La de la foto es Robin Sage, una chica estadounidense  de 25 años, analista de seguridad que trabaja en la unidad de inteligencia Naval Network Warfare Command de la marina americana, en Norfolk, Virginia. O eso es lo que nos quisieron hacer creer… 

Robin Sage se graduó en el Instituto Tecnológico de Massachusetts (MIT) y, a pesar de su corta edad, acredita diez años de experiencia laboral como analista de amenazas cibernéticas. Entre diciembre de 2009 y enero de 2010, Robin creo varias cuentas en redes sociales como Facebook, LinkedIn o Twitter con el objetivo de contactar con expertos en su materia. Y la verdad es que tuvo un gran éxito, porque llegó a entrar en comunicación con cerca de 300 personas, la mayoría especialista en seguridad, personal militar, empleados de agencias de inteligencia y contratistas de defensa; casi todos ellos pertenecientes al sexo masculino. 

Dicen que entre sus contactos hay oficiales de alto rango en la división de inteligencia del Cuerpo de Marines de los Estados Unidos, el jefe de gabinete de un congresista, oficiales de la NSA, oficiales del Departamento de Defensa y varios ejecutivos de distintas empresas proveedoras de éste, más un oficial de la Oficina Nacional de Reconocimiento, organismo que fabrica y pone en órbita los satélites espía de los Estados Unidos. Todo un currículum de impresión. 

La noticia no tendría mayor relevancia que el propio contacto entre colegas de profesión sino fuera porque Robin Sage no existe. Fue un experimento de Thomas Ryan, cofundador de Provide Security, para demostrar cómo las medidas de seguridad del país más paranoico en ese tema se pueden ver reducidas a cenizas cuando el instinto más básico de los hombres se interpone entre la racionalidad y un par de tetas. 

Ryan inventó el nombre de la chica y sacó su fotografía de una página web de contactos relacionada con la pornografía. Abrió las cuentas sociales y experimentó durante 28 días con el fin de averiguar qué datos sensibles podía recolectar con sólo una cara bonita y un currículum de ensueño totalmente falso. La industria de la seguridad en EE. UU. es eminentemente masculina, y Robin tenía la posibilidad de comprobar cómo de infalible podría llegar a ser. 

El caso es que a la joven le ofrecieron varios puestos de trabajo de alto nivel en compañías notables como Google o Lockheed Martin, una empresa americana aeroespacial y de defensa, seguridad y tecnología avanzada. También recibió más de una invitación para comer y cenar. En el tiempo que duró la investigación, Robin recolectó diversos datos muy importantes, como direcciones de correo electrónico, cuentas bancarias o conexiones entre diferentes personas y organizaciones gubernamentales. Se le entregaron documentos privados y secretos para su revisión e, incluso, se le ofreció la posibilidad de hablar en varias conferencias. La falsa analista de seguridad llegó a conocer la ubicación de unidades militares secretas por medio de fotografías que los soldados tenían colgadas en sus perfiles de Facebook. 

La inmensa mayoría de sus contactos pertenecía al gobierno y al ejército de los Estados Unidos, así como a empresas u organizaciones vinculadas a ellos. Aunque hay que decir una cosa en favor de la seguridad más extrema, y es que Robin no logró tener contacto en todo ese tiempo ni con agentes de la CIA ni del FBI. La verdad es que no todo el mundo se dejó engañar por la mujer, Ryan ha admitido que su credibilidad descendió bastante a partir del segundo día, cuando muchos de sus contactos en potencia quisieron verificar su identidad por vía telefónica, a través de cuentas de correo externas a las redes sociales o mediante la consulta de la red de antiguos alumnos del MIT. Empero, los que sí picaron el anzuelo proporcionaron información de alto valor gubernamental y militar. 

Thomas Ryan dio luz a sus conclusiones en el evento Black Hat 2010 de las Vegas, una convención anual de expertos en seguridad. Llamó a su presentación «Acostarse con Robin Sage», y explicó cómo su corto experimento había probado que puede ser muy perjudicial el hecho de compartir detalles aparentemente inofensivos a través de las redes sociales. Pero no sólo eso, sino que también demostró que personas encargadas de custodiar información vital y sensible son asaz susceptibles de compartir esa información con un tercero si éste se las arregla para captar su interés o persuadirlas correctamente. 

La conclusión final a la que llegó Ryan, y que dejó boquiabiertos a los presentes, es que esos mismos resultados podrían haber comprometido la seguridad nacional si, en lugar de su empresa, la táctica de Robin Sage la hubiera utilizado una organización terrorista. Aquellos que no te dejan meter un bote de colonia en un avión, luego pían como gorriones en celo sus secretos más íntimos cuando una hembra enseña cacha y se pone picarona. 

La verdad es que esta historia se antoja preocupante. Por supuesto que la culpa no es de Internet, no vamos a ser aquí tan demagógicos y sensacionalistas como los medios tradicionales, que prácticamente culpan a la Red de redes hasta de que llueva en Semana Santa. Los culpables son los de siempre, el eslabón más débil (como decía Kevin Mitnick), las personas que se encuentran detrás de los ordenadores. Un sistema de seguridad no puede ser tal si implica la participación de un ser humano. No somos máquinas, somos seres vivos, y como tales nos comportamos.

4 comentarios a “Robin Sage, una experta en seguridad que en realidad no lo era”