Innovación
28 marzo 2018

¿Puede una startup prescindir del testing de software?

Apuntes científicos
31 mayo 2022

Calendario científico mayo 2022

Medioambiente
19 septiembre 2022

Lo que los jóvenes nos enseñan del cambio climático

Autor destacado
Abhijit V. Banerjee
Massachusetts Institute of Technology, Massachusetts, EE.UU.

Último libro publicado

Cuadernos de Sostenibilidad nº 3. La búsqueda de alternativas a los combustibles fósiles
Ver más libros
Elaborado por Materia para OpenMind Recomendado por Materia
18
Inicio Ciberataques
Tecnología Mundo Digital
Artículo del libro C@mbio: 19 ensayos clave acerca de cómo Internet está cambiando nuestras vidas

Ciberataques

Cambio | Comunicación | Informática | Innovación | Internet
Mikko Hypponen
F-Secure Corporation, Helsinki, Finlandia
Tiempo estimado de lectura Tiempo 18 de lectura

Introducción

El mundo real no es como el mundo online.

En el mundo real solo hemos de preocuparnos de los delincuentes que viven en nuestra ciudad. Pero en el mundo online tenemos que preocuparnos de delincuentes que podrían estar en la otra punta del planeta. La delincuencia online siempre es internacional, ya que internet no conoce fronteras.

Hoy en día los virus informáticos y otros programas de software malicioso ya no están desarrollados por hackers aficionados que buscan la fama y la gloria dentro de su entorno. La mayoría de ellos los crean delincuentes profesionales que ganan millones con sus ataques. Estos delincuentes quieren tener acceso a nuestros ordenadores, a nuestras contraseñas de PayPal y a los números de nuestras tarjetas de crédito.

Paso gran parte de mi vida viajando y he visitado muchos de los lugares considerados más conflictivos de la actividad delictiva online. He visitado Moscú, São Paulo, Tartu, Vilna, San Petersburgo, Pekín y Bucarest.

He estado en contacto con organizaciones clandestinas y con la policía, y me he dado cuenta de que las cosas nunca son tan sencillas como parecen a simple vista. Por ejemplo, cabría pensar que en el epicentro de los ataques a bancos estaría la lucha contra los mismos, ¿no es cierto?

Sí, pero cuando se investiga más a fondo surgen las complicaciones. Un buen ejemplo de ello es una conversación que mantuve con un inspector de delitos cibernéticos en Brasil, en la que hablamos de los problemas del país y de cómo São Paulo se había convertido en la mayor fuente de troyanos bancarios del mundo.

El inspector me miró y me dijo: «Sí, entiendo lo que dice, pero lo que usted debe entender es que São Paulo también es una de las capitales con mayor tasa de homicidios del mundo. Es habitual que personas mueran en tiroteos callejeros. Así pues, ¿en qué debemos emplear nuestros recursos exactamente? ¿En combatir la ciberdelincuencia o en combatir los delitos de sangre?».

Todo es cuestión de equilibrio. Cuando se ponen en un lado de la balanza los daños producidos por la ciberdelincuencia y en el otro la pérdida de vidas humanas, salta a la vista cuáles son más importantes. Adaptarse al rápido crecimiento de la delincuencia online resulta una tarea harto difícil para las fuerzas nacionales de policía y los sistemas legales, pues cuentan con capacidades y recursos limitados para sus investigaciones. Las víctimas, la policía, los fiscales y los jueces casi nunca descubren el auténtico alcance de estos delitos, que se suelen producir más allá de las fronteras nacionales. Los procesos penales contra los delincuentes son muy lentos, los arrestos, contadísimos y, con excesiva frecuencia, las penas impuestas resultan demasiado leves, en especial si se comparan con las de los delitos perpetrados en el mundo real.

La baja prioridad que se concede a perseguir a los ciberdelincuentes y la demora en el establecimiento eficaz de penas por delitos cibernéticos transmiten un mensaje equivocado y es el motivo por el que la delincuencia online aumenta a gran velocidad. Ahora mismo, los delincuentes potenciales online son conscientes de que las probabilidades de ser descubiertos y castigados son mínimas y de que los beneficios son enormes.

