En pantalla, se impone una fulgurante frase: “Cualquier parecido con la realidad es pura coincidencia”. Una voz ronca y maestra reza la oración. Fundido a negro. Entra en escena un grupo de cinco personas atajando la estancia principal de un casino de Las Vegas. La música es apocalíptica. Con impulso y determinación militar, cada individuo emprende un camino diferente. A grito energúmeno, tres se hacen con el mando de la sala de control enchufando con pistolas taser a los vigilantes. Mientras, dos cabecillas toman como rehén al director del casino quien, acojonado, se presta a abrir la caja fuerte. Nada menos que 15 son los millones de pavos apelotonados en las bolsas de tela con el símbolo del establecimiento que los asaltantes, disfrazados ahora como operarios de la limpieza, consiguen sacar del casino que todavía no ha dado la voz de alarma. El grupo se reúne, cambia de vehículo y chimpún. Golpe millonario.
Vayamos ahora a otra película. Una en la que la voz, ronca y maestra, del comienzo dice gregorianamente: “Esta es una historia real”. Misma música apocalíptica. Escena dividida en cuatro. Sólo vemos las nucas oscurecidas a contraluz de los fulanos a los que las pantallas del ordenador bañan de destellos. En la esquina baja-izquierda, una localización para cada cual: Inglaterra, Estados Unidos, India y Rusia. Puro código en los monitores que menean ecuaciones de arriba abajo como un físico enajenado. Unos minutos de tensión diagnosticados por el allegro de la melodía dan paso a una serie de dígitos millonarios que se hacen con el conjunto de las pantallas de los ordenadores. El espectador lee un mensaje: “Thank you for your money. Scattered Spider”. Los cuatro cierran las pestañas, se crujen los dedos y chimpún. Golpe millonario.
El género de robos fuera de la ficción va pasando a mejor vida. Si Al rojo vivo, de Raoul Walsh, huele apolillado desde hace décadas, Ocean’s Eleven y sus secuelas, igual. Ni enanos chinos trapecistas, ni judíos chantajistas, católicos de botella o guaperas pico de oro. Sólo un ordenador de gran potencia, varios botes de Vispring y unas cuantas manos con un talento natural para el lenguaje de programación. Y el peliculero caso antes descrito no es un supuesto, sino el ejemplo de uno de los ataques más sonados de este 2023 al casino Caesars Palace, del que se obtuvo un rescate de 15 millones de dólares, además de otro que se llevó a cabo al MGM Internactional, que le costó al establecimiento otros 100 millones.
BRECHAS EN LA CIBERSEGURIDAD EN 2023
Durante el Observatorio Retina 2023, la ciberseguridad captó la atención de los participantes situándose en segunda posición de tecnología con mayor impacto, sólo por debajo de la inteligencia artificial (IA), y parece que dentro de un año todavía será mayor la preocupación en estas lides. Y no es para menos, pues la película antes narrada es un simple ejemplo sonado y cinematográfico de los martillazos a golpe de teclado que se vivieron el pasado año. Ejemplos de cómo la convalecencia de lo material va dando paso al reinado de lo intangible, haciendo del robo digital motivo suficiente para empujar a alguien a la desesperación. Incluso, si la cosa se tuerce, para acabar respirando el humo del tubo de escape de un coche fúnebre. Debemos aceptar que nuestra vida está más allá de lo que podemos tocar y que hay delincuentes, como siempre, adaptándose concienzudamente a esta realidad con mejores resultados cada día.
Si no, que se lo digan al Consejo Indio de Investigación Médica, que dio a conocer en octubre de 2023 una brecha en su seguridad que permitió la puesta en venta de información personal de 815 millones de residentes. Usando como fuente las pruebas COVID que el Consejo realizó, un actor de amenazas tuvo acceso a datos que incluían nombre, edad, sexo, dirección, número de pasaporte y Aadhaar (número de identificación del Gobierno).
No hace falta ser Chema Alonso para entender que con esa información los ciberdelincuentes pueden despachar fraudes de identidad con la soltura con que logra falsear pasaportes Tom Cruise en Misión Imposible. Así que, pónganse en la situación de ver un día furgones de la policía a las puertas de su casa, y varios agentes acusándoles de haber traficado con pornografía infantil. Todo porque su identidad era la que estaba asociada al delito. Ya no parece tan tonto, ni abstracto lo de los ciberdelitos, ¿verdad?
Por descontado, los ciberdelincuentes también son, en ocasiones, peces rémora a la espera de que haya algún despistado; uno de esos personajes con el carburador cerebral algo escaso de combustible. Pongamos por caso uno que desee fardar de conocimiento o tomarse la seguridad por el pito del sereno. En un reciente ejemplo, tenemos a Jack Teixeira. El bueno de Jack, con escasos 21 años, era miembro del ala de inteligencia de la Guardia Nacional Aérea de Massachusetts (un puesto, para entendernos, de considerable enchufe), y no se le ocurrió mejor idea que filtrar documentos militares para fardar en su comunidad de Discord.
Como si lo hubiese poseído Ignatius Reilly, Teixeira avivó una conjura antisistema que emplearon agentes rusos en su beneficio estratégico para la guerra de Ucrania. Una necedad tan manifiesta como la incompetencia de un sistema de seguridad que permitió al joven miembro imprimir documentos y llevárselos a casa. Lo normal, entiéndase, porque patinazos tenemos todos. Unos por ego e imbecilidad narcisista, y otros por sencilla incomprensión. Como el empleado del Servicio de Policía de Irlanda del Norte que publicó accidentalmente los datos de 10.000 oficiales y personal civil, incluidos los que trabajan en vigilancia e inteligencia… Da para una película de Jim Sheridan, vamos.
En general, y salvando estos ejemplos, la mayor parte de ataques tienen por objetivo grandes barridos de phishing con los que asaltar carteras anónimas, pero queda claro que el robo de información es la moda más fashion de la pasarela. Atracar grandes diligencias de datos despierta el interés de grupos como el antes citado Scattered Spider o el famoso Black Cat: familias de ransomware que, sumadas a los ataques DDoS (ciberataque que pretende colapsar con tráfico malintencionado una web a fin de dejarla inoperativa, de los que la empresa Cloudflare diagnosticó un aumento del 79% en 2022) completan la fórmula de la “tormenta cibernética”. Una hecatombe digital que la profesora de ciberseguridad en Oxford, Sadie Creese, anticipa descargará en cualquier momento.
A lo largo del año hemos visto muchos más ejemplos del poder de la ciberdelincuencia para hurtar datos masivos de consumidores (hablamos de millones de ellos), como es el caso de DarkBeam, o uno de los más sonados; MOVEit. Pero en el 2024 se agazapan nuevos retos y espectáculos para poner a prueba el ingenio de los delincuentes, y la inocencia de usuarios y compañías…
AMENAZAS A LA CIBERSEGURIDAD EN 2024
¿Estamos a las puertas del Armagedón? Sosiego, amigos, todavía no se abalanza el Juicio Final sobre nosotros. Eso no quiere decir que debamos desestimar, en la medida de lo posible, emular la naturaleza del gigante Argos, servidor de la diosa Hera, y poseedor de los mil ojos. Porque lo que se nos viene son ciberataques sutiles y avispados. Sobre todo, especialmente conscientes de la disposición impulsiva del consumidor, así como preparada para sacar provecho de los modelos de vida acelerados, el turboconsumo y la ignorancia informática.
Según el Kaspersky Security Bulletin, en cuanto al consumidor general, este año se verá marcado por varios tipos de pillerías, la mayoría relacionadas con los deepfakes, los videojuegos, las estafas benéficas y los estrenos de ocio. Del deepfake nos hemos hartado de hablar aquí, recomendando siempre instalarse un filtro mental que sirva de duda respecto a cualquier material audiovisual sospechoso. Los videojuegos son un terreno que afectará sobre todo a criptobros y despistados que gocen del play to earn; el modelo de videojuego que remunera con criptomonedas, y que sirve de anzuelo dorado para los estafadores.
En cuanto a las estafas benéficas, ¿quién no se aprovecha hoy en día de la culpabilidad? Las ONG explotan el sentimiento de impotencia de la población aventajada con fines, en su mayoría, legítimos y humanistas. Pero esa misma explotación puede llevarse a cabo con intereses espurios de enriquecimiento. Al fin y al cabo, si hay honor entre ladrones, donde no lo hay, desde luego, es contra sus víctimas. Y, por último, un llamamiento para quienes se mordisquean las uñas ante los lanzamientos cinematográficos que se vienen. Mucho ojo con preparar un bol de palomitas, buscar Deadpool 3 en una plataforma cualquiera y pagar el alquiler de la cinta. Lo que se prometía como un par de horas de diversión gamberra puede convertirse en media hora de frustración ante la imposibilidad de ver el contenido, aun habiéndolo pagado, ya que el acceso era más falso que un calamar de silicona.
¿Soluciones ante esto? Las de siempre. Como si fuera una de esas técnicas de krav maga que se recuerdan por siglas, podríamos hablar del IDS: Información/Duda/Seguridad. Véase, informarse bien de las estafas y las nuevas formas de choriceo cibernético a la vista. Dudar por norma de cualquier invitación desconocida, regalo, oferta, así como de todo aquello que demande nuestros datos personales. Y, seguridad, preocupándose de realizar compras e interacciones sólo en sitios bien verificados y de confianza.
Hecha la ley, hecha la trampa, reza el dicho. Hoy la ley es el espacio virtual, el universo cibernético y la cotidianidad digital. Un marco donde la trampa, encarnada por ciberdelincuentes aventajados, preparados y con el poder de poner las cosas patas arriba desde sus ordenadores, caza criaturas más grandes, ágiles o en masa, a cada ocasión. Estados y entornos privados son los responsables de poner cortafuegos a estos incendios de llamaradas crecientemente titánicas, pero siempre queda en la responsabilidad individual abrir los ojos, afinar el olfato y, sobre todo, grabarse al rojo el IDS. Oye, que para algo me lo he inventado…
Sobre la firma
Periodista y escritor. Ha firmado columnas, artículos y reportajes para ‘The Objective’, ‘El Confidencial’, ‘Cultura Inquieta’, ‘El Periódico de Aragón’ y otros medios. Provocador desde la no ficción. Irreverente cuándo es necesario.