*DISTINCIÓN CONCURSO DE PERIODISMO ESET*

Los aficionados hackean sistemas, los profesionales hackean personas. Un mundo de habilidades impostoras y tecnológicas donde la psicología es clave para lograr los accesos.

Es media mañana en el centro porteño y el Chino mira desde la vereda las oficinas de un banco. Observa a través del cristal la ubicación de las cámaras y del guardia de seguridad. Nueve minutos después entra a la sucursal sin ser visto. Esquiva los objetivos caminando por los ángulos ciegos y, en el minuto dieciséis, localiza la puerta del sistema de seguridad de la entidad. En el minuto veintiuno es atendido en una de las ventanillas: la que está más próxima a la puerta que contiene todos los secretos del banco. Su consulta es compleja y la empleada deja su escritorio para averiguar cuál es el procedimiento. El Chino espera. Y en el minuto veinticinco lo ve. Ve cómo el guardia de seguridad teclea los cuatro dígitos que abren el acceso al control informático del banco. Cinco cuatro ocho tres. Bingo.

La escena es parte de un ataque de ingeniería social, que es el conjunto de técnicas y conductas que busca información sensible para usarla luego en beneficio propio. Si bien el engaño corrió desde siempre por canales analógicos, Internet ha extendido y sofisticado estas intervenciones. Hoy la cuestión no es menor: cien bancos de todo el mundo confirmaron, según una investigación presentada en la Cumbre de Analistas en Ciberseguridad realizada en febrero último, el agujero de mil millones de dólares que les dejaron estas trampas. Y la tendencia crece: en las previsiones para 2015 el arte de engañar al prójimo está en el número uno del ranking de amenazas informáticas más temidas.

"Acceder a los datos del sistema hubiera supuesto pérdidas millonarias para el banco", dice ahora Gustavo Nicolás Ogawa, el Chino, desde las oficinas de la empresa de seguridad Mkit, donde trabaja. Aquel día, dos cosas lo disuadieron de consumar el ataque: primero, la pistola del guardia, y segundo, que en realidad era todo una simulación. El banco los había contratado para determinar el grado de seguridad de sus instalaciones, así que los chicos de Mkit jugaron a ser malos con ventaja, porque, aseguran, siempre estuvieron del lado de los buenos.

Donde investigan, confabulan y entrenan es en esta sala amplia y luminosa en la que hoy habla Ogawa. El edificio está en el barrio de Belgrano; hay un portero en la entrada y tres tornos que vetan el acceso si no se muestra el DNI. Arriba, en las oficinas, huele a café. En la radio suena rap. Una de las paredes blancas, libre de ventanas, devuelve frases en inglés impresas en grande: No hay parche para la estupidez humana o Los aficionados hackean sistemas, los profesionales hackean personas. Hay un aro de básquet, muchas zapatillas con los enchufes llenos, un puf, una estantería con libros de informática y una puerta estampada con código binario. Al lugar, ellos lo llaman casa.

"El padre de la ingeniería social es Mitnick", explica Ogawa, tatuaje, gorra y jeans. Se refiere a Kevin Mitnick, hacker estadounidense de historial legendario. Se bautizó en 1981, con 17 años, al robar información de una base de datos descomunal (llamada COSMOS) con registros telefónicos. El delito, que supuso su primera entrada en prisión, empezó con un diálogo sencillo entre el joven y el guardia de seguridad que vigilaba el edificio:

-Hola, qué tal. Me manda mi jefe. Se olvidó unos papeles y me pidió que los viniera a buscar -mintió el hacker.

La respuesta primera fueron los brazos cruzados del guardia y las piernas bien plantadas en el suelo. No. Pero entonces Mitnick usó la información que había recopilado previamente (nombres de altos directivos, por ejemplo) y amenazó con represalias. "En ese momento sus mentiras ganaron poder -dice Ogawa-. Presa del miedo, el guardia de seguridad cedió."

En aquella ocasión -y en otras tantas que le siguieron- Mitnick explotó el factor humano, que es la piedra angular en la ingeniería social. La psicología para tratar las emociones es clave en el proceso de obtener datos o privilegios. El temor, la codicia, la inocencia y la credulidad están presentes en los cuatro principios que instauró el estadounidense para usarlos como palanca del engaño: a nadie le gusta decir que no; todos somos confiados por naturaleza; a todos nos gusta que nos halaguen, y nos sentimos bien al ayudar.

"Se apelaba a las emociones con aquel email-spam que pedía los datos del banco para que el usuario pudiera cobrar la herencia de un supuesto pariente lejano y rico. O cuando pedían rellenar un formulario porque Facebook se haría pago", sigue Ogawa.

El Chino habla con soltura, como si esto no fuera más que la punta de un iceberg, y da un sorbo de café antes de desentrañar el mecanismo de la artimaña: en la primera etapa, se provoca un impacto emocional en el interlocutor para que su razonamiento lógico quede bloqueado. Con el terreno abonado llega el segundo acto y la solución absurda, que alivia el miedo que el propio atacante causó, y que, naturalmente, le juega siempre a favor. "¿Te acordás del caso reciente en el que un empresario de Buenos Aires pagó por recuperar a su hijo de un secuestro falso? Después de entregar el dinero, comprobó que su hijo dormía en el piso de arriba de su propia casa."

