El pasado viernes Albert Rivera denunció a la Guardia Civil que alguien le había hackeado su cuenta de Whatsapp. Cuando el asunto se hizo público y Twitter se llenó, enseguida pensé que era la típica excusa que se usa cuando has hecho un error en la red; aquello de "me han hackeado la cuenta durante unas horas y no era yo". Pero no, le hackearon de verdad con un ataque de pesca de credenciales (phishing), un ataque que es de primero de informática y esto me ha dejado profundamente turbado.
"El pasado viernes Albert Rivera denunció a la Guardia Civil que alguien le había hackeado su cuenta de Whatsapp"
Digo que es de primero de informática porque un servidor cuando lo cursaba a la UAB en los 80 ya hacía y recibía. En aquellos tiempos de preordenador personal, la Autónoma funcionaba con un ordenador centralizado —un VAX de DEC ubicado en el centro de cálculo— al cual se accedía desde terminales distribuidos por todas las facultades. Es lo que se conocía como un ordenador de tiempo compartido; servía muchas usuarias a la vez, cada una en su terminal. A pesar de que el ordenador central atendía una usuaria después de la otra, como que lo hacía de manera muy rápida y a pedazos, lo hacía tan deprisa que cada usuaria creía que el ordenador sólo trabajaba para ella. Cómo los recursos eran limitados, cada dos alumnos teníamos media hora al día de ordenador (qué, como os habéis quedado?). Media hora quizás era suficiente para hacer los ejercicios de informática pero no para jugar a la Snake, al Qix y para meter la nariz en todos los discos duros del centro de cálculo.
El caso es que si querías más horas te las tenía que ceder consciente o inconscientemente alguien que no las necesitara tanto como tú. Y aquí es donde entra la pesca de credenciales. Cuando acababa nuestra media hora lo que hacíamos era dejar el terminal con la pantalla de inicio para qye la usuaria siguiente introdujera su nombre y clave, clave que indefectiblemente erraba viéndose obligada a repetir la operación si quería entrar.
Lo que pasaba realmente es que la pantalla donde introducía sus credenciales no era la de inicio de sesión sino un programa que habíamos escrito nosotros que lo imitaba. El mensaje que recibía de "Palabra clave errónea, vuélvelo a probar" tampoco lo enviaba el sistema sino que lo enviábamos nosotros después de habernos guardado sus credenciales. Hecho el hecho, cerrábamos nuestra sesión y el sistema le mostraba finalmente la pantalla de inicio real. Llegados aquí volvía a entrar los datos y entonces la vida continuaba cómo si nada.
La pesca de credenciales que le hicieron a Albert Rivera no es demasiado diferente: un hacker denuncia vía la página de Whatsapp que le han robado la cuenta y introduce el número de móvil de Albert Rivera. Whatsapp, por seguridad, envía un código de seis dígitos al número de teléfono original, que recibe Albert Rivera. El pirata manda un mensaje a Albert Rivera haciéndose pasar por Whatsapp diciéndole que le han robado la cuenta y que necesita el código que acaba de recibir para verificar que él es el propietario legítimo. Albert le envía el código que el hacker utiliza para verificarse en Wahtsapp como el propietario auténtico de la cuenta. A partir de aquí Albert ya no es Albert a Whatsapp y lo es a todos los efectos el pirata.
"La pesca de credenciales que hacíamos en los 80 en la facultad a los estudiantes de primero y el que le hicieron a Albert Rivera tienen como denominador común la ignorancia, la inocencia y la ingenuidad"
Hoy, aquel VAX de DEC lo llevamos en el bolsillo y los terminales están repartidos por todo el mundo. La pesca de credenciales que hacíamos a la década de los 1980 a la facultad a los estudiantes de primero y el que le hicieron a Albert Rivera tienen como denominador común la ignorancia, la inocencia y la ingenuidad que todos tenemos cuando nos enfrentamos a sistemas complejos de los que no comprendemos muy bien su funcionamiento. En esto internet y la política también se asemejan.
Al principio decía que el asunto me ha dejado muy turbado. Lo digo por varios motivos: porque sé como de fácil es hacerlo, como de fácil es que caigamos, pero sobre todo porque si hay le ha pasado a un Licenciado en Derecho con un Master en Derecho Constitucional por la URL (todo el mismo año), con un Máster de Marketing Político en la Universidad George Washington (era un curso) con estudios en la Universidad de Helsinki (era un Erasmus) y Doctor en Derecho Constitucional por la UB (o doctorando, matriculado al curso de doctorado), no sé que nos puede pasar al resto. Lo que sí que sé es que a ninguno de los múltiples estudios que dice (decía) haber cursado no le enseñaron lo que era una pesca de credenciales, una cosa que algunos aprendimos el primer día de primero de carrera.