Hoy en día no puedes fiarte de nada ni de nadie: desde los "deepfakes" que hacen dudar de la autenticidad de lo que vemos y oímos hasta los sofisticados ataques 'man-in-the-middle' (MitM) que intentan suplantar nuestra identidad online, la seguridad de la información es una preocupación constante en nuestra vida moderna.
Pero, ¿pueden estas amenazas haber existido hace más de un siglo, en tiempos donde la tecnología parecía primitiva en comparación con la actual? Sorprendentemente, parece que sí. Y hay películas (de esa época) sobre ello.
Francia. Año 1915. Las películas eran mudas, la industria de los efectos espaciales era una rama de la artesanía (¿habéis visto 'La invención de Hugo', no?), y todavía faltaban cinco años para que se estrenase la primera obra de teatro sobre robots. El director de cine francés Louis Feuillade acababa de triunfar con un serial (película en capítulos) sobre crímenes llamado 'Fantômas'…
…y ahora estrenaba otro similar llamado 'Les Vampires'. No, no iba sobre vampiros, sino sobre apaches. No, tampoco era un western: 'apache' era el nombre que se daba entonces a ciertos miembros de los bajos fondos.
¿Y por qué hablamos sobre esto en un medio como Genbeta? Fácil: porque la trama del séptimo capítulo del serial (de un total de 10) anticipa varios conceptos que hoy en día asociamos con la ciberseguridad.
I. Phishing
La trama se centra en un grupo de criminales llamados 'Les Vampires', que planifican un sofisticado robo a un magnate americano, George Baldwin mientras se encuentra en París. La primera parte del plan consiste obtener su firma, para lo cual, se las ingenian para que Baldwin sea entrevistado por la supuesta periodista Lily Flower, de la revista "Modern Woman"…
… que convence al magnate para que escriba unas cuantas palabras en un cuaderno, añadiendo fecha y su firma, con la excusa que su revista publica todos los meses la cita de una celebridad. Por supuesto, el cuaderno tenía debajo papel de calco.
Es decir, estamos ante un caso claro de phishing: por no desconfiar, el Sr. Baldwin cedió inadvertidamente sus credenciales a la persona equivocada, pensando erróneamente que se les daría un uso legítimo.
II. Man-in-the-middle
Pero aquí no termina el ingenioso plan. Los criminales hacen uso de una tecnología de vanguardia para su época: el fonógrafo, uno de los primeros dispositivos de grabación y reproducción de sonido. Con la excusa de grabar la voz de personas famosas en París, logran que Baldwin pronuncie para un falso vendedor de fonógrafos una frase específica en francés, que es clave para el segundo paso de su plan.
La siguiente etapa involucra un ataque "man-in-the-middle" (al que te expones cada vez que usas una WiFi pública), en el que un tercero malicioso intercepta la comunicación entre dos personas/dispositivos con el fin de manipularla, acceder a datos privados de la misma, o suplantar a uno o ambos de los participantes.
Concretamente, los criminales reemplazan a la operadora telefónica del hotel de Baldwin secuestrándola y enviando a una cómplice en su lugar, que será la 'woman in then middle'. Cuando el empleado de la banca intenta verificar la legitimidad de la transacción que están intentando realizar con el documento firmado (gracias a la firma calcada), llama al hotel…
III. Elusión de la doble autenticación
…y, para su sorpresa, escucha la voz del propio Baldwin proporcionando la autorización para el pago, gracias a la cómplice que ha reproducido la grabación en el fonógrafo. Sin sospechar que está hablando con una impostora, el empleado libera los fondos según las instrucciones que aparentemente ha dado el propio magnate.
No estamos exactamente ante un caso de deepfake de audio porque la voz ha sido grabada directamente, y no sintetizada a partir de una muestra, pero ése sería su paralelismo más obvio.
Ante lo que sí estamos es ante una técnica para eludir un sistema de autenticación basada en dos factores (2FA): ante la posibilidad de que el sistema tradicional de identificación (la firma entonces, la contraseña alfanumérica ahora) fuera violado, el banco había establecido un segundo factor de autenticación (una frase de viva voz entonces, un código pin vía SMS, por ejemplo, ahora)…
…y los apaches vampiros lo hackearon (no me puedo creer que acabe de escribir esa frase).
Ya está todo inventado
Así que, la próxima vez que utilices tu autenticación de dos factores o te encuentres con una grabación sospechosa, recuerda que la lucha contra las ciberamenazas no es algo nuevo.
Por supuesto, hoy en día los ataques "man-in-the-middle" y las estrategias para evadir la autenticación de dos factores (2FA) son mucho más sofisticados y realizados a través de medios digitales, pero es interesante observar cómo estos conceptos básicos de ciberseguridad ya se presentaban en la imaginación cinematográfica de hace más de un siglo.
Imagen | Wikipedia + Marcos Merino vía IA
Fuente | Kaspersky
Ver 2 comentarios