Hay muchas ideas erróneas que obstaculizan la adopción generalizada de una cultura de ciberseguridad. Uno de los mitos que afirma que los hackers de sombrero negro son demasiado listos como para combatirlos se popularizó principalmente gracias a la película Hackers, estrenada hace exactamente un cuarto de siglo. La película generó una serie de clichés que todavía se usan en la industria cinematográfica.
De hecho, los héroes inadaptados de la película y su adversario, The Plague, un experto en seguridad de la información en Ellingson Mineral, se presentan como geeks realmente inteligentes, capaces de encontrar y explotar vulnerabilidades en cualquier sistema informático.
Por ejemplo, el personaje principal se desenvuelve con igual facilidad ya sea irrumpiendo en la base de datos de un colegio o en la red de un operador por cable. Phantom Phreak realiza llamadas a Venezuela desde cabinas telefónicas sin pagar un céntimo. Incluso Joey, el más joven del grupo y el menos experimentado, logra acceder al superordenador Gibson en Ellingson Mineral. Todo parece absolutamente impresionante (teniendo en cuenta que estamos en 1995), pero revisemos de cerca los logros del grupo.
Hackeando un canal de televisión
El protagonista, Dade (también conocido como Crash Override), irrumpe en la red de un canal de televisión para reemplazar un aburrido programa con algo mucho más atractivo. Y lo logra llamando al guardia nocturno y haciéndose pasar por un empleado de contabilidad que necesita acceder a su ordenador, por lo que piden al guardia que le lea en voz alta el número de teléfono del módem de conexión dial-up.
Por un lado, se trata de ingeniería social básica. Por otra parte, es una locura por parte de la empresa; y no me refiero únicamente al guardia. ¿Por qué está el ordenador del contable en la misma red que controla la transmisión? ¿Por qué tiene un módem en espera constante de una llamada entrante? ¿Por qué el número de teléfono está escrito en el módem?
Mientras esa intrusión se lleva a cabo, aparece otra hacker que ya está dentro de la red de la empresa: Kate, también conocida como Acid Burn. ¿Cómo llegó allí? Pues bien, la empresa probablemente tiene otros ordenadores con módems expuestos.
Hackeando el Gibson
Joey, el hacker principiante, logra irrumpir en el superordenador Gibson. Es decir, inicia sesión a través de un módem desde casa usando la contraseña súper segura (dios) del responsable del departamento de relaciones públicas. Y todo esto ocurre a pesar de que los personajes de la película (incluidos el responsable de relaciones públicas y Plague, que está a cargo de la seguridad de la empresa) saben que la mayoría de las contraseñas que aparecen son amor, secreto, sexo y dios. Además, el responsable de relaciones públicas posee derechos de superusuario por alguna razón inexplicable. Dicho esto, los “grandes” logros de los hackers no se deben tanto a su ingenio, sino a la imprudencia de la empresa.
Las trampas de Plague
La trama de la película gira alrededor del astuto plan del hacker Plague, que trabaja en Ellingson Mineral. Este escribe un fragmento de malware para rebajar unos cuantos céntimos de cada transacción de la empresa y transferirlos a una cuenta secreta en las Bahamas. El argumento podría haber sido muy original, de no resultar tan similar a una estrategia que tuvo lugar 12 años antes en la película Superman III. Por alguna razón, todos describen al malware como un gusano, aunque en la película no se dice nada sobre su distribución y reproducción.
Teniendo esto en cuenta, ¿podemos considerar a Plague un genio de la ciberdelincuencia? Difícilmente. Simplemente dirige la seguridad de la información en una empresa donde nadie, excepto él, tiene ni la más remota idea sobre el tema. ¿Y si está confabulado con el responsable del departamento de relaciones públicas, lo cual le daría carta blanca? Sea como sea, se trata de un ataque interno: el problema no es tanto un error en la ciberseguridad, sino en la política de contratación de la empresa.
El virus Da Vinci
Cuando Joey descarga sin querer parte del “gusano”, Plague lanza un virus (de nuevo no está claro si es realmente un virus o si simplemente a los guionistas les gustó la idea de introducir este término que resultaba tan novedoso en 1995 para la mayoría de los espectadores de cine) bajo el nombre Da Vinci. El malware toma el control remoto de los buques petroleros con la posibilidad de volcarlos al bombear agua en los tanques de lastre. Pero, realmente el “virus” es una maniobra de distracción.
Plague lo está utilizando simplemente para: (a) desviar la atención del “gusano” que roba dinero; (b) acusar a Joey y a sus compañeros de hackear la empresa y hacerlos responsables del “gusano”; y, por último, (c) entregarlos al Servicio Secreto, de esta forma podría infiltrarse en el ordenador de Joey y descubrir qué información se ha filtrado, por no hablar del tiempo que gana para que el malware siga enviando más dinero.
De hecho, el “virus” en cuestión es un tanto futurista para la época. Para empezar, resulta estrafalaria la sola idea de que una embarcación en 1995 esté conectada permanentemente a los sistemas de navegación de la empresa operadora. En primer lugar, ahora no se necesita Internet para la navegación, ni tampoco entonces; el GPS ya se utilizaba y estaba a disposición de la población civil.
En segundo lugar, que una nave esté constantemente en línea a mediados de los 90 resulta muy alejado de la realidad. La transferencia de datos por vía satélite no existía entonces; por lo que habría requerido una conexión por módem permanente (y altamente costosa) mediante una línea telefónica.
