Cifrados débiles, suplantaciones absurdas, correos sin el virus adjunto… Estamos acostumbrados a escuchar los errores que cometemos los usuarios, pero los cibercriminales tampoco son infalibles.
No hay deshonor en enviar un correo electrónico y olvidarse del adjunto. Nos ha pasado a todos. Y nos volverá a ocurrir. Pero que le pase a un cibercriminal, cuyo sustento depende de su destreza para las fechorías informáticas, roza la justicia poética. Según confirma Hervé Lambert, responsable global de operaciones de consumidores de Panda Security, el pedestre despiste de no adjuntar el virus es solo uno de los muchos fallos que cometen estos malhechores: “Errores humanos, todos los que te puedas imaginar y más”. En el imaginario popular, la torpeza de los usuarios, constantemente señalados como el eslabón débil de la ciberseguridad, contrasta con el aura de leyenda que rodea al pirata encapuchado que se basta con un ordenador para desatar cataclismos. Ni unos son tan ineptos ni los otros tan extraordinarios.
Bien por falta de experiencia o bien por su humana falibilidad, los ciberdelincuentes cometen a diario errores que les hacen caer en las redes los antivirus e incluso las de las fuerzas de seguridad. “Todos utilizan estrategias para esconderse, pero el día que tienen un descuido se quedan al descubierto y es cuando se les puede coger o saber quiénes son”, comenta Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC. “Recuerdo casos en los que se ponen comentarios en el código del malware para continuar después y no se eliminan (estos pueden dar pistas de la identidad de los autores o sus colaboradores), o ataques que se ven en vivo con lo que se puede interactuar con los ciberdelincuentes…”.
Hay meteduras de pata en todos los niveles. Un ejemplo reciente y más técnicamente avanzado es el de Prometheus, un virus de secuestro informático (ransomware, en inglés) que comenzó a actuar principios de este año. Sus creadores se presentaban como parte de REvil, los piratas que pusieron en jaque los oleoductos y el suministro de combustible del sureste de Estados Unidos. Pero esta versión no terminaba de convencer a los expertos: los programas maliciosos de estos últimos se consideran de los más punteros del mundillo, los de Prometheus son más bien un revoltijo ―o, irónicamente, un moderno monstruo de Frankenstein― hecho con retales de otros virus entre los que se encuentra Thanos, un ransomware que circulaba por los foros del internet oscuro a principios de 2020. Y en el cibercrimen, como en la vida, las chapuzas salen caras. Los investigadores IMB Security X-Force han encontrado un fallo en su sistema de cifrado que permite recuperar los archivos infectados sin necesidad de contraseñas.
“Pasa muy a menudo que de un bicho bien hecho se hacen variantes. El que sabe, pues lo hace muy bien. Pero en la industria del cibercrimen hay muchas personas que operan mucho más justitas de conocimientos”, explica Lambert. Para compensar la falta de pericia, estos delincuentes hacen la ciberguerra a cañonazos: cambian los ataques específicos y diseñados a medida de la red que se va a infectar por campañas de infección masiva que mejoren sus posibilidades de éxito. “Combatir el cibercrimen nunca ha sido fácil, pero ahora es más difícil porque hay mucha democratización y mucho volumen, y encima las penas son muy bajas”, continúa el experto. En el caso de Prometheus, el coste del error fue un ataque fallido y la consecuente pérdida de la posibilidad de cobrar un rescate por los archivos cifrados.
Graham Ivan Clark, que en 2020 hackeó 130 cuentas de Twitter de personalidades como Barack Obama o Elon Musk, pagó un precio más caro por su torpeza. Las autoridades identificaron al entonces adolescente y a sus dos colaboradores gracias a su desempeño “extremadamente chapucero”: utilizaron las direcciones IP de sus propias casas y aportaron sus documentos de identidad para la creación de las cuentas de bitcoin en las que esperaban recoger los frutos del ataque. “Nos hemos montado la paranoia de todo cibermalo es un as de la informática y no es verdad. Hay de todo. Como en la vida real hay gente capaz de abrir una caja con tres alarmas distintas y bombas de humo y otros se bastan con un martillo y un cincel”, sentencia Lambert.
No es que estén perdiendo facultades. Ya en 2016 una triste errata detuvo lo que podría haber sido un robo de 1.000 millones de euros al banco de Bangladesh. Según reportó Reuters, los atacantes se infiltraron en los sistemas de la entidad y robaron sus credenciales para efectuar transferencias de pago. Acto seguido bombardearon el Banco de la Reserva Federal de Nueva York con solicitudes para mover dinero de la cuenta que la entidad bangladesí tenía allí a otras cuentas en Filipinas y Sri Lanka. Al principio funcionó. Se ejecutaron cuatro transferencias por valor de unos 81 millones de dólares, pero en la quinta, el nombre de la ONG beneficiaria, que además no existía, aparecía escrito como Shalika Fandation en lugar de foundation (fundación). La pifia llamó la atención de los operarios, que al ver lo que estaba pasando detuvieron esa transacción y las que estaban pendientes.
El de las erratas es un género en sí mismo. Por suerte, abundan en los intentos de suplantación y pueden darnos pistas de cuándo estamos ante un correo electrónico de dudosas intenciones. Pero no son la única señal de que hay gato encerrado. “No soy el más guapo del mundo y me siguen enviando declaraciones de amor en las redes sociales. No soy el más rico y me siguen diciendo que si quiero cobrar dinero que me viene de África, India o Nepal. Tenemos inputs por todos lados y a veces es muy difícil no caer en el clic”, comenta Lambert. Su consejo es estar alerta y, si nos vemos afectados, reportarlo. “Vemos al ciberdelincuente como alguien intocable y no necesariamente es así”.