Culpables por crédulos

El martes pasado fue un día relativamente normal en Estados Unidos hasta las 13.07, y lo siguió siendo un cuarto de hora después. Lo que pasó entremedias, durante 360 inexplicables segundos, tiene pocos precedentes en la historia de la primera potencia mundial. A las 13.07, hora estadounidense, la agencia de información Associated Press anunció en su cuenta de Twitter: “Última hora: dos explosiones en la Casa Blanca y el presidente Obama está herido”. Eran solo 12 palabras, pero ninguna invitaba a la calma. A las 13.08, la Bolsa de Nueva York reaccionó con pánico y de forma instantánea a la noticia, debido al peso que tienen las operaciones realizadas por ordenadores en Wall Street. Los autómatas, que ya realizan el 50% de las operaciones en el parqué neoyorquino, usan programas algorítmicos que solo se atienen a series estadísticas y datos. No tienen capacidad para verificar las informaciones. El Dow Jones, el índice bursátil más importante del mundo, llegó a desplomarse un 1% en cuestión de segundos. A las 13.09, empezó a circular el rumor de que el tuit de Associated Press era falso. A las 13.13, las órdenes de venta de títulos pararon. El Dow Jones recuperó los puntos perdidos y las cosas volvieron a la normalidad.

Solo que no era la misma normalidad que antes. El incidente había tenido un origen tangible: alguien había pirateado la cuenta de Twitter de Associated Press y había publicado el tuit que sembró el caos en los mercados. Algo aparentemente fácil de repetir. Los hechos pusieron además en evidencia los puntos flacos de varias instituciones. Por ponerlo en perspectiva: alguien había irrumpido en una de las cuentas informativas con mayor credibilidad de la red para noticias de última hora; había cobrado la voz de una de las agencias más respetadas del mundo; había hecho creer a varias personas que la mismísima Casa Blanca estaba en peligro y el político más influyente del planeta, herido. Y había hecho que Wall Street se comportara, al menos durante unos momentos, como si todo aquello fuera verdad.

“Todos tenemos nuestra parte de responsabilidad. El público, los periodistas y los responsables de las plataformas sobre las que se propagó el rumor”, recrimina Dan Gillmor, profesor de información digital en la Universidad de Arizona y respetado analista de medios digitales gracias a sus columnas de The Guardian y a libros como Nosotros, el medio. “Algunos más que otros. El público, en particular, es culpable de una falta de escepticismo”.

Los ‘inversores’ que entraron en pánico no eran personas, sino ordenadores

Esto es cierto en lo que toca a la parte social de la historia. Pero la parte más peligrosa y palpable del suceso se caracteriza por una irremediable ausencia de inteligencia humana: los inversores que entraron en pánico y desestabilizaron los mercados durante cuatro minutos no eran personas, sino ordenadores. Máquinas mucho más avanzadas que las que llevan décadas cotejando miles de datos para ayudar a los brókeres a dirimir qué vender y qué comprar. Inteligencias, en definitiva, más agresivas y más inestables. “Lo del martes lo provocaron algoritmos diseñados para leer e interpretar noticias”, explica Irene Aldridge, consultora de fondos de inversión y autora del libro 'Transacciones de alta frecuencia, una guía sobre este tipo de transacciones algorítmicas'. “A un ordenador le resulta legible casi todo lo que se publica en la Red, así que es fácil enseñarle a reaccionar a asuntos de última hora. La agencia Reuters y Dow Jones venden, con gran éxito, un suministro constante de noticias de las que estos algoritmos pueden sonsacar el qué, el dónde, el quién y el cómo y reaccionar como se les haya programado”.

Hace unos años irrumpió una novedad: el suministro de noticias de Reuters amplió sus fuentes a cuatro millones de páginas provenientes de redes sociales. Ahí están, al fin y al cabo, las noticias más recientes hoy en día. Los ordenadores necesitaban guiarse por ellas. Pero también pueden dejarse llevar por sus mentiras.

Los autómatas realizan ya el 50% de las operaciones en ese parqué

Wall Street no es ajena a los bulos. A finales de 2000, un hombre llamado Mark Simeon Jakob fue encarcelado por fraude tras inventarse un comunicado de prensa de apariencia creíble contra la empresa Emulex. Su actuación costó 110 millones de dólares (84 millones de euros) a los inversores. Y un rumor sobre la posible muerte de Steve Jobs originado en 2008, tres años antes del verdadero deceso, en uno de los foros de periodistas urbanos de la web de CNN provocó que el valor de Apple se desplomara durante 12 minutos. Pero nunca tanta gente había actuado como si una mentira tan grande fuese verdad. “Es el clásico compra con el rumor y vende con la noticia”, señala Salvador Mas, director general de OpenFinance, una empresa de software financiero. “Los buscadores todavía no saben diferenciar una broma de un acontecimiento y reaccionan de igual manera ante todo: compran o venden. Lo más lógico es programarlo para que reaccione a palabras como Casa Blanca, explosión, Obama o herido. Con esto, unos empiezan a vender acciones y otros, programados para vender las suyas cuando un valor descienda hasta un cierto número, siguen cavando el hoyo en el gráfico. Visto así, el tuit estaba claramente diseñado para engañar a las máquinas”.

Esta obra maestra de la fechoría electrónica no tiene todavía autor confirmado. Solo una cuenta ha reclamado su autoría, que tendrá que confirmar una de las tres agencias federales a las que se ha encargado la investigación: @Official_SEA6, la sexta intentona de un colectivo de avezados hackers llamado Ejército Electrónico Sirio (EES) de permanecer en Twitter tras ser bloqueados cinco veces por la red social. El bloqueo es algo común en cuentas como las suyas, dedicadas a la guerra electrónica entre Gobiernos o activistas.