La realidad de quienes ocupan puestos como el del inspector de São Paulo es que han de hacer frente tanto a falta de presupuesto como a lo limitado de los recursos. Desde un punto de vista operativo, sencillamente no pueden responder a cualquier amenaza. Si se quiere seguir el ritmo de los ciberdelincuentes, la clave está en la cooperación. La buena noticia es que el sector de la seguridad informática es uno de los pocos en que resulta habitual que los competidores directos se ayuden entre sí.

Punto de inflexión

Si usted tenía Windows en su ordenador hace 10 años, utilizaba la versión de Windows XP. De hecho, lo más probable es que utilizara Windows XP SP1 (Service Pack 1). Esto es importante, porque Windows XP SP1 no disponía de cortafuegos preestablecido ni tampoco de actualizaciones automáticas. Por ello, si se usaba Windows, usted no tenía cortafuegos y debía aplicar parches al sistema operativo de forma manual, descargándolos con Internet Explorer 6, que a su vez era de lo más vulnerable desde el punto de vista de la seguridad.

No es de extrañar, por tanto, que en 2003 proliferaran los virus y gusanos informáticos. Es más, aquel año presenciamos algunos de los peores brotes de la historia: Slammer, Sasser, Blaster, Mydoom, Sobig, etcétera. Estos virus ocasionaron daños. Slammer infectó una planta nuclear en Ohio y colapsó la red de cajeros automáticos del Bank of America; Blaster paralizó los trenes en las vías a las afueras de la ciudad de Washington y cerró los sistemas de facturación de Air Canada de los aeropuertos canadienses; Sasser infectó todos los sistemas de varios hospitales en Europa.

Los problemas de seguridad de Windows eran tan graves que Microsoft tenía que actuar. Y lo hizo. Visto en retrospectiva, dio un giro espectacular a sus procesos de seguridad. Lanzó Trustworthy Computing y abandonó temporalmente todo proyecto nuevo para localizar y reparar las vulnerabilidades existentes. Actualmente el grado de seguridad por defecto de un Windows 8 de 64 bits es tan superior al de Windows XP que ni siquiera son comparables.

Ha habido otras empresas que han dado giros similares. Cuando la nave de Microsoft empezó a ser más segura y difícil de atacar, los agresores comenzaron a buscar objetivos más fáciles. Entre los preferidos estuvieron Adobe Reader y Adobe Flash. Durante muchos años aparecían constantes vulnerabilidades en los productos de Adobe, además la mayoría de los usuarios seguía utilizando versiones muy antiguas, ya que actualizarlos no era nada fácil. Finalmente, Adobe se organizó y resolvió el problema. Hoy, el grado de seguridad de, por ejemplo, Adobe Reader 11 es tan superior al de las versiones antiguas que no se puede comparar.

El problema ahora lo tienen Java y Oracle. Parece ser que Oracle todavía no ha conseguido organizarse. Y puede que ni siquiera tenga que hacerlo, ya que los usuarios están abandonando Java y ya está desapareciendo de la red.

El grado general de seguridad de los sistemas que maneja el usuario es ahora más alto que nunca, pues en la década pasada se introdujeron grandes mejoras. Por desgracia, también en esa década cambió por completo el tipo de agresor.

En 2003, todos los programas maliciosos los desarrollaban aficionados, por diversión. Ahora han sido sustituidos por tres tipos de agresor: delincuentes organizados, hacktivistas y Gobiernos. Los delincuentes y sobre todo los gobiernos pueden permitirse invertir en ataques y, como resultado de ello, nuestros ordenadores siguen sin estar protegidos, ni siquiera tras la introducción de las mejoras mencionadas.

Eso sí, los aviones ya no se quedan en tierra ni los trenes, parados por culpa de programas maliciosos cada dos por tres, como sucedía en 2003.

Criptomonedas

En 2008, un matemático llamado Satoshi Nakamoto presentó un documento técnico en una conferencia sobre criptografía. En él se describía una red entre pares donde los sistemas participantes realizaban complicados cálculos matemáticos en lo que se denominó «una cadena de bloques» (blockchain). Este sistema se diseñó con el fin de crear una divisa completamente nueva: una criptomoneda, es decir, una moneda basada en la matemática. El documento se titulaba: «Bitcoin: un sistema de dinero electrónico entre pares».

