lunes, noviembre 02, 2015

El día que conocí al Rey Felipe VI y cómo me convertí en el "Quinqui Ciber-delincuente del 15M" (Parte 1 de 3)

A lo largo de mi vida me han pasado muchas aventuras de todo índole. Son muchos años rodando por el mundo y al final, por culpa de la teoría de los grandes números, es solo cuestión de tiempo que me acabe metiendo en alguna historia digna de recordar. Son estas aventuras y desventuras las que luego aprovecho para contar en cenas, sofás o reuniones varias con el objeto de entretener a la audiencia con un poco de lo que yo he vivido, adornado con los vapores del vino, el calor del momento o la emoción de la situación. Esta es una de ellas, y tuvo lugar este año durante el Mobile World Congress 2015. Es la historia del día que conocí al Rey Felipe VI o cómo me convertí en "El quinqui ciberdelincuente del 15 M", que como veréis fue de lo más ajetreada posible.

Figura 1: El día que conocí al Rey Felipe VI y cómo me convertí en el
"Quinqui Ciber-delincuente del 15M" (Parte 1 de 3)

A lo largo de mi vida me he ido topando con muchas personalidades curiosas del mundo público. Muchas de esas historias las he ido contando en público - como cuando me encontré con Paquirrín -, otras en privado como esta que os voy a narrar hoy, y existen otras que no he contado nunca y de las que necesito dejar que pase algo más de tiempo para contarlas. Hay que dejar que pasen de moda ciertos temas antes de que pueda narrarlas sin que se líe parda. Así tendré algo que contar en el futuro.

Esta historia que os voy a contar tuvo lugar durante el mes de Febrero y principios de Marzo de este año. Yo había estado por New York pasando unos días dónde tuve la oportunidad sin haberlo planeado de ver el peor partido de los Nicks de la peor temporada de la historia de los New York Nicks. Sí, fue un partido de en los que al descanso el equipo visitante doblaba al local, pero eso lo podré contar a mis nietos. Yo estuve allí viendo ese partido tan malo y puedo constatar que fue malísimo. Al poco de llegar a Madrid recibí la invitación del ex-presidente D. José María Aznar para participar en unas jornadas de ciberseguridad... pero esa es otra historia que ya os contaré más adelante, que me desvío. (Vale, sí, he dejado esta referencia aquí con la intención de dejaros con la incógnita. Si lo he conseguido deberéis esperar hasta que decida contaros esa historia y publicar las fotos).

Figura 2: Charlotte Hornets acabaría ganando por 110-81 tras mejorar NY en el último cuarto.
En un momento iba doblado, que fue cuando tiré esta foto el 10 de Enero de 2015.

El caso es que, cuando regresé de New York, unas semanas antes del Mobile World Congress 2015 que tendría lugar en Barcelona, nos enteramos que vendría el Rey Felipe VI al stand de Telefónica dentro de la visita institucional que haría a la feria. Sabiendo esto, se nos ocurrió que habría que preparar algo diferente para la visita y ahí es donde surgió la idea de que estaría bien hacerle probar al Rey el sistema de reconocimiento biométrico de firma manuscrita con SealSign, tal y como ya os conté en su momento.

El plan era sencillo en diseño. Debíamos capturar la firma manuscrita de César Alierta, meterla en nuestro programa de falsificadores de firmas, y luego hacer al Rey Felipe VI que intentase falsificar la firma de César Alierta para demostrarle que, aunque calcase con exactitud la firma, el sistema iba a ser capaz de reconocer los patrones biométricos de presión y velocidad para determinar si era o no el auténtico César Alierta. Pedimos permiso al gabinete de presidencia y nos lo concedieron. Bien.

Figura 3: Confirmación por correo electrónico del OK del Presidente.

Para conseguir captura la firma de nuestro presidente hicimos una petición oficial, y debía ir yo el viernes antes del Mobile World Congress 2015 a las 11:00 de la mañana a su despacho para conseguirla. No teníamos mucho margen de maniobra. Capturaríamos la firma el viernes por la mañana, el fin de semana metería alguien la firma en el programa y la llevaría el domingo a Barcelona para que el lunes a las 12:00 de la mañana, durante la visita del Rey Felipe VI al stand de Telefónica, yo le hiciera la demostración.

