Dejar al hacker fuera de onda

Ni José Fernando Gómez ni Julen Martínez van por la vida absortos en su móvil a la busca y captura de pokémones. Sin embargo, en su día estas criaturillas les permitieron corregir el tiro y abandonar una idea con la que su recién fundada 'startup' estaba arriesgando mucho. Concretamente, con su videojuego de realidad aumentada, ese que saca a los jugadores a la calle para que, mezclando imágenes reales y virtuales, puedan sorprender a Pikachu en plena Gran Vía. Para cazarlo hay que estar muy atento a la pantalla, pero, sobre todo, hay que estar físicamente en ese lugar ya que el efecto se consigue porque la geolocalización dice al videojuego dónde nos hallamos. Pero eso es sólo la teoría; al GPS también se le puede engañar.

Los promotores de IronChip aún estudiaban Ingeniería en la UPV cuando en 2017 una empresa de intermediación financiera les permitió optar al contrato para programar su plataforma de registro online. «Otros tuvieron mes y medio para preparar una demo. Nosotros, que ni estábamos constituidos como sociedad, dos semanas», recuerdan. No importó. Tras quince días «transformando cafeína en código» lograron el contrato y fueron a la notaría.

Después, ya metidos en faena, comprobaron que las contraseñas de muchos usuarios estaban filtradas en Internet y eran objeto de mercadeo entre los hackers. «El problema es que estamos registrados en un montón de sitios y nos da pereza memorizar tantas claves, así que las reutilizamos», subrayan. De modo que si piratean la red social donde hemos colgado el currículum o donde presumimos de maña en la cocina ya nos tienen pillados. Ya tienen nuestro nombre y una contraseña con la que probar suerte allá donde nos localicen.

Por lo tanto, una clave por sí sola no servía al broker para autenticar a sus usuarios. Había que buscar otras posibilidades. Ahí se percataron de que la movilidad, eso de poder comprar y vender en cualquier momento y lugar, no va con los inversores serios. Ellos prefieren mover su dinero desde donde tengan sus gráficas y sus cálculos a mano, de modo que suelen conectarse casi siempre desde el mismo sitio.

Y sabiéndolo, ¿por qué no usar la geolocalización de ese lugar como un requisito de acceso? Bastaría con que, una vez introducida su contraseña, el usuario accediera a una aplicación móvil que determine las coordenadas del lugar donde se encuentra el ordenador desde el que se desea entrar en la web. Si el dato coincide con lo registrado, adelante.

La idea gustó al broker, que prefirió desarrollarla internamente y les ofreció integrarse en el equipo que asumiría la tarea, pero rehusaron. «Estábamos allí porque nos gusta la tecnología pero también porque queremos ser emprendedores -explican-. Eso sí, Ironchip pasó de ser empresa que ofrecía servicios de desarrollo a ser una empresa que desarrolla productos».

Pero justo ahí, preparando su primer producto propio de ciberseguridad, se les cruzó Pikachu. «Un día vi cómo mi primo pequeño, con diez años, buscaba pokémones en China -recuerda Gómez-. Había bajado de Google una app que falseaba los datos de latitud y longitud, de modo que el videojuego creía que el niño estaba en China». Conclusión, la geolocalización únicamente basada en coordinadas tampoco garantizaba la seguridad en Internet. Un hacker que se ha hecho con un nombre y una contraseña también podría lograr una dirección y, con ella, adquirir el don de la ubicuidad; estaría en su casa pero el sistema de autenticación creería que se encuentra en la nuestra.

«Teníamos que lograr que la geolocalización no fuera también usurpada, así que en vez de basarla en la longitud y la latitud, que cualquiera puede posicionar en un mapa, pensamos en tomar como referencia las ondas», explican. Éstas varían en cada punto del planeta debido tanto a los campos electromagnéticos naturales como a los artificiales: tendido eléctrico, antenas de radio o televisión, bases de telefonía móvil, wifi, bluetooth... Total, en conjunto todas las ondas conforman un registro único en cada punto geográfico, imposible de simular desde otro lugar.

Además, las ondas presentan una ventaja añadida; guardan el anonimato. Aunque un hacker lograra el registro nunca podría saber a qué lugar pertenece, con lo que como medida de seguridad el sistema también cumple con la Ley de Protección de Datos; aunque comprueba que la geolocalización es siempre la misma, en realidad no sabe a qué dirección corresponde. De hecho, eso no se sabría ni pirateando el servidor de la propia Ironchip, porque -cosas de la inteligencia artificial- al sistema le basta leer una vez la dirección para memorizarla, así que en cuanto la tiene, elimina el dato. En el servidor sólo queda un algoritmo matemático.

Es cierto que esas ondas no son constantes, que basta con que un vecino cambie el wifi para que tengamos una variación perceptible en casa. Pero, cada vez que nos identificamos el sistema toma un nuevo registro que compara con los anteriores para determinar si hay alguna variación brusca y, por tanto, sospechosa. Si la hay, se bloquea el acceso dejando al hacker fuera de onda.

• Temas
• Barakaldo
• Hackers
• Ciberseguridad