Transcription performed by LeahTranscribesJACK: [RUÍDO DE FONDO] Cuando entras a un banco, ves todo tipo de medidas físicas de seguridad. Hay paneles gruesos de vidrio entre los cajeros y los clientes, bóvedas con puertas grandes y pesadas, hay cámaras por todas partes y un guardia de seguridad caminando por ahí. Pero, piensa en las formas de escapar de todo eso. Tal vez haya una puerta trasera del banco y te preguntes si está desbloqueada, o tal vez la puerta entre los cajeros y los clientes es tan baja que podrías saltar por encima. Quizás ves un punto ciego en la forma en la que están apuntando las cámaras. En este episodio vamos a probar la seguridad física de un banco, pero nuestro objetivo no es robar dinero, sino obtener acceso a la computadora del cajero. JACK (INTRO): [MÚSICA DE INICIO] Estas son historias reales del lado oscuro de internet. Esto es Darknet Diaries, en español. [FINALIZA MÚSICA DE INICIO]
JACK: En este episodio, vamos a escuchar una historia de Jayson E. Street.
JAYSON: ¿Qué tal?
JACK: Jayson es uno de esos tipos que tiene historias interminables de cosas increíbles que le han sucedido, y ambién es adicto a la Pepsi Light. Cuando hablas con él, escuchas que dice cosas random como…
JAYSON: El problema no es beber la Pepsi Light. Normalmente, intentar deshacerme de la Pepsi Light es lo que me trae problemas. Casi muero orinando desde un acantilado en Bulgaria.
JACK: Mientras hablaba con él, tenía algo de curiosidad por conocer la historia detrás de todos esos pequeños acontecimientos que él me contaba, pero no pasó mucho tiempo antes de que dijera algo que realmente necesitaba escuchar por completo.
JAYSON: Accidentalmente robé un banco equivocado la última vez que estuve en Beirut.
JACK: Jayson comenzó en la policía, pero durante los últimos casi veinte años ha estado trabajando en seguridad informática. Ha realizado trabajos considerables defendiendo redes, pero también ha llevado a cabo numerosos ensayos ofensivos. Una de sus cosas favoritas es lo que él llama Security Awareness Engagement, Compromiso de la Conciencia de Seguridad. Las empresas lo contratan para probar la seguridad física de un lugar. Por ejemplo, no debería ser posible que una persona simplemente camine por la calle, entre [PASOS] directamente en una oficina, pasando por la recepción, se siente en una computadora aleatoria, trabaje y luego salga. [CIERRA PUERTA] Debería ser detenido, ¿verdad? Una puerta debería estar cerrada, la recepción no debería dejarlo pasar, y la computadora debería estar bloqueada. Luego, alguien debería notar que no debería estar allí. Esto es lo que debería detenerlo, pero las empresas contratan a Jayson para probar si este tipo de cosas son posibles.
JAYSON:Cuando hago estos encargos, no son de equipo rojo. No son pen-testing, pruebas de penetración. Es literalmente poner a prueba la conciencia sobre la seguridad. No me importa que me atrapen y, si no me atrapan, trato de que me atrapen al final del encargo, porque estoy tratando de enseñar a los empleados a ser mejores en sus tareas.
JACK: Yo honestamente entendería que mientras escuchas esta historia, puedes cuestionar la legitimidad de lo que nos está contando. Yo sé que lo hice. Así que hay fotos y videos de él haciendo estas cosas. Puedes verlos en las notas del programa en la web de Darknet Diaries. Las historias que estás a punto de escuchar fueron todas capturadas por su cámara de muñeca, una cámara en el botón de su chaqueta, o cámaras de circuito cerrado en el propio banco. De hecho, hay un episodio de National Geographic que lo filmó haciendo algunas de las cosas de las que hablará. Verifiqué los hechos de la historia lo mejor que pude y, asombrosamente, todo coincide. [MÚSICA] Hace unos años, un banco lo contrató para hacer uno de estos compromisos de conciencia sobre seguridad. Querían que él probara la seguridad física de un banco en Beirut. Jayson tomó un vuelo y se dirigió al Medio Oriente.
