The Italian Job en términos de ciberseguridad

Analizamos cómo ha cambiado la percepción sobre los hackers, basándonos en el clásico plan de hackeo de semáforos en tres versiones (británica, estadounidense e india) de The Italian Job.

El que los protagonistas o sus enemigos tomen el control del sistema de vialidad de una ciudad es casi una escena obligada en la cinematografía. Los personajes buscan crear un embotellamiento para sus perseguidores o una escapatoria para ellos. Hackers, Live Free or Die Hard y Taxi son solo una pequeña muestra de las encarnaciones artísticas de este esquema de hackeo. La secuencia que una vez fue original se transformó hace mucho en un cliché de Hollywood.

Este recurso comenzó con el filme británico de 1969, The Italian Job. Para su época, no debe sorprendernos que se trata del único incidente cibernético de la película. Pero el argumento narrativo del sabotaje de tráfico engendró muchas imitaciones en Hollywood, incluido en dos adaptaciones del original, una de Hollywood (The Italian Job o La estafa maestra, 2003) y una de Bollywood (Players, 2012).

En sus varias iteraciones, la escena de los semáforos es crucial. Así, si comparamos las tres versiones, podemos analizar la evolución de las actitudes de los espectadores y los realizadores acerca del hackeo de la infraestructura crítica.

 

The Italian Job (1969) al estilo británico

Se describe una Turín futurista básicamente como una ciudad avanzada a su época. En la película, una supercomputadora controla cada semáforo desde un centro, que recoge también los datos de las cámaras de vialidad. El autor intelectual del robo, que muere al principio , le encarga al personaje principal, Charlie Croker, un plan detallado para un gran robo arriesgado, junto con malware para la supercomputadora y un gadget misterioso que puede desactivar las cámaras.

El origen del programa es desconocido; probablemente alguien se apoderó del código fuente original y lo modificó con el objetivo de desatar un caos. Por supuesto, en 1969 no sólo no existía Internet, sino que las redes de área local no estaban muy extendidas. El único modo de instalar malware en una computadora es infiltrarse en el edificio y cambiar la cinta magnética en el disco. Para ello se requieren los servicios del Prof. Peach, supuestamente el especialista en supercomputadoras del país.

Para ingresar en el centro de control de vialidad y cambiar el programa, se debe desactivar la computadora. Croker emprende la misión, al lanzar su bicicleta en una subestación de energía, lo cual deja sin potencia no solo al centro de control de vialidad, sino también a la mayor parte de la ciudad (lo cual permite al atraco obrar en la penumbra).

Peach entra en acción y quita la cinta de la unidad y coloca otra. A decir verdad, ya sin energía es todo lo que queda por hacer. Así, hacen que un experto en computadoras realice la labor de un ayudante de laboratorio. Y en caso de que te hayas perdido lo gracioso, Benny Hill interpreta a ese divertido genio de la tecnología.

La próxima fase del plan es desactivar las cámaras. Para despistar al centro del control de vialidad, y encubrir el robo real, los criminales plantan algunos dispositivos (probablemente inhibidores de señal, aunque no se dan más detalles) en los botes de basura y las azoteas en las cercanías de las cámaras. Las cámaras de vialidad en esos días no transmitían por vía inalámbrica, pero los gadgets misteriosos logran desactivar las cámaras.

El resultado: todo marcha sobre ruedas. Las cámaras se apagan, los semáforos empiezan a parpadear, los caminos de la ciudad están paralizados y Peach se ve arrestado por faltas a la moral en el transporte público (no preguntes).

 

Versión británica: conclusiones

Ciberseguridad

  • La película muestra una actitud un tanto descuidada hacia la seguridad física de la infraestructura crítica. La subestación de energía y el centro del control de vialidad prácticamente no cuentan con vigilancia. Los atacantes logran llegar a la unidad sin complicaciones y sustituyen la cinta con éxito.
  • La computadora acepta sin reparos el programa sustituto . Eso es aceptable, pues la firma de código se inventó hasta mucho después.

