The Silicon Siege: How The PayPal Mafia Survived The First Cyberwar

THE SILICON SIEGE

How The PayPal Mafia Survived The First Cyberwar

Cada pago en línea que hayas hecho en tu Toda la vida existe debido a una guerra que Fue luchado en el año 2000 en una batalla de Edificio de oficinas en Palo Alto, California, contra un solo edificio de oficinas. Un enemigo que la mayoría del mundo tiene. Desde entonces se ha olvidado. La guerra duró 18 meses. En su apogeo, los defensores estaban perdiendo $10

millones cada 30 días. Los atacantes eran, según una estimación interna, 12 Un millón de seres humanos están dispersos en cuatro continentes, organizados. En células por zona horaria y lenguaje, coordinando En los canales IRC que los defensores pudieron leer En tiempo real pero no pudo cerrar. Todo el mundo recuerda a las personas que ganaron. Elon Musk, Peter Thiel, Max Lebtchen, Reid Hoffman, y otros.

Rolof Botha. David Sachs. Silicon Valley los llama la mafia de PayPal. Ellos, en los próximos 20 años, encontrarían Tesla, SpaceX, Palantir, LinkedIn, YouTube, Yelp y el resto de empresas. Los fondos de riesgo que financiaron la mayor parte del resto. Lo que casi nadie recuerda es que, en el El año 2000, la compañía que estaban dirigiendo era

18 meses desde la insolvencia, Porque el crimen organizado global... ...la comunidad había encontrado una manera de extraer dinero de la misma más rápido de lo que podría ser depositado. Este es un documental sobre la tecnología específica y los hombres específicos que los detuvieron. Para entender lo que sucedió, tienes que entender lo que X.com estaba tratando de hacer.

En marzo de 2000, dos compañías se fusionaron en Un apresurado... ...un acuerdo de 40 páginas firmado en un Palo Alto Un bufete de abogados. El primero fue Confinity, fundado por Peter Thiel. y Max Lebtchen, que habían construido un sistema para enviar dinero entre Palm Pilots. El segundo fue X.com, fundado por Elon

Musk, que estaba tratando de construir lo que Musk quería. Descrito en ese momento, sin exageración, como... ... Todo el Banco. La compañía fusionada tomó su nombre de producto... ...desde el lado de la Confinidad. Ese nombre era PayPal. La idea era simple, y en ese momento, Radical.

Podrías enviar un pago a cualquier otra persona. En Internet, sólo se utiliza su dirección de correo electrónico. No hay transferencia bancaria, no hay efectivo en la entrega, no Chequeo. Un enlace se hizo clic, se escribieron algunos dígitos, y El dinero se movía entre continentes en segundos. En el año 2000, este fue el single más interesante. producto de software en Internet.

A finales de ese año, PayPal estaba en funcionamiento. Procesan casi 200.000 transacciones al día. eBay, que en su momento era el mayor mercado de consumo En el mundo, ya había sido colonizada. El 25% de todas las subastas de eBay que figuran en PayPal como su método de pago preferido... ...y ese número se estaba subido por dos dígitos. El número de transacciones aumentaba en un

Dos dígitos cada mes. Luego, muy silenciosamente, el dinero comenzó a desaparecer. El mecanismo era sencillo. Un fraude, que trabaja desde un sótano en St. Petersburg. En la actualidad, una empresa de Internet o un cibercafé en Lagos, podría adquirir una tienda en San Petersburgo. Una tarjeta de crédito estadounidense robada. En ese momento, podías comprar cinco de. Estos en IRC por $30.

Él abriría una cuenta de PayPal bajo un formulario El nombre estadounidense robado, financiar la cuenta mediante facturación La tarjeta robada, y utilizar el saldo resultante Para comprar artículos de alto valor en eBay... ... cámaras, electrónica, portátiles. Los artículos se enviarían a una dirección de entrega en los Estados Unidos. Un colaborador los remitiría al extranjero.