Beirut es la ciudad capital del Líbano, que se encuentra entre Siria e Israel y tiene hermosas vistas del Mar Mediterráneo. El idioma principal es el árabe, pero también se habla francés e inglés. Jayson llega a la sede del banco. Es un edificio alto con al menos treinta pisos. Hay una sucursal bancaria en la planta baja y los otros pisos son las oficinas del banco. Jayson sube al vigésimo piso a una sala de conferencias.
JAYSON: Pues, comencé la mañana con una reunión con un tipo que no estaba muy impresionado conmigo, por decirlo así. No soy bueno con las primeras impresiones por alguna razón. Él estaba siendo muy condescendiente conmigo porque soy estadounidense y soy, bueno, ya sabes, rarito y eso. Me dijo: “No sé si vamos a caer en eso, ¿qué necesitas para que te ayudemos?”. Yo le dije: “¿Sabes qué? ¿por qué no bajo ahora mismo y comprometo tu sucursal de ahí abajo?”. Él dijo: “¿Qué?”. Entonces, bajamos y comprometí toda su sucursal, incluso estuve detrás de su línea de cajeros. Y eso no le hizo mucha gracia. Pero luego, me disparé en el pie por decirlo así, porque ahora ellos dijeron: “Está bien, pues eres muy bueno, queremos ver si puedes comprometer realmente la red”. Yo les dije: “Bueno, pero ¿cómo podría mostrar un compromiso de la red robando cosas físicamente?” “Consíguenos una ID de usuario, una contraseña, una tarjeta inteligente, una computadora y acceso a la red. Te daremos tres oportunidades en tres sucursales diferentes. Vas y haces lo que puedas para lograrlo”. Y digo: “Claro, lo que sea. Vamos a ver qué pasa. Yolo.”
JACK: [MÚSICA] A Jayson no le gusta hacer mucha investigación previa antes de una misión como esta. Si la misión asignada es con otra persona, y comienzan a planificar y trazar estrategias para el robo, Jayson terminaría diciendo…
JAYSON: ¿No puedo simplemente entrar y ser adorable? Eso siempre me ha funcionado.
JACK: Jayson se pone su traje.
JAYSON: Llevo una chaqueta de cuero que dice “Defcon”, zapatillas rojas de los Thundercat, una camiseta color caqui y una camisa por encima con una placa que tiene su logo, la cual podría haber conseguido en cualquier lugar, en la basura, lo que sea, y una tarjeta colgada que es simplemente una tarjeta en blanco que parece una tarjeta de acceso.
JACK: Le gusta usar lo que él llama su “chaleco de la perdición”, que contiene algunos elementos esenciales para esta misión.
JAYSON: Normalmente llevo un “pwn plug”, que es un USB en forma de patito de goma, con un Proxmark 3, un par de Dropbox. Son algunas cosas maliciosas para mostrarles el daño que podría causar. Nunca ejecuto un código. Nunca exploto realmente las vulnerabilidades. Lo hago solo para mostrar cuál es el potencial. Recuerda, no estoy tratando de ejercer de equipo de rojo. No estoy tratando de conseguir equipo rojo. No estoy tratando de explotarlos. No estoy tratando de sacar sus vulnerabilidades. Estoy tratando de educarlos sobre los peligros que realmente existen.
JACK: Jayson ya está listo, así que el conductor lo recoge y lo lleva al banco.
JAYSON: Voy a la primera sucursal y literalmente entro. Y entro, y camino como si supiera adónde voy. Paso junto a la asesora ejecutiva, llego a la oficina del gerente donde está hablando con alguien. Él no me ve asomarme, así que me detengo justo afuera de su puerta, antes de volver donde la asesora pueda verme, me quedo allí esperando unos treinta segundos. [MÚSICA]
JACK: Esta pausa que está haciendo es importante. No fue directamente a los cajeros. En lugar de eso, fue en la dirección opuesta hacia un pasillo con oficinas. Está esperando justo afuera de la oficina del gerente porque quiere dar la impresión de que está reuniéndose con el gerente, para que, cuando se mueva a la siguiente ubicación en el banco, ya lo hayan visto, o espera que alguien lo haya visto, saliendo de la oficina.