Aquella ocasión fue por teléfono, un método usual al que luego se sumaron el correo electrónico y años más tarde las redes sociales. Facebook y Twitter son, además, la primera fuente de información para los hackers, según los especialistas del Sans Institute. Entre los dos, más de 1500 millones de cuentas activas en todo el mundo que han convertido a Internet en un coladero de datos a disposición de cualquiera.

Lo dice también el Chino, que es experto en redes sociales. Investiga Facebook desde 2011, y ya ha descubierto varios fallos de seguridad de la aplicación. Hace dos años creó una herramienta en apariencia inofensiva, la Facebook Hacking Tool, que desvela la identidad del 80% de los amigos de cualquier usuario: un detalle inocuo que es pólvora en manos de un buen pistolero.

"Entender cómo se relaciona una persona es el primer paso para la intelligentsia -dice Ogawa-. La gente piensa: A mí no me va a pasar nada,yo no soy nadie, pero los datos son la puerta de entrada para un ataque dirigido de ingeniería social avanzada-. Elspoofing (la suplantación de identidad) es uno de los platos fuertes: en 2013 alcanzó a 1,8 millones de personas y supuso una pérdida de 4 mil dólares para cada uno de ellos."

Ogawa juega con su teléfono y, casi distraído, relata un ejemplo. Que un día investigó a una escuela por Internet, que llegó hasta las fotos de egresados, que dio con el ex alumno sin cuenta de Facebook ("el que está aislado"), y que una vez llegados a ese punto podría haber suplantado su identidad en la red. O dirigirse a otro ex alumno en Facebook fingiendo que el tal Juan estaba fallecido. "¿Falleció Juan? ¡No lo puedo creer." "Sí, sí, pasame tu celular y tu mail, y te cuento." Y así la desconfianza inicial del otro hubiera volado por los aires.

Cuando menciona casos propios, el Chino usa los verbos en condicional, llena el discurso de "supuestamente" o "en teoría", y dice muchas veces "eso no lo puedo decir". Y es que estos hackers cuyo trabajo es manipular al otro se mueven en el terreno de la información sensible, confidencial y, muchas veces, al filo de la ley: derriban cerraduras (virtuales o humanas) para comprobar su solidez con la excusa de intervenir, acto seguido, y así hacerlas más robustas.

"El límite lo pone uno mismo -dice Ogawa, que ya cumplió los 25-. Pero la capacidad de asaltar un banco y hacerse millonario sin que nadie lo sepa está allí."

De repente la puerta de la oficina se abre. Gustavo voltea:

-¿Y cómo fue? -pregunta, llevando el cuerpo hacia atrás, la sonrisa ancha.

-Le hice un. -contesta Cristian, el recién llegado. Y nada de lo que dice se entiende.

El Chino lanza una carcajada.

-Pero fue sin querer -sigue como si no hubiera roto un plato Cristian, parte del equipo de Mkit.

-Sí, sí. Siempre es sin querer.

Para prestar sus servicios de seguridad física, informática y humana se mantienen al día con la computadora y las nuevas tecnologías, pero también se entrenan en el arte de persuadir y engañar. En grupo, juegan a dominar la expresión de sus emociones.

"Me di cuenta de que mentías cuando levantaste la ceja", le dijo un día Matías Katz mientras ensayaban sus habilidades impostoras. Katz fue quien fundó la empresa en 2008 y quien además -dice Ogawa- domina al 100% "el lenguaje corporal: lee a la perfección la mentira, la inseguridad o la duda. Si te rascás, si tus manos están reposadas o si te mordés los labios. O si te tiembla levemente la voz, como le ocurrió al Chino la primera vez que intentaba obtener información confidencial por teléfono".

-"La ingeniería social se siente en el cuerpo -respira-. Si yo no me lo creo, el otro tampoco."

* * *

Si hace veinte años, alguien le hubiera dicho a Julio Ardita que hoy, jueves soleado en Buenos Aires, iba a estar sentado en la misma mesa que uno de los responsables máximos de seguridad del Banco Supervielle, seguramente se hubiera echado a reír. Pero sí: en la segunda planta de un edificio antiguo del Centro, los monitores del sistema de seguridad devuelven la imagen de dos hombres con traje que, bajo petición, hablan sobre ingeniería social.

En la sala de reuniones está junto a Gabriel M. Grande, gerente de Desarrollo de Sistemas del banco. En la entrevista, Grande dirá que es difícil conjugar accesibilidad y seguridad en los servicios que se ofrecen al usuario ("hoy se innova teniendo en cuenta al cliente, no al intruso"), que los más vulnerables al ataque son los jubilados y los más jóvenes ("la Generación Y lo quiere todo rápido y es muy confiada"), y que lo difícil no son los aspectos técnicos, sino los fallos humanos. Por eso hay que educar, hay que concienciar.

