admin / 1234

Una nota en blanc i un episodi a mitges

Obren reconeixent que potser és l'episodi més «cunyat» que han gravat mai: tots dos s'acusen de venir sense preparar, i la nota titulada «Episodi 65» era, literalment, una pàgina en blanc. Àlex admet que s'ha informat una mica de la història d'actualitat que volien tractar, però que se n'ha perdut el desenllaç —«és com si vaig començar a mirar el partit, però no sé qui ha guanyat»—.

El tema real arriba de seguida: RansomHouse, lladres de dades i pirates informàtics, arran del ciberatac que aquell cap de setmana havia paralitzat l'Hospital Clínic de Barcelona.

RansomHouse al Clínic i el soroll conspiranoic

Àlex porta l'angle. Li va fer gràcia que els informatius de TV3 presentessin RansomHouse com «una empresa», quan és un grup criminal: «és com dir que Al-Qaida és una empresa». De RansomHouse hi ha molt poca informació —són nouvinguts del robatori de dades, no un grup amb historial—, i la seva recerca «avançada» es va limitar a la primera plana de Twitter, on va trobar el compte «Bondagegirl29» responent a totes les notícies que el Clínic deixa morir la gent que no es posa la mascareta: un perfil antivacunes i «plandemista» que il·lustra el soroll conspiranoic que va envoltar el robatori. El mecanisme és el ransomware clàssic, segrestar dades per cobrar un rescat: «ara és més rendible fer-ho amb dades».

La ciberseguretat no és parar l'atac, és saber que t'han entrat

Àlex desmunta el mite que la ciberseguretat consisteix a fer-se inexpugnable. Qualsevol web rep milers d'atacs diaris —robots de spam, intents d'SQL injection, força bruta contra els logins—, però la majoria no tenen cap afectació perquè els sistemes ja porten un mínim de protecció. La màxima que en treu és que tothom dona per fet que algú t'entrarà sí o sí; el que importa no és parar-lo, sinó tenir traçabilitat: saber del cert que hi ha algú a dins i a quines dades accedeix. Pots posar-te una porta a prova de bazuca, però t'entraran pel forat del terrat: si volen entrar, entraran.

El cost real per a l'hospital: del quiròfan al paper

L'atac no es va quedar en el segrest de dades; va tombar l'operativa de l'hospital. Llegint la notícia que té al davant, Àlex enumera el dany: unes 150 cirurgies no urgents endarrerides, entre 2.000 i 3.000 consultes externes anul·lades i unes 400 extraccions de sang programades, a més de comunicacions internes caigudes i la radioteràpia fora de servei. Des del diumenge, el Clínic atenia les urgències amb paper. Marc ironitza que «opera amb una Moleskine, quina meravella», i Àlex el corregeix: és molt pitjor.

El blockchain del sistema sanitari català: llibretes i post-its

Amb la prudència de qui no pot donar tots els detalls, Àlex explica que durant la pandèmia a MarsBased els van contractar des d'una entitat del sistema sanitari català per informatitzar el sistema de compres i traçabilitat de material sanitari. Quan van demanar de veure els Excels i les bases de dades, la resposta va ser desconcertant: «Bases de dades? No, aquí anem amb llibretes.» Llibretes i post-its que circulaven entre oficines —«allò és el blockchain del sistema sanitari català»—.

Ho va trobar esfereïdor, fruit de les retallades, i molt perillós perquè es tracta de les dades més sensibles que existeixen: les de salut, encara per damunt de les identificatives o les financeres. Que la notícia digués que «havien tornat al paper» li feia gràcia —«com si n'haguessin sortit mai»—; Marc hi posa el contrapunt mig en broma: si vols que una cosa estigui segura, potser una llibreta no és tan mala idea.

El pany de l'escala i la cadena de proveïdors

Per il·lustrar que la seguretat ven por, Marc explica una anècdota de la seva escala: quan un veí «il·luminat» es va posar un segon pany, al cap de poc tot l'edifici en tenia un d'igual, perquè ningú volia ser l'únic que no el tingués. Les empreses de seguretat viuen d'aquest FOMO. Però el problema sovint no depèn de tu: la gent es pensa que la seguretat és el «admin / admin», i Marc i Àlex saben què és 1Password mentre el Clínic potser no. N'hi ha prou que un proveïdor extern tingui un full d'Excel amb totes les contrasenyes perquè esdevingui una porta d'entrada que l'hospital no controla. La ciberseguretat és, doncs, una cadena llarga i difícil de controlar.

