La semana pasada escuchaba una conferencia sobre ciberseguridad en el sector público con ocasión del V Congreso de Control Externo celebrado en la Universidad de Salamanca. En un momento dado, el brillante orador, el vicepresidente del Tribunal de Cuentas del Estado de Pernambuco, Carlos Neves, apuntó como práctica habitual el envío a los empleados de la organización de falsos virus. Se trata de correos electrónicos similares al oficial del propio sitio web. Por lo general el email tiene un texto sugerente del tipo «cambio de política de vacaciones». Suele haber muchos filtros corporativos, lo sabemos, pero los malandrines son cada día más tecnológicos y consiguen saltarlos. Los informáticos propios se convierten en defraudadores durante un día para saber el número de incautos que desoyen las alertas de seguridad y abren ficheros de procedencia desconocida, pero sin riesgo real de infección, solo para evaluar y encontrar áreas de mejora.

Tenía sentado a mi lado al siguiente ponente, alto directivo de un órgano constitucional, así que le pregunté: “¿vosotros hacéis eso?” a lo que me respondió afirmativamente reconociendo que el 47% de sus empleados había picado en la última ocasión: “entre ellos yo”. La noble tarea esa de medir los riesgos haciéndose pasar por malhechor. Medir periódicamente la temperatura frente a estas amenazas a incluso sin avisar al gran jefe. Puede hacerse en secreto -y no divulgar el resultado- o que tras hacer clic en el enlace, el usuario sea dirigido a una página que le dice haber sido parte de una prueba de phishing simulada y le da algunas reglas para inspeccionar los correos electrónicos en su bandeja de entrada. Hay bastantes empresas especializadas en la tarea.

Convivir con el mal obliga a este tipo de operaciones. Recuerdo que tras el 11S la GAO de EE UU empezó a colar en sus aeropuertos (con éxito) sustancias peligrosas para la seguridad aérea. Recientemente utilizó el auditor encubierto en un trabajo de 2019, donde se evaluó el programa deayuda a hijos de familias norteamericanas con bajos ingresos para asistir a escuelas privadas. Intentaron inscribir a niños ficticios en 15 centros “utilizando información que debería haber descalificado nuestras solicitudes” y en un tercio de los intentos tuvieron éxito. En la vieja y estirada Europa es algo impensable.

Cuenta una leyenda urbana que los titulares de infraestructuras críticas recompensan a quienes encuentran vulnerabilidades avisando, eso sí: sin franquear la barrera. Incluso que hay hackers profesionales que viven de ello en un garaje sin horarios y rodeados de bolsas de patatas fritas. También más barato que un ejército de consultores.

El paso natural siguiente nos lleva a los programas organizados de Bug Bounty. Se denomina así al desafío que una organización hace con la comunidad de hackers éticos que detecten vulnerabilidades en los sistemas y redes de dicha empresa. La recompensa depende de la gravedad de lo descubierto. Es muy conocido que Netflix comenzó el suyo en 2013 y, según el blog oficial, paga entre 200 y 20.000 dólares por “bug” detectado (840 lleva, con una media de $1.500 de pago individual) según una escala perfectamente transparente y pública.

El asunto me recordó aquel concepto jurídico de nombre alambicado para el profano: la tentativa de delito inidónea que nos explicaba en la década de los ochenta el Fiscal Bernal Valls en sus maravillosas clases de derecho penal (no hay asignatura más bonita si tienes buen profesor y él lo era; cuídese maestro) en relación con las dificultades de calificar esa conducta desobediente.

En fin, el mejor chascarrillo de todos, que no sé dónde leí, va sobre programadores que dejan un mensaje de texto al osado intruso (hipotético) diciendo: “si has conseguido llegar hasta aquí, llámanos a este teléfono que la empresa te contratará”. Versión digital del clásico mensaje dentro de la caja fuerte del fabricante dirigido al ladrón y que juraría también haber visto en alguna película. Todo está inventado desde hace siglos.

Publicado en La Nueva España