Dos ataques cibernéticos que revelan la fragilidad de nuestras defensas digitales
En el mundo cada vez más conectado de la ciberseguridad, los más vulnerables son a menudo los objetivos más apetecibles. La seguridad digital es tan sólida como su eslabón más débil. Y ese eslabón es casi siempre humano.
El robo del bono cultura: 500.000 euros sustraídos a los jóvenes de dieciocho años y al Estado
Imaginen que cumplen dieciocho años, que reciben finalmente el tan esperado bono cultura –ese pequeño tesoro digital de 500 euros pensado para abrir las puertas del conocimiento– y descubren que alguien se lo ha robado antes incluso de que puedan gastarlo.
Es lo que ha ocurrido a cientos de jóvenes italianos inscritos en la plataforma 18app que vehicula los bonos. Una maxi estafa en perjuicio de los jóvenes pero, de hecho, del Estado.
Una operación que ha involucrado al menos a quince personas en diversas regiones italianas, todas investigadas por concurso en fraude informático y estafa agravada. Los criminales han actuado con precisión quirúrgica, fingiéndose entidades fiables como proveedores de identidades digitales o instituciones bancarias. Han clonado las credenciales SPID de los recién cumplidos los dieciocho años para luego crear SPID paralelos con los cuales acceder a la plataforma e ingresar el bono, que luego era gastado en ejercicios comerciales ficticios, reconducibles a los mismos autores de la estafa.
El paso sucesivo de la estafa ha visto la producción de facturas falsas con las que se pedían y obtenían reembolsos del Ministerio de la Cultura, transformando así los bonos en dinero líquido.
No se ha tratado de un ataque casual, sino de una operación dirigida que ha explotado la relativa inexperiencia digital de quien se asoma por primera vez al mundo de la identidad digital oficial.
El SPID, Sistema Público de Identidad Digital, debería ser nuestro pase seguro para los servicios públicos online. Sin embargo, esta violación demuestra que incluso los sistemas más robustos pueden derrumbarse cuando el eslabón débil es el ser humano: phishing, credential stuffing, ingeniería social; los instrumentos del crimen digital son muchos y en continua evolución.
La inocencia violada: 8.000 rostros de niños en la dark web
Si el robo del bono cultura ha golpeado a los jóvenes adultos, el segundo caso nos lleva a un territorio aún más inquietante: el de la infancia violada digitalmente. La plataforma educativa británica Famly, utilizada por guarderías y escuelas infantiles para compartir fotos y actualizaciones con los padres, ha sido teatro de una violación que ha expuesto las imágenes de cerca de 8.000 niños.
El grupo hacker Radiant ha reivindicado el ataque, y en un gesto tanto insólito como controvertido, ha posteriormente pedido disculpas por haber difundido las fotografías de los niños en la dark web.
Un mea culpa digital que plantea más preguntas de las que resuelve: ¿se puede realmente pedir disculpas después de haber expuesto a miles de niños a los riesgos de la web sumergida?
¿Sin por lo demás emprender ninguna acción concreta para restaurar el daño?
Una cosa, sin embargo, es cierta: la dinámica del ataque revela una vez más el talón de Aquiles de la ciberseguridad moderna: el factor humano.
La violación ha ocurrido de hecho a través de la vulneración de la contraseña de un solo empleado. Ha bastado una sola credencial débil, fruto de escaso conocimiento, de superficialidad o, quizás, de verdadera y propia corrupción, para hacer derrumbarse la entera fortaleza digital como un castillo de papel y abrir las brechas a criminales sin escrúpulos.
Que luego, la misma plataforma Famly ha pecado de mucha ligereza no oscureciendo los rostros de todos aquellos niños inmortalizados. Dos errores humanos que sumados juntos han generado un daño irreparable.
Las disculpas del grupo Radiant suenan vacías frente a la gravedad de lo ocurrido. Una vez que las imágenes de un niño terminan en la dark web, no existe ninguna combinación de teclas ni ningún rewind que puedan cancelar aquella violación.
Del mismo modo, los jóvenes italianos robados de su bono cultura han perdido no solo dinero y la oportunidad de adquirir nuevos instrumentos de conocimiento, sino también un poco de confianza en el sistema digital que debería protegerlos.
El factor humano: la brecha más importante que hay que colmar
Estos dos casos, aparentemente distintos, cuentan la misma historia: la tecnología puede ser sofisticada cuanto queramos, pero la seguridad digital es tan sólida como su eslabón más débil. Y ese eslabón es casi siempre humano.
En el caso del SPID clonado, han sido probablemente los jóvenes usuarios –inexpertos en la gestión de las credenciales digitales– los que han caído en las trampas de los estafadores. En el caso Famly, ha bastado un empleado para abrir involuntariamente las puertas al grupo de criminales sin escrúpulos.
La lección es clara y es siempre la misma: no basta con construir sistemas seguros si luego las personas no están adecuadamente formadas para usarlos de modo consciente. Contraseñas complejas, autenticación a múltiples factores, vigilancia constante contra el phishing –estas, en la era digital, no son ya opciones, sino necesidades.
Es, por lo tanto, cada vez más necesaria una revolución cultural en la ciberseguridad que involucre a las personas, a las empresas y a las instituciones.
Los individuos deben volverse conscientes de ser parte de un sistema complejo y conectado y de no poderse permitir más carencias de conocimientos demasiado graves del mundo informático. Las empresas y las instituciones, sobre todo aquellas que gestionan datos sensibles, deben adoptar protocolos de seguridad que vayan mucho más allá del mínimo imprescindible y comprometerse a formar de modo preciso, capilar, continuo, personalizado, interactivo a sus empleados y colaboradores. Son precisamente estos últimos, de hecho, los que deben transformarse de eslabón débil de la cadena a principal centinela.
Hoy, en este mundo conectado, no existen espectadores: somos todos potenciales víctimas, o inconscientes cómplices, del crimen digital que puede poner en riesgo las vidas de los individuos, la economía de una empresa, la reputación de una institución e incluso la seguridad de un entero Estado…