JAYSON: Luego caminé directamente hacia la oficina de la asesora. Su primera impresión debe haber sido que acababa de terminar de hablar con el gerente. Le dije que sí, que estaba aquí con el auditor. Que estamos haciendo una auditoría de los sistemas informáticos desde la oficina central, y que necesitaba ver la computadora.
JACK: Como parecía que acababa de salir de la oficina del gerente, ella se creyó la historia y le permitió usarla. Lo primero que hace es enchufar un “rubber ducky” en su máquina. El “rubber ducky” parece un simple USB, pero en realidad es una herramienta increíblemente peligrosa. Cuando se conecta a una computadora, esta lo reconoce como un teclado y el “rubber ducky” procede a enviar comandos pregrabados al computador. El “rubber ducky” puede ser configurado para crear una sesión de control remoto en esa computadora. Con solo enchufarlo unos segundos, un hacker puede obtener control total de la máquina desde una ubicación remota. Pero el “rubber ducky” de Jayson solo abre un bloc de notas y escribe la palabra ‘Hello’ en él, porque no quiere hackear realmente la máquina, solo quiere probar si la máquina es hackeable. Una vez que ve que aparece el Bloc de notas, toma una foto de la pantalla con su iPad, cierra la ventana con el ratón y desconecta el “rubber ducky”.
JAYSON: Conecto el dispositivo. Ahora, todo está listo, porque ahora la gente me ve salir de la oficina de la ejecutiva después de haber salido de la oficina del gerente. Me acerco a otra mujer que estaba al lado de la línea de cajeros. Ella hizo contacto visual conmigo cuando salí, así que mantuve el contacto visual, fui a su escritorio y le dije: “Oye, estoy haciendo una auditoría de las máquinas desde la oficina central. Necesito revisar todas estas máquinas”. Logré que me dejara comprometer su computadora. Ella pensó que todo estaba bien, así que me llevó detrás de la línea de cajeros y luego procedí a comprometer la computadora de la cajera que estaba ahí. Todo esto me tomó apenas dos minutos y algo desde que entré por primera vez.
JACK: (10.25) En este punto, Jayson está detrás de la línea de cajeros del banco. Les ha pedido a los cajeros que se aparten un segundo mientras él enchufa su dispositivo en la computadora, y luego toma el control del ratón y comienza a usarla. No le tomó mucho tiempo hacer esto con todas las computadoras que encontró detrás de la línea de cajeros. Después de tocar cada computadora que veía, empezó a manipular otros dispositivos electrónicos como escáneres, impresoras, monitores, todo. En un momento, mientras estaba a solo unos metros de distancia de la cajera, una persona estaba realizando un depósito bastante grande.
JAYSON: Sí, de hecho tomé fotos de eso. Estaba depositando $250,000 dólares en efectivo. Podría haberlo alcanzado y tocado. Uno de los ejecutivos que estaba allí observando todo quería que fuera a robar el dinero porque estaba consiguiendolo todo. Ya que unos cinco minutos después de que llegué a la línea de cajeros, estuve allí casi treinta minutos. Estuve detrás de la línea de cajeros y en todas las diferentes oficinas. Comprometí completamente toda la instalación y tenía total libertad. El gerente llegó aproximadamente diez o quince minutos después de que ya estuviera haciéndolo todo, y entonces él asume que todos me verificaron, por lo que estoy a salvo. Todos pensaban que él me había verificado, por lo que, en teoría, estaba a salvo. Nadie me verificó realmente. Fue una conversación cruzada entre los dos. Logré que uno pensara que el otro me había verificado.
