Por Eugene Kasperky
¿Cuál es la diferencia entre un misil nuclear y el software malicioso?
No es una pregunta capciosa: el software malicioso puede tomar el control de un misil, pero no es posible utilizar un misil para destruir software malicioso. Con las herramientas adecuadas, el software malicioso puede desviar un misil, pero ningún combate con armas de fuego puede desviar el software delictivo una vez que está activo.
A diferencia de las armas tradicionales, el software malicioso puede autorreplicarse indefinidamente. Y, mientras que un misil se puede controlar a menudo de algún modo, el software malicioso suele atacar de manera indiscriminada: nadie sabe a quién perjudicará ni qué caminos atravesará para el ataque. En las inescrutables trayectorias de la Web, cuando un ciber-criminal lanza un programa malintencionado para ganar dinero fácil, cualquier cosa puede suceder. Resulta imposible calcular qué consecuencias tendrá, qué podría verse afectado de manera accidental o incluso cómo podría dañar a sus creadores mediante un efecto búmeran. Las personas suelen cometer errores en todo lo que hacen, y la creación de código (malintencionado o no) no es la excepción. Existen numerosos ejemplos de este tipo de "daño colateral" (lean mi artículo sobre el destino de Internet publicado anteriormente).
Al menos ahora se observan esfuerzos conjuntos por combatir a los criminales cibernéticos.
La industria de la seguridad está ajustando los tornillos contra ellos, y los jugadores importantes, como Microsoft, se están involucrando. Otras organizaciones no comerciales e intergubernamentales también están siguiendo estos pasos. Los gobiernos están empezando a comprender que Internet puede ser un camino hacia la catástrofe y se están despertando ante la necesidad de hacer algo al respecto. Estamos experimentando entonces un cierto progreso.
Sin embargo, estoy más preocupado por la otra cara de la seguridad en Internet. Los trucos de un criminal cibernético parecerán insignificantes en comparación con una guerra cibernética en la Web. Sí, leyeron bien: una guerra cibernética en la Web. Aquí es donde las cosas se vuelven mucho más complicadas y confusas.
Estos son los hechos.
En primer lugar, la actividad militar de diferentes países está enfocada en la creación de unidades cibernéticas dedicadas y el "desarrollo" de armas cibernéticas (entre los ejemplos, se incluyen los Estados Unidos, India, el Reino Unido, Alemania, Francia, la Unión Europea, la OTAN, China, Corea del Sur y Corea del Norte).
En segundo lugar, los casos de espionaje industrial y los actos de sabotaje son de conocimiento público (lean las noticias sobre ataques de alto perfil con estados nación detrás de ellos, como Stuxnet y Duqu).
En tercer lugar, las noticias acerca de ataques cuidadosamente planificados se están comenzando a divulgar a un ritmo alarmante (bueno, todos tenemos alguna idea de quiénes son los malhechores detrás de ellos). Se ha acuñado incluso un nuevo término para describir esto: APT. (N.Ed.: iniciales de Advanced Persistent Threat, amenaza persistente avanzada)
No cabe duda de que todo esto es apenas la punta del iceberg. Cada vez que descubrimos un nuevo programa malintencionado similar a Stuxnet sucede lo siguiente:
* El software malicioso "quedó desenmascarado" debido a un error o por accidente.
* Ha estado "reposando" silenciosamente en varias redes por mucho tiempo y no podemos saber con certeza qué ha estado tramando allí.
* Muchas características técnicas del software malicioso (y la motivación de su creador) aún están rodeadas de conjeturas.
¿Entienden adónde voy con todo esto?
Evidentemente, estamos sentados sobre un barril de pólvora, estamos cortando la rama sobre la que reposa la totalidad de Internet, y la infraestructura de todo el mundo reside junto a ella. La actividad militar está convirtiendo gradualmente a Internet en un gran campo minado. Una sola pulsación de teclas podría desencadenar un caos tan grande que nadie quedaría a salvo. Con tan solo pulsar malintencionadamente un botón se podrían frenar todas las operaciones, no sólo los computadores. La reacción en cadena afectaría las operaciones en el mundo real, además del mundo virtual (y las centrales de energía nuclear, tal vez). De este modo, un conflicto en la red podría extenderse rápidamente y convertirse en uno militar. No es una hipérbole lo que impulsó a los EE. UU. a equiparar los ataques de hackers con una invasión: ellos claramente comprenden las posibles consecuencias. Cuanto más analizamos esta cuestión, más atemorizante se vuelve.