Y para cuando el verdadero titular de la tarjeta se dio cuenta El cargo y el litigio presentado... ...el dinero había sido retirado en efectivo, y La cuenta de PayPal estaba vacía. Las compañías de tarjetas de crédito, bajo la ley federal estadounidense, fueron Para revertir los cargos fraudulentos se requieren. La inversión fue un recargo. El reembolso no fue facturado al fraude,

sino al comerciante. PayPal, en cada una de estas transacciones, fue El comerciante. En abril de 2000, PayPal absorbió $200,000 en reembolsos de cargas. Para junio, $3.1 millones. Para septiembre, $7 millones. A principios del invierno de 2000, la compañía se había convertido en una empresa.

Estaba perdiendo, solo en reembolsos, más de $11 Un millón al mes. Los inversores de riesgo que habían financiado la fusión... ...Sekoya, Madrone, Nokia Ventures... ...eran en privado, usando la palabra insolvente. Musk, quien era el presidente, convocaba a la junta directiva. En las que la frase... reuniones ... ... ... ...

'Tenemos cinco meses de pista' apareció literalmente en las minutas. Thiel, que era el CEO, estaba durmiendo en el hospital. La oficina cuatro noches a la semana. El enemigo no era una sola persona. Él era un ecosistema. Para el otoño de 2000... ... los foros de fraude en la Internet rusa tenían un conjunto entero

Se dedican subsecciones dedicadas a la explotación de PayPal. Los tutoriales, escritos primero en ruso, luego traducidos a. Rumano, polaco e inglés... ...explicó, paso a paso, qué dirección de facturación estadounidense, Códigos zip, el sistema no verificó... ...que proveedores de correo electrónico confiaban por defecto, y ¿Qué horas del día el equipo de revisión? era bajo personal.

Un ingeniero senior de PayPal, leyendo estos foros en En tiempo real... ...describió más tarde la experiencia como... ... ... ... ... 'Leer el libro de jugadas para tu propio funeral.' Los defensores no pudieron cerrar los foros. No tenían jurisdicción sobre Rusia o Nigeria. No tenían relaciones con la policía capaces de

Operando a la velocidad a la que funcionaba Internet En. El FBI, en ese momento... ...no tenía todavía un centro de datos. Tenían una unidad dedicada al ciberdelincuencia con la CIA. autoridad para presentar una citación a un servidor IRC. Y así, en las últimas semanas del año 2000... ...Musk y Thiel y Levchin lo entendían, sin haberlo hecho.

para decirlo en voz alta... ...la estructura exacta del problema que eran En. Ningún gobierno iba a salvarlos. Ningún consorcio industrial iba a salvarlos. Ningún regulador los salvaría. Ningún gobierno iba a salvarlos. Tendrían que construir el edificio.

Las propias armas. El código. En el edificio. En los próximos 60 días. El director de tecnología de PayPal en el año 2000 El año 2000... ...era un criptógrafo de 25 años de edad, nacido en Ucrania. llamado Max Levchin.

Levchin había dejado la Unión Soviética con su familia. familia a los 16... ...se matriculó en la Universidad de Illinois... ...y escribió su tesis maestra en clave pública La criptografía... ... antes de dejar de trabajar para fundar su primera startup. Cuando llegó a Palo Alto, estaba en la ciudad. Había construido y vendido dos pequeñas empresas...

...donde ambos habían fracasado comercialmente... ...y había desarrollado, en privado, una convicción que sería, al final, ahorra PayPal. La convicción fue esta. Los humanos y las máquinas, con la misma tarea, hacen lo mismo. No lo harán de la misma manera. Un humano haciendo clic en un ratón no hace clic en una línea perfecta.

Un ser humano que escribe una contraseña no escribe. Cada personaje en el mismo intervalo. Un humano que llene un formulario no lo hace. Llévalo en el orden en que se encuentran los campos del formulario Aparecen en el HTML subyacente de la página. Las máquinas sí. Los estafadores, en octubre de 2000, no estaban escribiendo. Estaban escribiendo guiones.

