(Esta entrevista está relacionada con el post de Instagram del perfil @cinetificomaster, enlace aquí)
Entrevistador: La película comienza en los años 70 mostrándonos cómo dos estudiantes realizan transacciones bancarias de empresas, políticos y bancos a distintas organizaciones, algo así como unos "Robin Hood", pero ¿en aquella época en la que no había internet piensas que hubiera sido realmente posible?
Iñaki: No existía el internet tal y como lo conocemos hoy en día, pero sí había ciertas redes ya fueran interconectadas o aisladas. Por ejemplo, las universidades, los bancos, los organismos de defensa etc., disponían de ellas, por lo que sí hubiera sido posible introducirse de manera ilícita en alguna de esas redes.
E: Nuestros protagonistas se dedican a vulnerar los sistemas informáticos de empresas o bancos para demostrarles sus debilidades. Éste es uno de los rasgos principales del hacker. Sin embargo, cuando oímos en los medios de comunicación hablar sobre hackers siempre es con una connotación negativa y esto es un error, ¿verdad?. Por favor, explícanos qué es realmente un hacker y en qué se diferencia con un pirata informático.
I: Sí, estamos acostumbrados a oír que un hacker es un pirata informático en el sentido peyorativo de la palabra, cuando en realidad y dicho de una forma sencilla y simplificando el término, un hacker es un experto en seguridad informática que se encarga de identificar fallos en los sistemas informáticos de las empresas, organizaciones, instituciones, etc., y, en muchas ocasiones, les informan gratuitamente de sus vulnerabilidades para que las corrijan y refuercen su seguridad.
Es habitual que, como ocurre precisamente en la película, los hackers sean contratados por las empresas que
han puesto a prueba para que refuercen sus sistemas.
En cambio, un pirata informático, cracker o ciberdelincuente vulnera los sistemas con motivaciones delictivas.
Como ejemplo de cracker en España, tenemos a "Alcasec" que con tan solo 19 años consiguió quebrantar la seguridad del Punto Neutro Judicial afectando a diversas instituciones de la administración del estado y vender datos de contribuyentes a bandas criminales.
Aunque no siempre todos los ataques tienen por objetivo el robo de datos, existen distintos tipos de ataques informáticos, como, por ejemplo, y uno de los más utilizados el "Ataque de denegación de servicio distribuido" o DDoS (por sus siglas en ingles). Este tipo de ciberataque consiste en saturar un servidor web de una empresa para que ésta no pueda ofrecer su servicio, de forma que posteriormente el atacante extorsiona a la empresa por una cantidad de dinero, normalmente solicitando criptomonedas, a cambio de reponer el servicio.
Otros ataques tienen una orientación mas simbólica o dentro de la reivindicación social o política, por ejemplo, atacar el servidor de una empresa energética para publicar un mensaje en contra de sus políticas.
E: Y nos puedes explicar de una manera sencilla ¿Cómo consiguen realizar esos ataques?, ¿cómo consiguen saturar y que se "caiga" la página web de una empresa?
I: Sí, por ejemplo para un ataque DDoS, lo que hacen estos ciberdelincuentes es utilizar miles de ordenadores de diversas partes del mundo (a los que se conoce con el nombre de ejército de bots, ordenadores zombies o botnet) para que envíen solicitudes, generalmente al servidor web de esa empresa, de forma que con ese envío masivo de solicitudes conseguir que se sature y denegar el servicio.
E: Pero ¿cómo consiguen tener a su disposición miles de ordenadores de todo el mundo?
I: Bueno, el cracker no es el que tiene esos ordenadores sino que son ordenadores particulares de cualquier persona, en cualquier punto del planeta. Es más, es posible que tu propio ordenador forme parte de ese ejército de bots y tú ni siquiera te hayas dado cuenta.
E: Y ¿cómo ese eso posible?
I: De varias maneras, por ejemplo, si quieres el Office "pirata", generalmente accedes a foros o a páginas web donde te descargas, en este caso, el Office con un crack o un programa generador de claves que te permite usar el Office gratis, pudiendo incluir ese crack un malware (software malicioso) que se queda ejecutándose en segundo plano sin que el usuario lo note. En general, todas las páginas web de descargas ilegales de material con copyright como música, películas, software, etc., incluyen malware. Especial mención al software KMSpico muy utilizado para generar claves que permiten usar el sistema operativo Windows de manera gratuita.
Ese malware también puede entrar en tu ordenador a través de correos electrónicos fraudulentos, con software malicioso camuflado que tú ejecutas sin saberlo.
Asombrosamente, una marca muy famosa de antivirus fue descubierta cuando su propio software usaba los recursos del usuario para minado de criptomonedas, sin que el usuario lo supiera.
E: En la película también vemos que los personajes consiguen la información mediante diferentes "trucos" y engaños. ¿Cómo se le llama a esta práctica y qué métodos más modernos que los que se ven en la película se utilizan en la actualidad?
I: Estos "trucos" y engaños que comentas, forman parte de lo que se conoce como ingeniería social que no es otra cosa que conseguir que las personas compartan su información personal o datos de la empresa para la que trabajan mediante la manipulación y el engaño.
En la actualidad, cada día que pasa surge una nueva forma de ingeniería social, tenemos multitud de formas por las que los ciberdelincuentes pueden conseguir nuestras contraseñas y en general nuestros datos, e incluso que directamente les hagamos una transferencia bancaria. No es otra cosa que la picaresca de toda la vida, pero aplicada a las tecnologías de la información.
La forma más extendida de ingeniería social es el phishing, correos electrónicos o SMS que mantienen la apariencia de nuestra entidad bancaria, de alguna empresa de mensajería indicado que tenemos un paquete a la espera o incluso de correos, son algunos ejemplos de ingeniería social que se están utilizando en la actualidad.
E: Entonces, ¿qué recomendaciones puedes darnos para no caer en este tipo de fraudes? Parece complicado...
I: No es complicado, es algo de sentido común. No dar nunca contraseñas a nadie ni aunque te digan que son de tu banco, la policía o de cualquier otra entidad u organismo. No guardar las contraseñas en el navegador, sobre todo las de la web del banco, etc. No conectarse a WIFIs públicas en general y especialmente en aeropuertos o espacios grandes donde el tráfico de la comunicación no es seguro y puede ser capturado o incluso puede existir una WIFI falsa que, digamos, suplanta a la WIFI legítima. Navegar con cifrado (https), utilizar contraseñas fuertes y que no se repitan, evitar las webs de dudosa reputación que, como ya hemos dicho antes, tienen malware en sus banners publicitarios o en el software que permiten descargarse. Siguiendo estos consejos, no son necesarios programas antivirus caros que hacen más mal que bien en muchas ocasiones. Con el que viene instalado en Windows es suficiente, e incluso si usas un sistema operativo GNU/Linux, estarás más seguro en muchos sentidos aunque si que deberás habituarte a este sistema si vienes de Windows.