La historia y la transformación de un oficio legendario
Su evolución se basa en el conocimiento y la utilización de la ingeniería social
Hay «hackers» y «hackers». O digámoslo de otra forma: entre los ciberdelincuentes, también podemos encontrar un Arsenio Lupin o un ladrón de gallinas. Hablamos de un «oficio» cuyo ejercicio presenta, de hecho, muchas diferencias, tanto en lo que respecta al método como a los objetivos. Y para quien quiera protegerse contra estos habilidosos profesionales, puede ser útil conocer un poco mejor su variada tipología.
Comencemos con breves referencias etimológicas e «históricas». La palabra «hacker» proviene del verbo inglés hack, que en el ámbito informático significa atacar y acceder ilegalmente. Surgió oficialmente en 1980, en un artículo publicado en Psychology Today titulado «The Hacker Papers» en el que se habla de la dependencia causada por el uso de ordenadores. El camino se ha abierto: dos años después se estrena la película «Tron», que cuenta la historia de un pirata informático, propietario de una sala de juegos, cuyo cuerpo físico es transformado en una forma digital por un software pirata llamado Master Control que lo obliga a participar en juegos de tipo gladiador y a aliarse con un personaje de un programa informático.
Los piratas informáticos en el imaginario cinematográfico
Al año siguiente, se estrena la magnífica Juegos de guerra, cuyo protagonista es un adolescente brillante que entra en el programa militar secreto de Estados Unidos e interactúa con el sistema de inteligencia artificial (AI), realizando acciones que podrían desencadenar una guerra nuclear entre Estados Unidos y la Unión Soviética. En 1985, llega el turno de Prime Risk, en la que una ingeniera y su amigo descubren la forma de robar en los cajeros automáticos. Al hacerlo, sin embargo, se dan cuenta de que pueden destruir la Reserva Federal de Estados Unidos.
Desde entonces, la lista de películas sobre este tema se ha hecho realmente larga con filmes de culto que ningún entusiasta se puede perder, como «The Matrix» (1999), «Hackers» (1995), «Los fisgones» (1992), «The Italian Job» (2003), «Citizenfour» (2015) o «Silk Road: atrapado en la “dark web”», que salió en 2021 y que cuenta la historia del mercado anónimo de la «dark web» lanzado a principios de 2011 por Ross Ulbricht, encarcelado de por vida después de que una operación del FBI cerrase Silk Road, el sitio al que se debe el nombre de la película, considerado el «Amazon de las drogas».
En resumen, el tema es apasionante, intrigante y muy actual. Se escriben libros, se ruedan películas e incluso la prensa está repleta de historias relacionadas con incursiones en sistemas informáticos. Basta con pensar en el caso de Julian Assange, fundador de WikiLeaks, sobre el que tanto la opinión pública como países enteros están aún divididos. Porque no solo está en juego la vida de un pirata informático, sino también los delicados equilibrios geopolíticos, además de las afirmaciones de principios importantes, como el de la libertad de expresión y sus límites. Indudablemente, un personaje como Assange, independientemente de lo que pensemos de él, aparecerá en los libros de historia como una de las figuras más legendarias de los últimos años.
Ejercer de «hacker»
Todo esto para decir que el oficio de pirata informático resulta para mucha gente muy atractivo. Entre otras cosas, porque no solo hay «hackers» delincuentes, también llamados «crackers» o «black hats», sino también otros («white hats») cuya meta es hacer el bien o proteger la seguridad de un país, de una empresa o de una organización. En resumen, los matices son muchos y cada cual puede elegir el que mejor le defina.
En el fondo, basta con tener muchos conocimientos informáticos y lanzarse a la red, ¿no? Bueno, en realidad la cuestión es algo más compleja que eso. O, mejor dicho, para ser un «ladrón de gallinas» no hace falta mucho. Basta con encontrar la forma de ejecutar un programa de malware en el ordenador de la víctima, aunque sea simplemente chantajeándola con difundir, a través de las redes sociales o de direcciones de correo electrónico sustraídas, información escabrosa sobre ella. Son cosas ya muy manidas, pero siempre hay quien cae y paga un rescate. Dinero rápido y sin mucho esfuerzo. Sin embargo, si se eleva el listón de la ambición y se aspira a acometer retos más intrigantes y a adquirir ganancias más sustanciosas, entrará en juego la ingeniería social, que requiere elegir a la víctima cuidadosamente y conocerla a fondo.
Ingeniería social: una verdadera manipulación psicológica
El término ingeniería social tiene su origen en las ciencias sociales e indica cualquier intento por parte de los actores principales del cambio (por ejemplo, los medios, los gobiernos o distintos grupos) de influir en el comportamiento de las personas o de darle forma. Hoy en día, el término está estrechamente ligado a la seguridad informática.
En el mundo informático, se traduce en el uso de métodos que no tienen nada que ver con la técnica, pero que, en realidad, son más «sociales», y que, sirven para ponerse en contacto con una víctima después de haberla estudiado atentamente y de valorar sus comportamientos, para empujarla, mediante la manipulación psicológica, a compartir información personal importante.
Puede suceder, por ejemplo, que la auténtica víctima sea un director de una empresa pero que la persona manipulada sea su hijo, quien, inconscientemente, hará amistad en línea con su coetáneo (o supuesto coetáneo) con el que intercambiará documentos, enlaces o archivos adjuntos cuyo verdadero objetivo será atacar el ordenador de su padre.
El Arsenio Lupin moderno se mueve entre el conocimiento técnico y los mecanismos psicológicos
Los ataques de ingeniería social funcionan por etapas. En primer lugar, el estudio: el ciberdelincuente analiza cuidadosamente los comportamientos, los hábitos y las preferencias de la víctima para ganarse su confianza y ponerse en contacto con ella. A esto le sigue la fase de las verdaderas técnicas, que variarán en función del perfil psicológico y social de la persona a la que se quiera atacar. Puede que se tarden semanas en obtener los primeros resultados, pero, sin duda, serán mucho más fructíferos que los derivados de una mera infección de malware.
En resumen, estamos hablando de una alta especialización y de conocimientos técnicos, pero también de un enfoque multidisciplinar, creatividad, genialidad y conocimiento de la realidad, así como de mecanismos psicológicos.
Defenderse de todas estas habilidades que pueden usar en nuestra contra cada vez es más difícil. Sobre todo sin la orientación apropiada. Cualquier correo electrónico que recibamos puede tener trampa, así como cada nueva persona con la que entremos en contacto en las redes sociales.
Las reglas para protegernos son pocas pero fundamentales:
- prestar siempre mucha atención a todos los gestos realizados en línea,
- no aceptar «regalos» (enlaces, archivos adjuntos, vídeos, imágenes, etc.) de desconocidos,
- conocer en la medida de lo posible al adversario anticipando sus movimientos.
Esto solo se puede lograr con una formación «ad hoc», que siempre esté actualizada con las últimas novedades y que permita realmente hacer ejercicios que simulen todas las posibles estafas. Porque incluso sabiendo la teoría, lo que marca la diferencia es experimentar de primera mano las numerosas y sofisticadas formas en que nos pueden engañar.