Daswani: ¡°El cibercrimen se basa en el arte del enga?o m¨¢s que en la t¨¦cnica¡±

Cuenta Deepak Daswani en un pasaje de su libro La amenaza hacker (Deusto) que, cuando todav¨ªa estudiaba Ingenier¨ªa Inform¨¢tica en la Universidad de La Laguna, se le acerc¨® un amigo rog¨¢ndole que hackeara el email de su novia, que estaba de Erasmus y de la que sospechaba que le pon¨ªa los cuernos. Corr¨ªa el a?o 2003 o 2004. Acab¨® accediendo como deferencia para con su amigo¡­ y movido por el reto. A los pocos d¨ªas lo logr¨®. Daswani recalca que, por un lado, recuerda perfectamente la adrenalina que sinti¨® al haber vencido al sistema y que, por otro, se dio cuenta ya en la era pre-redes sociales y pre-smartphones ¡°de la magnitud (¡­) que la tecnolog¨ªa pod¨ªa tener en nuestras vidas¡±. Eso le ayud¨® a fijar los l¨ªmites que quer¨ªa ponerse como hacker.

El cap¨ªtulo dedicado a este episodio arranca y finaliza advirtiendo de que la historia descrita puede ser inventada (o no), pero Daswani reconoce que constantemente le est¨¢n pidiendo favores parecidos. Y que la delgada l¨ªnea que separa a un hacker ¨¦tico (los que usan sus conocimientos para ayudar a la comunidad o avisar de vulnerabilidades) del cibercriminal es dif¨ªcil de gestionar. ¡°Tu educaci¨®n influye mucho. Es verdad que en algunos momentos, como tenemos la inquietud de probar nuestras habilidades y aprender continuamente, puedes tener comportamientos que crucen la l¨ªnea aunque tus prop¨®sitos sean totalmente l¨ªcitos¡±, explica.

Daswani define a los hackers como profesionales curiosos, con un insaciable apetito de aprendizaje y pasi¨®n por lo que hacen. Este tinerfe?o de origen indio ha desarrollado su carrera en el sector TIC canario, en el Incibe y en Deloitte. Actualmente es consultor independiente. Nunca ha dejado de cacharrear para seguir creciendo. ¡°Hay veces que encuentras fallos en el sistema de alguien, se los reportas y luego no hace nada. O lo que es m¨¢s: algunos se toman mal que puedas encontrar vulnerabilidades en su sistema y pueden denunciarte. As¨ª que en algunos casos los hackers optamos por no investigar determinados casos y, si lo hacemos, no los reportamos por si acaso¡±, espeta.

• Nuevas amenazas

Solo por ser usuarios de la tecnolog¨ªa nos enfrentamos a riesgos que pueden comprometer nuestra identidad digital. El problema es que la mayor¨ªa de la poblaci¨®n vive ajena a esta realidad. ¡°La pregunta recurrente que se hace la gente es: ?por qu¨¦ me van a atacar a m¨ª? Lo normal es que vayan contra alguien que tenga dinero o algo que ocultar. Lo que no saben es que los ciberdelincuentes se lucran econ¨®micamente de much¨ªsimas maneras¡±, explica. Es m¨¢s barato enviar miles o millones de emails tratando de embaucar a personas an¨®nimas que dedicar recursos a romper los sistemas de un gran banco.

¡°Hay dos v¨ªas para obtener informaci¨®n de las personas: buscar en internet o aplicar t¨¦cnicas de hacking. Ya solo con lo que las personas vuelcan en la Red es f¨¢cil saber el nivel socioecon¨®mico de un individuo, su ideolog¨ªa pol¨ªtica, identidad religiosa, domicilio, actividad profesional, algunos aspectos de su vida familiar o n¨²mero de tel¨¦fono¡±, ilustra. Hasta aqu¨ª ser¨ªa todo legal. ¡°Luego, utilizando t¨¦cnicas de hacking, podr¨ªamos llegar a documentos personales, sacar fotos desde nuestras c¨¢maras digitales, monitorizar lo que hacemos, espiar nuestras conversaciones, sacar un v¨ªdeo en directo desde el m¨®vil o la tableta.¡­ La gente no es consciente de que gran parte de sus vidas se desarrolla a trav¨¦s de los dispositivos. Y quien llega a tus dispositivos lo sabe todo de ti: ubicaciones, historial de b¨²squedas, pulsaciones de teclado, contrase?as¡­¡±.

