Albert Rivera y WhatsApp. Esto es lo que podemos aprender
Lo sucedido con Albert Rivera y WhatsApp vuelve a demostrar dos cosas; los políticos no saben nada sobre tecnología, y los periodistas, tampoco.
Voy a comenzar aclarando que soy argentino y vivo en Argentina. Bastante tengo con la situación política de mi país como para ocuparme de los políticos españoles. El objetivo de este post no es descalificar ni defender al señor Rivera, es educar para que a otras personas no les pase lo mismo.
El cifrado de WhatsApp y el candado de la India
Peter Drucker fue uno de los más importantes especialistas en organizaciones del siglo XX. Uno de mis profesores solía compararlo con otros especialistas con la frase:
Peter Drucker trabajó con las más importantes empresas de todo el mundo, el resto leyó en las bibliotecas de las más importantes universidades del mundo.
Cuenta Drucker que uno de sus primeros trabajos (en la década del 20) fue en una empresa que exportaba a la India. El producto más exitoso era un candado muy simple, un modelo muy fácil de abrir aún sin la llave.
La firma decidió comercializar un modelo mejor, uno que resistiera cualquier intento de apertura no autorizada. Resultó un fracaso.
Cuando fueron a investigar descubrieron que el candado, para los hindúes menos educados era un símbolo mágico. Bastaba con ver el candado en una puerta para que nadie se atreviera a entrar sin autorización.
El nuevo modelo era demasiado caro y demasiado complejo para el sector que compraba el otro modelo. Y también innecesario, ya que la protección que se buscaba era sicológica.
Por supuesto que bastaba con alguien menos supersticioso para que esa ventaja desapareciera.
En este caso estábamos hablando de personas sin educación. Pero en lo que tiene que ver con la tecnología, hay personas con un buen nivel de formación a las que les pasa. Una confianza ciega e irracional en la tecnología que hace olvidar las precauciones elementales.
Y antes de caerle al señor Rivera, recordemos que dentro de la comunidad linuxera suele repetirse el mantra de que “estoy protegido de ataques informáticos porque uso Linux”
Albert Rivera y WhatsApp. Esto es lo que pasó
Los desarrolladores de WhatsApp quieren que su aplicación se utilice obligatoriamente con un teléfono móvil. Aún las aplicaciones de escritorio necesitan que el móvil les de acceso mediante la lectura de un código QR.
Ahora bien, no necesariamente la aplicación tiene que estar instalada en el móvil. Durante años usé WhatsApp en una tablet Android sin capacidad de teléfono. Solo se necesita un móvil que pueda recibir un sms y una conexión inalámbrica.
El procedimiento para tener acceso a la cuenta de Rivera fue el siguiente:
- Persona/s desconocidas denunciaron a WhatsApp que el número de móvil que usaba Rivera era usurpado.
- WhatsApp envió a Rivera un sms con un código de verificación para que validara su condición de propietario.
- La/s persona/s desconocida/s, haciéndose pasar por WhatsApp, le pidieron que enviara el código de verificación por sms.
Diferencias entre hacking y pishing
Y acá viene a por qué hablaba al principio de la ignorancia del periodismo. Rivera no sufrió un hackeo, fue víctima de pishing.
En pocas palabras:
Hacking: Es la utilización de técnicas informáticas para tener acceso no autorizado a sistemas o información.
Pishing: Es hacerse pasar por una institución o persona para hacer que la víctima brinde voluntariamente información privada.
Aunque ambas prácticas son formas de obtener información, difieren en la elección del método utilizado. En el pishing se engaña a un usuario con un correo electrónico, una llamada telefónica o, quizás, un mensaje de texto y se lo convence para conseguir que responda “voluntariamente” con información. La forma de obtener información no es más complicada que hacer que un correo electrónico o un sitio web parezca lo suficientemente oficial como para engañar a la víctima.
En un hackeo, la información se extrae de forma involuntaria, lo que obliga al autor a tomar el control de su sistema informático, mediante la fuerza bruta o métodos más sofisticados, para acceder a los datos confidenciales.
En realidad, ambas técnicas suelen combinarse.
Hace años, el gestor de contenidos Joomla, tenía un bug que permitía el acceso a los servidores en los que estaban instalados. Alguien usó la instalación de uno de mis clientes para poner una falsa página de home banking del Bank Of América. A continuación envió mails a una lista de correos con un enlace de esa página disfrazado como un mail oficial del banco.
Terminé teniendo que dar de baja el dominio porque durante meses los responsables de seguridad del banco monitoreaban continuamente el servidor, comiéndome el ancho de banda.
Ahí aprendí no solo a verificar los enlaces que me llegan por mail, a controlar periódicamente cada uno de los archivos que tengo alojados en mis servidores y a asegurarme por otro medio la identidad de mis interlocutores.