Dado que el bitcoin no está vinculado a ninguna moneda existente, su valor es aquel que las personas le asignan. Además, puesto que se puede utilizar para realizar transacciones instantáneas a escala mundial, tiene valor real. Enviar bitcoins se parece mucho a enviar mensajes electrónicos. Si usted tiene una dirección electrónica, yo puedo enviarle dinero. Puedo mandárselo de manera instantánea, a cualquier lugar, saltándome los tipos de cambio, los bancos y Hacienda. De hecho, las criptomonedas permiten prescindir de los bancos para mover dinero de un sitio a otro, motivo por el que dichas entidades se muestran contrarias a su utilización.

Lo maravilloso del algoritmo en que se basa bitcoin es que resuelve dos problemas fundamentales de las criptomonedas unificándolos: el modo de confirmar las transacciones y el de inyectar unidades nuevas al sistema sin producir inflación. Como el sistema carece de banco central, las transacciones se han de confirmar de algún modo, si no, cualquiera podría crear dinero falso. Con los bitcoins, son los demás miembros de la red entre pares quienes las confirman. Al menos seis miembros de dicha red han de confirmar las transacciones antes de que se realicen. Pero, ¿por qué querría alguien confirmar transacciones para otros? Porque se benefician de ello, ya que el algoritmo emite bitcoins nuevos como recompensa a los usuarios que han participado en las confirmaciones. Este proceso se denomina «minería».

En los orígenes del bitcoin, la minería era fácil y uno podía ganar tranquilamente docenas de bitcoins desde el ordenador de su casa. Sin embargo, a medida que aumentó su valor la minería se volvió más difícil, ya que había más personas interesadas en el proceso. A pesar de que el tipo de cambio del dólar frente al bitcoin ha fluctuado, lo cierto es que a principios de 2013 un bitcoin se cotizaba a 8 dólares y en otoño, a 130. Así pues, ahora tiene valor en el mundo real.

Cuando bitcoin adquirió valor, la gente cada vez mostró mayor interés en saber quién era Satoshi Nakamoto. Este concedió unas cuantas entrevistas por correo electrónico, pero con el tiempo dejó de mantener correspondencia por completo y luego desapareció. Cuando lo empezaron a buscar, se descubrió que Satoshi Nakamoto no existía. A día de hoy nadie sabe todavía quién inventó el bitcoin (no obstante, se ha visto a seguidores del bitcoin con camisetas en las que se puede leer «Satoshi Nakamoto murió por nuestros pecados»).

En la actualidad existen redes gigantescas de ordenadores emitiendo bitcoins y otras criptomonedas competidoras, como litecoin. La idea fundamental en que se basa la minería es relativamente sencilla: si uno tiene ordenadores lo bastante potentes, puede ganar dinero. Por desgracia, esos ordenadores no serán necesariamente suyos. En la actualidad, algunos de las mayores botnets dirigidos por delincuentes online se destinan a la minería. Así, podría haber una persona mayor que tenga un ordenador de uso doméstico, por ejemplo, en Barcelona, operando las 24 horas al cien por cien de la capacidad de Windows XP emitiendo monedas por valor de miles de dólares al día para una banda rusa de ciberdelincuentes. Es fácil ver que este tipo de botnets especializados en minería se harán muy populares entre los delincuentes online en el futuro.

Aún más importante es el hecho de que estos ataques no precisan que el usuario esté utilizando el ordenador para ganar dinero. Los mecanismos de monetización mediante botnets más tradicionales requerían que el usuario estuviera presente. Por ejemplo, en el caso de los keyloggers (programas de registro de las pulsaciones del teclado) para tarjetas de crédito era necesario que un usuario tecleara sus datos de pago, mientras que en el de los troyanos tipo Ransom los usuarios debían pagar un rescate para recuperar el acceso a su ordenador o su información. Los botnets especializados en minería solo precisan potencia de procesamiento y conexión a una red.

Algunas criptomonedas nuevas no necesitan procesadores gráficos de gama alta para hacer minería, basta con uno normal. Si a esto unimos que la domótica y los dispositivos integrados son cada vez más habituales, se puede formular un pronóstico interesante: aparecerán botnets que producirán dinero realizando minería en botnets creados a partir de dispositivos integrados. Pensemos en botnets formados por impresoras, decodificadores o microondas infectados. O por tostadoras.

Al margen del sentido que esto pueda tener, las tostadoras con ordenadores integrados y conexión de internet un día serán una realidad. Antes de que existieran las criptomonedas, habría sido difícil imaginarse una razón lógica por la que alguien quisiera crear programas maliciosos para infectar tostadoras. Ahora bien, botnets especializados en minería de miles de tostadoras infectadas podrían generar suficiente dinero para justificar tal operación. Y tarde o temprano ocurrirá.

