Durante años, se advertía sobre virus autorreplicantes, puertas traseras invisibles y troyanos capaces de propagarse “mágicamente” entre los ordenadores sin intervención humana. “Pero si yo no he hecho nada…” se defendían los usuarios. Y era cierto buena parte de las veces: cabe la posibilidad de que, ante un programa no actualizado, el malware aproveche el fallo para infectar. En cualquier caso, el pecado del usuario habría sido no haber actualizado ese software.
Aquellos tiempos, en los que el malware se reproducía a la velocidad de la luz, convirtieron Internet en un entorno hostil. Los profesionales recordamos la primera década de los 2000 como la más prolífica en gusanos replicables. Disfrutamos de una relativa calma hasta que el 12 de mayo de 2017 sufrimos un revival, pero desde entonces (e incluso años antes de ese fatídico Wannacry) el panorama había cambiado. La realidad es que, para acceder al usuario, los atacantes hace un tiempo que no necesitan esconderse detrás de complejos exploits automáticos. Basta con convencer a la propia víctima de que ejecute el ataque por sí misma.
Y esta tendencia la está llevando al extremo la nueva moda de los denominados ataques clickfix. Funcionan de manera tan simple como absurda: un atacante hace pensar al usuario que hay un problema en su ordenador, mostrando una llamativa alerta en una página web o correo. Además de hacer cundir el pánico, publica y enseña un comando que promete arreglar el caos.
De apariencia inofensiva, el atacante le pide a la víctima (en solo tres pasos, con instrucciones sencillas) que lo copie y pegue en el recuadro de “Ejecutar” de su sistema operativo. El resultado es que el ordenador obedece a la orden maliciosa porque el propio usuario la ha ejecutado de forma voluntaria. Este comando esconderá habitualmente instrucciones como: desactivar el antivirus, descargar otro malware aún más potente y robar información. Todo codificado en algunas palabras triviales para un técnico, pero ininteligibles para la víctima.
¿Por qué tiene éxito? El atacante evita descargar y ejecutar un archivo directamente, artimaña que siempre es susceptible de ser descubierta por el antivirus. Por el contrario, detectar comandos maliciosos en el portapapeles, es un campo en el que todavía la tecnología antimalware no ha avanzado tanto. Además, el malo evita grandes despliegues técnicos: solo necesita una buena excusa para convencer al usuario y él hará todo el trabajo sucio. Resulta más simple que tener que sortear todas las medidas de seguridad actuales con las que cuentan por defecto los sistemas operativos.
Y hay más ejemplos de estos en los que la ingeniería social es clave. Aquellos tiempos de los gusanos automáticos, capaces de saltar entre equipos, parecen haber quedado atrás. Hoy, cada vez más, los atacantes apelan a la colaboración activa de su víctima. Buena parte del malware destinado al usuario, hoy por hoy, ya no se infiltra sigilosamente en el sistema de sus víctimas. Las invita, seduce y, en cierto modo, pide permiso.
Esto nos lleva a la misma conclusión de siempre: el mayor enemigo de la ciberseguridad no es la tecnología, sino la ignorancia. Si alguien copia y pega un comando sin entenderlo, el problema no está solo en la tecnología en sí, sino en la falta de conocimientos técnicos del que la utiliza, que sortea “voluntariamente” las medidas de protección impuestas por el propio sistema.
En ese sentido, podríamos argumentar que la ciberseguridad se ha convertido en un ejercicio de DIY, pero un sentido diferente, en algo como destroy it yourself. No auto-infectarse es cuestión de cultura digital. Porque la ciberseguridad, no solo se basa en proteger el software, sino en entenderlo. Y nadie mejor que nuestro propio compromiso para conseguirlo. Ahora sí, do it yourself.
