¿Mandarías a tu madre a piratear una prisión 'armada' con una llave USB? Un hacker de seguridad sí

Seguramente esta historia daría para escribir un argumento de alguna película de hackers, prisiones y empresas de seguridad porque su punto de partida es completamente absurdo. Todo dio comienzo en 2014 cuando la madre de John Strand, Rita, de 58 años, le pidió que quería infiltrarse en algunas de las instalaciones que gestionaba por aquel entonces su hijo a través de la empresa de su propiedad Black Hills Information Security.

John lo ha contado en una conferencia de seguridad que ha tenido lugar en San Francisco, donde explicó, ante una sorprendida audiencia, uno de los casos de pentesting (test de infiltración) más alocados de la historia. Al fin y al cabo, esas penetraciones se realizan sin el conocimiento de la empresa atacada (el cliente) y, de primeras, el causante de todo el hackeo se enfrenta a una detención de unas pocas horas si es descubierto. Así que, ¿existía alguna posibilidad de éxito?

Con esa oferta sobre la mesa, John Strand comenzó a idear el ataque: su madre se haría pasar por una inspectora de sanidad, llevaría una tarjeta de visita del gerente de la empresa con datos de contacto de él y, en el momento de acceder al interior del penal, intentaría pinchar todos los ordenadores que pudiera con un arsenal de llaves USB que contenían un malware especialmente desarrollado para la ocasión. Si el plan era un éxito lo sabrían rápidamente porque ese código malicioso se pondría en contacto con los ordenadores de Black Hills y obtendrían acceso informático a toda la prisión.

Rita nunca fue informática ni usuaria avanzada

El plan estaba en marcha pero John Strand no las tenía todas consigo. Tanto es así que en esa conferencia de San Francisco llegó a confesar que "para la mayoría de las personas, las primeras veces que hacen esto se sienten realmente incómodos [...] Pero ella estaba lista para irse. La seguridad informática de una prisión es crucial por razones obvias. Si alguien puede entrar en ella y hacerse cargo de los sistemas informáticos, se vuelve realmente fácil sacar a alguien de la prisión". Pero la suerte estaba echada.

Rita salió sola en dirección a la prisión desde la sala de guerra que los chicos de Black Hill instalaron en un café cercano. John seguía pensando que era una muy mala idea y solo acertaba a recordar lo que le dijo antes de que partiera: "Mamá, si esto empeora, debes levantar el teléfono y llamarme inmediatamente".

Pasaron los minutos y no había noticias del interior de la cárcel. Rita no daba señales de vida y en la war room empezaba a crecer la incertidumbre: diez, veinte, treinta, cuarenta minutos y nada. ¿Tenían que ir a por ella? Se cumplió la hora y en ese instante, sin mediar comunicación alguna, los ordenadores de Black Hill comenzaron a escupir datos. Uno detrás de otro y recibidos desde el sistema de seguridad del penal, que había sido abierto en canal y se encontraba a sus pies. Rita lo había conseguido e, incluso, no le habían retirado el móvil y pudo grabar con su cámara todo el ataque.

Rita tuvo acceso a cada rincón de la prisión, tanto instalaciones de los reclusos como de los trabajadores, y en un tachán final digno de una película, incluso el director la invitó a su despacho para que le ofreciera una visión de lo que había visto. Como último servicio al hackeo, le regaló una llave USB al máximo responsable de la instalación que, sin temer lo que estaba ocurriendo, la pinchó en su ordenador por lo que también abrió la puerta para que desde Black Hill entraran sin problemas en su PC. ¿Moraleja? Nunca hay que bajar la guardia.