Los mismos foros rusos que distribuyeron paso a paso -pasos guías de explotación de PayPal... ...también distribuyeron scripts de Perl pre-escriptos que automatizaron La cuenta entera... ...el ciclo de apertura y ejecución de transacciones. Un operador humano, desde una sola computadora portátil... ...podría ejecutar varios cientos de cuentas simultáneas. La economía del atacante no era un enjambre de

Los hackers individuales. Era un enjambre de bots, operado por Un número mucho menor de seres humanos. Y eso significaba que había una señal. Si Levchin pudiera detectar la señal... ...si pudiera distinguir, en tiempo real... ...entre un ser humano que se registra para un PayPal Cuenta... cuenta...

...y un script para inscribirse en un PayPal Cuenta... cuenta... ...podría rechazar las transacciones del guión... ...sin rechazar a los humanos. El fraude moriría a nivel de la base de datos. Los clientes legítimos nunca se darían cuenta. Levchin y un pequeño equipo de ingenieros... ...trabajando desde una sala de conferencias de paredes de vidrio...

...que el resto de la compañía había tomado Para llamar al Bunker... ... comenzó a catalogar cada diferencia observable... ...entre el comportamiento humano y el comportamiento scriptado en el PayPal sitio web. Un ser humano haciendo clic en el botón Continuar tomó, en El promedio... ...entre 800 y 1200 milisegundos...

...después de que la página terminara de cargarse. Un guión con menos de 60 clics. El cursor de un ser humano que se mueve entre los campos de forma trazados Un arco. Un script teletransportó el cursor desde el campo a En un campo en línea recta. Los intervalos de golpe de teclado de un humano... ...escribiendo una contraseña...

...se siguió a una distribución de la ley de poder aproximada. Los intervalos de un guión eran uniformes. La dirección IP de un ser humano geolocalizada a una vivienda residencial bloque. bloque. La dirección IP de un script se geolocalizó siete veces en. Diez... ...a un proveedor de alojamiento. Una dirección de centro de datos que ningún consumidor ordinario podría usar.

¿De dónde vienen? Cada una de estas observaciones, aisladas... ...era una señal débil. Cualquiera de ellos podría ser derrotado por Un atacante lo suficientemente inteligente. Pero combinados, combinados estadísticamente... ...a través de lo que el equipo de Levchin comenzó a llamar el Signal El puntaje...

...produjeron un solo número entre 0 y. 1 que... ...para cualquier muestra suficientemente grande... ...distinguido humano de bot con más de 90 La precisión en el %. El equipo dio al clasificador un nombre en código. Lo nombraron así por un fraude ruso específico. ¿Quién había...

...dos meses antes publicado en un canal IRC... ...que los ingenieros de PayPal eran demasiado americanos y demasiado Lento para atraparlo. El manijo del fraude era Igor. El clasificador fue Igor. Igor se puso en vivo en Internet... ...en el backend de PayPal en noviembre de 2000... ...flagging transacciones que superaron un umbral de puntuación para

Revisar el manual. En un plazo de 72 horas, la tasa de carga de la devolución en el El segmento señalado cayó un 61%. En una semana, una primera generación de retroalimentación adversaria. El bucle... ...era visible en los registros. Los atacantes estaban ajustando sus guiones para producir Más patrones de clics de aspecto humano.

Levchin agregó nuevas características. Los ajustes ralentizaron a los atacantes. La tasa de carga de devolución se mantuvo suprimida. Igor por sí solo, sin embargo, no fue suficiente. Los guiones eran una categoría de enemigos. La otra categoría, más difícil de detectar a través del comportamiento Solo el análisis... ...era el bot de creación de cuentas.

