LA ENTREVISTA

Jordi Murgó: "No estar conectado al mundo es el único blindaje seguro"

Una de las leyendas del  ‘hacking’ habló para SPORT del ataque de los Fancy Bears a la AMA y la divulgación de datos de Biles, Nadal, Froome  y hasta 41 deportistas 

Murgó se define como un 'hacker jubilado' que se ha cambiado el sombrero negro por el blanco

Murgó se define como un 'hacker jubilado' que se ha cambiado el sombrero negro por el blanco

Agustí Bernaus

¿Es fácil vulnerar un sistema informático como el de la Agencia Mundial Antidopaje?

No, no es nada fácil ni con gente especializada. Quienes lo han hecho no son aficionados. Tanto en China como en Rusia detrás de empresas que aparentemente son de seguridad están grupos de hackers que trabajan para sus estados y que se dedican a la contraseguridad y a los ataques. Este tipo de profesionales son muy buenos con  equipos muy amplios y experimentados que utilizan virus, troyanos o herramientas sofisticadas para secuestrar discos. 

¿Cómo entraron?

Un ataque así implica infectar los ordenadores de varias personas de la AMA y a partir de sus credenciales ir escalando y sacando información. Todo apunta a este método. 

Meses antes la AMA ya denunció que habían entrado en la cuenta de Stepanova, la atleta rusa que informó del dopaje de su país. Después varios atletas recibieron correos falsos con documentos de la AMA que les pedían que validaran sus credenciales.

Bueno, esto es un segundo tema. Para entrar en la AMA no utilizaron las credenciales de atletas, sino de miembros relevantes de este organismo con privilegios suficientes para consultar la ficha de cualquier atleta. Lo que se hace es  conseguir información pública del sujeto mediante sus correos electrónicos, enviarle uno y esperar a que cuando lo abra su ordenador se infecte. Lo prueban con varios individuos hasta que uno u otro cae. Y caen siempre. Los Fancy Bears son suficientemente buenos para hacer productos a medida indetectables a los antivirus del mercado.

¿Cómo lo consiguen?

Los antivirus solo detectan los que han infectado a un número importante de ordenadores, pero no los virus nuevos. Es como una enfermedad. Cuando hay mil muertos se investiga en busca de una vacuna o un antídoto. Pero ya tienes los mil muertos.

¿Existen muchos grupos con este nivel?

Si hablamos de Rusia estamos hablando de empresas profesionales con empleados que van a trabajar a las ocho de la mañana y hacen su horario. Su actividad legal es la de ayudarte en la seguridad de tu empresa, pero también actúan a la inversa. Y más si quien les contrata es el gobierno de su país. En China ocurre lo mismo.  Otra cosa es la divulgación de la información mediante pantallas. 

Los equipos de F-1 están alardeando de las medidas que tienen contra el espionaje.

Pues yo no lo haría. La única manera de blindarse es no estar conectado al mundo, la desconexión total. 

Lo que dice da miedo.

Si estás conectado a internet siempre hay alguna fisura. La última versión de Windows cuando sale es segura. Al cabo de dos semanas ya tiene 15 parches y al año, 1.500. Eso significa 20.500 oportunidades de entrar o escalar en aquel sistema. 

Hace dos años unos sirios accedieron a la cuenta de twitter del Barça. Protestaron contra Qatar y saludaron al Real Madrid.

Estos casos suelen ser de robo de contraseñas. Twitter en sí mismo no es vulnerable, a menos que dispongas del ‘password’. Cada año se publica la lista de contraseñas más utilizadas. La primera es 1,2,3,4,5,6, la segunda ‘password’, la tercera seis ceros y así sucesivamente hasta nombres de personas,  ciudades, fechas personales, etc. Es lógico que caigan. 

Hace años dijo que le divertía entrar sin romper nada...

Los inicios del hacking se basaban en que tu trabajabas con ordenadores domésticos y entrabas en sistemas con mucha potencia. Quedábamos allí con los amigos, hacíamos chats, accedíamos a otros sistemas. Estamos hablando de la prehistoria.

¿Hoy hay sistemas a los que se puede acceder sin que se den cuenta del pirateo?

Existe la intromisión silenciosa, escondiéndose en los protocolos, extrayendo la información a muy baja velocidad para que no se note en la línea, utilizando PDF’s.

¿Podría entrar en el FC Barcelona y acceder a  informes de Messi? 

Sí, tan solo hay que conocer la estructura del club y las personas que acceden a esta información. Sus móviles pueden ser más vulnerables que los ordenadores. Desde que te lo compras confías en el fabricante y durante un año o dos hay tiempo para descubrir fallos en el sistema. A través del correo se puede provocar una acción estúpida del usuario. 

¿Somos muy estúpidos?

Cuantas veces te han dicho que esto no es seguro y te preguntan si quieres abrirlo. Y lo abres. Creo que lo ha hecho todo el mundo.