La copa de los hackers

na familia decide viajar a Rusia para presenciar los tres primeros partidos de Uruguay del Mundial de Rusia 2018. Para eso, el padre ingresa los datos personales y de la tarjeta de crédito en una página que dice ser la oficial de la Federación Internacional de Fútbol Asociación (FIFA) con el fin de comprar las entradas. Primer error. Viajan días antes del comienzo del torneo –que se llevará a cabo entre el 14 de junio y el 15 de julio– para recorrer el lugar y, al llegar al hotel, la madre le da su tarjeta de crédito al recepcionista y se distrae sacándoles las camperas a los hijos. El empleado demora y no se da cuenta. Segundo error.

A diario las personas ponen sus datos en internet o pagan con tarjeta en locales. ¿Cuál es el problema? Si bien siempre se corren riesgos, como que le saquen una foto al número de la tarjeta o que un hacker robe los datos en la red, el riesgo es mayor porque se aproxima el Mundial y todo el mundo tiene puesta la cabeza en si su país pasa a la siguiente fase.

No sería la primera vez que los hackers se aprovecharan de un evento tan grande como este, y eso aumenta la preocupación. En los Juegos Olímpicos de Invierno de Río de Janeiro 2016 se sufrieron varios tipos de ataques. En ese entonces, la empresa de seguridad ESET halló tres grandes tipos de amenaza. Por un lado, un ransomware escondido en un PDF. Al abrirlo aparecían archivos cifrados que exigían un rescate. También hubo una lotería fraudulenta que, a través de un archivo Word con un código malicioso, buscaba robar información del usuario. Y, por último, los virus que se colaban por transmisiones ilegales en vivo por internet.

El Mundial de Rusia es el evento deportivo con mayor conectividad de la historia, recordó el CEO de la empresa de ciberseguridad regional VU, Sebastián Stranieri. La final de la Copa del Mundo en Río de Janeiro en 2014 rompió todos los récords de datos. Las redes de telefonía móvil en las cercanías del estadio de Maracaná manejaron el equivalente a 2,6 millones de fotos. Y en Rusia se espera mucho más. Esto deja más puertas abiertas a los hackers para hacer clonaciones de tarjetas, dañar la comunicación de la organización u otros tipos de estafas.

"En estadios donde unas 70 mil personas están conectadas a una única red de wifi a través de 1.200 puntos de acceso, la ciberseguridad es un aspecto fundamental para prevenir ataques online", indicó Stranieri a Cromo.

El especialista sostuvo que es posible que los ataques sean diversos y que pueden dañar la reputación del Mundial y afectar directamente a los usuarios. Por ello, es fundamental que las personas sepan qué tipos de engaños existen para poder prevenirlos.

En esta misma línea, Camilo Gutiérrez, jefe de investigación en ESET Latinoamérica, dijo que algunos ataques se hacen con el fin de sabotear el campeonato. Pero también están los que dañan a los usuarios, basados en ingeniería social. "Todos los eventos tienen una cantidad de dispositivos y se vuelven un blanco interesante", agregó.

La tecnología e internet son totalmente imprescindibles para la organización de un evento de esta magnitud (todo el campeonato, por ejemplo, se filmará en 4K HDR, y debe recordarse que será el estreno mundialista del VAR). Pero si los ciberdelincuentes se interponen en el camino, todo se torna caótico. Se puede dar un ataque a las comunicaciones, relacionadas con el wifi, al sistema de venta de entradas o al sistema de ingreso en las puertas de los estadios. Por ejemplo, una persona entra a un estadio y observa un cartel con el nombre de la red de wifi y se conecta, sin saber que un hacker puede estar por detrás. El experto recomendó que todo tipo de intercambio se haga por un canal seguro, como el 4G. "Es la metodología de comunicación más segura que se puede tener en un dispositivo móvil", explicó.

La venta de entradas es susceptible de convertirse en una estafa de phishing. En este caso, una persona cree que compra la entrada en la página de FIFA pero, en realidad, termina siendo una entrada falsa y el ciberdelincuente se queda con la información de la tarjeta del usuario.

Sobre esto, Gutiérrez insistió en que es importante verificar el proveedor, averiguar antes si es cierto que el plazo sigue vigente o consultar con un espónsor oficial.

