Contrario a la opinión común, los cuentos de hadas y las leyendas populares no se inventaron para entretener sino para enseñarles a los niños (y los adultos) lecciones importantes de un modo fácil de entender. Desde tiempo inmemorial, los cuentacuentos han insertado consejos de ciberseguridad en sus narraciones, con la esperanza de que el internet (que ellos predijeron) sea un lugar más seguro. Por ejemplo, el cuento de Caperucita Roja es una fábula admonitoria sobre los ataques MitM (Man-in-the-middle o intermediario), y Blanca Nieves prefigura las campañas de APT con auspicio gubernamental. La lista sigue y sigue.
Desafortunadamente, la humanidad sigue cayendo en los mismos errores con insistencia maniaca ya que ignora las lecciones evidentes de los cuentos de hadas. Otro ejemplo de esto es la leyenda del flautista de Hamelin.
El flautista de Hamelin
Como sucede a menudo con cuentos muy antiguos, nos han llegado diferentes versiones, todas con variaciones sobre el mismo tema básico. La trama elemental va más o menos así: en el pueblo alemán de Hamelin existe una infestación de ratas que se comen los suministros, atacan a la gente y a los animales domésticos y en términos generales causan un reverendo desastre.
Impotentes, las autoridades locales contratan los servicios de un especialista que se presenta como un cazador de ratas ataviado de modo elegante, quien usa una flauta mágica para atraer a las ratas fuera de la ciudad y las lleva a un río, donde se ahogan.
Posteriormente, el mezquino alcalde se rehúsa a cumplir su parte del trato y le ofrece al cazador de ratas, conocido como el flautista, una remuneración inferior a lo estipulado en el contrato. El flautista guarda silencio. Y más bien se venga usando su flauta mágica de nuevo, pero esta vez para atraer a los niños de Hamelin del mismo modo en que lo hizo con las ratas.
El final depende de la época en que vivió el narrador y cuán optimista era (normalmente no mucho). Los niños se ahogan en el río Weser, como las ratas, se los llevan a interior de las colinas de Koppenberg o (en una versión más reciente y sombría), van más allá de las colinas, donde fundan una ciudad.
El significado tras la alegoría
Resulta interesante que el suceso tenga una fecha precisa: 26 de junio de 1284. Le leyenda se escribió primero en la crónicas del pueblo en 1375, tras lo cual se reescribió y volvió a contar varias veces, en cuyo proceso ganó detalles adicionales y florituras. La mayoría de estos detalles tiene motivaciones claramente políticas o religiosas. Algunas versiones se centran en la avaricia de los ciudadanos de Hamelin; otros satanizan la figura del flautista. Nos saltaremos los prejuicios medievales de la época y nos centraremos en los hechos básicos.
Los ataques contra Hamelin
Según lo vemos, la infraestructura de Hamelin sufre un ataque por parte de actores maliciosos anónimos. Literalmente devoran bienes materiales (granos) e información (documentos legales), y amenazan la salud de los habitantes.
No nos he llegado ninguna descripción detallada del ataque, pero es probable que los atacantes reciban el nombre de “ratas” porque utilizaron una herramienta de acceso remoto (o un troyano de acceso remoto), cuya abreviatura en inglés es RAT. Dichas herramientas/troyanos, en general, se pueden usar para diversos trabajos deshonestos, porque les proporcionan a los atacantes el acceso total al sistema de la víctima.
El especialista contratado
Al principio, los habitantes del pueblo intentan solucionarlo con gatos que protegen sus endpoints; pero cuando este método resulta ineficaz, contratan a un experto externo que conoce la vulnerabilidad de los atacantes de RAT. Con el objetivo puesto en la vulnerabilidad, construye una ciberarma poderosa para apoderarse de las computadoras de los operadores de RAT, y las convierten en una especie de botnet. Habiéndolos traspasado a todos, el flautista neutraliza con éxito la amenaza.
Los civiles en la mira
Tras la derrota de los atacantes de RAT, las autoridades deciden estúpidamente no respetar su parte del trato con el especialista. La mayoría de las versiones de la leyenda refieren desacuerdos financieros, pero eso es imposible de verificar, por supuesto. Como sea, resulta que la misma vulnerabilidad está presente en los dispositivos que usan los niños del pueblo.
Lamentablemente, el cuento no ofrece detalles técnicos que expliquen por qué la misma amenaza funcionó contra los operadores de RAT y los miembros del público. Asumamos que se trata de una vulnerabilidad que está en todas partes (por ejemplo, el más o menos conocido protocolo de red a nivel de aplicación que se emplea para el acceso remoto a los recursos de red).
No queda claro por qué los llamados adultos del cuento no presentan la misma vulnerabilidad. Quizás la palabra “niños” dentro la historia se refiera no a los usuarios menores de edad, sino a una nueva generación de dispositivos con un sistema operativo más reciente que presentó una vulnerabilidad después de una actualización mal hecha del protocolo antes mencionado.
Como sea, el final es trágico: el flautista lleva a cabo el mismo truco de botnet; pero esta vez no contra los operadores de RAT, sino contra los más jóvenes del pueblo.
El flautista de Hamelin de la actualidad
La historia anterior recuerda mucho a la del grupo de hackers Shadow Brokers y la filtración del exploit EternalBlue, que condujeron al brote de WannaCry, así como varias otras epidemias del ransomware. Si tan solo hubiera leído el cuento del flautista de Hamelin justo después de la filtración de EternalBlue, sin duda lo habría tomado como un informe, en clave alegórica, de ese incidente. De hecho, la trama es idéntica: una organización gubernamental encarga el desarrollo de una poderosa ciberarma que después, de modo inesperado, se usa contra los habitantes de ese país.
Podemos atribuir esta notable coincidencia al carácter cíclico de la historia. Es evidente que los expertos en seguridad de la información alemanes estaban al tanto del problema y trataron de advertir a sus descendientes (nosotros) de los peligros de los programas de ciberarmas con auspicio gubernamental, las cuales un día pueden volverse contra los usuarios civiles , con nefastas consecuencias.