JACK: Llegados a este punto, Jayson ya se había establecido tan bien que el gerente le pidió que revisara un problema que habían estado teniendo con una computadora. Jayson dijo que para ayudar necesitaba un ID de usuario, una contraseña y una tarjeta inteligente. Así que se lo dieron. Jayson estuvo chequeando el problema durante un minuto y les dijo que simplemente reemplazaría esa computadora por una nueva. El gerente estaba encantado con la noticia y le pidió que revisara también el escáner y los monitores, y Jayson decidió decirle que la sede planeaba hacer una renovación completa de todo el equipo, lo cual era una mentira total. El gerente reaccionó a esto como un niño recibiendo regalos en su cumpleaños, claro.
JAYSON: Le digo que estoy allí para ayudar a hacer una restauración y reconstrucción de su oficina, su sucursal. Me deja hacer todo, excepto entrar en la bóveda. Esa es la única área a la que no me dejó acceder, porque no había líneas telefónicas, enchufes ni ningún tipo de dispositivos de internet allí. Aunque pregunté y le dije, ¿estás seguro? Déjame echar un vistazo. Mientras estaba allí, conseguí el ID de usuario, la contraseña y la tarjeta inteligente de uno de los supervisores principales. Conseguí con éxito tres de las cosas en la primera sucursal.
JACK: Visto lo visto, Jayson seguía intentando empujar los límites de lo que se le permitía hacer. Y empezó a sacar cosas del edificio.
JAYSON: Literalmente salí de la sucursal unas tres veces. Salí con toda la documentación que estaba debajo del escritorio de los cajeros, sus blocs de notas, salí con todo eso. Conseguí su ID de usuario, contraseña, tarjeta de acceso, me dejaron trabajar en la máquina, y me llevé su tarjeta diciéndoles que necesitaba usarla para probar algo. Salí con eso, luego tomé algo más, y me fui con eso. Salí del edificio tres veces. La sucursal fue tan horrible en su respuesta que literalmente esperé dentro hasta que toda la sucursal cerró por el día, y luego reuní a todos y le pedí al ejecutivo que estaba conmigo lo tradujera todo al árabe, sólo para asegurarme de que todos entendieran completamente qué tan mala era la situación, lo mal que los había comprometido y lo que necesitaban hacer para estar mejor protegidos y ser más conscientes de este tipo de cosas en el futuro. Fue entonces cuando se dieron cuenta por primera vez de que yo era el malo.
JACK: El gerente del banco aún estaba confundido sobre quién era Jayson.
JAYSON: Él estaba como… era como patear a un cachorro. Me sentí tan mal porque después de enseñarles a todos y entrenarlos sobre lo que estaba pasando, él levantó la mano durante la reunión general y preguntó: ¿Y las computadoras gratis? ¿Todavía recibimos las nuevas computadoras? Yo le dije: No, te mentí. Soy una mala persona.
JACK: Al día siguiente, Jayson se encuentra con su conductor para que lo lleve a la siguiente sucursal. A Jayson le quedan dos objetivos: robar una computadora y obtener acceso a la red. El conductor lo deja frente al banco.
JAYSON: [SONIDOS DE TRÁFICO] Era un edificio de cristal y había un cartel en la puerta. Decía algo como… en francés y árabe. No tenía ni idea de lo que decía pero, tenía una flecha, y pensé que significaba que tenía que seguir a la siguiente puerta. Estoy caminando, y llego a la puerta y a punto de entrar cuando escucho un claxon insistente. [CLAXON SONANDO] Ese día había mucho tráfico, pero este sonido era diferente, era realmente insistente. Justo antes de entrar– ya había identificado a alguien detrás de la línea de cajas con quien planeaba hablar, pero el claxon seguía sonando, así que me di la vuelta para ver quién era. Y efectivamente, era el conductor que me llevó. Me acerqué a él y me dijo: “¡Ese es el banco equivocado! ¡Ese es el banco equivocado!” Yo respondí: “Sí, pero hay un cartel en la puerta”. “Dice que presiones el botón para entrar!”. Y yo digo: “Oh”, y vuelvo a la puerta original, presiono el botón y eso me dejó entrar.
