Daswani: “El cibercrimen se basa en el arte del engaño más que en la técnica”

Cuenta Deepak Daswani en un pasaje de su libro La amenaza hacker (Deusto) que, cuando todavía estudiaba Ingeniería Informática en la Universidad de La Laguna, se le acercó un amigo rogándole que hackeara el email de su novia, que estaba de Erasmus y de la que sospechaba que le ponía los cuernos. Corría el año 2003 o 2004. Acabó accediendo como deferencia para con su amigo… y movido por el reto. A los pocos días lo logró. Daswani recalca que, por un lado, recuerda perfectamente la adrenalina que sintió al haber vencido al sistema y que, por otro, se dio cuenta ya en la era pre-redes sociales y pre-smartphones “de la magnitud (…) que la tecnología podía tener en nuestras vidas”. Eso le ayudó a fijar los límites que quería ponerse como hacker.

El capítulo dedicado a este episodio arranca y finaliza advirtiendo de que la historia descrita puede ser inventada (o no), pero Daswani reconoce que constantemente le están pidiendo favores parecidos. Y que la delgada línea que separa a un hacker ético (los que usan sus conocimientos para ayudar a la comunidad o avisar de vulnerabilidades) del cibercriminal es difícil de gestionar. “Tu educación influye mucho. Es verdad que en algunos momentos, como tenemos la inquietud de probar nuestras habilidades y aprender continuamente, puedes tener comportamientos que crucen la línea aunque tus propósitos sean totalmente lícitos”, explica.

Daswani define a los hackers como profesionales curiosos, con un insaciable apetito de aprendizaje y pasión por lo que hacen. Este tinerfeño de origen indio ha desarrollado su carrera en el sector TIC canario, en el Incibe y en Deloitte. Actualmente es consultor independiente. Nunca ha dejado de cacharrear para seguir creciendo. “Hay veces que encuentras fallos en el sistema de alguien, se los reportas y luego no hace nada. O lo que es más: algunos se toman mal que puedas encontrar vulnerabilidades en su sistema y pueden denunciarte. Así que en algunos casos los hackers optamos por no investigar determinados casos y, si lo hacemos, no los reportamos por si acaso”, espeta.

• Nuevas amenazas

Solo por ser usuarios de la tecnología nos enfrentamos a riesgos que pueden comprometer nuestra identidad digital. El problema es que la mayoría de la población vive ajena a esta realidad. “La pregunta recurrente que se hace la gente es: ¿por qué me van a atacar a mí? Lo normal es que vayan contra alguien que tenga dinero o algo que ocultar. Lo que no saben es que los ciberdelincuentes se lucran económicamente de muchísimas maneras”, explica. Es más barato enviar miles o millones de emails tratando de embaucar a personas anónimas que dedicar recursos a romper los sistemas de un gran banco.

“Hay dos vías para obtener información de las personas: buscar en internet o aplicar técnicas de hacking. Ya solo con lo que las personas vuelcan en la Red es fácil saber el nivel socioeconómico de un individuo, su ideología política, identidad religiosa, domicilio, actividad profesional, algunos aspectos de su vida familiar o número de teléfono”, ilustra. Hasta aquí sería todo legal. “Luego, utilizando técnicas de hacking, podríamos llegar a documentos personales, sacar fotos desde nuestras cámaras digitales, monitorizar lo que hacemos, espiar nuestras conversaciones, sacar un vídeo en directo desde el móvil o la tableta.… La gente no es consciente de que gran parte de sus vidas se desarrolla a través de los dispositivos. Y quien llega a tus dispositivos lo sabe todo de ti: ubicaciones, historial de búsquedas, pulsaciones de teclado, contraseñas…”.