Percepción 

  • El hackeo de la computadora queda entendido como algo sumamente complejo. Para engañar a la computadora, la banda invierte muchos esfuerzos en reclutar al mejor especialista en computadoras de la tierra (solamente para que cambie una cinta).
  • No se intenta explicar el aspecto técnico de las cosas; en su lugar, los gadgets, a modo de caja negra, desactivan milagrosamente las cámaras.

 

The Italian Job (2003) al estilo estadounidense

La versión hollywoodense, en mi opinión, no se puede considerar una adaptación directa de la película británica. Seguro, los personajes comparten el mismo objetivo (robar lingotes de oro), y la escena de la persecución es prácticamente una copia carbón de la original, pero las razones son muy diferentes. Dejando de lado la psicología y la ética, aun así, tienen que sabotear cámaras y semáforos. Pero estos criminales no tienen que buscar a un especialista; tienen ya un genio informático en el equipo: Lyle, cuyo trabajo de día implica realizar modelos 3D de edificios con el fin de planear y coordinar robos. Esa es toda una transformación digital en el trabajo. En 2003, tener a un especialista en informática en el equipo se considera bastante normal.

Además, en la versión estadounidense de la película hay un poco más de hackeo. Primero, los criminales intentan hackear el sistema de monitoreo remoto de la compañía telefónica, para ellos, convencen a los empleados de que se trata de una operación legal de vigilancia telefónica, y en última instancia redirigen la transmisión de audio a su propio puesto de escucha. Lyle tiene experiencia en lo último, pues pasó años espiando a su ex.

Pero el hackeo principal es igual. Infiltrarse en el Centro de Control de Operaciones y Vigilancia Vial Automatizada de Los Ángeles en el 2003 es más sencillo que en el sistema de Turín de 1969; el centro está conectado a internet e incluso tiene una interfaz gráfica de usuario (GUI). Lyle se sienta con su laptop e intenta adivinar la contraseña manualmente. Ingresa una contraseña tras otra sin éxito, hasta que las palabras mágicas “Acceso Concedido” aparecen en la pantalla.

El centro de operaciones predice la circulación y cambia automáticamente las señales de los semáforos basados en las capturas de la cámara. Pero tiene un modo manual también, que Lyle usa para tomar el control de las luces. Como demostración, cambia todas las luces a verde en una intersección, lo que provoca un accidente. Pero él rápidamente cambia de vuelta las luces, y el centro registra el incidente como un fallo técnico.

El plan de la banda es hacer una ola de luces verde que los deje pasar a toda prisa mientras paralizan el resto de Los Ángeles. El día del robo, Lyle, algo aturdido, se sienta en un carrusel de equipaje en la estación Union Station, equipado con una laptop y un router, con los cuales supervisa la situación en los caminos, cambia las señales de tránsito (no sólo en el camino, sino también en el subterráneo), y paraliza el centro de control mostrando el mensaje “Nunca clausurarán el verdadero Napster” en cada pantalla. (Como elemento cómico narrativo, Lyle afirma que él inventó Napster, la red de trabajo entre pares, y que Shawn Fanning le robó la idea. A Lyle le gusta hacerse llamar Napster. Y, siendo justos, sí cumple con el estereotipo de chico prodigio con la computadora).

Gracias a la operación bien coordinada, se roban el oro, todos se salen con la suya, y el cruel villano cae en manos de la mafia ucraniana, pues interfirió en sus asuntos.

 

Versión estadounidense: conclusiones

Ciberseguridad

  • Si la contraseña para el acceso remoto a un sistema se puede forzar manualmente, entonces es una mala contraseña.
  • La infraestructura crítica necesita utilizar una conexión segura a Internet y no debe existir la posibilidad de controlarla a través de un GUI basado en Internet. Y debe ser evidente que el personal no debe fijarse en un mensaje idiota en vez de intentar hacer algo al respecto. ¡Incluso los italianos ficticios de hace 34 años estaban mejor informados!

Percepción

  • En el 2003, el hackeo era una ocurrencia común, así que para realizar un robo se necesita más que desactivar unos pocos semáforos. En esta semiadaptación, infiltrar el centro de control es una operación estándar que surge durante la fase de planeación.
  • Lyle/Napster siempre está explicando lo que hace y cómo. Lo que dice es absurdo, por supuesto, pero lo que los realizadores querían hacer era fundamentar los sucesos en pantalla en cierta versión de la realidad.

