Delitos informáticos: La técnica del salami
¡Ah! ¡El Salami!
Ese exquisito manjar, menospreciado por muchos, y que degustábamos en los años de Universidad las noches de los Viernes al terminar las clases, con un botellín de cerveza bien frio.
Veamos un poco de cultura gastronómica.
El Salami se elabora con una mezcla de carnes de vacuno y porcino sazonadas, que se ahuman y posteriormente se dejan curar al aire. Similar al salchichón en su aspecto a primera vista, destaca por ser muy tierno, con un sabor suave y aromático, cortándose generalmente en lonchas muy finas.
Y es aqui, querido lector, donde comienza la historia de la Técnica del Salami. Una técnica casi tan antigua como el hombre, donde se intenta obtener el mayor beneficio posible a partir de pequeñas cantidades tomadas de diversas fuentes.
¿Recordais la película “Superman III” de 1983? En ella Richard Pryor protagonizaba una escena que muestra perfectamente una de las múltiples variantes de este delito, fácil de ejecutar, relativamente simple de programar y dificilmente detectable salvo mediante una auditoría exhaustiva:
Hace muchos años, la picaresca de algunos comerciantes les permitía obtener mayores beneficios con la venta de este embutido mediante pequeños trucos.
Por ejemplo, cuando el embutido se vendía envasado al vacío, solía indicarse la cantidad de lonchas que incluía el paquete con una nota que indicaba que era aproximado. En un supermercado ya desaparecido cerca de casa (no me extraña que lo cerraran), rara era la vez que el supuesto sobre de 25 lonchas contenía esa cantidad. Normalmente eran una o dos menos, con lo cual de los supuestos 6 sandwiches a 4 lonchas cada uno… bueno, siempre faltaban lonchas.
Haciendo cuentas, si de cada salami se obtenían 25 paquetes a 25 lonchas, sólo con quitar una de envase el comerciante conseguía un paquete extra a coste cero.
Afortunadamente, la legislación cambió y los envases deben cobrarse según peso exacto.
Otra posibilidad (y esto os va a recordar la escena de la película) era que algunos charcuteros guardaban los restos de salami que no podían vender al ser demasiado pequeños para cortarlos. Cuando tenían suficiente los utilizaban para hacer paté de salami, que vendian bastante caro, o incluso llegaban a triturarlos añadiendo aglutinantes, los introducían en moldes… y fabricaban un salami.
¿Y que tiene que ver todo esto con los delitos informáticos?
Muy sencillo. Hablemos de redondeos.
Cualquier operación matemática que hagamos relacionada con Euros, Soles, Bolívares, Pesos, Dólares… conlleva el uso de decimales. Así, lo normal es que al adquirir un artículo este tenga un precio de 19’95€ (nada de 20€, que es un número más redondo), o que al recibir cualquier factura o recibo, luego de aplicar impuestos resulte una cantidad nada redonda. Por ejemplo, mi operador de telefonía cobra los SMS a 0’08€.
Tras impuestos (un 18% de IVA en España), cada SMS se paga a 0’0944€.
Hasta aquí, todo correcto, pero… ¿os habeis dado cuenta de un detalle? Tengo que pagar 0’44 céntimos, menos de medio céntimo.
A ver si encuentro una de estas...
Bien, si repaso mi factura de telefonía de este mes con SMS, llamadas y tráfico de datos, y hago las cuentas sin redondear, me encuentro con que me han cobrado 84’73€ (lo sé, hablo muuucho por el móvil), PERO la suma sin redondear es de 84’726€.
Como veis, he pagado 0’004€ de más. Según la legislación española, los redondeos pueden hacer al alza o a la baja. Si el decimal es superior a 5, debe ser de la primera forma. En otro caso, se procederá de la segunda.
Es decir, que si algo vale 1’945€, pueden cobrarme 1’95€. Si fuera 1’944€, pagaría 1’94€.
Por tanto, podemos decir que para las cifras 1,2,3 y 4 la compañía pierde décimas de céntimo, pero con 5,6,7,8 y 9 los gana.
Quedaos con esta idea y sigamos avanzando…
Supongamos que mi compañía de telefonía (que no diré cual es porque no quiero problemas), que tiene unos cuantos millones de abonados. Digamos, por hacerlo sencillo, que tiene 1.000.000 de clientes.
De esos clientes, a 400.000 le pierde décimas de céntimo, pero a 600.000 se lo gana. Para promediar, digamos que estamos hablando de 0’1 céntimos: lo mínimo.
Una sencilla operación matemática, (600.000 – 400.000) x 0’1, y tenemos una ganancia no prevista de 20.000 céntimos; es decir, 200€
Como comprendereis, en empresas que facturan millones y millones de euros, esa cantidad es ridícula. No buscan ese beneficio, pero se lo encuentran. Incluso si tuviera cien millones de clientes, la cifra es de 20.000€. No es un robo, es símplemente… redondeo.
Resumiendo, que ellos no hacen negocio con esto. Es más, al realizar sus balances contables lo normal es que ese descuadre por exceso (o por defecto) pase sin pena ni gloria. No les afecta como al resto de mortales.
La técnica del salami en delitos informáticos hace precisamente eso: apropiarse de esas fracciones de céntimos y transferirlas a otras cuentas. Una vez acumulado suficiente capital, el delincuente lo retira y desaparece.
Antes, cuando la memoria de los equipos era limitada y cara, no abundaban precisamente los sistemas de más de 32 bits, el almacenamiento se pagaba a precio de sangre de Unicornio, y los sistemas buscaban la mayor eficiencia posible en consumo de memoria, procesador y espacio en disco o cinta reduciendo el tamaño de los datos (sobre todo en COBOL, ese endemoniado lenguaje donde las variables numéricas se declaraban indicando el número exacto de decimales a emplear, y que todavía me produce pesadillas), el redondeo se usaba en muchos procedimientos para disminuir el uso de recursos.
Disco Duro 1Gb de 1980. Precio: 193.000 dólares... interfaces no incluidos
Un programador podría generar un procedimiento con una simple variable que recogiera esas décimas de céntimo, y al completar un valor almacenable transferirlo a una cuenta bancaria.
A la hora de auditar las cuentas, todo cuadraba… al céntimo.
Hoy dia, no existen esos impedimentos técnicos para almacenar datos. Las facturas del móvil por ejemplo vienen con 4 decimales en lugar de dos; los datos que se almacena cualquier programa contable… bueno, podeis haceros una idea de la cantidad de dígitos que se emplean dado que el coste de almacenamiento es my bajo.
Si un delincuente implementa un Salami en estos tiempos, es garantía segura de que será detectado en poco tiempo, que el “beneficio” será ridículo al tener que utilizar milmillonésimas de céntimo… y que seguro pasará una buena temporada en la carcel.
Tags: ataque, cobol, hacker, hacking, redondeo, richard pryor, salami