Yo había aprovechado para quitarme todo el trabajo posible antes de eso. Me había reunido con mi compañera Beatriz de Alise Devices que había hecho un placa con su tecnología de seguridad para hacerle un regalo al Rey Felipe VI, y para después había hecho planes para estar ese fin de semana con mi developer - que ella no quiere ser hacker - y ya le había dejado mucho tiempo sin hacerle el caso que se merecía, así que iba a tener un poco de tiempo libre para disfrutar con ella, sobre todo teniendo en cuenta que después de estar una semana en el MWC 2005, la siguiente semana me iba a Argentina. Al final, todo parecía sencillo para ese día. Mi trabajo terminaba con conseguir capturar la firma y listo. Estaba todo en regla. ¿Qué podría ir mal?

Comienza la fiesta

A las 10:50 entraba por los tornos del Edificio Central de Telefónica donde está presidencia con el objeto de zanjar el asunto en unos minutos. Llevaba además en la mano una placa de Alise Devices del Rey Felipe VI que le habíamos preparado. En ese momento llegó un mensaje de correo a mi teléfono.

Figura 4: ¿Qué podría ir mal? ¿Y tú me lo preguntas?

No habíamos contado con que esto pudiera pasar, y me quedé como un conejo al que acabaran de dar las largas en la autopista. No solo tendríamos muy poco margen de maniobra para meter la firma en el programa, sino que además mi fin de semana se iba al garete. Yo que contaba con desconectar pronto y ponerme con mis planes lúdico festivos, me veía teniendo que pasar el fin de semana haciendo guardia esperando el momento de capturar la firma y luego trabajar para tener todo listo el lunes. Houston, tenemos un problema.

A ver, si hubiera tocado hacer eso, pues habría tocado, pero no me apetecía tener que cancelar todo y dar explicaciones de los cambios de planes. Pero... ¿no podría solucionarlo yo de otra forma? Al final, la vida me ha enseñado que menos la muerte todo tiene solución y que a veces es más sencillo de lo que parece. Si hubiera contestado OK en ese momento la hubiera liado, pero años de entrenamiento en resolución de problemas me han enseñado a aceptar la geometría variable de las cosas y bailar con ellas. Tenía unos hechos clave con los que lidiar.
1) El presidente no iba a firmarme ahora [Fact 1]
2) No quería fallar a mi developer [Fact 2] 
Con estas dos condiciones de contorno tenía que conseguir que en un tiempo razonable entre entre ahora y antes de que se acabara el viernes tenía que conseguir la firma del presidente para conseguir cumplir los Fact 1 y Fact 2. Si ya te has leído la historia de cómo solucioné el problema de la demo en el lanzamiento de Windows XP seguro que alguna ha pensado: "Ya está, Chema va a firmar como si fuera César Alierta y listo".

Podría haber sido, pero para hacer eso, después de haber hecho la petición oficial y de tener una fecha para el domingo en la cual el presidente nos daba su firma hubiera exigido que diéramos demasiadas explicaciones. Todavía había tiempo para poder capturar la firma y mi pase en Telefónica me permite pasar por todos los edificios y salas del complejo, así que....right to the source.

Subí raudo y veloz a ver al equipo de secretarias de nuestro presidente para contarles la situación. Me presenté lo más formalmente que pude y empecé a darles todo tipo de explicaciones. Les hice una demo de SealSign, les enseñé la placa de Alise Devices, y le conté la necesidad que tenía de capturar la firma ese viernes sí o sí. Por favor, supliqué, que si no se me rompe el fin de semana personal y no tendremos a tiempo el programa, "¿me podéis buscar un hueco en el sitio que sea y a la hora que sea durante hoy viernes para hacer la captura de la firma?" . Vale, tal vez no es lo que esperabas, solo supliqué. Tenía que agotar las opciones antes de pasar a otro orden de medidas.