Per què atacar un hospital i no un banc

Marc planteja el dubte que li va venir al cap: si vas amb passamuntanyes davant d'una pantalla de codi, no ataquis un hospital; roba un banc, el Santander o alguna de l'Ibex. Li sap greu que la víctima sigui un hospital.

Àlex respon amb la lògica dels incentius. Atacar un banc és esforç altíssim per a una recompensa altíssima, però amb probabilitats mínimes: has de ser el hacker més expert del planeta. Un hospital té un nivell de ciberseguretat molt més baix, i encara que no nedi en diners s'enfronta a multes multimilionàries per la fuita de dades i prefereix pagar el rescat: amb molt menys esforç, la recompensa és elevada. Àlex hi afegeix una màxima fosca: tendim a abusar de qui no es pot revenjar —es persegueix qui roba dues llaunes de tonyina al Mercadona, però es deixa en pau el poderós; quan van anar a rascar Jordi Pujol pels comptes d'Andorra, ell va deixar caure que si parlava tombava la monarquia, i el van deixar en pau—. És una batalla de poder, i el Clínic, malauradament, l'ha perduda.

On són més segures les teves dades: a Google, no al teu ordinador

Ve un dels punts on no acaben d'estar d'acord. Marc defensa, contra la narrativa habitual, que les teves dades estan més segures a Facebook o a Google que enlloc: no les venen, les protegeixen amb pany i forrellat perquè són la seva font de negoci, i ell no recorda cap atac que hagi tombat els servidors de Google, mentre que «el tonto del 3 al 4 que viu a Molins de Rei» rep atacs amb una facilitat increïble. Àlex matisa que, justament, si les teves dades estan més segures a Google que al teu ordinador, el problema és teu: el teu nivell de protecció és pèssim. L'usuari mitjà no fa servir 1Password ni el clauer d'Apple, i repeteix sempre la mateixa contrasenya o n'usa una de deduïble amb el nom del fill i el naixement de la mascota. La clau és l'asimetria d'interès: si algú té tant interès a robar-te a tu com a robar Google, ets mort. Tots dos, això sí, deixen clar que no tenen compte a cap de les dues.

Zero-days, recompenses d'un milió i un negoci de la por

L'atac al Clínic no era un zero-day. Àlex explica el concepte amb una imatge barroera: si estàs gros i ho saps des de fa temps no és cap zero-day, perquè el pots arreglar; el zero-day és com anar al metge i descobrir de cop una cosa que no sabies, una vulnerabilitat present però que ningú coneixia. Empreses com Facebook o Google paguen molts diners —de l'ordre d'un milió de dòlars— a hackers de guant blanc perquè els trobin aquests forats; l'Hospital Clínic, en canvi, no hi destina cap partida.

De fet, es pregunten per què, quan parlen de les feines del futur, mai surt la ciberseguretat. Per un costat, és un camp reactiu: com qui posa una alarma a casa només quan han robat algú de l'escala, les empreses hi inverteixen de debò només després de ser atacades. Marc ho lliga amb la seva lògica de les assegurances —no entén per què la gent en paga per casuístiques que potser no passaran mai—, com fa ell amb el lloguer de cotxes, que en fa quinze anys que no paga l'assegurança perquè els números li surten a compte. Per l'altre, és un negoci basat en la por, sense bona premsa: les empreses de ciberseguretat són «low profile» perquè anunciar-se els diluiria l'autoritat —«si s'anuncien deu ser que estan desesperats»—.

El que l'escola no ensenya: contrasenyes, finances i nutrició

Tanquen amb la seva tesi de fons: a l'escola hi falta el coneixement que de debò cal per a la vida. Com no s'ensenyen finances personals bàsiques —que per Marc no és parlar de futurs del cereal a Chicago, sinó simplement de no gastar més del que ingresses—, tampoc s'ensenya comportament a internet ni ciberseguretat. Per això a tothom li han robat alguna vegada l'Instagram o el Messenger; i sense aquest mínim a escala personal, el problema viatja a la feina, on fins i tot a empreses amb cultura de seguretat hi ha qui té el post-it de les contrasenyes enganxat al cubicle. Marc remata que el currículum hauria d'incloure les coses que fem cada dia —exercici, nutrició, detectar una notícia falsa o una imatge feta amb IA—, perquè la gent passa més estona a Instagram que a classe. Tenir un gestor de contrasenyes hauria de ser tan higiènic com vestir-se per sortir de casa, i continua «nowhere to be seen».