Más información

“La mayoría de delitos de ciberseguridad recaen sobre ciudadanos comunes”

Guía básica de ciberseguridad: consejos para navegar de forma segura

• Ingeniería social

Contra lo que se pueda pensar, los ciberataques más exitosos y rentables no tienen por qué ser los más sofisticados. Daswani se refiere a la ingeniería social, o el arte de la manipulación, como la herramienta estrella de los cibercriminales. “Todo se basa en el arte del engaño, de la persuasión: manipular personas para obtener de ellas lo que queremos”, explica. El timo de la falsa oferta de trabajo, el de la novia rusa de Facebook, el del comprador extranjero, la estafa nigeriana, el phishing… Todas estas tretas apelan a algún sentimiento para tratar de engañar al usuario y lograr que sea este quien acabe facilitando al cibercriminal la información que busca.

“El problema es que estamos en un momento tecnológico en el que todo es posible. Casi cualquier cosa que te digan que puede suceder con la tecnología te la puedes creer”, dice Daswani. Si te llega un email con el membrete de Whatsapp diciéndote que será posible programar mensajes pero que para eso tienes que introducir tus claves en tal enlace, ¿qué harías? “El momento de efervescencia tecnológica que atravesamos combinado con la ingeniería social puede ser devastador”, sentencia.

La primera línea de defensa contra todos estos nuevos peligros es el sentido común. “Si yo te envío fotos o vídeos con alto contenido erótico o sexual, eso puede ser un arma arrojadiza contra mí el día de mañana. Es lo que le pasó a Olvido Hormigos, la concejal de Los Yébenes, aunque ella es de las pocas personas del mundo a las que el sexting le ha venido bien”, comenta Daswani. Lo mismo aplica a las proposiciones dudosas que se apoyen en la ingeniería social o hasta en tratar de no poner “1234” o “password” como contraseña.

• El internet oscuro

¿Qué hay de mito y qué hay de cierto en todo lo que se dice de la deep web? Daswani dedica un capítulo de su libro a tratar este tan jugoso como desconocido tema. “La imagen famosa del iceberg es un mito: existe una cantidad ingente de información en esas redes, pero nadie es capaz de cuantificarla”, explica. “La realidad es que existe un internet oscuro, que no es accesible a través de un navegador convencional y que no es indexado por los buscadores. En la primera parte pueden aparecer las fotos de tu perfil de Facebook, que no están indexadas pero están en internet. En la segunda es donde están las redes anónimas construidas al margen de internet: TOR, Freenet…”.

¿Entonces la deep web es mala o buena? “La realidad es que TOR nació con unos fines lícitos y románticos: garantizar la privacidad y el anonimato de los usuarios cuando navegan por internet, por ejemplo para proteger a periodistas allí donde decir según qué cosas te puede costar la vida. No todo lo que está en esas redes es malo”, ilustra. También es cierto el mercadeo que se produce en este territorio inexplorado por las autoridades. “Se puede encontrar drogas, armas, pornografía infantil, vídeos duros… Pero no es abrir el navegador y llegar allí: eso se mueve en foros determinados y círculos de confianza a los que no es fácil acceder”, subraya.

Daswani explica, de hecho, que cuando entras en TOR y empiezas a ver las típicas páginas de venta de pasaportes falsos o drogas con solo cuatro clics suele haber gato encerrado. “Generalmente todas esas páginas son intentos de fraude para tratar de engañar a quienes buscan ese material”, dice.

• El efecto WannaCry

La gran repercusión mediática que se le dio a WannaCry, el mayor ciberataque del año pasado, es un tema recurrente para Daswani. “La tipología de ataque no era nueva: un ransomware. Lo que pasa es que fueron cayendo, y de manera secuencial, grandes multinacionales. Durante tres días fue portada de los medios de todo el mundo. En parte sirvió para concienciar a todas esas personas que no eran conscientes de los peligros que acechan en la Red, aunque es verdad que mañana puede haber un ataque mucho más grave y que no salga en los medios”, explica. Y luego está la parte lucrativa: “Fabricantes, consultoras, profesionales, auditores de seguridad, conferenciantes, formadores… Todos los que nos dedicamos a este sector tenemos más trabajo después de WannaCry”.