Un experto dice: “El público debe asumir su responsabilidad y ser escéptico”

“El EES es parecido a otros grupos como los que se pueden encontrar en Bahréin, Egipto, Marruecos. Con una salvedad: cuentan con la indisimulada aprobación del Gobierno sirio, si es que no están directamente vinculados con él”, explica Jillian C. York, directora del Instituto por la Libertad de Expresión Internacional en la Fundación Electronic Frontier de San Francisco. “Sus servidores solían estar en la Sociedad Informática Siria, que presidía el presidente Bachar el Asad en los noventa. Y su régimen ha reconocido al EES como su ejército virtual en el ciberespacio”.

El objetivo del EES es, efectivamente, alinear las noticias que Occidente recibe de Siria con la visión del régimen de El Asad: que la rebelión que enfrenta al pueblo con su Gobierno es, en realidad, una insurgencia terrorista. A tal fin, amén de hackear webs de quienes consideran sus enemigos para publicar su información, el EES ha estado infiltrándose en las cuentas de Twitter de varias organizaciones periodísticas, generalmente para difundir en ellas enlaces de sospechosa veracidad. Solo en el último año le ha ocurrido a la cadena CBS, la radio pública NPR, la BBC y a algunas cuentas del diario The Guardian durante este mismo fin de semana. También han penetrado en la cuenta de la cadena ABC para divulgar una noticia titulada Vivo en Siria, amor a Bachar el Asad. O en las cuentas de la FIFA y su presidente, Joseph Blatter, para publicar tuits en los que acusaba al directivo de corrupción.

Una cuenta de un colectivo sirio reclama la autoría del ‘hackeo’

De ser suyo el ataque sufrido por la agencia de noticias AP, no solo sería el más grande que hayan cometido, sino el primero abiertamente malicioso. Lo que deja a las instituciones afectadas en una posición especialmente vulnerable es que es imposible determinar si es un triunfo aislado o el comienzo de una escalada en sus filas. “Está claro que el EES no centraliza sus acciones, al igual que Anonymous [el sello bajo el que se amparan varios grupos de activistas online para justificar reivindicaciones impulsadas individualmente]”, prosigue York. Y opina: “El objetivo tras este hackeo parece ser el de llamar la atención sobre su causa. De la misma forma que un atentado terrorista que se comete en un país del Tercer Mundo atrae la atención sobre la causa de sus autores”.

Quizá lo más inquietante es que, pese al impacto que tuvo el ataque en los mercados, fue una operación llamativamente simple. Mike Baker, un redactor de Associated Press, tuiteó una posible teoría al poco de producirse: “Hace menos de una hora, algunos de nosotros [los trabajadores de la agencia] habíamos recibido correo de phishing pasmosamente encubierto”. La técnica del phishing no requiere de tecnología avanzada. Consiste en hacerle llegar a alguien un correo con un enlace y convencerle de que pinche en él. Para ello se suelen disfrazar los correos con argucias como logotipos falsos y fines oficiales que hagan parecer que el usuario no tiene alternativa. Una vez pinchado el enlace, el hacker puede forzar que se instale un software y acceder, así, al ordenador en cuestión. Correos así se escriben a diario con fines mucho más modestos.

Google y Facebook ofrecen desde hace años una segunda clave de seguridad

Claro que el tamaño no es algo que importe en Twitter. Hackear la cuenta de una de las fuentes de información más reputadas del mundo no es más difícil que hacerlo en la de un usuario corriente. Hace tiempo que las grandes empresas y los expertos en seguridad lamentan esta situación. Google y Facebook ofrecen, desde hace años, una alternativa: una segunda clave de seguridad para las cuentas grandes que dificulta el pirateo de forma probada. Apple hizo lo mismo en marzo y Microsoft, la semana pasada. “Es algo muy extendido. Pero hay costes como exasperar al usuario”, explicaba hace poco Mark Risher, cofundador de Imperium, una empresa que asesora a las redes sociales, a The New York Times en un reportaje sobre el tema. “Puedes llenar la puerta principal de cerrojos, pero ya verás cómo te desesperan cada vez que vayas a hacer la compra”.

Todo esto es el resultado de una noticia. Falsa, pero aireada por una cabecera profesional. Y Gillmor encuentra en el aspecto periodístico del acontecimiento una fábula sobre el poder de los bulos en la era digital: una empresa periodística, que ya de por sí va a la carrera para gestionar un volumen creciente de información a gran rapidez, y que ya de por sí es vulnerable a los hackers, se suma a una plataforma aún más vulnerable. El resultado, prosigue, es un bulo indistinguible de la información real que provoca un desplome bursátil en cuestión de segundos y el intercambio de miles de millones de euros. “Algo así volverá pasar; será un hackeo o será un fallo proveniente de la empresa periodística”, alerta. “El público tiene que asumir su trabajo; ejercer su capacidad para no ser engañado y no sumarse a la inmediatez de los medios y mantenerse escépticos porque estos fallos son inevitables”.

Las 12 palabras del tuit podrían haber estado diseñadas para asustar a los logaritmos de Wall Street en nanosegundos. Pero fue la reacción humana de los brókeres lo que reencauzó el drama. Con los lectores, a final de cuentas únicos seres invariablemente humanos en la era digital, pasa lo mismo. “El poder de detener los bulos está en ellos”.