De un chat blindado a un móvil para 'hackers': así es el arsenal de 'Mr. Robot'
La historia protagonizada por Elliot Alderson ha logrado lo que parecía imposible. Que una serie sobre ‘hackers’ no se convierta en un algo ridículo, totalmente alejado de la realidad y que avergüence a cualquiera con un mínimo de conocimientos informáticos, es todo un reto. En plena emisión de la segunda temporada y confirmado que habrá una tercera, parece que el productor y guionista Sam Esmail lo ha superado con éxito con este Robin Hood antisistema.
Espiar el wifi de una cafetería para descubrir que el propietario es un pedófilo, controlar cada detalle de un hogar inteligente para sembrar el pánico en su dueña, robar una furgoneta clonando la señal de su llave a distancia... Todo lo que hacen Alderson y sus compinches ante las cámaras es posible en la vida real, esa en la que las vulnerabilidades no aparecen marcadas en rojo en el código fuente como sucede en ‘CSI: Cyber’.
Por espectacular que resulte, casi cualquier ataque de ‘Mr. Robot’ es factible (incluso abrir las puertas de una cárcel), aunque algunas cosas solo están al alcance de los mejores y, desde luego, llevarlas a cabo llevaría más tiempo que en la serie.
Como parte de esta obsesión por la verosimilitud, en ‘Mr. Robot’ hay apariciones estelares. No se trata de actores de Hollywood, sino de aparatos y herramientas que, a decir verdad, son armas de doble filo: todo un peligro en poder de los malos y una bendición en manos de los ‘hackers’ éticos. Si bien la línea que separa a unos de otros puede ser difusa (¿dónde encuadraríamos al propio Alderson?), lo cierto es que móviles, servicios de mensajería y otras aplicaciones de ‘Mr. Robot’ no solo son reales, sino que están al alcance de cualquiera.
Es el caso del ‘smartphone’ que Elliot utiliza en la segunda temporada para tomar el control, a distancia, de otro teléfono móvil. Se trata del Pwn Phone y cuesta 1.095 dólares (unos céntimos por encima de los 974 euros al cambio actual) en la web de la compañía fabricante, Pwnie Express. Su elevado precio no corresponde a unas especificaciones inigualables (tiene, por ejemplo, solo 16 gigas de memoria) ni a un exclusivo diseño al más puro estilo iPhone: en realidad, no es más que un Nexus 5. Aunque, eso sí, no uno cualquiera.
Se trata de un ‘smartphone’ modificado para facilitar los test de penetración ('pentests') que realizan los expertos en ciberseguridad. Entre otras cosas, permite poner a prueba redes inalámbricas y conexiones Bluetooth en busca de vulnerabilidades. Para ello, este terminal Android viene con más de cien herramientas de código abierto que permiten realizar todo tipo de análisis.
El responsable de la compañía estadounidense, Paul Paget, recurre a una comparación para explicar la utilidad de su televisivo Pwn Phone: “Es como enviar a compradores misteriosos a una tienda o lo que se puede ver en ‘El jefe infiltrado’”.
Aunque Alderson utiliza el Pwn Phone (que también está disponible en versión tableta, la más económica Pwn Pad) con un fin distinto y altamente cuestionable, desde la compañía aseguran estar encantados con su presencia en la serie. Más allá de la obvia publicidad, “están educando a la gente sobre lo que se puede hacer”, explica Paget. Están divulgando los peligros.
Un chat para ocultarse de todo
Un ‘software’ que también ha aparecido en la segunda temporada de 'Mr. Robot' es Wickr Me, un servicio de mensajería instantánea que pone especial énfasis en la seguridad y la privacidad. Mientras que WhatsApp acaba de implementar el cifrado de extremo a extremo, Telegram sigue siendo popular por sus chats secretos y Signal es la ‘app’ que recomienda Snowden, desde la compañía responsable de Wickr prometen mejorar constantemente su tecnología “para frustrar los ataques criminales sofisticados y las amenazas informáticas”.
Para cumplir con su promesa, este chat creado en 2012 no solo cifra las conversaciones de sus usuarios, sino que también se encarga de eliminar los metadatos que acompañan a las fotografías y vídeos que se comparten a través de la plataforma y que contienen información sobre, por ejemplo, el lugar en el que fueron capturadas las imágenes.
Además, permite que sus usuarios decidan durante cuánto tiempo serán visibles sus mensajes, al igual que en Snapchat o en los chats secretos de Telegram, e impide que se puedan hacer capturas de pantalla del móvil cuando la ‘app’ está abierta.