Por otra parte, los buques petroleros (que se podrían clasificar como infraestructura crítica) no tienen sistemas manuales de reserva para controlar la inyección de agua del lastre. El proceso está completamente automatizado. De hecho, un ordenador es perfectamente capaz de fallar incluso sin malware. En resumen, para que el virus Da Vinci funcionara, alguien habría tenido que realizar el largo y tedioso trabajo de sabotear el buque comercial, incluyendo la etapa de diseño del barco.
Preparándose para el enfrentamiento
Los protagonistas deciden detener el virus Da Vinci y obtener el código completo del “gusano” para descubrir hacía dónde se está transfiriendo el dinero robado. Sus preparativos son de todo menos cuidadosos. Pero aquí es donde la película comienza a descarrilarse.
Cereal Killer se hace pasar por un empleado de la compañía telefónica, se infiltra en el edificio del Servicio Secreto de los EE.UU. y planta un bug. (El por qué ninguno de los empleados, que supuestamente son profesionales, sospechan de un adolescente con los pantalones caídos es un misterio.)
Dade y Kate inspeccionan la basura de Ellingson Mineral y roban algunos documentos. Esta parte es verosímil; incluso hoy en día pocas empresas supervisan cómo y dónde acaba su basura. Y, tras inspeccionar los documentos desechados, encuentran 50 contraseñas que pueden usar para penetrar en el sistema corporativo. Esto no es una “simple” filtración, sino una fuga enorme y descontrolada.
La batalla final por Gibson
Los personajes principales piden ayuda a la comunidad hacker y juntos bombardean el superordenador con virus. En este punto, la película ya ha perdido toda conexión con la realidad. Desafortunadamente, no sabemos nada sobre la arquitectura de los sistemas de la información de Ellingson Mineral y, por lo tanto, no podemos entender cómo una multitud de atacantes puede conectarse simultáneamente a Gibson, cargar una variedad de virus y descargar el “gusano”.
Ni siquiera queda claro si actúan mediante Internet o se conectan de alguna forma directamente a los módems internos de la empresa. En todo caso, Plague consigue establecer la fuente del ataque.
En este punto, se oye la curiosa frase de los “múltiples virus GPI y FSI”. GPI son las siglas en inglés de contaminador de propósito general, un nombre anticuado para los virus que pueden insertarse en cualquier archivo ejecutable. Los FSI, o contaminadores de archivos específicos, son virus dirigidos a archivos de cierto formato. Es decir, la frase significa básicamente que el equipo de seguridad puede ver muchos virus.
Llamadas internacionales
Durante la película, el hacker conocido como Phantom Phreak utiliza cabinas telefónicas. La técnica, que parece la menos plausible vista desde una perspectiva del 2020, es en realidad la más creíble. Por aquel entonces, el phreaking (o pirateo telefónico) era un componente fundamental de la cultura hacker; de ahí el nombre Phantom Phreak.
Para hacer llamadas gratuitas, él usa un dispositivo que genera el sonido de las monedas que se introducen en la cabina, un truco llamado red boxing. Sorprendentemente, funcionaba y circuló rápidamente por las comunidades de hackers incluso en la época anterior a Internet. La cabina, al suponer que se habían insertado monedas, indicaron al sistema de facturación cuántos minutos darle al phreaker.
En 1995, el red box ya apenas se usaba. Las empresas de telefonía, al tanto de la vulnerabilidad, implementaron tecnologías de protección como filtros de frecuencia, duplicación a través de canales digitales y medios de verificación física del número de monedas introducidas. Aún así, en el momento del lanzamiento de la película, el red boxing seguía en uso.
Equipo
El equipo que usan los hackers resulta de interés especial. Kate, proveniente de una familia acomodada, trabaja con un portátil P6 que, según sus propias palabras, “es tres veces más rápido que un Pentium”. Esa es una referencia al Pentium Pro, el primero de una generación de seis microprocesadores x86 de Intel. Por aquel entonces, se trataba del chip más poderoso del mundo, que se lanzó, como la película, en 1995. Y el módem de Kate podía registrar una velocidad de 28,800 kbps; otro récord para la época.
Sin embargo, un análisis más minucioso revela que, al conectarse a través de cabinas telefónicas, los protagonistas usan lo que parece ser un acoplador acústico, que convierte las señales acústicas en digitales. Se trata de un artilugio muy poco fiable que admite los 1,200 kbps, desfasado hasta para 1995. Aun así, parece impresionante.
Pura fantasía
Otros momentos en la película también explotan la imaginación hasta el extremo. Entre otras cosas, los hackers van tras un agente federal y para ello:
- Bloquean su tarjeta de crédito.
- Añaden multas de tráfico falsas a su expediente.
- Lo declaran muerto en la base de datos del Servicio Secreto.
No queda claro cómo logran hacer todo esto, pero, vuelve a ser otra muestra más del banco, la policía y el Servicio Secreto que del ingenio de los atacantes. El único truco convincente es cuando fijan un anuncio lascivo en un sitio de citas. Pero eso no requiere tanto ciertas habilidades cibernéticas, sino un particular sentido del humor.
Y el final no estaría completo sin el caos que provocan los antihéroes al hackear los semáforos de la ciudad. Clásico.
Conclusión
Ni siquiera los hackers de sombrero negro de la gran pantalla son sobrehumanos; simplemente explotan los errores y la estupidez de los demás. Y la mayoría de los atacantes de la vida real son incluso menos expertos. Nuestra plataforma de formación Kaspersky Automated Security Awareness ayuda a combatir este y otros conceptos erróneos, enseñando a los empleados a evitar los errores más obvios.