Espionaje

El espionaje consiste en recabar información. Cuando esta aún se escribía en hojas de papel, los espías tenían que ir físicamente y robarla. En la actualidad la información se encuentra en los datos que contienen los ordenadores y las redes, de modo que el espionaje moderno se suele realizar con ayuda de programas maliciosos. Los ciberespías utilizan troyanos y programas backdoor (de puerta trasera) para infectar los ordenadores objetivo y estos les permiten acceder a los datos, aunque estén en la otra punta del mundo.

¿Quién invierte dinero en espionaje? Las empresas y los países. Cuando lo hacen las empresas se denomina «espionaje industrial». Cuando lo hacen los países, simplemente «espionaje».

En la mayoría de los casos los ataques se producen a través de mensajes electrónicos enviados a unas pocas personas cuidadosamente seleccionadas o incluso a una sola de una organización determinada. El destinatario recibe lo que en apariencia es un mensaje electrónico normal con un documento adjunto, a menudo de alguien conocido. En realidad, todo el mensaje es una falsificación. Se han falsificado los datos del remitente, y el aparentemente inofensivo documento adjunto contiene el código de ataque. Si el destinatario no se da cuenta de que el mensaje es una falsificación, es probable que todo el asunto pase desapercibido para siempre.

Los archivos de programas como los ejecutables de Windows no traspasan los cortafuegos ni los filtros, por ello los agresores suelen utilizar archivos de documentos PDF, DOC, XLS y PPT como adjuntos. Además, es más probable que el destinatario considere que son seguros. En su forma habitual estos tipos de archivos no contienen códigos binarios ejecutables, por eso los agresores utilizan las vulnerabilidades existentes en aplicaciones como Adobe Reader y Microsoft Word para infectar ordenadores.

La estructura de estos archivos de ataque se ha dividido a propósito, de manera que, al abrirse, haga que la aplicación de Office en uso no responda mientras ejecuta el código binario que contiene el documento. Dicho código suele crear dos archivos nuevos en el disco duro y a continuación los ejecuta. El primero es un documento en blanco que se abre y aparece en la pantalla del usuario para que este no se dé cuenta de que la aplicación no responde.

El segundo archivo es un programa backdoor que se inicia de manera inmediata y se esconde dentro del sistema, con frecuencia mediante técnicas de rootkit (programa encubridor). A continuación establece una conexión desde el ordenador infectado a una dirección de red específica en cualquier parte del mundo. Con ayuda del programa backdoor, los agresores acceden a toda la información del ordenador objeto del ataque, así como a la información de la red local a la que su usuario tiene acceso.

Los atacantes suelen emplear programas backdoor como Gh0st Rat o Poison Ivy para controlar sus objetivos a distancia. Con este tipo de herramientas pueden hacer lo que quieran con el dispositivo objeto de ataque. Entre otras cosas, pueden registrar el teclado para recopilar contraseñas e infiltrar un gestor de archivos remoto que busque documentos de interés. En ocasiones, los agresores pueden escuchar a escondidas a sus objetivos controlando a distancia el micrófono de los ordenadores infectados.

Llevo rastreando ataques de espionaje desde que se detectaron por primera vez en 2005. Entre sus objetivos figuran grandes empresas, gobiernos, ministerios, embajadas y organizaciones sin ánimo de lucro como las que hacen campaña por la independencia del Tíbet, apoyan a minorías en China o representan a Falun Gong. Sería fácil acusar al Gobierno de China, pero hacen falta pruebas. Nadie puede demostrar de manera concluyente cuál es el origen de esos ataques. De hecho, sabemos con un alto grado de certeza que diversos gobiernos realizan ataques de esta clase.

También es evidente que lo que hemos visto hasta ahora es solo el principio. El espionaje online y de otro tipo se convertirá en una herramienta de los servicios de inteligencia cada vez más importante en el futuro. Protegerse contra esos ataques puede resultar muy difícil.

El método más eficaz para proteger datos de los ciberespías es procesar la información confidencial en ordenadores especialmente destinados a ello y que no estén conectados a internet. Las infraestructuras esenciales deberían estar aisladas de las redes públicas.