M¨¢s informaci¨®n

¡°La mayor¨ªa de delitos de ciberseguridad recaen sobre ciudadanos comunes¡±

Gu¨ªa b¨¢sica de ciberseguridad: consejos para navegar de forma segura

• Ingenier¨ªa social

Contra lo que se pueda pensar, los ciberataques m¨¢s exitosos y rentables no tienen por qu¨¦ ser los m¨¢s sofisticados. Daswani se refiere a la ingenier¨ªa social, o el arte de la manipulaci¨®n, como la herramienta estrella de los cibercriminales. ¡°Todo se basa en el arte del enga?o, de la persuasi¨®n: manipular personas para obtener de ellas lo que queremos¡±, explica. El timo de la falsa oferta de trabajo, el de la novia rusa de Facebook, el del comprador extranjero, la estafa nigeriana, el phishing¡­ Todas estas tretas apelan a alg¨²n sentimiento para tratar de enga?ar al usuario y lograr que sea este quien acabe facilitando al cibercriminal la informaci¨®n que busca.

¡°El problema es que estamos en un momento tecnol¨®gico en el que todo es posible. Casi cualquier cosa que te digan que puede suceder con la tecnolog¨ªa te la puedes creer¡±, dice Daswani. Si te llega un email con el membrete de Whatsapp dici¨¦ndote que ser¨¢ posible programar mensajes pero que para eso tienes que introducir tus claves en tal enlace, ?qu¨¦ har¨ªas? ¡°El momento de efervescencia tecnol¨®gica que atravesamos combinado con la ingenier¨ªa social puede ser devastador¡±, sentencia.

La primera l¨ªnea de defensa contra todos estos nuevos peligros es el sentido com¨²n. ¡°Si yo te env¨ªo fotos o v¨ªdeos con alto contenido er¨®tico o sexual, eso puede ser un arma arrojadiza contra m¨ª el d¨ªa de ma?ana. Es lo que le pas¨® a Olvido Hormigos, la concejal de Los Y¨¦benes, aunque ella es de las pocas personas del mundo a las que el sexting le ha venido bien¡±, comenta Daswani. Lo mismo aplica a las proposiciones dudosas que se apoyen en la ingenier¨ªa social o hasta en tratar de no poner ¡°1234¡± o ¡°password¡± como contrase?a.

• El internet oscuro

?Qu¨¦ hay de mito y qu¨¦ hay de cierto en todo lo que se dice de la deep web? Daswani dedica un cap¨ªtulo de su libro a tratar este tan jugoso como desconocido tema. ¡°La imagen famosa del iceberg es un mito: existe una cantidad ingente de informaci¨®n en esas redes, pero nadie es capaz de cuantificarla¡±, explica. ¡°La realidad es que existe un internet oscuro, que no es accesible a trav¨¦s de un navegador convencional y que no es indexado por los buscadores. En la primera parte pueden aparecer las fotos de tu perfil de Facebook, que no est¨¢n indexadas pero est¨¢n en internet. En la segunda es donde est¨¢n las redes an¨®nimas construidas al margen de internet: TOR, Freenet¡­¡±.

?Entonces la deep web es mala o buena? ¡°La realidad es que TOR naci¨® con unos fines l¨ªcitos y rom¨¢nticos: garantizar la privacidad y el anonimato de los usuarios cuando navegan por internet, por ejemplo para proteger a periodistas all¨ª donde decir seg¨²n qu¨¦ cosas te puede costar la vida. No todo lo que est¨¢ en esas redes es malo¡±, ilustra. Tambi¨¦n es cierto el mercadeo que se produce en este territorio inexplorado por las autoridades. ¡°Se puede encontrar drogas, armas, pornograf¨ªa infantil, v¨ªdeos duros¡­ Pero no es abrir el navegador y llegar all¨ª: eso se mueve en foros determinados y c¨ªrculos de confianza a los que no es f¨¢cil acceder¡±, subraya.

Daswani explica, de hecho, que cuando entras en TOR y empiezas a ver las t¨ªpicas p¨¢ginas de venta de pasaportes falsos o drogas con solo cuatro clics suele haber gato encerrado. ¡°Generalmente todas esas p¨¢ginas son intentos de fraude para tratar de enga?ar a quienes buscan ese material¡±, dice.

• El efecto WannaCry

La gran repercusi¨®n medi¨¢tica que se le dio a WannaCry, el mayor ciberataque del a?o pasado, es un tema recurrente para Daswani. ¡°La tipolog¨ªa de ataque no era nueva: un ransomware. Lo que pasa es que fueron cayendo, y de manera secuencial, grandes multinacionales. Durante tres d¨ªas fue portada de los medios de todo el mundo. En parte sirvi¨® para concienciar a todas esas personas que no eran conscientes de los peligros que acechan en la Red, aunque es verdad que ma?ana puede haber un ataque mucho m¨¢s grave y que no salga en los medios¡±, explica. Y luego est¨¢ la parte lucrativa: ¡°Fabricantes, consultoras, profesionales, auditores de seguridad, conferenciantes, formadores¡­ Todos los que nos dedicamos a este sector tenemos m¨¢s trabajo despu¨¦s de WannaCry¡±.