Ciberseguridad en el cine: “mito vs realidad” (10 ejemplos)

Los múltiples aspectos de la ciberseguridad (ataques, investigaciones, defensa, empleados desleales, negligencia, etc.) llevan años siendo parte del argumento de infinidad de películas y series de TV. En la sociedad actual, con una parte de la población nacida con teléfonos móviles en las manos y WiFi universal, hablar de “hackers”, “malware” o “ciber ataques” es totalmente común y a nadie sorprende. Tanto unos (los villanos malvados o aquellos que les ayudan), como los otros (las víctimas, no siempre pasivas) se suelen ver en medio de una lucha ciber-épica del bien contra el mal en forma de agencias de investigación, cuerpos policiales de élite y demás grupos de “bienhechores” que nos salvan de todo mal (o lo intentan con toda su energía).

Como sucede con otras tecnologías (en particular, la robótica y la inteligencia artificial), la maquinaria de producción de cine/TV no va a arriesgar un gran éxito de público por ser excesivamente puristas en los detalles mas técnicos. Por ello, vemos constantemente interpretaciones de lo más creativas sobre las posibilidades de la tecnología y de las habilidades de unos y otros en la gran pantalla.

Vamos a utilizar 10 películas o series de TV/Streaming para ilustrar, en este artículo, cómo la realidad y la ficción, cuando de ciberseguridad se trata, pueden estar separadas por distancias abismales. El fin justifica los medios, ya se sabe.