Y con «aislamiento» no me refiero a cortafuegos, sino a ordenadores desconectados. Estar desconectado es problemático, complicado y caro. Pero también es seguro.

«Exploits»

Gran parte de los ciberataques de carácter delictivo o gubernamental utilizan exploits para infectar los ordenadores que constituyen sus objetivos.

Sin vulnerabilidades no hay exploits. En última instancia, las vulnerabilidades no son más que errores de software, esto es, defectos de programación. Existen porque los programas están escritos por seres humanos y los seres humanos cometemos fallos. Los errores de software han sido un problema desde que existen los ordenadores programables, y no van a desaparecer.

Antes de la expansión de internet, los errores de software no tenían una importancia crítica. Por ejemplo, estábamos trabajando con un procesador de texto y abríamos un archivo corrupto: el procesador se quedaba colgado. Aunque molesto, este tipo de incidente no era tan grave. Puede que perdiéramos todo el trabajo que no hubiéramos guardado en los documentos abiertos, pero ahí terminaba todo. Ahora bien, tan pronto como internet entró en juego, las cosas cambiaron. Los errores de software que antes solo eran un inconveniente de repente podían utilizarse para hacerse con el control de nuestros ordenadores.

Existen diversas clases de vulnerabilidades, cuya gravedad varía de inconveniente a crítica. En primer lugar están las vulnerabilidades locales y remotas. Las primeras solo pueden aprovecharlas los usuarios locales que ya tengan acceso al sistema. Sin embargo, las vulnerabilidades remotas son mucho más delicadas, ya que se pueden explotar desde cualquier punto en toda la conexión de red.

De acuerdo con los efectos que tengan en los sistemas objeto de ataque, los tipos de vulnerabilidad pueden dividirse en denegación de servicio, elevación de privilegios o ejecución de código. La denegación de servicio permite al agresor ralentizar o cerrar el sistema. La elevación de privilegios puede utilizarse para obtener permisos adicionales en un sistema. La ejecución de código permite la ejecución de comandos. Las vulnerabilidades más graves son las de ejecución de código remoto. Y son estas las que necesitan los agresores.

Ahora bien, las vulnerabilidades no son tales si se les pueden aplicar parches. Por esa razón, los exploits más valiosos tienen como objetivo vulnerabilidades que el fabricante del producto en cuestión desconoce, lo que supone que no puede resolver el error ni publicar un parche de seguridad para tapar el agujero. Si hay un parche de seguridad disponible y los agresores empiezan a explotar la vulnerabilidad cinco días después de que se haya publicado, los usuarios tienen cinco días para reaccionar. Si no existe ningún parche disponible, los usuarios carecen por completo de tiempo para protegerse, literalmente cuentan con cero días. De ahí la expresión «vulnerabilidad de día cero»: los usuarios son vulnerables, aun cuando hayan aplicado todos los parches posibles.

Los conocimientos sobre vulnerabilidades necesarios para la creación de exploits se obtienen de diversas fuentes. Los profesionales con experiencia buscan vulnerabilidades de forma sistemática mediante técnicas como fuzzing o examinando el código fuente de aplicaciones libres con el fin de encontrar errores. Se han creado herramientas especializadas para localizar códigos vulnerables procedentes de archivos binarios compilados. Los agresores con menos experiencia pueden encontrar vulnerabilidades conocidas leyendo listas de correos sobre seguridad o revirtiendo los parches de seguridad técnica a medida que los fabricantes afectados los publican. Los exploits son valiosos aun cuando haya parches disponibles, ya que hay objetos de ataque que no aplican los parches tan pronto como deberían.

Al principio, únicamente los desarrolladores aficionados de programas maliciosos utilizaban exploits para lanzar ataques. Gusanos como Code Red, Sasser y Blaster se propagaban por el mundo en cuestión de minutos, ya que podían infectar sus objetivos a distancia con exploits.

La situación cambió cuando bandas de delincuencia organizada empezaron a ganar importantes sumas de dinero con los keyloggers, los troyanos bancarios y los troyanos Ransom. Cuando el dinero hizo su aparición, la necesidad de exploits nuevos creó un mercado clandestino.

