Hackear la democracia

Uno de los hackers más famosos de todos los tiempos, Kevin D. Mitnick, demuestra en uno de sus libros que se puede conseguir la tarjeta de crédito de un cliente realizando simplemente tres llamadas a un videoclub. Para ello, no es necesario robar las contraseñas del sistema operativo a través de ZeroDays, ni utilizar complejos sistemas exploit o capturar tráfico web para su posterior análisis. En su libro The art of deception, se recrean decenas de ejemplos donde el comportamiento humano ofrece la puerta de entrada a los hackers más habilidosos. Este tipo de destrezas humanas se engloban dentro de una disciplina conocida como ingeniería social. Así pues, los acontecimientos ocurridos los últimos meses evidencian la existencia de grupos dedicados a apoyar y potenciar el despliegue de las fake news con estas técnicas fraudulentas.

La creciente digitalización de los procesos cotidianos ha aumentado la conciencia de los ciudadanos, empresas y gobiernos sobre la necesidad de disponer de herramientas que eviten intrusiones no deseadas en sus sistemas. La ciberseguridad adquiere así una importancia vital cuando se trata de la protección de infraestructuras críticas o la gestión y consolidación de los resultados de unas elecciones. En este sentido, resulta prácticamente imposible modificar el resultado de unas elecciones vulnerando los sistemas de seguridad o acceder y controlar infraestructuras críticas de un país. Por eso, aquellos que pretenden realizar injerencias en los procesos democráticos no han atacado los sistemas del recuento o de almacenamiento de los resultados sino que han centrado sus esfuerzos en lo que ocurre antes del recuento, antes de ir a votar y antes incluso de que el elector se plantee las opciones de las que dispone. De esta manera, mediante el arte del engaño, crean bulos, difunden información manipulada y multiplican noticias falsas con apariencia verosímil, aprovechando la viralidad de su contenido para una difusión rápida. Cuando llega a las redes el posible desmentido, los atacantes ya han conseguido crear el clima propicio para sus objetivos. Así pues, atacan el sistema democrático desde la raíz, manipulando al elector en un sentido concreto.

¿En qué consiste un ataque de Phising? No se trata de un ataque sofisticado, sino de un simple correo trampa que se aprovecha de la ingenuidad de las personas. Se envía un correo a la víctima en nombre de una entidad bancaria de la que es cliente. En el correo se le pide el nombre de usuario y contraseña para hacer un trámite: evitar un supuesto perjuicio económico o renovar algún aspecto de la cuenta. Al introducir el usuario y contraseña como respuesta al correo recibido, ofrecerá en bandeja el acceso a su cuenta bancaria a los atacantes. Según un análisis de Kaspersky Lab sobre las amenazas en el panorama financiero, casi la mitad de los ataques de phishing registrados en 2016 tenían como objetivo hacerse con el dinero de sus víctimas. Además, el phishing financiero creció el 13,14% en 2016 en un 47,5% del total de ataques identificados.

Internet se ha convertido en un nueva amenaza ante la cual debemos prepararnos para defender nuestros intereses, libertades y derechos. Los hackers de la democracia no utilizan la tecnología para manipular los servidores del recuento o las redes por las que se transmite el resultado; es la opinión pública la vulnerabilidad más importante que tratan de explotar. Si no nos protegemos, este espacio de libertad se convertirá en un espacio de impunidad.

La nueva Estrategia de Seguridad Nacional del Gobierno de España ha situado la defensa contra ciberamenazas y desinformación como una de sus principales líneas de actuación. En este contexto, la vicepresidenta del gobierno, Soraya Sáenz de Santamaría, ha anunciado que en 2018 se pondrá en marcha un centro de operaciones de seguridad de la Administración General del Estado. El objetivo de este centro abarcará desde la lucha contra la desinformación y las fake news hasta las respuestas ante robos de datos de datos y las medidas a tomar ante ataques de ransomware. Además, este organismo deberá coordinarse con las actividades que realiza el Centro Criptológico Nacional (CCN-CERT), el Centro Nacional de Protección de las Infraestructuras Críticas (CNPIC) o el Mando Conjunto de Ciberdefensa (MCCD).

Uno de los lemas del Mando Conjunto que dirige el General López de Medina es: “Si estás conectado estás en riesgo”. Por ello, es fundamental gestionar adecuadamente estos riesgos para garantizar la seguridad y la libertad en la red.

Un analista de seguridad afirmó hace años: “Cuando crees que nadie perderá el tiempo en buscar esa puerta de entrada, hay un joven en Dinamarca con el tiempo suficiente para vulnerar tu sistema”. Así lo confirmó Kevin D. Mitnick cuando dijo: ”sólo dos de aquellos que piensan que disponen de verdadera seguridad únicamente utilizando productos de seguridad, se están conformando con la ilusión de estar seguros”.

Teodoro García Egea, Doctor Ingeniero de Telecomunicaciones. Portavoz Adjunto del Grupo Parlamentario Popular en el Congreso de los Diputados.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *