Seguro que te enteraste: en "El programa de Ana Rosa" obtuvieron unas llamativas palabras de Carles Puigdemont gracias a que uno de sus periodistas echó un vistazo (y lanzó unas cuantas fotos) por encima del hombro de Toni Comín, otro de los ex-miembros del Govern huidos en Bélgica, mientras recibía y leía mensajes de Puigdemont en un acto público.
Los dirigentes del procés independentista catalán han cuidado mucho la ciber-seguridad en estos meses y, entre otras cosas, se comunican mediante Signal, una de las apps de mensajería más seguras que existen (y que Edward Snowden recomienda fervientemente). Pero, como bien dicen nuestros compañeros de Xataka, el punto más débil de la seguridad somos los usuarios y de poco sirve usar una comunicación con un cifrado casi indestructible si te pones a leer tus mensajes en medio de la multitud.
Así, los intentos de burlar la seguridad de los sistemas informáticos que se centran en el usuario en vez de en el sistema propiamente dicho se conocen como hacking social (o ingeniería social) y lo que hizo el periodista del equipo de Ana Rosa Quintana, seguramente sin saberlo (ya que como se puede ver en este vídeo mucha idea de tecnología no tienen), es una de las técnicas más añejas y populares de esta disciplina: el shoulder surfing.
En los siguientes párrafos vamos a conocer algunas otras técnicas de hacking social y vamos a poner unos cuantos ejemplos para que queden cristalinamente claros. Todos tiene algo en común y es que, como "shoulder surfing", suenan muy cool en inglés y bastante menos en español. Porque decir "mirar por encima del hombro" le quita mucho rollo al asunto, ¿verdad?
Disclaimer: no se desvelan datos importantes de la trama pero es posible que haya spoilers de 'Hackers', 'Mr. Robot' y 'Ahora me ves'.
Dumpster Diving / Rebuscar en la basura
La gente tira cualquier cosa a la basura (tan sólo date una vuelta por Youtube para flipar unas cuantas horas). También datos privados o corporativos. Por eso una especialidad que debe cultivar cualquier hacker que se precie es la de saber rebuscar en la basura en busca de facturas, recibos, correos y cualquier tipo de información de la que podamos deshacernos sin la suficiente diligencia y precaución.
Sí, aquella escena de la peli 'Hackers' en la que Johnny Lee Miller (Zero Cool) y Angelina Jolie (Acid Burn) se metían en un gigantesco container en busca de passwords extraviadas y emails inculpatorios, es mucho más verosímil de lo que pensaste en su momento. De hecho 'Hackers', a pesar de su escasa calidad cinematográfica, reflejaba de manera bastante adecuada la cultura hacker y sus técnicas más populares... y tenía musicote.
Roleplaying / Dramatización
El roleplaying o dramatización consiste en interpretar el papel de otra persona (un administrador, una autoridad, un auditor, un encuestador... alguien de confianza, en definitiva) y conseguir de esta manera que la "victima" te facilite la información requerida. Esta actividad se puede realizar tanto en persona (más arriesgado) como por teléfono, email o cualquier red social.
El célebre hacker Kevin Mitnick (del que podéis leer una fantástica semblanza en Xataka) era todo un experto del roleplaying. Su erudición sobre el sistema a hackear y su habilidad para la mentira le convertían en toda un experto en conseguir información de sus potenciales objetivos.
Las hazañas de Mitnick se plasmaron en la película 'Takedown' (aunque desde el punto de vista de los periodistas e investigadores que le persiguieron) pero en Youtube sólo podemos encontrar un roleplaying que le sale mal, lo que hace que Mitnick se enfade, acceda mediante un ataque de fuerza bruta y elimine toda la información que los investigadores tienen sobre el... algo que Mitnick y sus seguridores siempre han negado.
Por lo tanto hemos elegido otra escena de 'Hackers' para ilustrar esta técnica: cuando Zero Cool se gana a un guardia de seguridad para que le de el número del módem de su puesto y así poder hackear una cadena de televisión y tirar la emisión.
Buscando ejemplos más recientes llegamos, como no, a la serie 'Mr. Robot', todo un manual práctico de hacking donde también hay muchos ejemplos de hacking social. En concreto es especialmente memorable cuando, en la segunda temporada, Elliot usa roleplaying y haciéndose pasar por un agente de policía consigue la ubicación de "un coche sospechoso".
Pero por teléfono tiene como menos mérito, ¿verdad? ¿Hay ejemplos de gente haciendo este roleplaying cara a cara con el potencial pardillo? Claro, cualquier película de robos y/o timos como 'Ocean's Eleven' está llena pero uno de mis preferidos es como Los 4 Jinetes consiguen sonsacarle al personaje de Michael Caine las respuestas a las preguntas de seguridad de su muy abultada cuenta bancaria en 'Ahora me ves'.
Phishing / Suplantación de identidad
El phishing o suplantación de identidad es una técnica bastante más conocida por el gran público aunque aún así sigue siendo bastante exitosa. Consiste, para el que no lo sepa, en enviar emails o mensajes por redes sociales en nombre de entidades bancarias, eléctricas u operadoras con links a páginas "clónicas" a las reales de dichas entidades. En estos clones la victima introduce sus credenciales y el hacker puede monitorizarlas y usarlas para posteriormente acceder a las "originales".
Como he comentado, esta técnica es de sobra conocida y además es muy poco cinematográfica por lo que pasamos directamente a la siguiente técnica.
Baiting / Cebo
Terminamos este repaso por las técnicas más populares del hacking social con el baiting o, como diríamos en el idioma de Cervantes, los cebos. Por todos es conocido el clickbait, esa técnica de SEM y/o marketing que consiste en titulares muy llamativos para hacerte picar y que entres a su contenido desde tu red social. Vamos, el día a día de Internet actualmente.
Pues los hackers hacen algo similar: ¡ponen al alcance de la "victima" algún tipo de dispositivo (pendrive, tarjeta de memoria, disco duro, cd, antaño diskettes) con algún tipo de software malicioso o de monitorización. Cuando el receptor lo introduce en su equipo, el hacker puede tomar el control del mismo.
Volvemos a recurrir a 'Mr. Robot' para ejemplificar este baiting: el novio de Angela en la primera temporada compra un cd a un músico callejero para regalárselo. Este músico callejero es un hacker (Cisco) y gracias al disco, convenientemente introducido en el portátil de Angela, el Ejercito Oscuro puede monitorizar sus movimientos e incluso, gracias a tomar el control de la cámara, espiarla en sus momentos íntimos. También es la manera en la que Lisbeth Salander consigue colarse en el sistema de Mikael Blomkvist en los libros y películas de la trilogía 'Millenium'.
Briconsejos
Si leído y visto todo lo anterior te ha entrado algo de miedo a que te puedan hackear a ti mismo, aquí unos cuantos consejos, aunque todos se pueden resumir en uno sólo: sentido común.
- No leas conversaciones privadas en público.
- No des tu contraseña a no ser que sea una persona de absoluta confianza o un canal oficial.
- No pinches en links sospechosos.
- No tires a la basura documentos privados (tritúralos, quémalos, dáselos de comer a los cerdos, lo que sea)
- Ten cuidado con todo pendrive que pase por tus manos.
- Pon una pegatina en la cámara de tu equipo.
Así le pondrás las cosas muy difíciles a los hackers y a, lo que es más importante, los reporteros de la tele. Esto es todo amigos.