The Italian Job en términos de ciberseguridad

¿Ha cambiado la percepción sobre los hackers? Analizamos el hackeo de semáforos de The Italian Job en sus tres versiones (británica, estadounidense e india).

Que los protagonistas de una película o sus enemigos tomen el control del sistema de gestión de transporte de una ciudad es casi una escena obligatoria en la ficción. El objetivo suele ser generar un atasco para dificultar el camino de sus perseguidores o una vía libre para facilitar su huida. Hackers, La jungla 4.0 y Taxi son solo una pequeña muestra de las encarnaciones artísticas de esta estrategia de hackeo. Una secuencia que se acabó transformando en un cliché de Hollywood.

Seguramente la primera vez que se filmó fue en la película británica de 1969 The Italian Job, traducida en España como Un trabajo en Italia. Teniendo en cuenta su época, no debería sorprendernos que se trate del único ciberincidente de la película. Desde entonces, este argumento narrativo del sabotaje del tráfico se ha imitado muchas otras veces en Hollywood, incluyendo en dos adaptaciones de la película original, una de Hollywood (The Italian Job, 2003) y otra de Bollywood (Players, 2012).

Un clásico en todas las versiones es la escena de los semáforos. De esta forma, si comparamos las tres versiones, podemos analizar la evolución de la actitud de los espectadores y los cineastas acerca del hackeo de una infraestructura crítica.

Al estilo británico: The Italian Job (1969)

Una Turín futurista se describe como una ciudad avanzada a su época. En la película, una supercomputadora controla cada semáforo desde un único centro, que recoge también los datos de las cámaras de tráfico. El autor intelectual del robo, que muere al principio, le encarga al personaje principal, Charlie Croker, un plan detallado para un gran robo muy arriesgado, que incluye un malware para infectar la supercomputadora y un gadget misterioso que puede desactivar las cámaras.

El origen del programa es desconocido; probablemente alguien se apoderó del código fuente original y lo modificó con el objetivo de desatar el caos. Por supuesto, en 1969 no sólo no existía Internet, sino que las redes de área local no estaban muy extendidas. Por tanto, la única forma de instalar el malware en el ordenador es infiltrándose en el edificio y cambiando la cinta magnética del lector. Para ello, se requieren los servicios del Profesor Peach, supuestamente el máximo especialista en ordenadores del país.

Para acceder al centro de control de tráfico y cambiar el programa, hay que desactivar el ordenador. Para ello, Croker lanza su bicicleta en una subestación eléctrica, lo que deja sin electricidad no solo al centro de control de tráfico, sino también a la mayor parte de la ciudad (lo que permite a los atacantes actuar en la penumbra).

Peach entra en acción y remplaza la cinta del lector por otra. A decir verdad, sin electricidad, nada más se puede hacer. Por lo que sí, utilizan los servicios de un experto en ordenadores para que realice la labor de un ayudante de laboratorio. Benny Hill interpreta a este divertido genio de la tecnología.

La próxima fase del plan es desactivar las cámaras. Para despistar al centro de control de tráfico y encubrir el auténtico robo, los delincuentes implantan algunos dispositivos (probablemente inhibidores de señal, aunque no se dan más detalles) en los cubos de basura y las azoteas cercanas a las cámaras. En aquella época las cámaras de tráfico no transmitían por vía inalámbrica, pero estos dispositivos misteriosos consiguen desactivar las cámaras.

El resultado: todo marcha sobre ruedas. Las cámaras se apagan, los semáforos empiezan a parpadear, las carreteras de la ciudad quedan paralizadas y Peach queda arrestado por conducta indecente en el transporte público (mejor no preguntes).

Versión británica: conclusiones

Ciberseguridad

  • La película muestra una actitud un tanto descuidada hacia la seguridad física de la infraestructura crítica. La subestación eléctrica y el centro de control de tráfico prácticamente no cuentan con vigilancia. Los atacantes logran llegar a la unidad sin complicaciones y remplazan la cinta con éxito.
  • El ordenador acepta sin reparos el programa sustituto. Aquí tienen excusa, ya que la firma de código no se inventó hasta mucho después.

