Los falsos códigos QR y otras artimañas de los 'hackers', a debate en Sevilla

La empresa local Dolbuck es la promotora de este congreso, que arrancaba este viernes en el teatro que hay junto al colegio de los Salesianos de la avenida María Auxiliadora. «Esta cita nació en su día de la necesidad de traer hasta el sur de país a los mejores en materia de ciberseguridad. Mi experiencia, cuando mi etapa de estudiante, es que para poder acceder a esta experiencia tenía que desplazarme a Madrid o Barcelona con el desembolso que eso suponía para un estudiante. Por eso quisimos acercar todo este caudal de conocimiento a esta zona del país», detalla Adrián Ramírez, CEO de Dolbuck.

Entre los asistentes hay profesionales asentados pero también jóvenes estudiantes. El congreso es también una plataforma para captar talento. Por eso acuden a él representantes de corporaciones en busca de posibles fichajes. «Hay mucho talento en nuestras aulas, pero es una verdadera lástima que mucho de ese potencial acabe fuera de nuestro país porque en otros países se paga mejor o hay una apuesta decidida por la ciberseguridad. A día de hoy los que manejan bien el inglés están trabajando en Estados Unidos o Inglaterra».

Una de las quejas que salen de este foro especializado es «la nula inversión pública en ciberseguridad«. Esta cita no ha contado este año con el respaldo económico del Estado que hacía a través del Incibe (Instituto Nacional de Ciberseguridad) y ha sido la iniciativa privada la que ha sacado adelante esta conferencia. «Esto es sólo un ejemplo de lo que pasa en este país. Pongo otro, ¿cuántos ayuntamientos cumplen el Reglamento General de Protección de Datos? Accedes a la web de muchos de ellos y te encuentras con referencias a la normativa de 1999 que fue derogada hace mucho tiempo. Pero como una empresa privada incumpla ese reglamento, tiene un problema serio«.

Este experto en ciberseguridad pone el acento también en el Esquema Nacional de Seguridad (ENS) , un marco normativo regulado por Real Decreto desde 2010, que surge a partir de una ley de 2007 sobre el acceso electrónico de los ciudadanos a los servicios públicos. El ENS recoge un certificado para aquellas administraciones, entidades y empresas que han establecido una política de seguridad y las condiciones de confianza en el uso de medios electrónicos. A día de hoy sólo hay una treintena de ayuntamientos adheridos a esta estrategia nacional. Sevilla no está entre ellos.

Los piratas informáticos hicieron caja precisamente con el Consistorio sevillano en 2021, cuando consiguieron engañar a la tesorería municipal para que les ingresara el pago del contrato del servicio del alumbrado navideño. Suplantaron la identidad de una empresa concesionaria a través de correo electrónico.

Se da la coincidencia que esta reunión de piratas arrancó este viernes coincidiendo con el Black Friday, una de las épocas de más actividad 'hacker'. En esta jornada, las operaciones comerciales en internet se multiplican y en ese escenario, los hackers buscan hacer negocio con web fraudulentas y otras artimañas. Uno de los ejemplos más novedosos que se ha expuesto en esta primera jornada son los falsos códigos QR.

Con la pandemia ha proliferado el uso de estos códigos que en esencia son una herramienta para redireccionar a un usuario hacia una página web. ¿Cuál puede ser la trampa? Si la web a la que dirige ese código es una web maliciosa, se está abriendo la puerta a los piratas que pueden usar un programa para ir escaneando las vulnerabilidades que tiene el dispositivo que ha escaneado el código QR y cuando encuentran esas fallas en el sistema, lo hackean directamente. ¿Qué busca el pirata informático en un teléfono móvil? Datos que pueda vender en el mercado negro o información sensible que le permita acceder al control de ese dispositivo.

Uno de los temas que se analizó en la primera jornada de este congreso es el fraude bancario que está desbocado en los últimos tiempos. De ello ha hablado, Jordi Murgó, leyenda del hacking que actualmente trabaja como ingeniero de software de BBVA. En el mundillo de los piratas de la red se le conoce también con el sobrenombre de Savage. Fue uno de los integrantes de uno de los primeros grupos de hackers nacionales, Los Apostols, que estuvo en activo a finales de los 80, principios de los 90 del siglo pasado.

Murgó se ha centrado en la defensa ante el malware bancario. Cómo poder esquivar su ataque. Así, ha citado el uso de sistemas biométricos como un mecanismo al que están recurriendo las entidades para blindar las operaciones de sus clientes ante posibles suplantaciones de identidad. Son sistemas que reconocen características físicas de los titulares de los productos financieros y los valida como llave de acceso.

El robo de credenciales es la base del fraude bancario que se ejecuta mediante distintos procedimientos, desde la ingeniería social con llamadas de teléfono simulando ser de una entidad financiera concreta cotejando supuestamente información a los clientes; hasta los mensajes de texto o de correo electrónico el que se avisa de alguna incidencia en la cuenta bancaria y se ofrece un link para acceder al perfil de usuario. El consejo escuchado este viernes se repite una y otra vez: «Desconfía siempre que te pidan información. Una entidad bancaria jamás te va a solicitar tus claves de acceso por teléfono y antes de pinchar en un enlace, verifica la procedencia de ese correo».