Un ejemplo del oscurantismo en este país en cuanto a la seguridad informática nos lleva a una historia, poco conocida, que expliqué hace poco en el libro «El Quinto Elemento» sobre el ataque hacker a VISA en España que nos pudo expulsar del sistema del dinero de plástico.
En Estados Unidos, los ataques informáticos a empresas cotizadas tienen, por obligación legal, que ser comunicados a los usuarios. Existe una cierta obligación de transparencia. Hay que dar explicaciones, y los clientes deben saber que han sido comprometidas sus cuentas, contraseñas, tarjetas de crédito, etc.
Sin embargo, en Europa, a día de hoy, no existe esta obligación legal —aunque parece que la Comisión Europea no tardará en exigirla. Ese es uno de los motivos por los que parece que aquí no pasa nada; tal vez por eso vivimos en una especie de mundo de Yupi donde estas cosas parecen más propias de películas de ciencia ficción. Especialmente, parece que nuestros bancos sean invulnerables, mientras que, desde el otro lado del Atlántico, nos llegan frecuentes noticias de incursiones, robos, estafas, etc.
EN EUROPA NO EXISTE OBLIGACIÓN LEGAL DE INFORMAR A LOS CIUDADANOS SI UNA GRAN EMPRESA HA SUFRIDO UN ATAQUE. ESO ES DE FACTO UNA INVITACIÓN A OCULTARLO
Aunque en Europa estos ataques se suelen ocultar, y hoy en día se esconden principalmente para no poner en riesgo la reputación y para evitar la fuga de clientes, eso no quiere decir que no ocurran y, sobre todo, que no tengan consecuencias.
Todos tenemos una tarjeta tipo VISA o Mastercard en el bolsillo. Lo que el ciudadano de a pie no sabe es que el cambio que tuvo lugar hace pocos años, deprisa y corriendo, del «plástico» que lleva en su cartera por otro se debió a un severo ataque informático que recibieron las redes de nuestro país, y que, por supuesto, no trascendió.
Una directiva europea obligaba a este cambio antes del fin de 2011. Las tarjetas con chip incorporado eran mucho más seguras. De hecho, el fraude con las anteriores, de banda magnética, empezaba a ser cotidiano. Para duplicarlas bastaba un lector que leyera y clonara la banda magnética y una cámara colocada en un cajero, por ejemplo, que grabara el pin del usuario. Pero, pese a la directiva europea, los distintos operadores no se ponían de acuerdo sobre el estándar a emplear. Y así pasaban los meses.
Entonces ocurrió lo inesperado. Comenzó una serie de extraños ataques informáticos muy sofisticados, ya que actuaban sobre una norma que hasta la fecha se creía segura, la norma X.25. Estos ataques no eran cosa de cuatro o cinco chavales probando cosas, así que se alertó de inmediato a las fuerzas y cuerpos de seguridad del Estado. Se trataba de un asunto económico de vital importancia. Se estaban comprometiendo cientos de miles de tarjetas de crédito que estaban siendo robadas de forma inexplicable y muy sofisticada. Y nadie sabía cómo ni por dónde.
Por sí sola, la policía no tenía capacidad para detener estos ataques ni para identificar cómo estaban produciéndose, de modo que solicitó la ayuda de empresas especializadas. Una de ellas fue la que descubrió lo que hasta entonces no era explicable. Que los ataques ocurrían bajo la citada norma X.25.
Este hecho, y los cientos de miles, tal vez millones, de tarjetas de crédito comprometidas en España aceleraron lo que hasta la fecha se tomaba con calma. Muy posiblemente, tu tarjeta y la mía también estaban entre ellas. Para no crear alarma social, aquello se llevó con enorme discreción, y hasta la fecha jamás había trascendido.
La inmediata consecuencia fue el urgente cambio del «plástico» que llevábamos en el bolsillo todos los españoles por otro más seguro, con chip. Como siempre tarde pero deprisa y corriendo. ¿Más seguro hasta cuándo? Bueno, esperemos que dure unos años, pero lo que es inexpugnable hoy dejará de serlo poco a poco, a medida que la tecnología avance, y habrá que cambiarlo de nuevo.
La pregunta puede ser ¿quién realizó estos ataques y logró robar una cantidad muy relevante de tarjetas de crédito de españoles? La respuesta obvia es pensar en mafias, delincuencia común, etc. Sin embargo, años después, dos personas que habían trabajado en esta operación se encontraron casualmente.
«He pensado mucho… Y cuanto más lo pienso, por más que pasa el tiempo, menos me cuadra… ¿Nos utilizaron?», dijo el POLICÍA al hacker
Una de ellas era uno de los policías que había trabajado en la detección de la fuga de información. La otra era uno de los empleados de la firma de seguridad que había detectado que el ataque de la norma X.25, hasta ese momento inexpugnable. Al coincidir, recordaron el tema y quisieron tomar un café aparte del grupo con el que se encontraban. Con el tiempo, a ambos les había quedado un poso raro de todo aquello y querían compartirlo: «He pensado mucho… Y cuanto más lo pienso, por más que pasa el tiempo, menos me cuadra… ¿Nos utilizaron?», dijo uno de ellos.
Cuando se comete un delito, una norma policial básica es pensar siempre en el beneficiario como sospechoso. En este caso, varias empresas multinacionales se beneficiaron de contratos de millones de euros
Y es que nunca se descubrió a los culpables. Esa sospecha que tanto el policía como el informático habían compartido sin saberlo a lo largo del tiempo se formulaba en un interrogante: ¿acaso un ataque tan complejo y sofisticado no podría estar destinado a «meter miedo» para provocar el cambio al nuevo sistema con chip lo antes posible? La situación estaba estancada, ya que los diferentes operadores no se ponían de acuerdo en el sistema a utilizar, mucho dinero estaba en juego con el cambio de todos los «plásticos». Cuando se comete un delito, una norma policial básica es pensar siempre en el beneficiario de todo como sospechoso. En este caso, varias empresas se beneficiaron con contratos de millones de euros. El policía y el hacker no asegurarán que dichas empresas estuvieran implicadas, pero, sin ningún tipo de duda, en ese café ambos reconocieron estar pensando lo mismo. Su sensación era clara. Aquello no cuadraba. ¡Habían sido utilizados!