JACK: Jayson reconoce que da abrazos incómodos, pero si hubiera entrado al banco equivocado y hubiera intentado robar una computadora equivocada, eso habría alcanzado un nivel completamente nuevo de incomodidad para el que no estaba preparado. Por suerte, su conductor lo detuvo justo a tiempo antes de entrar al banco. Jayson se recompuso y finalmente entró al banco correcto.
JAYSON: Me sentí mal por todo lo que hice en el primer banco, así que me prometí no hablar con nadie. [MÚSICA] Solo caminé hacia atrás, encontré la sala de descanso y me serví un poco de agua. De esa forma, después de un par de minutos, ahora me estaba acercando desde una dirección diferente. En lugar de venir del lado no confiable, ahora estaba llegando desde el lado confiable. Todo es psicológico. Entré por una puerta que me llevó al área de los cajeros, una especie de espacio circular. Literalmente me acerqué al lado del cajero que estaba atendiendo a un cliente y, sin decirle una palabra, comencé a desconectar la computadora. La desconecté, desenchufé todo y salí con ella.
JACK: ¿Cómo es posible?
JAYSON: Porque, ¿qué tipo de persona loca entra a una maldita sucursal a robar una computadora? Bueno, aparte de mí, claro. Era una computadora pequeña, en su defensa.
JACK: Ahora Jayson ha cumplido cuatro de los cinco objetivos y le queda una sucursal más. El último objetivo es obtener acceso a la red. El conductor lleva a Jayson a la última sucursal. [MÚSICA]
JAYSON: Eso fue lo más simple. Solo me acerqué y había una señora limpiando las oficinas. Le dije que necesitaba entrar a las salas de red, que estaba haciendo un trabajo para la oficina central. Simplemente abrió la puerta. Fue muy anticlimático en ese momento.
JACK: ¿Y cómo funcionó eso?
JAYSON: Porque no asocian eso con dinero. Es solo un armario de red. Mira, no llevo una máscara de esquiar, no parezco amenazante. Estoy sonriendo, y bromeando. Soy inofensivo. ¿Por qué no dejarme entrar?
JACK: Él se tomó una foto en su sala de redes junto con todo los equipos de red, luego salió de la sala, cerró la puerta detrás de él y salió del banco. Jayson había logrado infiltrarse fácilmente en tres bancos en tres días y cumplió con sus cinco objetivos. Se reunió nuevamente con los ejecutivos que lo habían contratado. Su respuesta fue…
JAYSON: Impactados. Literalmente, estaban atónitos. Simplemente no podían creer que eso hubiera sucedido. Decían: “Esto no puede estar pasando”.
JACK: [MÚSICA] Pasan algunos años. Jayson recibe otra llamada para otro compromiso de conciencia sobre seguridad. Esta vez es un banco diferente en Beirut, así que se dirige nuevamente hacia allá.
JAYSON: Fui contratado para…
JACK: Por supuesto, con una Pepsi Light mientras cuenta la historia.
JAYSON: Fui contratado para robar una sede allí para un banco. Hay un problema con… es que, hay muchos bancos en Beirut, así que estaba haciendo este encargo y comenzamos esa mañana. Fue un éxito. Empezamos con éxito. Luego, el banco que habíamos comprometido totalmente empezó a hacer llamadas telefónicas a otras personas para advertirles sobre mí. Estaba un poco molesto. Nos estábamos saliendo un poco del guión yendo a una sucursal que no sabían, esperando poder sorprenderlos. Yo había bebido una botella de litro y medio de Pepsi Light, lo que generalmente me trae problemas. Tenía que ir al baño desesperadamente y el tipo que es el enlace del encargo me dice: “Ok, ve por esta acera. Hacia el final, está justo allí. Entra y yo estaré allí dos minutos después porque él es mi carta de salida de la cárcel”. Así que, voy por la acera y en todo lo que pensaba, literalmente, estaba mirando otras tiendas y lugares, buscaba uno con baño. Iría a ese primero para no entrar al banco y ya necesitando ir al baño.