Quiso el destino que me conocieran de mis charlas con el gorro y que, tras pedirme una foto porque su marido era fan mío - que me hice sin gorro ya que no iba pertrechado - quedáramos en que me iban a llamar ese viernes, a cualquier hora del día, para ir a cualquier lugar de Madrid y poder capturar en cualquier segundo la firma del presidente. El tiempo corría en contra, pero iba a conseguirlo sí o sí.

Me fui a la última reunión que tenía del día a las 13:00 horas en Principe Pío, y al poco de estar allí me llamaron por teléfono: "Chema, el presidente te recibe en su casa a las 14:00 horas, tienes 10 minutos para capturar la firma". Me levanté raudo y veloz, pues tenía un trayecto que hacer, y dejé a mi contertulio de la reunión en el Starbucks solo. "Lo siento, me tengo que ir sí o sí. Ya nos vemos dentro de tres semanas cuando regrese de Argentina. ¡Adios!"

Llegué zumbado con el Malignomóvil a la casa de nuestro presidente. Llegué a todo trapo y aparqué en la misma puerta. Debí ser un poco brusco en toda mi operación, porque al bajar, se me vinieron encima los guardias de seguridad. La verdad es que no lucía yo mis mejores días de formalidad, y entre las barbas y los pelos, debí de hacer que los guardias de seguridad se sintieran un poco perplejos por el ser que salía del Malignomóvil que se había parado justo en frente de la casa de nuestro presidente. "Soy de Telefónica. Soy de Telefónica". Dije un par de veces para evitar que se preocuparan mientras levantaba mi tarjeta de identificación en alto. Vale, sí, me había asustado.

Tras hacer los controles de seguridad necesarios, y pedir confirmación al gabinete del presidente, me dejaron entrar con la tablet a esperar a César Alierta. La verdad es que estaba preocupado por tener todo listo y hacerlo en menos de esos 10 minutos que tenía de agenda. No era la primera vez ni mucho menos que tenía una reunión con el presidente, pero era la última oportunidad que tenía de tener esto listo para la visita del Rey Felipe VI y quedar libre el fin de semana. Así que me senté en el sofá donde me dijeron, preparé la tablet, el programa de captura de firmas, y me senté a esperar a que llegara el presidente con todos mis deberes listos. Ya estaba todo. ¿Qué podría ir mal ya? Nunca pienses eso si quieres que nada vaya mal. Hazme caso.


Figura 5: Funcionamiento de SealSign para el reconocimiento de firmas

Os cuento todos los detalles del momento para que podáis entender el estado de estrés que llevaba con las prisas de ese día. Esto, que en esta parte de la historia no refleja más que una poco de nerviosismo, se traducirá días después en un momento de tensión y otro de posterior alivio que se notará en el vídeo del momento, porque aún... la iba a liar un poco más. Pero tendréis que esperar a la tercera parte para descubrir esos momentos.

Cuando llegó César Alierta rápidamente comencé a explicarle el proceso, pero entonces el presidente me pidió calma. "¿Quieres un café chaval?". "Ehh... bueno, sí." (Que estoy sin comer y esto parece que va para largo). En ese momento, en lugar de ir todo con prisas, comenzamos a charlar durante más o menos cuarenta minutos. El presidente estaba relajado y quiso conocer más de mí, de mi vida y de por qué ese fin de semana no podríamos haberlo firmado el domingo. Quería saber más de mi como persona, así que charlamos de muchas cosas. Nada que ver con la tecnología y la firma. Al final, después de un buen rato, comenzamos el proceso de captura de la firma. Parece que lo iba a conseguir.

Yo me había quedado un poco descolocado con uno más de mis días movidos y cuando fue a firmar, sacando al hombre de seguridad informática que llevo dentro, le dije: "César, no uses tu firma auténtica que este tablet va a estar en la feria y no estaría bien que todo el mundo viera tu firma real. Haz una firma diferente. No sé, pon César y listo". Craso error. De hecho, me daría cuenta durante el fin de semana estando más relajado.