Pero se pone peor. Este software malicioso (militarizado o no) presenta errores de código. Una mosca se posó en el teclado del programador, era viernes por la noche o los técnicos no realizaron las pruebas adecuadas. Cualquier cosa puede suceder. Por lo general, un error habitual en un programa de software estándar tiene un efecto controlable. A lo sumo, se desplomará el sistema informático, se detendrá una turbina de energía o, en el peor de los casos, fallará algo en algún lugar. En el caso de un misil teledirigido convencional, puede explotar en el momento equivocado o en el lugar incorrecto. Pero con la nueva ola de software malicioso militar, un error puede traer aparejadas consecuencias catastróficas. ¿Qué sucede si el código fraudulento llega no sólo al objetivo previsto, sino a todos los objetos similares de todo el mundo? ¿Cómo puede diferenciar entre los objetivos reales y los objetivos no deseados? Si el software malicioso tiene como objetivo una central de energía [nuclear] específica, pero finalmente ataca todas las centrales de energía [nuclear], ¿qué ocurre en ese caso? Internet no tiene límites, y la mayoría de las centrales de energía se construyen de acuerdo con un conjunto relativamente reducido de normas. Aunque puede haber un solo objetivo, el número de víctimas potenciales puede ser mucho mayor (y las víctimas pueden estar en cualquier parte del mundo).
Espero sinceramente no convertirme en Casandra, como sucedió con los gusanos autopropulsados y los ataques dirigidos a proyectos industriales. Espero REALMENTE estar equivocado.
Este software malicioso militar cuenta con el respaldo de profesionales de primer nivel, una financiación generosa y acceso a recursos técnicos y materiales de avanzada. Sin todo eso, ¿cómo creen que alguien podría personalizar Stuxnet para las centrifugadoras de Irán? Luego, tenemos la llave de oro de los certificados digitales, actualmente la garantía de confianza en la Web (otra señal de alarma, por cierto). No tengo certezas sobre las armas cibernéticas que están listas y en marcha, pero el futuro no parece ser prometedor. Todo el escenario está fuera del control de la sociedad; es prácticamente una anarquía en donde cada uno hace lo que quiere. Como demuestra Stuxnet, la comparación con los misiles es muy acertada: el software malicioso puede tener las mismas consecuencias que un arma militar convencional.
No obstante, hay una diferencia.
Todas las armas, especialmente las armas de destrucción masiva, junto con la tecnología nuclear en general, están más o menos controladas y reguladas, al menos en teoría. La ONU cuenta con el Organismo de Energía Atómica, que es un sistema internacional de acuerdos de no proliferación, y el Consejo de Seguridad de la ONU reacciona fuertemente ante cualquier intento de unirse al club nuclear (como advirtió Irán). Sin dudas, la política, el subterfugio y los dobles discursos desempeñan un papel importante en este aspecto, pero eso nada tiene que ver con la idea que estoy describiendo aquí.
La idea es la siguiente.
Teniendo en cuenta el hecho de que la paz y la estabilidad mundial dependen considerablemente de Internet, resulta necesario crear una organización internacional a fin de controlar las armas cibernéticas. Una especie de Organismo Internacional de Energía Atómica, pero dedicado al ciberespacio. En un mundo ideal, replicaría las estructuras de seguridad nuclear que ya tenemos y las aplicaría al ciberespacio. En especial, debemos considerar el uso de armas cibernéticas como un acto de agresión internacional y ponerlo en el mismo nivel que el terrorismo cibernético.
Idealmente, la forma correcta sería proclamar Internet como una zona libre de actividad militar, una especie de Antártida cibernética. No estoy seguro si ese desarme es posible. La oportunidad ya se perdió, las inversiones se realizaron, las armas se desarrollaron y la paranoia ya está aquí. Pero los países deben ponerse de acuerdo al menos en las reglas y los controles relativos a las armas cibernéticas.
Me doy cuenta de que la implementación de esta idea no será nada fácil. La sociedad sigue considerando los equipos e Internet como una realidad virtual, como juguetes que nada tienen que ver con la vida real. Eso es absolutamente incorrecto. Internet es una parte fundamental de la realidad cotidiana. Y he descrito anteriormente lo que podría ocasionar esta complacencia. Este tema ya ha sido objeto de debate durante varios años en los círculos de profesionales de seguridad. Yo soy simplemente el primero en hacerlo público.
Y, por favor, recuerden la primera y más importante regla de la seguridad.
--- No matemos a Casandra. ¡Por favor! ---
|