 

Players (2012) al estilo indio

Los cineastas indios intentaron extraer lo mejor de dos versiones de The Italian Job y aderezarlo con glamour bollywoodense, incluyendo carreras, cantos, baile, moralismo y, por su puesto, hackeo. La trama es verdaderamente disparatada: Rusia devolverá a Rumania un poco del oro que el gobierno rumano ocultó en Rusia antes de la invasión alemana en 1915. Algunos despreciables oficiales del ejército ruso transportan el oro que la mafia rusa, que es incluso más despreciable, intenta obtener; un grupo de ladrones indios nobles desea robar el oro y utilizar los fondos para construir una escuela para los huérfanos.

Naturalmente, la operación de robo relámpago necesita al mejor hacker del mundo. Y necesita un apodo de hacker verdadero: en este caso, es Spider. Pero hay un problema: nadie sabe dónde hallarlo. Por fortuna, la novia del personaje principal tiene una maestría en informática con medalla de oro y otra maestría en hackeo ético (seguro, ¿por qué no?). Ella irrumpe en los sistemas “del mejor hacker del mundo” y descubre que él vive realmente cerca. Tras secuestrarlo, lo convencen de participar en la operación.

Según el plan, el hacker secuestrado tiene dos tareas por realizar. Primero, él debe hackear el sitio web del ejército ruso para conseguir la información sobre los oficiales que transportan el cargamento. Segundo, él tiene que hackear un satélite que vigila en tiempo real los movimientos del tren con oro (y paralizar el centro de control).

Acomete ambas tareas fácilmente pulsando algunas teclas en una laptop, pero se vuelve contra la banda, toma el oro solo para él y se marcha. Eso le deja el trabajo de inhabilitar los semáforos a la hacker ético principal. A todo esto, ella lo hace exactamente del mismo modo, pulsando rápidamente el teclado para hacerse con el control de los semáforos.

 

Versión india: conclusiones

Ciberseguridad

  • No puede hablarse de ciberseguridad. Todos los sistemas se pueden hackear remotamente, sin preparación alguna; solo pulsa el teclado, y mientras más rápido, mejor.

 Percepción

  • Los hackers son magos.

 

The Italian Job: Conclusión general

En las tres películas, los criminales intentan evitar una masacre, y en las dos últimas, incluso los guían intenciones nobles (en parte): la venganza por el asesinato de un profesor y el deseo de construir una escuela para los huérfanos. Sin embargo, nunca detienen en pensar de las consecuencias de paralizar una ciudad enorme, incluyendo a los bomberos, las ambulancias y los demás. Y significa que habrá víctimas civiles. Aun cuando se describa a los ladrones como buenos individuos, resulta difícil simpatizar con ellos.

En cuanto a la ciberseguridad, la imagen de un “hacker genio” ha cambiado dramáticamente en medio siglo. Si el hacker anterior era un tipo dotado pero raro y fuera de este mundo, ahora se le representa como mago tecnológico seguro de sí mismo y casi omnipotente. Tomar el control de los semáforos pasó de una operación técnica sofisticada a un truco estándar que se da por descontado. La realidad, por supuesto, es muy diferente. Hackear el sistema del control de tráfico de una ciudad es mucho más difícil de lo que parece en la pantalla grande.

La omnipotencia de los hackers en las películas impacta negativamente en la percepción de la amenaza de robo contra la infraestructura crítica. Según nuestros colegas Kaspersky Security Awareness, el estereotipo cinematográfico del hacker genio afecta la seguridad de las verdaderas empresas. La gente está tan segura de que los cibercriminales pueden hacer cualquier cosa que ni se molestan con implementar una protección máxima, lo que deja vacíos innecesarios.

Es por ello que recomendamos la capacitación en concientización de seguridad para mostrarles a los empleados cómo son las cosas en el mundo real. Por ejemplo, nuestra plataforma Kaspersky Automated Security Awareness imparte lecciones que separan la fantasía de la realidad.

Consejos