A la hora de ingresar a los estadios también hay riesgos de hackeos, ya que alguien más puede intentar pasar con la entrada de otro. Para Stranieri tendría que haber un sistema de reconocimiento facial y una lista negra, que inhabilitara la entrada a quienes aparecen en ella, por haber cometido un delito o provocado un disturbio.

Por otro lado, si los ciberdelincuentes atacan en el momento de ingreso al evento y dejan sin funcionamiento los dispositivos de control, también se generaría un gran problema.

De todas formas, para este Mundial se tomaron ciertas medidas relacionadas con el control de entradas. Según Gutiérrez, la organización cuenta con un equipo de infraestructura de origen ruso para custodiar a los ciberdelincuentes. Si algo pasa tienen alternativas o formas de solucionarlo rápidamente. "Hay que estar preparados para los incidentes", apuntó.

Concurrir a Rusia por el Mundial implica que las personas tengan gastos en exceso, como alojamiento, entradas a partidos, comidas, tiendas de recuerdos, entre otros. Por ello, son múltiples los momentos de riesgo en los que se puede dar lugar a clonaciones de tarjetas de crédito.

Las personas deben tener especial cuidado en los negocios que visitan. "En el momento en que se hagan pagos hay que estar atentos a que la persona no se tome más tiempo con la tarjeta o que no le saque una foto", sostuvo Stranieri.

Las redes sociales también pueden facilitarles el camino a los hackers. Por un lado, suele haber robos de identidad. Hackean la cuenta de una red social de una personalidad o de los jugadores. Pero, por otro, algunos ciberdelincuentes están atentos a las historias de los usuarios de Instagram o Facebook para conocer los movimientos de la familia. "Vos podés hacer una historia en la tribuna y alguien puede robar la habitación del hotel porque sabe que la dejaste un buen rato", relató.

Para evitar la apropiación de cuentas sociales, el experto de VU sugirió autentificar los perfiles. Es decir, se asegura de que es la persona correcta corroborando por SMS o algún método similar. En ese caso, por más que roben el usuario y la contraseña no podrán acceder a la cuenta. "Esa debería ser la medida utilizada por todos siempre", agregó Stranieri.

Además, aconsejó no operar desde ningún dispositivo público, como puede ser una computadora en el lobby del hotel o una tableta en un restaurante. Kaspersky Lab revisó 32 mil rpuntos de acceso en las 11 ciudades rusas mundialistas y se descubrió que una de cada cinco redes no están protegidas.

Un grupo de ciberdelincuentes autodenominado Fancy Bears se está haciendo notar desde hace un tiempo y alarma a las autoridades rusas. Este grupo reveló información médica confidencial de decenas de deportistas en 2016. Entre ellos, atletas de élite, campeones de tenis, estrellas de atletismo y gimnastas olímpicos. Los deportistas expuestos habían recibido exenciones para tomar medicamentos que están prohibidos bajo las normas del antidopaje.

Luego, en agosto del año pasado, fue el turno de los futbolistas. Los Fancy Bears dieron a conocer que 25 jugadores también recibieron exenciones de uso terapéutico por tomar sustancias prohibidas en el antidopaje de Mundial de Sudáfrica de 2010.

Como apuntó Stranieri, este grupo suele aparecer en los eventos deportivos grandes. Para ellos, "es casi un servicio a la comunidad, muestran que algo anda mal", indicó. Los Fancy Bears son hackers independientes que atacan desde distintos sitios bajo el mismo nombre. No es posible hallarlos, ya que "el principal objetivo de esta gente es mantenerse en lo anónimo".

Para Gutiérrez, los ciberdelincuentes aprovechan la vulnerabilidad de algunos servidores de internet. "Es muy difícil saber de dónde provienen por la misma tecnología", acotó.

Como los Fancy Bears, hay muchos otros individuos en internet clonando tarjetas, robando identidades o vendiendo entradas falsas. "Los usuarios deben estar enterados de que existen estos tipos de engaños, porque los criminales se aprovechan del desconocimiento. Si algo parece muy bueno hay que desconfiar", concluyó Gutiérrez.