Tan seguros están de la seguridad que son capaces de ofrecer, y tan preocupados por mejorarla, que ofrecen recompensas de hasta 100.000 dólareshasta 100.000 dólares (algo menos de 90.000 euros) a aquel que logre descubrir una vulnerabilidad en la 'app'.
Los correos, a buen recaudo
Si Wickr Me es el WhatsApp de Alderson, ProtonMail es su servicio de correo electrónico. Desarrollado en el prestigioso CERN en 2013 y hecho público tras recaudar más de 550.00 dólares (cerca de 490.000 euros) en una exitosa campaña de ‘crowdfunding’, este correo electrónico nació tras las revelaciones de Snowden sobre el ciberespionaje gubernamental de los Estados Unidos.
Más allá de su cifrado, que protege tanto los datos de sus usuarios como el contenido de sus correos, el principal interés que suscita ProtonMail es el lugar en que se encuentra la compañía: Ginebra.
Al instalar sus servidores en Suiza, la información almacenada queda lejos de la jurisdicción estadounidense e incluso de la Unión Europea. Así, quien busque proteger sus conversaciones como Elliot tiene en este servicio de correo una de sus mejores bazas: solo una orden del Tribunal Supremo suizo podría desvelar sus secretos.
Tal y como cuenta el responsable de la compañía, Andy Yen, la aparición de Proton Mail en la primera temporada de la serie no solo ha servido para darle publicidad a la plataforma, sino también para mejorarla. “Elliot necesitaba una manera de monitorizar su propia actividad de correo electrónico, y el equipo de ‘Mr. Robot’ nos preguntó si eso era compatible con ProtonMail”, recuerda Yen. “Ahora es posible: se añadió la posibilidad de monitorizar en nuestra versión 2.0. Hicieron una sugerencia de producto tan buena que la desarrollamos”.
A pesar del respaldo de esta serie obsesionada con el realismo, algunas voces señalan que ProtonMail, disponible en todo el mundo desde hace solo unos meses, no es seguro al cien por cien. Si envías un correo cifrado con la clave pública de su destinatario, es muy difícil que un tercero, incluido el propio intermediario, pueda leerlo. Sin embargo, con ProtonMail (y con otros tantos servicios que implementan un cifrado similar, como WhatsApp o Apple iMessage), la clave pública se distribuye desde un servidor de la propia compañía, que podría añadir otra de su propiedad para fisgar en los mensajes. No quiere decir que lo haga, sino que sería técnicamente posible.
A pesar de ello, sigue siendo el servicio de mensajería más seguro a ojos de un buen número de expertos, y pretende serlo aún más. De hecho, Yen ha anunciado que pronto se incluirá la posibilidad de usar la huella dactilar del usuario como medida de seguridad adicional.
Similares dudas plantea otra de las herramientas utilizadas en ‘Mr. Robot’, Deepsound. Con este ‘software’, Elliot oculta información entre las pistas de audio que graba en un CD. Hasta ahí todo correcto y, aunque muy propio del espionaje televisivo, tan real que lo puedes descargar desde aquí.
Sin embargo, esta herramienta de esteganografía solo disponible para Windows (por lo que Elliot la utiliza ejecutando una máquina virtual en su Kali, la distribución de Linux predilecta de los expertos en ciberseguridad) no es, ni de lejos, perfecta: un reciente análisis de Deepsound, realizado a raíz de su aparición en la serie, desvela que el mecanismo empleado por el ‘software’ para camuflar la información entre las pistas de audio en realidad es muy pobre, tanto que es posible detectar dónde se encuentran esos datos escondidos.
Nadie dijo que la caja de herramientas de 'Mr. Robot' fuera perfecta además de realista. Todo lo que podemos encontrar en su interior existe fuera de la tele, como FlexiSpy (el 'software' que utiliza Tyrell Wellick para espiar un móvil), Meterpreter (una utilidad de 'pentesting' que reúne decenas de vulnerabilidades conocidas y ataques para aprovecharlas) o un sencillo USB infectado con un 'malware' que se deja caer en un aparcamiento para que cualquier insensato lo recoja.
Un ejemplo de las lecciones que uno aprende viendo la serie: si te encuentras un 'pendrive' en el suelo, ni se te ocurra meterlo en el ordenador para ver qué contiene. La curiosidad mató al gato.
-----------------
La imagen principal de este artículo es propiedad de Wikimedia Commons