Percepción

  • El hackeo se percibe como algo sumamente complejo. De hecho, para engañar al ordenador, la banda invierte muchos esfuerzos en reclutar al máximo especialista en ordenadores del mundo (solo para que cambie una cinta).
  • No se intenta explicar el aspecto técnico de las cosas; en su lugar, los dispositivos, a modo de caja negra, desactivan milagrosamente las cámaras.

Al estilo estadounidense: The Italian Job (2003)

En mi opinión, la versión de Hollywood no se puede considerar una adaptación directa de la película británica. Sí, los personajes comparten el mismo objetivo (robar lingotes de oro) y la escena de la persecución es prácticamente una copia a carbón de la original, pero las motivaciones son muy diferentes. Dejando de lado la psicología y la ética, estos delincuentes siguen teniendo que sabotear cámaras y semáforos, pero no recurren a un especialista, ya que cuentan con un genio informático en el equipo: Lyle, cuyo trabajo consiste en realizar modelos en 3D de edificios con el fin de planear y coordinar robos. Toda una transformación digital de la obra, ya que, en el 2003, tener a un especialista informático en el equipo se considera bastante normal.

Además, en la versión estadounidense de la película hay un poco más de hackeo. En primer lugar, los delincuentes intentan hackear el sistema de monitorización remoto de la compañía telefónica. Para ello, convencen a los empleados de que se trata de una operación legal de escucha telefónica y en última instancia redirigen la transmisión de audio a su propio puesto de escucha. Lyle tiene experiencia, ya que se ha pasado años espiando a su ex.

Pero el hackeo principal sigue siendo el mismo. Infiltrarse en el Centro de Control de Operaciones y Vigilancia Vial Automatizada de Los Ángeles en el 2003 es más sencillo que en el sistema de Turín de 1969. El centro está conectado a Internet e incluso tiene una interfaz gráfica de usuario (GUI por sus siglas en inglés). Lyle utiliza su portátil para intentar adivinar la contraseña de forma manual. Introduce una contraseña tras otra sin éxito, hasta que las palabras mágicas “Acceso Concedido” aparecen en la pantalla.

El centro de operaciones predice la circulación y cambia automáticamente las señales de los semáforos en relación con las capturas de la cámara. Pero tiene un modo manual también, que Lyle usa para tomar el control de las luces. Como demostración, cambia todas las luces a verde en una intersección, lo que provoca un accidente. Rápidamente vuelve a cambiar las luces y el centro registra el incidente como un fallo técnico.

El plan de la banda es generar una ola de luces verdes que los deje pasar a toda prisa mientras paralizan el resto de Los Ángeles. El día del robo, Lyle, algo aturdido, se sienta en un carrusel de equipaje en la estación Union Station, equipado con un portátil y un router, con los que supervisa la situación de las carreteras, cambia las señales de tráfico (no solo en carreteras, sino también en el metro) y paraliza el centro de control con el mensaje “Nunca callarán al verdadero Napster” en cada pantalla. (Como elemento cómico, Lyle afirma haber inventado Napster, la red de distribución de archivos de música, y que Shawn Fanning le robó la idea. A Lyle le gusta hacerse llamar Napster. Y, siendo justos, sí cumple con el estereotipo de chico prodigio de los ordenadores).

Gracias a esta operación bien coordinada, todos se salen con la suya: roban el oro y el cruel villano cae en manos de la mafia ucraniana, a quien había intentado perjudicar.

Versión estadounidense: conclusiones

Ciberseguridad

  • Si la contraseña para el acceso remoto a un sistema se puede forzar de forma manual, entonces es una mala contraseña.
  • Las infraestructuras críticas necesitan una conexión segura a Internet y rechazar la posibilidad de controlarlas a través de un GUI basado en Internet. Además, como es evidente, el personal no debería caer en la trampa de un mensaje irrelevante, sino que debería reaccionar y actuar al respecto. ¡Incluso los italianos ficticios de hace 34 años estaban mejor informados!

