marzo de este año, poco antes de que P4x revelara su identidad.
Aparte de eso, su vida no ha cambiado demasiado: sale poco y evita los barrios problemáticos y mal iluminados. Desde que dio la cara, eso sí, recibe unos 200 mensajes diarios. “Muchos quieren asociarse y trabajar conmigo, otros me ven como un hacker bueno y me piden ayuda. Estoy un poco agotado”, confiesa, aunque es un usuario activo de X, donde no se muerde la lengua y despliega su humor sarcástico.
Romance y desencuentros con el Pentágono
Con quien sí ha colaborado, y mucho, es con las autoridades estadounidenses. Cáceres ha trabajado durante década y media a través de su empresa de ciberseguridad con el Pentágono, el Darpa (Agencia de Proyectos de Investigación Avanzados del Departamento de Defensa) o el FBI, entre otros. Desde que apagó internet en Corea del Norte, se le acercó también el Departamento de Seguridad Nacional o la NSA. Todo el mundo quería saber cómo lo había hecho. “Oficialmente no pueden decir ni mierda de lo que me dijeron sobre mi ciberataque, pero quedaron contentos. Sé que lo que hice es ilegal, pero no me imaginaba a Corea del Norte llevándome a juicio”.
Cáceres lo ha intentado, pero su relación con las agencias de seguridad no acaba de cuajar. “Mi ataque a Corea del Norte fue una respuesta a su intento de espiarme, pero también un mensaje para EE UU”, asegura. Recuerda todavía el momento exacto en el que se dio cuenta de que los norcoreanos estaban dentro de su ordenador. El 24 de enero de 2021, recibió un supuesto exploit (una secuencia de comandos que explota una vulnerabilidad) que le había mandado otro hacker. Al día siguiente, Google Threat Analysis Group advirtió de una campaña de espionaje norcoreana dirigida a expertos en ciberseguridad. Abrió el archivo en un entorno seguro y, efectivamente, era un software malicioso dirigido contra él. Lo reportó al FBI, pero, tras tres entrevistas telefónicas, la cosa se quedó ahí.
“Me pareció muy evidente que no sabían qué hacer, no tenían plan, no tenían nada. ¿Un grupo de terroristas amparado en un Estado fallido atacó a ciudadanos de EE UU y no van a hacer nada? No me parece bien”. Cáceres acumuló rencor durante casi un año hasta que, una noche, le dio por ponerse a estudiar la arquitectura de los sistemas de Corea del Norte. “Me encontré cosas sorprendentes”, explica. Había dos grandes routers que centralizaban las conexiones de todo el país” (aunque tiene 26 millones de habitantes, son muy pocos quienes tienen acceso a internet). “Busqué en Google sus características y vi que ni siquiera eran gigantes, sino de tamaño medio”.
A partir de ese momento, el plan fue tomando forma en su cabeza. Alquiló en la nube todo tipo de servidores alrededor del país y diseñó un ataque de denegación de servicio (DoS), que consiste en saturar el sistema objetivo con tantas acciones o peticiones de datos que acabe por bloquearse. En este caso, Cáceres, o más bien P4x, bombardeó los routers norcoreanos desde los servidores que había alquilado mandando muchos paquetes de información y haciendo que la transmisión de datos fuera extremadamente lenta. Para ello, explotó algunas vulnerabilidades de las infraestructuras digitales del país, que eran muy viejas y, por tanto, tenían brechas de seguridad.
En EE UU tenemos a gente muy, muy buena trabajando en nuestra ciberdefensa, pero están maniatados
Su gesta no pasó desapercibida. Durante el siguiente año tuvo reuniones con oficiales del Cibercomando de Estados Unidos, la rama de las fuerzas armadas dedicada a esta arena. También se vio con oficiales de los Marines, del mando de Operaciones Espaciales y de inteligencia (NSA). Cáceres compartió con los uniformados las claves de su golpe y les dijo que, en su opinión, se podían desarrollar exitosamente operaciones parecidas con pequeños comandos de dos a cuatro hackers. Eso les daría agilidad, autonomía y capacidad de reacción.
Lo intentó, pero no lo consiguió. “Para hacer cualquier cosa necesitas una autorización, que tardas seis meses en conseguir. Y cuando la obtienes, lo que querías hacer ya no sirve. Esa es la realidad aquí en EE UU: tenemos a gente muy, muy buena trabajando en nuestra ciberdefensa, pero están maniatados. No hacen nada, aunque yo sé que tenemos los recursos para hacer mucho”.
Cáceres se hartó y decidió dejar de trabajar con el Gobierno. Lo vuelve a hacer por su cuenta desde su empresa, Hyperion Gray, a la que ahora se ha sumado como socio George Perera, un veterano policía especializado en cibercrimen.
El desencanto de Cáceres con el sistema ha sido uno de los motivos que le han llevado a revelar su identidad. Cree que EE UU debería adoptar un enfoque mucho más agresivo en la arena cibernética. Si hay grupos como los norcoreanos Lazarus, capaces de robar centenares de millones de dólares en criptomonedas en un solo año, ¿por qué no se les ataca? “Alguna vez me han dicho que eso no se puede hacer, que hay relaciones diplomáticas que mantener. Y yo respondo: es Corea del Norte, me importa una mierda. Otros dicen que si se abre la puerta de las represalias en el ciberespacio, ya no se cerrará. Pero, no nos hagamos los idiotas, esa puerta hace tiempo que se abrió”.