Las cosas cambiaron aún más al entrar en escena los gobiernos. Cuando, en julio de 2010 se descubrió el nefasto Stuxnet, las empresas de seguridad se quedaron admiradas al comprobar que este ejemplar único de gusano informático utilizaba un total de cuatro exploits de día cero diferentes, lo que todavía constituye un récord. Al final, Stuxnet se vinculó con una operación lanzada por los gobiernos de Estados Unidos e Israel dirigida a diversos objetivos de Oriente Próximo con el fin de ralentizar, en concreto, el programa nuclear de la República Islámica de Irán.

El caso Stuxnet permitió a otros gobiernos tomar nota de tres aspectos clave: estos ataques son eficaces, baratos y pueden desmentirse, todas ellas cualidades muy solicitadas en el mundo del espionaje y de los ataques militares. De hecho, fue en aquel momento cuando se inició la carrera de armas cibernéticas que hoy es una realidad en la mayoría de las naciones tecnológicamente avanzadas. Estas naciones no solo estaban interesadas en tener programas de defensa cibernética para protegerse. Además querían tener capacidad ofensiva y poder lanzar ataques.

Para disponer de programas cibernéticos ofensivos creíbles, los países necesitan un suministro constante de exploits nuevos, ya que estos no duran para siempre. Una vez que son descubiertos, se les aplican parches. Es posible que sea necesario crear exploits nuevos para las últimas versiones de software vulnerable y estos han de dotarse de capacidad ofensiva y ser fiables. Para tener programas cibernéticos ofensivos creíbles, los países necesitan un suministro constante de nuevos exploits.

Dado que encontrar vulnerabilidades y crear exploits dotados de capacidad ofensiva es una tarea compleja, la mayoría de los gobiernos han de subcontratar a expertos para que la lleven a cabo. Y ¿dónde pueden los gobiernos encontrar este tipo de conocimientos técnicos? Las empresas de seguridad y los expertos en programas antivirus no facilitan códigos de ataque, ya que están especializados en defensa, y no en ataques. Los organismos de inteligencia y las fuerzas armadas siempre han recurrido a contratistas de defensa cuando han necesitado tecnología que ellos mismos no son capaces de producir. Lo mismo ocurre con los exploits.

Basta echar un vistazo a los sitios web de los contratistas de defensa mayores del mundo para darse cuenta de que la mayoría ofrece a sus cliente capacidad ofensiva. Northrop Grumman llega incluso a anunciarse por radio y a afirmar que «proporciona soluciones tanto ofensivas como defensivas a clientes gubernamentales».

No obstante, puede que hasta a los contratistas militares les resulte difícil reunir este tipo de conocimientos técnicos especializados en localizar vulnerabilidades desconocidas y atacarlas. Da la impresión de que muchos de ellos terminan comprando sus exploits en alguna de las diversas compañías especializadas en encontrar vulnerabilidades de día cero. Este tipo de compañías ha aparecido en diversos países y no escatiman esfuerzos para encontrar errores de software que puedan explotarse y convertirse en agujeros de seguridad. Una vez encontrados, se dota a los exploits de capacidad ofensiva para que puedan aprovecharse de manera eficaz y consistente. Esta clase de agresor también intenta asegurarse de que la empresa responsable del producto en cuestión no se entere nunca de las vulnerabilidades, pues si lo hiciera las resolvería. Entonces, los clientes y el público en general dejarían de ser vulnerables y el código exploit perdería su valor.

Hay empresas especializadas en la venta de exploits en todo el mundo. Algunas de las conocidas se encuentran en Estados Unidos, Gran Bretaña, Alemania, Italia y Francia. Otras operan desde Asia. Muchas se describen a sí mismas como parte del sector de seguridad informática. Ahora bien, no debemos confundirlas con las compañías de seguridad informática, pues estas empresas no buscan incrementar dicha seguridad. Más bien lo contrario, ya que hacen todo lo posible para asegurarse de que las vulnerabilidades que encuentran no se resuelvan, lo que nos hace más vulnerables a todos.

En algunos casos los exploits pueden resultar útiles. Por ejemplo, las pruebas de intrusión autorizadas que se realizan con herramientas como Metasploit pueden incrementar la seguridad de una organización. Pero aquí, hablamos de esto, sino de la creación de vulnerabilidades de día cero cuyo único objetivo es su utilización para lanzar ataques secretos.

