Hackear las elecciones

Vulnerar una cuenta en Gmail cuesta 2,500 pesos; infectar una computadora con un virus troyano que permita el acceso al equipo vía remota, 200 pesos; tirar un sitio web, 200 pesos la hora. Celebrar con tequila Casa Dragones en la oficina de gobierno… no tiene precio. Las tecnologías digitales han abierto un abanico de herramientas para influir en los resultados de una elección, más allá de las técnicas tradicionales de intervención en las que México ha innovado —existen diccionarios para describir acciones como el acarreo, la operación carrusel, el embarazo de urnas o la caída del sistema. “Un ciberataque, el espionaje, el robo de información, pueden utilizarse para incidir en las elecciones de forma subrepticia como probablemente sucedió en Estados Unidos”, dijo el consejero electoral Benito Nacif en un foro público en mayo pasado.

El negocio del hackeo electrónico está en auge y propicia un mercado de compradores en expansión, lamentaron los autores del reporte Underground Hacker Markets, realizado por SecureWorks de la fabricante de computadoras Dell. Quienes ofrecen estas prácticas de “crime as a service” (el crimen como servicio) han creado una industria rentable en la que planear y ejecutar ataques requiere cada vez menos tiempo y esto redunda en más ataques. Un hacker, en la acepción criminal de este término en inglés, trabaja en promedio tres horas al día, por 40.75 dólares cada una, y puede ingresar más de medio millón de pesos anuales por secuestrar información, instalar software espía o robar datos de tarjetas de crédito, de acuerdo con el estudio Flipping the Economics of Attacks, de la consultora en seguridad digital Ponemon Institute.

En la modalidad de productor y propagador de noticias falsas, en una buena temporada se pueden obtener más de 4,000 dólares al mes sólo por concepto de la publicidad digital exhibida en el sitio de la infamia (Google, el mayor distribuidor de anuncios digitales del planeta, se vio afectado por el fenómeno de las fake news y ha tenido que aplicar controles más estrictos para los sitios que se inscriben en su programa AdSense). El tarifario de Michael Ron David Kadar, un hacker israelí de 18 años, detenido en abril pasado, tenía los siguientes precios: amenaza de masacre a domicilio: 800 pesos; advertencia de matanza en una escuela: 1,600 pesos; alerta de bomba a bordo de un avión en vuelo: 10,000 pesos. Al momento de su arresto acumulaba medio millón de dólares en ingresos.

Se trata de una “economía no convencional”, un mercado negro o informal que innova constantemente y a mayor velocidad que muchas industrias tradicionales, escribieron Alexa Clay y Kyra Maya Phillips en su libro The Misfit Economy (Simon & Schuster, 2015).

Bajo el paraguas del “cibercrimen” hay que incluir las amenazas descritas por Nacif y muchas otras. Las declaraciones del hacker colombiano Andrés Sepúlveda a la revista Bloomberg Businessweek ayudan a sumar técnicas al catálogo. En la lista de Sepúlveda, sospechoso de realizar ciberataques en elecciones presidenciales de México y Colombia, se encuentran el robo estrategias de campaña a través de medios digitales, la manipulación de medios sociales, la instalación software espía, el espionaje de correos electrónicos y líneas telefónicas, la captura de hardware y software de equipos de campaña, la automatización de llamadas telefónicas a las casas de los electores con mensajes apócrifos que desprestigien a los oponentes.

Los costos financieros del cibercrimen en México en el 2016 representaron 5,500 millones de dólares, de acuerdo con Symantec, la compañía que produce el antivirus Norton. Las amenazas más recurrentes fueron la instalación de código malicioso, la propagación de correos no solicitados con fines comerciales y de propaganda (spam), la falsificación de correos para robar información (phishing), la instalación de redes zombi para tomar control de equipos de cómputo (bots o botnets), ataques de red y ataques web. Y la infraestructura del gobierno mexicano no está a salvo. “Encontramos artefactos maliciosos como RAT [Troyano de Acceso Remoto, por su sigla en inglés] que encontramos en otro tipo de operaciones de alto impacto de organizaciones gubernamentales, como en Israel, en operativos en Siria y en otros países”, dijo a El Economista un ejecutivo de la firma de seguridad informática Arbor Networks.

Las vulneraciones ocurren incluso entre los más experimentados. En marzo del 2016, John Podesta, entonces jefe de campaña de Hillary Clinton y autor de un estudio sobre big data solicitado por el presidente Barack Obama, dio clic a un correo falso que le advertía de una supuesta intromisión en su cuenta de Gmail; el equipo técnico de la campaña verificó la alerta y la dio por buena. Podesta fue víctima de phishing y abrió la puerta a una gran filtración de correos electrónicos que pusieron en jaque a la candidata. Luego vino la filtración de casi 20,000 correos de siete ejecutivos del Partido Demócrata, entre los que se encontraban claves para torpedear la campaña del rival de Clinton en las primarias, Bernie Sanders. “No tengo ninguna duda” de que el gobierno ruso promovió las intrusiones electrónicas, dijo el jueves el ex director del FBI, James Comey, en una audiencia ante el Comité de Inteligencia del Senado de Estados Unidos.

Quizá las elecciones en México no sean relevantes para los piratas rusos, pero tampoco hace falta: en el país existen actores con suficiente poder y dinero para intervenir elecciones con las técnicas conocidas y por conocer, capaces de construir un respaldo libre, informado y mayoritario del electorado a través de la manipulación en redes sociales, la propagación de noticias falsas, las llamadas telefónicas de desprestigio o el espionaje digital de rivales y opositores. Y no estamos preparados para contrarrestarlos.

Comentarios