Un bot que registró 5.000 cuentas de PayPal En una hora... ...cada uno con nombres plausiblemente aleatorios y correo electrónico de trabajo Las direcciones... ...podría producir un inventario de cuentas de mulo... ...más rápido de lo que Igor podría señalarlos después. Lo que se necesitaba era una puerta... ...una sola prueba colocada en la parte delantera de

El flujo de creación de cuentas... ...que ningún bot podía pasar y que cada uno de ellos El humano podría. En diciembre de 2000, Levchin y un colega se reunieron. David Gozbeck lo diseñó y lo llamó. Tomaron una cuadrícula de caracteres arbitrarios... ...cinco dígitos alfanuméricos... ...envía la cuadrícula como una imagen distorsionada...

...y requirió que el usuario transcribiera los dígitos antes de que la creación de cuentas pudiera continuar. Los humanos, mirando la imagen, podían leer la letra caracteres en menos de dos segundos. El software de reconocimiento óptico de caracteres en el año 2000 No podía leerlas en absoluto. La prueba se llamó la prueba Gozbeck-Levchin. Fue, en el sentido académico estricto, el

El primer despliegue comercial de una categoría de tecnología... ...que un equipo de Carnegie Mellon lo haría, dos veces. Años más tarde, generalizó y renombró. El nombre de Carnegie Mellon es el nombre que Se quedó atascado. Hoy en día, miles de millones de seres humanos lo pasan cada vez. día sin saber su origen. El nombre es C.A.

Papá, papá. La compañía fue fundada en 1935. Entre Igor y CAPTCHA... ...entre la clasificación del comportamiento y la prueba de Gozbeck-Levchin... ...la tasa de devolución de cargas en PayPal, que había alcanzado su punto máximo A finales del otoño de 2000... ...en casi el 5% del volumen bruto de las transacciones... ... cayó, durante los primeros seis meses de 2001,

De menos de un tercio del 1%. La compañía se había convertido en solvente para la primavera. Fue rentable para el otoño. Se publicó en la NASDAQ a $15 .75 por acción el 15 de febrero 2002. Ocho meses después, eBay lo compró por $1 Cinco mil millones.

Todos los que habían trabajado en el búnker que Winter se fue como multimillonario. Todos los que habían trabajado en el búnker que El invierno continuó construyendo la siguiente década de Silicon Valley. Y cada vez, en los 24 años posteriores, que ha hecho clic en una imagen distorsionada para Prueba que eras humano...

...has estado realizando un gesto primero exigido de usted por un ucraniano de 25 años criptógrafo... ...tratante de salvar una empresa de un hacker llamado Igor. Durante siete meses, la compañía estuvo en el mercado de la tecnología. En el centro de atención. Durante seis meses, a partir del otoño de 2000

A través de la primavera de 2001... LevMaxchin y David Gaussbeck corrieron el mismo camino. Experimento, en diferentes formas... ...en el sótano de la bahía de ingeniería de PayPal. El experimento fue simple en concepto. Construye una prueba que los humanos pasen y los bots. El fracaso. Hazlo lo suficientemente rápido como para que los humanos no lo hagan.

Lo odio. Haz que sea lo suficientemente barato como para que pueda ser Servido en cada cuenta... ...creación de solicitudes sin agregar un centavo de servidor El costo por usuario. Haz que sea lo suficientemente adversario como para que un atacante motivado, Dado un año y un equipo, no puede ser confiable lo derrotará.

El primer prototipo Levchin construido tenía un sistema interno. nombre de código. El equipo lo llamó GIGOT, un acrónimo, ensamblado A las tres de la mañana... ...que representó el Gauntlet de Imagen Gated para Origen Las pruebas. Los ingenieros que lo escribieron todos los días hicieron la imitación. que representaba algo más respetable.

El comentario en la parte superior del Python El archivo que lo implementó simplemente se leyó... ...si el bot puede leer esto, reescribiremos El archivo. GIGOT fue una sola imagen PNG renderizada en El servidor en el momento de la creación de la cuenta. Contiene cinco caracteres, dibujados en un serif El tipo de letra...