Es difícil calcular el tamaño total del sector de la exportación de exploits. No obstante, al examinar los anuncios de contratación pública de los agentes conocidos, así como de los diversos contratistas de defensa, no resulta difícil ver que en este momento se está contratando mucho más para puestos ofensivos que defensivos. Por ejemplo, algunos contratistas de defensa establecidos en Estados Unidos tienen más de 100 puestos vacantes destinados a individuos que cuenten con la habilitación de seguridad Top Secret o SCI (el máximo grado de seguridad en Estados Unidos) para la creación de exploits. En algunas de estas vacantes se menciona expresamente la necesidad de saber crear exploits ofensivos dirigidos a los iPhones, iPads y dispositivos Android.

Si buscamos ciberataques que se hayan vinculado a un Gobierno determinado, los ejemplos más conocidos son los de los gobiernos de Estados Unidos e Israel. Cuando The New York Times publicó un reportaje en el que se vinculaba al Gobierno de Estados Unidos y a la Administración de Obama con Stuxnet, la Casa Blanca abrió una investigación para descubrir quién había filtrado la información. Cabe observar que la información nunca se desmintió. Solo querían saber quién la había filtrado.

Puesto que Estados Unidos está lanzando ciberataques contra otros países, estos se consideran en su derecho de hacer lo mismo. Como resultado, esta carrera de armas cibernéticas ha generado una demanda creciente de exploits.

Vigilancia gubernamental

Cuando internet se generalizó a mediados de la década de 1990, quienes entonces tenían poder de decisión hicieron caso omiso. Consideraron que no era importante o que no tenía nada que ver con ellos. Como consecuencia, la libertad mundial floreció en este mundo online sin ningún tipo de restricción. De repente, individuos de todo el mundo tenían a su alcance algo verdadera y auténticamente global. También de pronto, los individuos no se limitaban a consumir su contenido, además lo creaban para que otros lo vieran.

Pero con el tiempo políticos y dirigentes comprendieron la importancia de internet y se dieron cuenta de la utilidad que tiene para otros fines, en especial para la vigilancia de los ciudadanos.

Con toda probabilidad, los dos inventos más importantes de nuestra generación, internet y el teléfono móvil, han cambiado el mundo. Ahora bien, ambos han resultado ser herramientas perfectas para la vigilancia estatal.

Y en un Estado vigilante se parte del supuesto de que todos somos culpables.

La vigilancia de internet se convirtió en noticia de portada cuando Edward Snowden empezó a filtrar información sobre PRISM, Xkeycore y otros programas de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) durante el verano de 2013.

No me malinterpreten. Comprendo bien la necesidad de realizar una labor de supervisión y vigilancia. Si se sospecha de que alguien dirige una red de narcotraficantes, está planeando un tiroteo en un colegio o participa en una organización terrorista ha de ser vigilado, aunque con la correspondiente orden judicial.

Ahora bien, PRISM no consiste en eso, pues no se ocupa de vigilar a sospechosos. PRISM consiste en vigilar a todo el mundo, a individuos que se sabe son inocentes. Y también consiste en acumular expedientes sobre todos nosotros que terminarán remontándose a muchas décadas. A partir de nuestra actividad online, estos expedientes dibujarán un perfil minucioso de todos nosotros. Y si quienes estén entonces en el poder tienen alguna vez la necesidad de coaccionarnos, sin la menor duda encontrarán algo sospechoso o comprometedor, siempre que dispongan de suficientes historiales de internet registrados.

Las agencias de inteligencia de Estados Unidos tienen plenos derechos jurídicos para vigilar a extranjeros, lo cual no suena demasiado mal en principio, hasta que uno se da cuenta de que la mayor parte de nosotros somos extranjeros para los estadounidenses. De hecho, el 96% de los habitantes del planeta entra dentro de esta categoría. Y cuando este 96% utiliza servicios que tienen su base en Estados Unidos, está legalmente bajo vigilancia.

Cuando se empezaron a producir filtraciones de información sobre PRISM, los servicios de inteligencia de Estados Unidos trataron de tranquilizar al resto del mundo diciendo que no había motivo de preocupación y que estos programas solo se empleaban en la lucha contra el terrorismo. Pero luego se produjeron nuevas filtraciones que demostraron que Estados Unidos utilizaba estas herramientas para vigilar también a la Comisión Europea y a Naciones Unidas. Y el argumento de que buscaban terroristas en la sede de la Unión Europea tiene difícil defensa.

Los servicios de inteligencia estadounidenses también alegan que todos los demás países hacen lo mismo. Y, en efecto, la mayoría de los países posee agencias de inteligencia y vigila lo que hacen otros países. Pero Estados Unidos cuenta con una ventaja injusta: casi todos los servicios de internet, buscadores, servicios de correo electrónico web, navegadores y sistemas operativos de teléfono móvil habituales proceden de allí. En otras palabras, ¿cuántos políticos y personas con poder de decisión españoles utilizan servicios estadounidenses? La respuesta es todos. Y ¿cuántos políticos y personas con poder de decisión estadounidenses utilizan servicios españoles? La respuesta es ninguno.

De todo ello se deduce que los extranjeros no deberíamos utilizar servicios con base en Estados Unidos, ya que nos han demostrado que no son de fiar. ¿Por qué habríamos de facilitar nuestros datos de manera voluntaria a una agencia de inteligencia extranjera?

Lo cierto es que en la práctica es muy difícil no utilizar servicios como Google, Facebook, LinkedIn, Dropbox, Amazon, Skydrive, iCloud, Android, Windows, iOS, etcétera, algo que representa un ejemplo claro del fracaso de Europa, Asia y África a la hora de competir con Estados Unidos en la prestación de servicios de internet. Y cuando el resto del mundo crea un producto de éxito mundial, como Skype o Nokia, en general termina comprándolo una empresa de Estados Unidos, por lo que pasa a estar bajo el control de dicho país.

Pero si no usted no hace nada malo, ¿por qué debería preocuparle esto? O, si este asunto le preocupa, ¿qué tiene que ocultar? Mi respuesta a esta pregunta es que yo no tengo nada que ocultar, pero tampoco tengo nada en particular que quiera compartir con una agencia de inteligencia. Sobre todo, no tengo nada que compartir con una agencia de inteligencia extranjera. Si realmente necesitamos un gran hermano, prefiero mil veces que sea de mi país, y no extranjero.

Ha habido gente que me ha preguntado si deberíamos realmente preocuparnos por PRISM, a lo que he respondido que no deberíamos preocuparnos, sino indignarnos. No deberíamos aceptar sin más esa vigilancia indiscriminada y a gran escala de un país al resto del mundo.

Los avances relativos a la potencia informática y al almacenamiento de datos han hecho posible este tipo de vigilancia. Pero también que se produzcan filtraciones. Así es cómo Edward Snowden consiguió robar tres ordenadores portátiles que contenían tanta información que, de imprimirla, llenaría de papel una larga cola de camiones. Así de fácil se ha vuelto filtrar información, algo que obligará a las organizaciones a estar pendientes de no ser descubiertas haciendo lo que no deben. Es de desear que ello las obligue a evitar prácticas poco éticas.

Aunque los gobiernos nos vigilan, saben que nosotros también los estamos vigilando.

Conclusión

En las últimas dos décadas los ciberataques han cambiado radicalmente: han pasado de sencillos virus creados por adolescentes a ciberataques de miles de millones de dólares lanzados por naciones soberanas.

Todo ello está sucediendo justo ahora, durante nuestra generación. Hemos sido la primera generación online. Debemos hacer todo lo que podamos para proteger la red y preservar su libertad, para que las generaciones futuras también puedan disfrutar de ella.

Citar esta publicación

Publicaciones relacionadas

Descargar Kindle

(211,9 KB)

Descargar EPUB

(1,1 MB)

Descargar PDF

(3,2 MB)
Ver libro 2014 C@mbio: 19 ensayos clave acerca de cómo Internet está cambiando nuestras vidas
Escuchando
Mute
Cerrar

Más publicaciones relacionadas con este artículo

Economía Global
La Ciberseguridad y el nuevo modelo de gobernanza
Mundo Digital
Internet de las cosas: Seguridad, privacidad y protección
Pensamiento
Imponderables tecnológicos: riesgo existencial y una humanidad en transformación

Más de Tecnología

Comentarios sobre esta publicación

El nombre no debe estar vacío
Escribe un comentario aquí…* (Máximo de 500 palabras)
El comentario no puede estar vacío
*Tu comentario será revisado antes de ser publicado
La comprobación captcha debe estar aprobada
Inicio Ciberataques

Cita esta publicación

Hypponen, M., "Ciberataques", en C@mbio: 19 ensayos clave sobre cómo internet está cambiando nuestras vidas, Madrid, BBVA, 2013.