Percepción

  • En el 2003, los hackeos son más comunes, así que para realizar un robo se necesita algo más que desactivar unos pocos semáforos. En esta semiadaptación, penetrar en el centro de control es una operación estándar que surge durante la fase de planificación.
  • Lyle/Napster siempre narra y explica todos sus movimientos. Pero, por supuesto, nada tiene sentido. Básicamente lo que buscaban los realizadores era acercar los sucesos de la pantalla a la realidad.

Al estilo indio: Players (2012)

Los cineastas indios intentaron sacar lo mejor de dos versiones de The Italian Job y aderezarlo con el glamour típico de Bollywood, lo que se resume en carreras, cantos, bailes, ideales y, por su puesto, hackeos. La trama es muy disparatada: Rusia va a devolver a Rumania una parte del oro que el gobierno rumano ocultó en Rusia antes de la invasión alemana de 1915. Unos oficiales del ejército ruso algo despreciables transportan el oro que la mafia rusa, que es incluso más despreciable, intenta obtener, mientras que, por otro lado, un grupo de nobles indios quiere robar el oro y utilizar los fondos para construir una escuela de huérfanos.

Naturalmente, esta operación necesita al mejor hacker del mundo al que no puede faltarle el apodo: Spider. Pero hay un problema: nadie sabe dónde encontrarlo. Por suerte, la novia del personaje principal tiene un máster en informática con matrícula de honor y otro en hackeo ético (claro, ¿por qué no?) e irrumpe en los sistemas “del mejor hacker del mundo” y descubre que vive muy cerca. Tras secuestrarlo, lo convencen de participar en la operación.

De acuerdo con el plan, el hacker secuestrado tiene dos tareas. En primer lugar, hackear el sitio web del ejército ruso para conseguir información sobre los oficiales que transportan el cargamento. Y, en segundo lugar, hackear un satélite que vigila en tiempo real los movimientos del tren (y paralizar el centro de control).

Con tan solo pulsar un par de teclas en un portátil consigue realizar ambas tareas con éxito, pero se vuelve contra la banda, coge el oro y se marcha. Eso le deja el trabajo de inhabilitar los semáforos a la hacker principal. A todo esto, lo hace igual, pulsando rápidamente el teclado para hacerse con el control de los semáforos.

Versión india: conclusiones

Ciberseguridad

  • No podemos hablar de ciberseguridad. Todos los sistemas se pueden hackear en remoto, sin preparación alguna y con tan solo pulsar el teclado, cuanto más rápido, mejor.

Percepción

  • Los hackers son magos.

The Italian Job: Conclusión general

En las tres películas, los delincuentes intentan evitar una masacre y, en las dos últimas, incluso los guían intenciones nobles (al menos en parte): la venganza por el asesinato de un profesor y el deseo de construir una escuela para los huérfanos. Sin embargo, no se paran a pensar en las consecuencias de paralizar una ciudad enorme, incluyendo a los bomberos, las ambulancias, etc. Lo que significa que habrá víctimas civiles. Por tanto, aunque se describa a los ladrones como buenos individuos, resulta difícil simpatizar con ellos.

En cuanto a la ciberseguridad, la imagen de un “hacker genio” ha cambiado por completo en medio siglo. Si el primer hacker era un tipo raro con un don, ahora se le representa como un mago tecnológico seguro de sí mismo y casi omnipotente. Tomar el control de los semáforos ha pasado de ser una operación técnica sofisticada a un truco estándar que se da por descontado. La realidad, por supuesto, es muy diferente. Hackear el sistema del control de tráfico de una ciudad es mucho más difícil de lo que parece en la pantalla grande.

La omnipotencia de los hackers en las películas impacta negativamente en la percepción de la amenaza contra las infraestructuras críticas. Según nuestros colegas del Kaspersky Security Awareness, el estereotipo cinematográfico del hacker genio afecta a la seguridad de las empresas. La gente está tan segura de que los ciberdelincuentes pueden hacer cualquier cosa que ni se molestan en implementar una protección máxima, lo que deja vacíos innecesarios.

Por ello, recomendamos las formaciones sobre sensibilización en materia de seguridad para mostrarles a los empleados cómo son las cosas en el mundo real. Por ejemplo, nuestra plataforma Kaspersky Automated Security Awareness imparte lecciones que separan la realidad de la ficción.

Consejos