Pero no pude encontrar uno. Veo la sucursal. No miro el letrero. Tiene cajeros, es el banco al que se supone que debo entrar. Así que entro. (20.00) Sé que los baños en Europa y en muchos otros países están en el segundo piso o tal vez en el sótano; nunca están en la planta baja. Así que automáticamente busco las escaleras para subir o bajar y… Encuentro unas escaleras que suben. Segundo piso, y claro, ahí está el baño. Estoy muy feliz por eso. Uso el baño, bajo de nuevo. Estoy en la cima de las escaleras, mirando hacia abajo. Veo a dos personas trabajando en un cubículo. Pienso: “Bueno, se supone que debo empezar a trabajar”. [MÚSICA]
Entonces bajo y les digo que soy de Microsoft, les muestro mi identificación falsa de Microsoft, conecto el patito de goma, y comprometo su máquina. Aparece esta ventana con un documento de texto diciendo: “Esto no debería haber pasado”. Luego paso a la siguiente máquina y también la comprometo. Ya he tenido éxito. Así que ya terminé. Todo el trabajo ya está completo. Ya comprometí su red. En este tipo de compromisos de concienciación sobre seguridad, el éxito está en comprometer un solo dispositivo, porque un dispositivo es suficiente para comprometer toda la red. Todo lo demás es una experiencia adicional y bueno, una oportunidad de enseñanza para los empleados. Comprometo a todos los empleados y luego regreso para hablar con ellos, explicarles qué hice y qué hicieron mal que me permitió hacerlo. Comprometo la segunda máquina y ahora estoy muy contento. Me siento relajado.
Luego, este tipo se me acerca cuando estoy por comprometer la tercera máquina y me pregunta: “¿Qué estás haciendo aquí?” Yo respondo: “Oh, soy el de Microsoft. Estoy realizando una auditoría de USB debido a la fusión de adquisiciones”. Esto supuestamente debía ser muy confidencial. Entonces le muestro un correo electrónico falso en un iPad. Siempre lo haces en un iPad porque así parece más legítimo. Si fuera en papel, podría parecer algo impreso y menos creíble. Le enseño este correo electrónico falso que supuestamente proviene de la CFO del banco, quien además es la hija del dueño del banco, dándome autorización para realizar esta auditoría. Él me dice: “Bueno, tienes que hablar con la supervisora para eso”. Yo pienso: “Está bien”, porque ya he ganado. Todo lo que tengo que hacer ahora es escapar.
Voy con la supervisora y le muestro el correo electrónico. Este email falso tiene dos posibles desenlaces que conozco. Opción 1: Lo leen y dicen: “Ok, esto parece completamente legítimo”. Opción 2: lo leen y dicen: “Sí, esto parece sospechoso. Necesito más documentación. Necesito llamar a alguien”.
Si eligen la segunda opción, respondo de manera muy inocente y adorable: “¿Necesitas más papeles? Porque tengo más en mi auto. Puedo ir a buscarlos”. Y entonces me dejan ir, lo que está bien porque me han permitido escapar una vez que sospechan que algo raro está pasando.
Bueno, resulta que hay una tercera opción. Y esta opción yo no la conocía, ni siquiera concebible durante mucho tiempo, porque simplemente nunca se me había ocurrido. La tercera opción es que cuando la supervisora lee el correo, me mira con una expresión severa y claramente molesta, y dice: “Esto es para el banco de al lado. ¿Qué estás haciendo aquí y qué conectaste a nuestras computadoras?” No te miento, lo primero que dije —y mira que podría haber inventado todo tipo de excusas o pretextos—, pero no estaba preparado para eso. Simplemente la miré directamente a los ojos y dije: “Esto es desafortunado. Esto es desafortunado”. Sí, no tenía más nada que decir. No debería estar aquí. [MÚSICA]
Unos dos minutos después, estoy en la oficina del gerente del banco. Ni me preguntes cómo llegué ahí. Estoy sentado en una silla, con seis personas hablando árabe muy enfadadas a mi alrededor, y pienso: “Esto no pinta bien”. Empiezo a entrar un poco en pánico y digo: “Chicos, es solo… abre un documento de texto. Está totalmente bien. Estoy haciendo un trabajo de prueba. Esto es lo que hago”. Entonces, pensé que sería una gran idea demostrarlo. Conecto el USB en la computadora del gerente del banco, creyendo en ese momento que era la mejor decisión. Aparece el bloc de notas, mostrando exactamente lo que decía. Luego miro detrás de mí y veo sus caras, y pienso: “Ah, sí. Acabo de comprometer otra máquina, ahora con más testigos”. Esto es desafortunado. Esa idea no funcionó tan bien como esperaba. Incluso llegué al punto de decir: “Pueden buscarme en Google. Soy conocido por hacer estas cosas”.