A ver, la gracia de la firma biométrica es que se basa en un hábito adquirido en base a un montón de repeticiones. Es uno de esos sistemas de autenticación Anti Ruber Hose que permiten que la credencial no se pueda robar si no conoces la firma. En el Security Innovation Day 2015 usamos este reconocimiento de firma biométrica para el sistema de recuperación de contraseñas, como un ejemplo más de uso de Latch integrado con SealSign


Figura 6: Presentación en SID2015 de Latch integrado con SealSign

Al pedirle a César Alierta que NO hiciera su firma de verdad yo le estaba poniendo un reto al sistema. En mi caso, utilizo varias firmas distintas. Una para los documentos oficiales, otra para los dibujos y otra para las dedicatorias. Tengo tres patrones biométricos distintos. Yo le pedí a nuestro presidente que escribiera su nombre varias veces, y capturé la biométría de su patrón caligráfico, pero NO el de una firma manuscrita que es mucho más marcado y representativo. Simplemente puso César con letra de molde y eso es lo que capturé.... y cuando me di cuenta de eso, ya era demasiado tarde para volver atrás.

Aún se me complicaría más el día pues desde casa de nuestro presidente hasta la Estación de Atocha, punto de reunión con mis compañeros para entregar el tablet con la firma capturada, aún perdería mi DNIe 3.0 que había tenido que ir a hacerme a la Central de Policía con el objeto de poder hacer otra de las demos de SmartID que habíamos preparado para el MWC 2015


Figura 7: Demo de SmartID con mi DNIe 3.0 y Latch preparada para el MWC 2015

Afortunadamente solo fue causa del estrés del día, ya que lo tenía en su sitio en mi cartera, pero los nervios - o el hambre de llevar horas sin comer - no me dejaban verlo. Increible. Llegué pasadas las 16:00 de la tarde sin comer a Atocha. Después pude ponerme a terminar mis últimas tareas de la semana - que se me había acumulado alguna aún para más INRI - y así dar comienzo a mi fin de semana.

Cuando llegué por fin con mi developer, me tiré en el sofá destrozado de la tensión y estrés del día, algo que ella agradeció subiéndose encima y pidiendo justificaciones por el retraso. Comencé explicando que por la mañana había tenido un problema que me obligaba a cancelar todos los planes del fin de semana. "No, no te preocupes, lo solucioné. Pero mira, el correo electrónico que recibí esta mañana a las 10:50.". A lo que me contestó: "¿Tú no me dijiste que esta chupado falsificar un correo electrónico y te mandaste un correo de un presidente?". Chica lista. No se les puede enseñar nada que luego lo aprenden.

Figura 8: Mensaje IMAP manipulado en Gmail para simular que viene de Obama

Si pensaba que mi aventura iba a terminar con esto y que todo el resto del tiempo iba a ser miel sobre hojuelas, estaba muy lejos aún de la realidad. Sin saber cómo, en breve iba a terminar metido en más guerras, pero será en la segunda y tercera parte de esta historia cuando os la contaré. ¿Soportará la biometría del patrón caligráfico el test del Rey Felipe VI en el Mobile World Congress? ¿Qué opinará el resto de la gente? En la siguiente parte os cuento cómo lo viví.

Saludos Malignos!

5 comentarios:

Anónimo dijo...

Chica lista. No se les puede ense;ar nada porque luego lo aprenden jaja. Me dió risa.

Maligno dijo...

@Anónimo. Y ésta es de lo más inteligente que he visto nunca };)

Juanlu dijo...

Con ganas de que termines la historia....
Y si verifico lo dicho, son muy inteligentes y aprenden rápido lo que les explicas.En mi scaso Diseñadora

Tayoken dijo...

Todo para que al final te acabasen robando la goma del pelo... Eso te pasa por rodearte de según quien...

Anónimo dijo...

Esto promete... :)

Entrada destacada

Infraestructuras Críticas y Sistemas Industriales: Auditorías de Seguridad y Fortificación de @0xWord

Desde hoy está disponible a la venta un nuevo libro de 0xWord centrado en la seguridad de los Sistemas Industriales y las Infraestructuras...

Entradas populares