1. No todos son “script kiddies”: desde que conectarse a Internet era cuestión de conocer el número de teléfono adecuado y tener un modem configurado, se ha comenzado a cultivar el arquetipo del joven solitario, aficionado a la tecnología que consume conocimiento de forma compulsiva y se desafía a si mismo probando nuevas técnicas de intrusión y compromiso, muchas veces por el mero placer de conseguirlo.
   1. Si bien este perfil de actor malicioso existe y es común en la sociedad actual (¿quién no ha buscado en Youtube un tutorial de algo?) no es representativo a la hora de trazar un mapa de actores realmente peligrosos donde tendremos como líderes a los profesionales de la delincuencia organizada, agencias de inteligencia, mercenarios digitales, etc.
   2. Estas personas que vimos nacer como icono en el clásico “Juegos de guerra” (1983) son una constante en nuestros entornos cercanos, pero más allá de gamberradas (algunos intentan cambiar sus notas de clase como en la famosa película) y hacktivismo, no suelen pasar de intentos de fraude, pequeños timos en Internet, etc. Luego no son realmente representativos del sector del cibercrimen.
2. Lobos solitarios y otros rasgos del perfil: de cara a incrementar el dramatismo del guion, todos estaremos de acuerdo que “los lobos solitarios” (al margen de su edad y género) son personajes de lo mas convenientes. Antiguos miembros de agencias de inteligencia, hackers de élite con deseos de venganza y un largo etcétera, conforman un conjunto enorme de candidatos para ser el hacker perfecto en nuestro guion cinematográfico.
   1. Al igual que en el primer punto, es obvio decir que, existiendo ambos perfiles en el equipo de los actores maliciosos, la mayoría de la delincuencia organizada actual dedicada a la ciberdelincuencia está compuesta por miles de mercenarios de todas las edades y tipologías cuyo único objetivo es ganar dinero y prosperar en la organización. Los lobos solitarios (por venganza o con una misión) existen, pero desde luego no representan a este colectivo.
   2. La película “Sneakers” (en España, “Los fisgones”, 1992) es un ejemplo simpático de como se conforman en la “realidad”, estos equipos de expertos (en este caso, un encantador equipo de hackers éticos) lo que igual aplica a las unidades policiales y otros grupos: profesionales con mas experiencia combinada con gente más joven (y en algún caso, ciberdelincuentes redimidos), todos unidos con un objetivo común: atacar o defender (la célebre metáfora de los equipos rojo y azul).
3. Teclea rápido, teclea mejor: uno de los efectos mas cómicos, quizás, en el cine actual y en lo que a ciberseguridad se refiere, es que todas las personas expertas en la materia tienen que teclear a toda velocidad, encadenando comandos muy largos, con instrucciones complejas, etc. Sin respiro ni error. Da igual que lleves guantes, estés herido, sea el teclado de un cajero o el mundo se derrumbe a tu alrededor.
   1. De los mil y un ejemplos de esta agilidad circense, podemos recordar algunas escenas de la saga “Matrix” donde varios de sus protagonistas teclean (en algún caso utilizando herramientas reales como “nmap” con guantes de cuero y bajo presión extrema) a una velocidad de vértigo, obteniendo resultados perfectos.
4. Inmediatez en accesos: es fácil recordar escenas en producciones recientes donde el protagonista tiene que entrar en un sistema remoto (o en un ordenador personal que tiene delante) que no conoce ni del que tiene ningún conocimiento previo (el guion ya nos ha dado esa información para elevar la complejidad) y lo consigue sin titubear y en unos instantes.
   1. Siendo cierto que, en muchos casos, para una persona entrenada y preparada (ambas condiciones son necesarias) puede ser relativamente sencillo realizar una intrusión, parece poco probable que de forma general lo haga en pocos segundos, sin errores, sin descargar (casi nunca sucede) ninguna herramienta de apoyo, sin comprobar vulnerabilidades existentes, etc.
   2. Esa especie de contraseña universal mágica (sin doble factor de autenticación o bloqueo por dirección) es muchas veces fruto de un cierto trabajo previo (por ejemplo, enviar un malware por mail que incluya una herramienta de captura de contraseñas) o de al menos, comprobaciones de vulnerabilidades conocidas o un par de intentos de contraseñas triviales.
   3. La última entrega de la saga “Jason Bourne” está plagada de este tipo de escenas donde el espectador debe asumir que la CIA se salta todo tipo de retrasos legales y dilemas éticos en la persecución implacable de su objetivo mientras uno tras otro, todos los sistemas son accedidos con envidiable comodidad.
5. Conocimiento previo de todo tipo de sistemas y plataformas: otro asunto recurrente en el cine es del conocimiento universal por parte del atacante de todo tipo de sistemas y plataformas que las víctimas utilizan de forma habitual y la obvia sencillez en su uso: sistemas de control industrial, control aéreo, armamento nuclear, alumbrado eléctrico o coches autónomos.
   1. Por muy profesionales que nos podamos creer que son los atacantes (casi siempre hackers de élite, agencias de tres letras, etc.) no parece muy creíble que sea el sistema que sea, el actor se mueva con total agilidad (siempre parece que se conectan por primera vez) por la consola (obviando que estos sistemas tienen múltiples medidas de seguridad de acceso que desaparecen y que el actor tendría instalado en su ordenador el software necesario) y que incluso superando la barrera del idioma (mandarín, árabe, ruso, etc.) el atacante no duda en elegir la opción perfecta para (sin mayor comprobación) apagar la energía eléctrica de medio estado de California.
   2. La simpática cuarta entrega de la saga “La jungla de cristal” llamada “La jungla 4.0” en España está plagada de todo tipo de licencias poéticas en cuanto a control industrial (iluminación en el túnel, la central eléctrica, la reserva federal, etc.)
6. Información conectada entre unos sistemas y otros: otra gran realidad en los sistemas de información actuales es que el formato en el que se trata la información no es estándar más allá de lo obvio siendo el caso mas claro el de las matrículas de coche, los números de teléfono o los números de identificación (tipo DNI).