Están muy molestos. Para ese momento, el representante de la compañía que me contrató descubrió dónde estaba, porque se dio cuenta de que no había aparecido en la sucursal donde se suponía que debía estar. No tenía idea de dónde estaba; pensaba que estaba en la sala trasera comprometiendo todo ahí, hasta que finalmente se dio cuenta de que algo no cuadraba y salió a buscarme. Me encontró, y entonces empezó a hablar con ellos en árabe, inglés y francés, porque hablan los tres idiomas con fluidez. Les estaba explicando lo que estaba pasando, intentando calmar la situación. Finalmente, dijeron: “Está bien, pero tienes que ir a la oficina principal con un escolta para que el equipo de seguridad central revise la carga y se asegure de que no es algo malicioso”. Así que nos dirigimos a la oficina principal. [MÚSICA]
JACK: A Jayson lo estaban escoltando en auto hacia la sede central de un banco en el que accidentalmente había irrumpido. Comenzaba a sentirse bastante preocupado.
JAYSON: No estaba yendo bien. Estaba un poco nervioso. Y siendo honesto contigo, no conozco las condiciones de las prisiones libanesas, pero no quiero averiguarlo jamás. Afortunadamente, nunca he visto “Encerrado en el Extranjero”. Estaba un poco nervioso. Literalmente, técnicamente hice cosas malas.
JACK: Aunque en realidad no hizo nada malicioso a una computadora, cruzó la línea al estar en un lugar donde no debía estar físicamente y mintió a los empleados sobre el motivo de su presencia. La situación habría sido mucho peor si hubiera intentado sacar una computadora del edificio. Por suerte para él, el “rubber ducky” que estaba conectando no hacía nada dañino a sus computadoras. Siguió tratando de explicarse mientras lo llevaban a la sede del banco, pero aún querían que su equipo de seguridad revisara el “rubber ducky” y lo interrogaran más a fondo.
JAYSON: Llegué a la oficina central [MÚSICA], subí al piso correspondiente y descubrimos otras vulnerabilidades de seguridad porque nos permitieron caminar sin escolta en áreas restringidas, lo cual resultó ser otro hallazgo. Finalmente, entré en la oficina del departamento de seguridad, y literalmente, hice todo lo posible para parecer lo más adorable posible. Hice bromas sobre tener que ir al baño, sobre cualquier cosa, tratando de desarmar la tensión con humor. Por suerte, el “patito de plástico” todavía tenía la pegatina que indicaba lo que era, ya que usualmente lo saco de su carcasa para que parezca más sospechoso, pero afortunadamente no lo hice esta vez. Pudieron buscar en Google qué era un “patito de goma” y vieron que se trataba de una herramienta de pruebas. Aun así, me interrogaron durante lo que parecieron cuatro horas. [MÚSICA]
En realidad, pasé al menos dos horas dándoles capacitación educativa y discutiendo con ellos sobre todas las cosas que hicieron mal y que cosas me permitieron tener éxito en lo que hice. Cuando llegó el Director de Seguridad, hablé con él e hice algunas de las mismas bromas de siempre, tratando de desarmarlo. Llamó al tipo que nos había contratado para “robar” el banco, y empezaron a hablar. A mitad de la conversación, literalmente dice: “¿tenemos que dividir el costo de esto?” En ese momento, me di cuenta de que probablemente todo iba a estar bien. Cuando estaba saliendo, les pregunté al cruzar la puerta: “Estamos bien, ¿verdad? ¿Todo está en orden? Les di algo de consultoría”. Y, juntando mis muñecas como si me pusieran esposas, dije: “No voy a ir a la cárcel, ¿verdad? Estamos bien, ¿no?” Respondieron que sí, que todo estaba bien, que podía irme. Entonces pensé: “Perfecto, me largo de aquí”, y me fui. No respiré aliviado hasta que estuve en un avión rumbo a París, como tres días después. Después de todo, ¿quién no ha “robado” el banco equivocado antes? Los errores pasan. Me enteré al día siguiente que, tan pronto como me fui, cerraron esa sucursal y realizaron un borrado forense de todas sus máquinas, lo cual, honestamente, no me molestó; no puedo culparlos. Probablemente fue una muy buena decisión.
