En contra de la opinión popular, los cuentos y las leyendas populares no se inventaron para entretener, sino para enseñar a los niños (y a los adultos) lecciones importantes de una forma fácil de entender. Desde tiempos inmemoriales, los cuentacuentos han añadido consejos de ciberseguridad en sus narraciones, con la esperanza de que Internet (que predijeron) fuera un lugar más seguro. Por ejemplo, el cuento de Caperucita Roja es una advertencia sobre los ataques de intermediario y Blancanieves presagia las campañas de APT patrocinadas por el gobierno. Y la lista continúa.
Desafortunadamente, la humanidad sigue cayendo en los mismos errores, ignorando las más que evidentes lecciones de los cuentos populares. Otro ejemplo de esto es la leyenda de El flautista de Hamelín.
El flautista de Hamelín
Como sucede a menudo con los cuentos muy antiguos, nos han llegado diferentes versiones, todas con variaciones, pero manteniendo el tema principal. En este caso, la trama es más o menos así: el pueblo alemán de Hamelín está plagado de ratas que se comen las provisiones, atacan a la gente y a los animales domésticos y, en general, causan muchas molestias.
Impotentes, las autoridades locales contratan los servicios de un especialista muy elegante que se presenta como un cazador de ratas. Este usa una flauta mágica para atraer a estos animales fuera de la ciudad y llevarlos a un río, donde se ahogan.
Después, el mezquino alcalde se niega a cumplir su parte del trato y le ofrece al cazador de ratas, conocido como el flautista, una remuneración inferior a lo estipulado en el contrato. El flautista no responde en el momento, pero se venga usando su flauta mágica de nuevo: esta vez para atraer a los niños de Hamelín de la misma forma que con las ratas.
El final depende de la época del narrador y de su nivel de optimismo (normalmente muy bajo). Los niños se ahogan en el río Weser y, como con las ratas, se los llevan a interior de las colinas de Koppenberg o (en una versión más reciente y menos sombría), van más allá de las colinas, donde fundan una ciudad.
El significado detrás de la alegoría
Resulta interesante que el suceso tenga una fecha precisa: el 26 de junio de 1284. Le leyenda se escribió por primera vez en las crónicas del pueblo en 1375, tras lo cual se reescribió y volvió a contar varias veces, en cuyo proceso fue adquiriendo detalles adicionales y florituras. La mayoría de estos añadidos tienen una motivación claramente política o religiosa. Algunas versiones se centran en la avaricia de los ciudadanos de Hamelín; otras demonizan la figura del flautista. Nos saltaremos los prejuicios medievales de la época y nos centraremos en los hechos básicos.
Los ataques contra Hamelín
De la forma en la que lo vemos, la infraestructura de Hamelín sufre un ataque por parte de actores maliciosos anónimos que, literalmente, devoran bienes materiales (cereales) e información (documentos legales) y amenazan la salud de los habitantes.
No ha sobrevivido ningún tipo de descripción detallada del ataque, pero es probable que los atacantes reciban el nombre de “ratas” porque utilizaron una herramienta de acceso remoto (o un troyano de acceso remoto), cuya abreviatura en inglés es RAT. Dichas herramientas/troyanos, en general, se pueden usar para acciones deshonestas, porque proporcionan a los atacantes el acceso total al sistema de la víctima.
El especialista contratado
Al principio, los habitantes del pueblo intentan solucionarlo con gatos que protegen sus endpoints; pero cuando este método resulta ineficaz, contratan a un experto externo que conoce la vulnerabilidad de los atacantes de RAT. Con el objetivo puesto en la vulnerabilidad, construye una ciberarma para apoderarse en remoto de los ordenadores de los operadores de RAT y los convierte en una especie de botnet. Después de penetrar en todos, el flautista neutraliza con éxito la amenaza.
Los civiles como objetivo
Tras la derrota de los atacantes de RAT, las autoridades deciden no respetar su parte del trato con el especialista. La mayoría de las versiones de la leyenda hacen referencia a una serie de desacuerdos financieros, pero, evidentemente, es imposible comprobarlo. Sea como sea, resulta que esta misma vulnerabilidad está presente en los dispositivos que usan los niños del pueblo.
Lamentablemente, el cuento no ofrece detalles técnicos que expliquen por qué la misma amenaza funcionó contra los operadores de RAT y los habitantes. Demos por hecho que se trata de una vulnerabilidad que está en todas partes (por ejemplo, el más o menos conocido protocolo de red a nivel de aplicación que se emplea para el acceso remoto a los recursos de red).
No queda claro por qué los llamados adultos del cuento no se ven afectados por esta misma vulnerabilidad. Quizás la palabra “niños” dentro la historia no hace referencia a los usuarios menores de edad, sino a una nueva generación de dispositivos con un sistema operativo más reciente que presentó una vulnerabilidad después de una actualización fallida del protocolo antes mencionado.
Desgraciadamente, el final es igual de trágico: el flautista lleva a cabo el mismo truco del botnet; pero esta vez no contra los operadores de RAT, sino contra los más jóvenes del pueblo.
El flautista de Hamelín de la actualidad
La historia anterior recuerda mucho a la del grupo de ciberdelincuentes Shadow Brokers y la filtración del exploit EternalBlue, que condujeron al estallido de WannaCry, así como otras epidemias de ransomware. Si hubiera leído el cuento de El flautista de Hamelín justo después de la filtración de EternalBlue, sin duda, lo habría tomado como un informe de ese incidente, aunque en forma de metáfora. De hecho, la trama es idéntica: una organización gubernamental encarga el desarrollo de una poderosa ciberarma que, después y de forma inesperada, se usa contra los habitantes de ese país.
Podemos atribuir esta notable coincidencia al carácter cíclico de la historia. Es evidente que los expertos en seguridad de la información alemanes estaban al tanto del problema y trataron de advertir a sus descendientes (nosotros) de los peligros de los programas de ciberarmas subvencionados por el gobierno, que un día podrían volverse contra los usuarios civiles y desatar nefastas consecuencias.