A su lado asiente Julio Ardita. Hace dos décadas aparecía en la prensa por sus habilidades como hacker y ahora lidera Cybsec, la empresa de seguridad que creó en 1996. Hoy, impecable (corbata a rayas, anillo, reloj), saca un Power Point impreso con el que ordena el puzzle de la ingeniería social actual:

"Si la ingeniería social tradicional se relacionó históricamente con falso personal de sistemas que pedía usuarios y contraseñas (por teléfono, por mail o en persona), ahora los intrusos prefieren concentrarse en un solo objetivo y, a menudo, abordarlo por diferentes vías." La técnica reina para obtener información confidencial es el phishing, que sigue creciendo. Se trata del envío de e-mail que finge proceder de una fuente confiable y que se encarga de instalar un troyano o un captador de teclas para tener el control de la computadora. Según datos recopilados por la empresa Social Engineer, el 90% de los e-mails de 2013 fueron ataques solapados (290 millones de envíos diarios).

El vishing o fraude telefónico también evoluciona rápidamente. En 2012 se registraron 2,4 millones de víctimas y supuso pérdidas de 42 mil dólares de promedio para las empresas afectadas. Los especialistas en seguridad informática coinciden además en señalar que los dispositivos móviles (sobre todo, los smartphones) y las redes sociales están cada vez más en la mira. En un futuro cercano habrá que tener precaución con el WhatsApp, los juegos online, los archivos en la nube o la propia red Wi-Fi. Y abrir mucho los ojos si hay encuentros masivos donde el cebo queda bien camuflado.

En tiempos del último Mundial de fútbol, por ejemplo, el propio Ardita creó un sitio falso para los empleados de una empresa, a quienes se invitaba a participar en un sorteo para viajar a Brasil. Los convocaban por e-mail, por teléfono y a través de varios pendrives infectados que dejaron en lugares estratégicos -el baño de la empresa, la cafetería, el hall de entrada (los archivos infectados tenían nombres sugestivos como Sueldos. xls)-. Los resultados aparecen en el papel que desliza Julio encima del escritorio: más del 50% de los trabajadores divulgaron sus contraseñas. Pudieron llegar a las computadoras de más de 50 altos cargos.

Después de una hora de entrevista y varios ejemplos, programamos un segundo encuentro con Ardita, para saber más sobre su pasado.

-¿Hablamos la próxima por Skype?

-Mejor por teléfono -responde- es más seguro.

Y por teléfono saldrá a la luz que Julio Ardita tiene cientos de documentos con información crítica de los Estados Unidos. Miles. Que tiene archivos sobre tecnología de radares, de submarinos nucleares, información secreta de centros e investigaciones militares, navales o gubernamentales del país. Tiene, además, cientos de usuarios y contraseñas.

-Entraste en el sistema de la NASA, Julio.

-Sí, sí -dice su voz al otro lado del cable, minimizando-. Pero en la NASA hay unas 300.000 computadoras. Yo sólo entré a mil, aproximadamente.

Julio minimiza, pero en 1996 sonó una tarde el teléfono en casa de los Ardita y al otro lado del aparato hablaban en nombre del Departamento de Justicia estadounidense. Se habían enterado de las incursiones del argentino en miles de instituciones norteamericanas y le lanzaron un mensaje simple y claro: "O colaborás o conseguimos un pedido de captura internacional por la Interpol y no salís más de tu país".

Aceptó. Y al poco tiempo tomaba un avión junto a su padre hacia los juzgados de Boston. La multa original era de 750.000 dólares (acumulaba varios cargos), pero con la negociación quedó reducida a 5000 dólares y tres años de colaboración con organismos estadounidenses en materia de incidentes de seguridad. Julio cumplió la pena desde Buenos Aires, con sus dos viejas máquinas de 40 megas de disco.

Antes, a Julio le había temblado el cuerpo cuando, en octubre de 1996, el fiscal Steven Heyman aterrizaba en la Argentina acompañado por técnicos del FBI, para interrogarlo y recopilar información en torno de su caso. Pero hoy, al teléfono, el Ardita 20 años mayor recuerda sobre todo el angustioso viaje hacia el juzgado en Boston:

-¿Y si llego ahí y me detienen? -se repetía en el trayecto.

El abogado lo tranquilizó, y al llegar a los Estados Unidos comprobó lo pragmáticos que son los norteamericanos: el propio juez le pidió que le arreglara un lío que tenía en la computadora y, una vez fuera de la Corte, decenas de funcionarios le preguntaron por el cómo. Por cómo había conseguido burlar las murallas del Pentágono, de la NASA y de varias universidades estadounidenses.

Con muchos de esos trabajadores -que más tarde, como él, fundaron sus propias empresas de seguridad- siguieron en contacto. Es más: realizaron proyectos conjuntos. De eso quizás hablará Ardita en los próximos meses, cuando venzan los acuerdos de confidencialidad que firmó aquel día. En sus charlas, o en el posible libro, contará las aventuras que corría bajo el pseudónimo de El Gritón, cuando pasaba doce horas frente a la pantalla, cuando la ingeniería social y los hackers, y saltarse barreras, no eran más que un pasatiempo.

Revista La Nación