JACK: Antes de irse de Beirut, Jayson encontró el banco correcto y logró entrar exitosamente, obteniendo acceso a todas las computadoras de la primera sucursal, incluidas las máquinas de cada cajero. De hecho, esa intrusión fue documentada por National Geographic para un episodio de un programa llamado “Breakthrough”. Su tarea era infiltrarse en tres sucursales, y no tuvo problemas con dos de ellas. Sin embargo, un empleado en la tercera sucursal lo detuvo antes de que pudiera tocar la computadora. Jayson mostró un correo electrónico falso en su iPad, pero el empleado no le creyó y sospechó. Jayson dijo que tenía más documentación en el auto y preguntó si debía ir a buscarla. El empleado aceptó, lo que permitió a Jayson escapar de la sucursal. Fue detenido, pero no fue atrapado. Jayson se sintió orgulloso de ellos por detenerlo y se aseguró de hablar bien de ellos en su informe, destacando su buen desempeño al frustrar su intento. ¿Cómo podemos protegernos de personas como tú?
JAYSON: Informando a las personas que está bien sospechar cuando alguien entra, que deben llamar a alguien para verificar cuando alguien que no conocen esté cerca, y que los ladrones no solo llevan pasamontañas y escopetas, sino también trajes y dispositivos USB. Creo que ese es el punto clave: ser cautelosos con ciertos correos electrónicos, especialmente si tienen un enlace o un archivo adjunto. Eso debería aumentar tu nivel de sospecha al máximo, sin importar si lo esperabas o no. Siempre deberías ser precavido, verificar y reconfirmar con el remitente para asegurarte de que sea lo que buscabas. Además, cuando veas a alguien nuevo que dice que hará trabajo en tu área, no hay ningún problema en verificar su identidad. Nunca permitas que alguien entre detrás de ti usando tu tarjeta de identificación o credencial. Ellos deben tener su propio acceso y entrar por sí mismos. Queremos ser educados, no queremos ser groseros, pero es necesario ser firmes. “Esta es una política de seguridad; no es mi decisión, pero es una política de seguridad”.
JACK: Gracias, Jayson, por venir al programa y compartir tu historia con nosotros.
JAYSON: Felicidades por hacer este tipo de cosas y tratar de difundir más información. Esa es la clave. Ganamos al informar y compartir conocimiento con los demás. Es posible que no sepas cuáles son las amenazas.
JACK: [MÚSICA DE SALIDA] Has estado escuchando Darknet Diaries en español. Puedes encontrar fotos, videos y más información sobre Jayson en las notas del programa en darknetdiaries.com Este programa fue creado por Jack Rhysider, traducido y narrado en español por Armando D. Hernández, la voz de Jayson fue locutada por Carlos Echezuria. La música es de Ian Alex Mac y Jahzzar. Dirigido por Marieta Caballero, y producido por Calavera Sound en Madrid.
[FINALIZA LA MÚSICA DE SALIDA]
[FIN DE LA GRABACIÓN]