Así fue como dos rusas casi me despluman: La ciberseguridad que viene

Puede que no fuesen mujeres, e incluso que no fuesen rusas. Crónica de una operación de ingeniería social que llegó a engañarme y hacerme morder el anzuelo, pero afortunadamente solo dañó mi ego

Por Pablo Grandío

10:32 · 16/3/2024

2023 fue el año de la Inteligencia Artificial, pero 2024 es el de la ciberseguridad. En los últimos años están siendo habituales las noticias de ciberataques, secuestros de estructuras informáticas enteras mediante el uso de ransomware, robos de criptomonedas, ciberestafas de mayor o menos tamaño y otros sucesos lamentables para los que todavía no se ha inventado una palabra de moda. Pero suceden muchos más ciberataques o ciberestafas que no llegan a las noticias y que la compañía o el individuo en cuestión no hacen público, más allá de denunciarlo a las autoridades (a veces ni eso).

Por desgracia, estos sucesos van a seguir multiplicándose en los próximos meses: si un usuario normal puede hacer virguerías con ChatGPT, imaginaos lo que están haciendo los delincuentes con la inteligencia artificial. Hay incluso estados (Corea del Norte, Rusia y probablemente China) que tienen equipos o empresas enteras dedicados al ciberataque y a la ciberestafa. En algunos casos son agencias de inteligencia que quieren robar secretos industriales o económicos, y en otros grupos de delincuentes que intentan robar dinero a Occidente con el beneplácito de su propio país, al estilo de las patentes de corso de hace tres siglos.

Recientemente yo he sido víctima de un ciberataque, aunque afortunadamente solo sufrí un susto y un rasguño en el amor propio. Una operación de ingeniería social con sabor a hacking de los años 90 me hizo morder el anzuelo y casi instalar un troyano (un programa que le dota a quien te lo instala control sobre tu ordenador, al estilo del Caballo de Troya), pero me di cuenta rápido y no lograron su objetivo. Nunca me habían colado un troyano (que yo sepa, claro), ni había tenido ningún problema de seguridad. Como buen informático, hubo épocas en las que ni siquiera tenía instalado un antivirus.

¿Cómo consiguieron colarme un troyano? Ganándose mi confianza, que es de lo que van ahora las ciberestafas. Esto puede conseguirse con un SMS fraudulento si eres una persona mayor o, en mi caso, durante tres semanas de negociación, con contratos incluidos. Resulta que dos rusas se hicieron pasar por una compañía americana real para intentar contratar una campaña publicitaria con Vandal.

Durante semanas, esta supuesta empleada estuvo negociando conmigo en perfecto inglés plazos de publicación, formatos, duración de los vídeos, embargos informativos y todo tipo de detalles de los que suelen acordarse en estas circunstancias, con los contratos, acuerdos de no divulgación, etcétera, que se intercambian en estos casos, iguales a los que usa la compañía real. Había días en los que no podía decirme que sí o no, porque su jefe estaba fuera y no volvía hasta el lunes. Todo perfectamente creíble.

Tras varias semanas de negociaciones, descarga de materiales en vídeo, contratos firmados intercambiados y todos los paripés necesarios, a la primera chica le tomó el relevo la segunda, que ya no hablaba tan bien inglés, y comenzó a enviarme más archivos para hacer los vídeos. Uno de ellos era un programa troyano, indetectable por los antivirus, porque estaba hecho a medida para mí y las decenas de personas a las que les estaban intentando hacer la misma ingenieria social.

Al ver que era un archivo .scr, como esos viejos virus que simulaban ser salvapantallas de Windows 95, me dio por buscar los nombres (afrancesados) de las chicas de los emails en internet: no existían. Busqué el dominio: registrado hace un mes a una dirección IP rusa. Enseguida desconecté el ordenador de la red y empecé a hacer control de daños, subiendo el archivo a Virustotal y pasándolo por antivirus. El objetivo era robarnos el canal de Youtube y yo había caído como un bendito. Si fuese una cita de Tinder, me habría despertado sin riñones.

Hay ciberestafas más espectaculares, peligrosas y lucrativas. De vez en cuando salen noticias de ciberataques que consisten en que un empleado transfirió dinero a una cuenta porque se lo mandó su jefe por teléfono, o incluso por videoconferencia, usando deepfakes en tiempo real. Si pueden imitar la voz de CR7, imagínate lo que pueden hacer con la tuya. Las posibilidades para timar son mayores que nunca, pero las personas de a pie están igual de preparadas que hace diez años: no dar tu tarjeta de crédito por internet y no abrir archivos ejecutables. Y no está lejos el día en que los hackers se coordinen con delincuentes tradicionales, y te roben en la calle el móvil para usar la autentificación en dos pasos con la contraseña que te han robado por internet. Acabará sucediendo y siendo noticia en alguna ciudad importante.

La propia industria informática está tomando medidas para intentar reducir timos como el que me ha afectado a mí, como por ejemplo verificar ciertos dominios de correo electrónico con un check azul (al estilo de las redes sociales). Pero esto es algo todavía muy minoritario. Creo que una buena primera medida sería advertir en los propios programas de correo cuando el dominio de un email lleva menos de un año registrado. De esa manera este tipo de falsificaciones cantarían a la primera: si te llega un correo de "xuntadegalicia.org", que Google, Yahoo u Outlook te avisen de que ese dominio se registró hace un mes.

¿Y cómo de preparadas están las empresas gallegas en el ámbito de la ciberseguridad? Hay una que está al nivel de la NASA, tiene línea directa con Silicon Valley, y también varios equipos internos contratados para intentar hackearla, en plan película, y que además ofrece recompensas a todo aquel que encuentre un fallo en sus sistemas. El resto -las que no son Inditex- tienen diferentes grados de preparación y exposición, pero uno tiene la sensación de que cualquier empresa gallega pequeña o mediana puede quedar hecha unos zorros con un ciberataque, con consecuencias peores que las de un incendio.

Al final, como en la película “Origen”, en la que el heredero interpretado por Cillian Murphy tenía defensas internas para que no lo pudiesen manipular colándose en sus sueños, las empresas van a tener que gastar dinero y recursos para mantener a sus empleados alerta y que no se dejen engatusar, como me pasó a mí. Hay empresas y organizaciones gallegas que ya tienen la ciberseguridad de primera en su lista de deberes, pero hay otras que todavía no.

Por eso en la tercera edición del Foro Económico Español: La Galicia que viene, organizado por Quincemil, Treintayseis, El Español e Invertia, que se celebrará en A Coruña los días 23 y 24 de abril, prestaremos una especial atención a la ciberseguridad en nuestra parte dedicada a la tecnología. La tarde del miércoles 24 la dedicaremos exclusivamente al mundo digital, con interesantes ponencias sobre ciberseguridad, IA, criptomonedas, startups y algunas sorpresas. Ya es posible apuntarse tanto en Eventbrite como en Linkedin, y pronto iremos anunciando el programa de conferencias. Prometo que no os instalaré un virus si seguís los enlaces.

Pablo Grandío

Pablo Grandío es fundador y director de Quincemil, consejero de El Español y fundador y director del portal de videojuegos Vandal.