Los ciberdelincuentes se mantienen un paso delante de nosotros, logrando que las personas caigan en sus trampas, ya sea porque tienen conocimientos básicos de programación y otras habilidades relacionadas al mundo tecnológico o porque el ciudadano común termina cayendo en estafas por desconocimiento o avaricia, ellos siempre tendrán la ventaja, así como hay personas que innovan para las cosas positivas, ejemplo la impresora de videos, hay personas que delinquen innovando en el lado escuro de la fuerza.

Esta semana les quiero hablar sobre un ciberdelito que está muy en boga y creciendo como la espuma, el Spoofing, por lo cual consideré debía explicarles sobre qué lo comprende y cómo se debe evitar caer en dicho engaño, se lo explico con un ejemplo: imaginemos que estamos en un año electoral, a un mes de las elecciones, recibes un correo postal en tu casa. Ya casi nunca recibes cartas en físico, pero en esta ocasión algo parece diferente: el sobre viene rotulado como Ministerio de Relaciones Interiores y aparecen los típicos códigos de barras, logos y tu dirección. Abres la carta con naturalidad y observas “Nuevo sistema de voto a distancia”.

El Estado parece haber implantado un sistema para que votes desde tu teléfono inteligente y no tengas que desplazarte a tu zona electoral. Tú, que eres muy tecnológico, estás entusiasmado con la idea y, además, te apremia indicándote que puedes votar desde esta misma semana. El mensaje viene con un código QR, ese código de cuadraditos que aprendiste a usar en la pandemia para ver los menús de los restaurantes. Escaneas el código, te aparece una web del “ministerio” y te pide que descargues el aplicativo de tele voto. Ya tenemos el lío armado y el malware instalado con acceso a tu teléfono. ¿Habrías sospechado? Nos encontramos ante un caso de Spoofing analógico.

Las nuevas tecnologías, como su nombre indican, implican innovación y tienen un carácter de explosión tecnológica, entendida ésta como la evolución apresurada y orientada a dar resultados, pero no, por ende, a cumplir las mejores condiciones de seguridad. Igual que ahora hablamos de la inteligencia artificial como innovación, en su día, el correo postal supuso innovación, así como otros claros ejemplos como la telefonía, los SMS, el correo digital e Internet. Aunque hoy en día la cultura de la seguridad está cambiando, y cuando se produce una “explosión tecnológica" suele ir en consonancia con la denominada “seguridad desde el diseño y por defecto”, ya son muchos años que estamos acostumbrados a que cuando el humo de estas explosiones tecnológicas se disipa, se puedan apreciar las consecuencias que, en términos de seguridad, son las llamadas vulnerabilidades o fallos de seguridad.

Spoofing o suplantación de identidad

Este término inglés viene a traducirse por “suplantación de identidad” y hace referencia a aquella situación en la que un tercero utiliza una “máscara” para ocultar su identidad y reemplazar una identidad legítima. ¿Conoces un mecanismo que impida dejar en el buzón de tu hogar una carta rotulada con el logo de alguna empresa? ¿Conoces un mecanismo que obligue a poner datos reales en el remitente? Seguramente no, porque no existen y, en caso de existir, entrarían en conflicto con la legislación nacional relativa a la lectura del correo por personas de fuera del canal emisor y receptor.

Este símil del correo ordinario es el mismo que podemos emplear para el caso de los SMS y las llamadas telefónicas, para los que la propia legislación establece que el operador de telefonía, al no poder leer el contenido de los mensajes de texto y las llamadas, debe entregarlos como le son “dejados en el buzón”, con el agravante de que luego nuestro teléfono móvil, que sí puede leer el mensaje, puede anidar el mensaje fraudulento en el hilo de mensajes legítimo o historial de llamadas.

En definitiva, dado que estos protocolos de comunicación son anteriores al despunte de la ciberseguridad, su seguridad debe pasar por una revisión profunda de estos mecanismos diseñados en la década de los 80 del siglo pasado, ya que el sistema ahora mismo es el equivalente a tener un guardia de seguridad revisando cédulas de identidad en una fiesta de disfraces donde todos son maquilladores profesionales y las luces están apagadas.

¿Cómo se arregla esta anomalía que permite recibir llamadas con identificadores fraudulentos o SMS suplantando a entidades que en ocasiones hasta nuestro teléfono agrupa en un hilo de mensajes? Con un cambio regulatorio y cultural, renunciando los ciudadanos a parte de la privacidad de sus comunicaciones, pues igual que una empresa privada no puede revisar las cartas que los ciudadanos anónimamente dejan en los buzones de correos, no puede revisar los SMS y llamadas que entre las personas se envían. No es el caso por ejemplo de los correos electrónicos, donde también existe el Spoofing de correo, pero que al depender de infraestructura propia y no haber un sistema de correos global, sí se pueden establecer medidas de seguridad.

Y, como ciudadanos, ¿cómo podemos protegernos de estas estafas? Tenemos que estar vigilantes de los mensajes y llamadas que recibimos, intentar identificar el contexto, sospechar de la premura, tener malicia sana, evitar el descuido a la hora de dar nuestros datos y, ante la menor duda, emplear mecanismos de doble confirmación o retro llamada, según el caso.

Entre todos podemos construir una sociedad cibersegura y conectada.

Evite ser víctima.

@adogel

t.me/seguridadintegral

Adolfo Gelder

adogel@gmail.com