...se deslizaron y giraron a lo largo de ejes independientes... ...superpuestas en un campo de trazos diagonales cortos... ...y comprimido con sólo suficiente artefacto JPEG para La detección de contornos... rompe ...que las bibliotecas de reconocimiento de caracteres ópticos de la era dependió de. Un humano, mirando hacia ella, vio cinco letras. Una computadora, mirando hacia ella, vio un ruido.

campo. GIGOT se puso en vivo en el flujo de registro de PayPal En la primera semana de enero de 2001. Para finales de esa semana, la tasa En qué nuevas cuentas se estaban creando... ...que había crecido, a través del último trimestre de 2000... ...a un flujo constante de varios miles de nuevos

Las inscripciones se realizan en una hora... ...la abrumadora mayoría de ellos bots, colapsados por El 94%. Las 4.000 inscripciones anuales fueron un total de un total de de... de... ...3.000 inscripciones durante la noche, se convirtieron en menos de 240. Los 240 que quedaron fueron, cada uno de los Los... los...

...ser humanos reales que habían utilizado el servicio Antes de que... ...o ha sido referido por alguien que lo haya hecho. Los atacantes se dieron cuenta de inmediato. En los canales IRC que la seguridad de PayPal El equipo todavía estaba silenciosamente monitoreado... La respuesta no fue pánico, sino algo más extraño... ...una especie de perfección resignada.

Un respeto profesional. Un conocido autor de tutoriales de fraude ruso publicó un mensaje. Una sola línea en inglés... ...que el equipo capturó y pegó en pantalla. El muro del búnker. Se lee, se resuelve la imagen, se resuelve la El final del juego. Lo que Levchin y Gaussbeck habían descubierto...

...y qué equipo de informáticos está trabajando. La Universidad Carnegie Mellon es una universidad de la... ...se formalizaría dos años después... ...en un papel publicado y una marca registrada... ... fue lo contrario de la prueba de Turing. Alan Turing en 1950 había propuesto un pensamiento El experimento... ...en la que un juez humano intentaría hacer

distinguir... ...un ordenador de un humano a través de una conversación sola. La pregunta que Turing hizo fue filosófica. ¿Podría una máquina pensar? La pregunta a la que Levchin y Gaussbeck habían respondido era: Es práctico. ¿Podría un sitio web en tiempo real, sin ningún humano en el bucle...

...distingue a un usuario que era un ordenador de ¿Un usuario que era humano? La respuesta en el año 2001 fue sí. La herramienta era una imagen. El equipo de Carnegie Mellon en 2003... ...llamaron su generalización del concepto... ...la prueba de Turing pública completamente automatizada... ...para distinguir a los ordenadores de los humanos.

Lo abreviaron como C.A. Es un niño. El nombre se quedó. La historia no lo hizo. Entre Gigot e Igor... ...entre la prueba de imagen y el clasificador de comportamiento... ...PayPal tenía, a mediados de 2001... ...construyó lo que equivale a la primera...

...operacional, comercial, anti-fraude y el aprendizaje automático. Ninguna otra compañía de Internet de consumo en ese momento... ... tenía algo parecido. Los bancos no lo tenían. Visa no lo tenía. Mastercard no lo tenía. Google, que en 2001 todavía era una empresa privada. La compañía...

...con ingresos por debajo de un cuarto de mil millones El dólar... ...todavía no se ha detectado fraude en este caso nivel de sofisticación. Cuando eBay se acercó a PayPal en el verano de 2007 2002... ...no eran, de hecho, lo mismo. No estaban, estrictamente hablando, adquiriendo un pago

empresa. Ya eran dueños de una compañía de pagos. Ellos mismos lo habían construido. Lo que estaban adquiriendo fue, en Meg Whitman's Sus propias palabras... ...de un memorándum interno que desde entonces se ha convertido en un El público... ...el sistema operativo Fraud Loss.

El 3 de julio de 2002... ...Ebay anunció una adquisición total de PayPal... ...con una valoración de $1.5 mil millones. La valoración había sido calculada... ...en el proceso de diligencia debida... ...principalmente extrapolar el número de devoluciones de carga... ...se habrían incurrido en la propia plataforma de eBay... ...en los siguientes cinco años...

...absencia de la pila de Igor y Jigo T. El número, descuento al valor presente... ... fue de aproximadamente $1.400 millones. Los restantes 100 millones de dólares fueron, dijeron los banqueros... ...pagado por el equipo. Quiero que te alejes del narrativa por un momento... ...y considere lo que acabas de ver.

Dos hombres, uno de ellos de 25 años. y los otros 32... ...y un equipo de menos de una docena Ingenieros... ...construido, en una sala de conferencias de paredes de vidrio en Palo Alto... ...a través de un otoño y un invierno... ...un sistema que, cuando se mide en dólares de recarga...

...no incurriron, fue valorado en $1.5 mil millones. Lo único que valió la pena... ...el dinero era el dinero. No lo construyeron moviendo dinero. Lo construyeron escribiendo código que observaba El código... otro código... ...y decidió, en tiempo real... ...si ese otro código era un ser humano.

Este es el patrón. La verdadera riqueza de la era digital... ...desde el año 2000 hasta el momento en que usted Actualmente están viendo esto... ...nunca ha sido creado por las empresas... ...que el valor de transferencia. Ha sido creado, casi sin excepción... ...por las empresas que defienden el valor.

El valor de las transferencias de visa. Las transferencias de valor de MasterCard. Western Union transferen el valor. Ninguna de estas empresas, en el último trimestre siglo... ...ha producido un solo multimillonario de Silicon Valley. Las empresas que defienden el valor... ...PayPal y Stripe...

...y Audion... ...y la Plaza... ...y Plaid... ...y las docenas de otras construidas por los hombres y mujeres... ...que salió del búnker temprano 2002... ...con sus acciones adquiridas...

...y sus algoritmos se entendieron... ...producido en docenas. Y los algoritmos mismos... ...no se quedó en el procesamiento de pagos. El clasificador Igor... ...generalizada y reescritada mil veces... ...es lo que revisa sus transacciones con tarjetas de crédito... ...en el momento entre el toque y la confirmación.

Es lo que decide si su reclamo de seguro... ...está marcado para la investigación de fraude. Es lo que Tesla usa... ...para distinguir a un peatón humano... ...desde un dibujo de un niño... ...en la fracción de segundo... ...antes de que el vehículo aplique sus frenos. Es lo que SpaceX usa...

...en la capa de fusión de telemetría de su cohete Los autopilotos... ...para distinguir el ruido real de los sensores... ...de anomalías instrumentadas... ...que abortaría el lanzamiento. El hombre que diseñó el clasificador de comportamiento original... ...el director de tecnología de PayPal en 2001... ...es hoy el fundador y director ejecutivo...

...de una compañía pública de fintech llamada Affirm... ...cuyas decisiones de crédito para 70 millones de clientes... ...son hechas por el descendiente lineal directo de El sistema... ...el primero nombró a un fraude ruso... ...llamado Igor. El patrón no es el pago. El patrón es la defensa.

El patrón es un código que observa... ...clasifica y decide. Y cada importante empresa de Internet de consumo... ...construido desde 2002 sin excepción... ...ha sido su principal activo operativo... ...alguna variante de la tecnología que Max Levchin construyó... ...en los 60 días entre octubre y diciembre del año 2000...

...para detener a un hombre llamado Igor... ...desde la draina de la cuenta bancaria de su empresa. Ya conocéis el resto de la historia. Lo que no sabías es que el El resto de la historia... ...comienza en una habitación... ...con un hombre, con una línea de Python... ...y con una tarjeta de crédito robada siendo probada...

...en contra de una imagen de cinco caracteres distorsionada... ...en una página de registro de PayPal... ...una noche de enero de 2001. Ese fue el comienzo del siglo XXI. Has estado viviendo en las consecuencias... ...de esa noche desde entonces.