   1. Por todo ello sorprende que cuando nuestro equipo de élite (del equipo de “los buenos”) consigue una primera pieza de información (una matrícula de coche borrosa en un peaje), se consiga en pocos segundos, la posición del coche, la del teléfono móvil, las notas del instituto del sujeto y su expediente militar (pues, casi siempre, fueron miembros de las fuerzas especiales antes de ser asesinos en serie o mercenarios).
   2. Considerando la población actual de USA y que una combinación nombre y un solo apellido, dará casi siempre miles de resultados, parece curioso que el primer rostro que aparece en pantalla al teclear el nombre “John X. Smith” sea exactamente el del villano de la película (la foto será reciente, claro).
   3. Series en las que constantemente se localiza a individuos, suelen abusar de estos recursos como en el caso de la serie NCIS (en España “Navy: Investigación criminal”), siendo sorprendente que nunca tengamos problemas con el formato de los datos, los prefijos telefónicos, los códigos postales, las iniciales en los nombres propios, etc.
7. Con sus manos desnudas: aquellos que vimos en los 80 la serie de TV (“McGyver”, tuvimos remake hace pocos años, para las nuevas generaciones) sonreímos cada vez que una persona experta en ciberseguridad se pone manos a la obra en nuestra producción cinematográfica favorita, sin disponer de ningún recurso inicial.
   1. En las escenas que vemos en la pantalla, nuestro protagonista dispondrá únicamente de una consola portátil de videojuegos (suponemos que conexión inalámbrica, claro), un teléfono móvil antiguo o el PC antiguo de una biblioteca en algún pueblo de Dakota del norte. Sin embargo, en pocos minutos, habrá obtenido acceso a la reserva federal o al centro de control aéreo del aeropuerto de Washington (Dulles).
   2. Algunas escenas de películas como “The Net” (en España, “La red”, 1995) se pueden enmarcar en este caso, cuando los malos o la protagonista hacen todo tipo de equilibrios cibernéticos en ordenadores utilizados al azar en cualquier sitio.
8. Información colateral ubicua: cualquier escena “cíber” del cine actual, normalmente involucra la infiltración en algún sistema remoto (banco, entorno militar, control industrial, etc.) para realizar una acción necesaria (robar dinero o criptomonedas, quizás al equipo de los malos) con un fin específico (lanzar los misiles sin control humano).
   1. Para llevar a cabo estas acciones, nuestro héroe o heroína (o equipo diverso de personas con múltiples habilidades, todas complementarias entre sí) nos dejará claro sus amplios conocimientos de tecnología y utilizará técnicas avanzadas de penetración (que no siempre se muestran, pero siempre se intuyen) hasta conseguir su objetivo y exclamar sonriente el clásico atemporal “¡Estamos dentro!”.
   2. Camino al éxito en la conexión y en las acciones posteriores, de forma sorprendente, podremos ver en pantalla infinidad de planos de piezas, esquemas de arquitectura de edificios, planos de alcantarillado, tendido eléctrico, sistemas de seguridad privada, módulos de una fábrica o central energética, etc.
   3. Sin importar lo antiguo que sea el edificio o entorno y lo privada y protegida que sea la información que aparece en pantalla, los planos nos irán mostrando todas esas piezas de información de forma acelerada para hacernos comprender que pese a las habilidades del “hacker”, la información colateral mostrada cubre la parte mas “milagrosa” de la hazaña. En la interesante “Enemy of the state” (en España, “Enemigo público”, 1998), el equipo de los malos (la NSA mal dirigida por un directivo sin escrúpulos ni supervisión) hace uso, una y otra vez, de estos recursos milagrosos para tratar de destrozar la vida del pobre protagonista.
9. Tenemos nuestro sistema perfectamente preparado: otra de las grandes licencias poéticas de las producciones es la del “actor” perfectamente preparado. Da igual que el protagonista esté en mitad del desierto armado solo una navaja suiza (ver mito número 7) o si está en su “guarida” con su super portátil (no olvidemos las pegatinas, la luz baja y la capucha) moviéndose con total agilidad de un sistema a otro, de una tecnología a otro, mientras sus dedos bailan sobre un teclado geek lleno de luces LED o adhesivos con emoticonos.
   1. Lógicamente, todo perdería magia, si el actor tuviera que cambiar muchas veces de herramienta, descargar una nueva utilidad, buscar en Github algún software de interés, etc.
   2. En algunos blockbusters como “Blackhat: amenaza en la red” podemos ver este tipo de acciones compulsivas donde da lo mismo el entorno donde nos movamos, el atacante siempre tiene todo preparado, el software instalado, etc. Todo funciona a la perfección, luego podemos ver a nuestra estrella tecleando a toda velocidad mientras las cosas van sucediendo de forma súbita (sin errores intermedios, desde luego).
10. Violación constante de los requisitos legales: aunque todos podemos entender que algunas operaciones policiales en el ciberespacio son especialmente críticas y urgentes (quizás intenten evitar en el último momento un atentado terrorista), todas las agencias de inteligencia, unidades policiales, etc., tienen que seguir de forma estricta la regulación que aplique en esa región y escenario (amén de un código ético básico) y por ello se deben pedir ordenes judiciales, permisos a los usuarios, empresas proveedoras de servicios, colectivos, etc.
    1. Desde luego, no suele ser conveniente para la agilidad del guion que se tenga que “detener la acción” cada pocos pasos, esperando al “papeleo” y a la presunta lentitud del sistema judicial correspondiente.
    2. La inmensa mayoría de casos en series como “Mentes criminales” o “FBI” donde el analista salta de las reservas de vuelos a los pagos con tarjeta de crédito después de ver lo que habían cenado en el restaurante cercano, parecen poco creíbles (desde la perspectiva legal) si consideramos la secuencia de pasos necesarios en la mayoría de países que protegen los derechos civiles y la privacidad de la ciudadanía.

La próxima vez que veamos una serie de streaming o gran estreno en cine y salga un tipo tecleando rápido a oscuras, ocultando su rostro con una capucha mientras el mundo sucumbe… ya sabes lo que tienes que hacer: disfrutar del espectáculo (que siempre debe continuar) y olvidar el nivel de realismo empleado.

Por cierto, utilizar el término hacker siempre para el caso que todos ponemos imaginar es tan poco preciso como injusto pero este tema mejor lo vemos en otro post 😊

The post Ciberseguridad en el cine: “mito vs realidad” (10 ejemplos) appeared first on Think Big.