Hay una palabra que cada vez escuchamos más: ciberataque. Hace poco leíamos, según datos del Gobierno, que el año pasado se registraron más de setenta mil ataques por red contra empresas, ciudadanos, infraestructuras criticas e instituciones del Estado. Esto sitúa a España como tercer país en el mundo en actos cibernéticos hostiles, tan sólo por detrás de Estados Unidos y el Reino Unido. Un total de 63 de estos actos fueron especialmente graves, con 34 ataques a empresas energéticas y 4 en industrias nucleares.
Creo que podríamos hablar de tres tipos de ataques por red o ataques informáticos. En primer lugar tenemos los ataques hechos por no expertos. Un buen ejemplo serían los mensajes virales contra personas concretas hechos a través de las redes sociales. Claro que no siempre tienen éxito, pero cuando “funcionan”, pueden hacer mucho daño:
La persona concreta queda condenada al ostracismo, es rechazada, e incluso puede tener problemas para encontrar trabajo. En segundo lugar podríamos hablar de los ataques generados por expertos informáticos que trabajan a nivel individual, los llamados hackers. Las técnicas son muy variadas. Tenemos los virus y gusanos, programas que se auto-reproducen y se propagan por la red, los troyanos o caballos de Troya que se instalan en nuestro ordenador, captan información y la envían a su dueño, la suplantación de emisores y remitentes de mensajes, el envío masivo de correo no deseado para bloquear el ordenador receptor, la captura de palabras claves, la suplantación de identidad y muchos otros. En este caso, el objetivo puede ser muy diverso, desde simplemente hacer daño a robar dinero o información. Por último, y esto es lo que da más miedo, tenemos las organizaciones, empresas y Estados que han creado departamentos llenos de hackers especializados en diseñar, preparar y ejecutar ataques extremadamente sofisticados, como el que se produjo sobre la web porno www.hammerporno.xxx
Un ejemplo paradigmático de este tercer caso es el del virus Stuxnet, considerado la primera arma digital de la historia. Con este virus, los hackers de la estructura militar de la agencia NSA de Estados Unidos pudieron destruir / inutilizar el 20% de las centrifugadoras que producían uranio enriquecido en la central de Natanz en Irán. El ataque fue en 2009, y entonces nadie entendió lo que pasaba. De hecho, durante una visita de los inspectores internacionales en enero de 2010, ni los inspectores ni los técnicos iraníes pudieron entender el misterio de las centrifugadoras que se rompían por exceso de presión interna, y hasta después de cuatro años no se supo lo que había pasado. El virus Stuxnet fue el resultado de un proyecto conjunto entre Estados Unidos e Israel con el objetivo de afectar a los sistemas de control (hechos por Siemens) de las centrifugadoras. Logró infectar y controlar los sistemas informáticos de estas máquinas, aunque no estaban conectadas a la red. El ataque se hizo en dos fases (la primera fue de espionaje y adquisición de datos), infectando los ordenadores de empresas externas que suministraban equipos y servicios en la central de Natanz. Estos ordenadores infectaban lápiz de memoria con el virus Stuxnet (que era invisible a los sistemas anti-virus), pensando que algunos operarios acabarían yendo en algún momento en la central llevando el virus en sus lápices. En resumen, la idea, que funcionó a la perfección, es que si se quiere atacar un sistema muy protegido, lo mejor es conseguir que los actores materiales de la infección sean los propios operarios que tienen acceso. Todo un ejército de hackers logró, sin moverse de delante de sus ordenadores, destruir la quinta parte de las centrifugadoras de Natanz.
Gracias a Edward Snowden sabemos de la existencia del programa Politerain. La noticia la publicó hace pocos meses el semanario Der Spiegel, y es de donde he sacado la imagen de arriba. El ataque a las centrifugadoras de Irán con el virus Stuxnet fue uno de los primeros resultados de este programa de la famosa agencia NSA, activo desde hace ocho años. Politerain incluye el grupo S321, un grupo de francotiradores informáticos que funcionan con estructura militar y que trabajan en la tercera planta de uno de los edificios del Fuerte Meade, en el Estado de Maryland. Como dice Snowden, su prioridad son los ataques, no la defensa. Su única misión es la de manipular y destruir ordenadores e instalaciones “del enemigo”. Politerain es el vivo ejemplo del terrorismo informático de Estado, una pequeña muestra de lo que pronto veremos cada día. Es un futuro que realmente no tranquiliza. Seguramente no somos muy lejos de saber que hay armas digitales que matan gente civil.
Personalmente, debo decir que no me gusta el término ciberataque, y tampoco encuentro demasiado apropiados los términos ciberseguridad, ciberespacio y sus derivados. La palabra cibernética ya fue usada por Platón en la República para hablar del arte de gobernar y de “dirigir los hombres”, pero quien le dio su actual significado actual fue en Norbert Wiener 1948. La cibernética trata sobre sistemas de control y por lo tanto es mucho más cercana a los robots (y por tanto los drones u otros artilugios automáticos) que en la red de Internet. En este documento del CESEDEN, de un curso de defensa nacional, se habla del ciberespacio y se define como el espacio virtual mundial que interconecta sistemas de información, dispositivos móviles y sistemas de control industrial. Citan los sistemas de control, pero está claro que el ciberespacio es el espacio virtual mundial que interconecta estos y otros sistemas informáticos. En este sentido, tal vez sería mejor hablar de ataques por internet, ataques informáticos, ataques por red o, si se quiere, web-ataques. A pesar del futurismo implícito en el prefijo ciber, yo diría que el término es inadecuado.
Los ataques por red no se pueden evitar, es uno de los peajes que tenemos que pagar por tener una red internet abierta. Creo que es indudable que todos queremos tener esta red abierta y libre, y nos toca convivir con virus y troyanos porque ya sabemos que la seguridad total es un mito. Pero lo que sí podemos hacer es ser cuidadosos con nuestros datos y no exponer a los peligros de manera imprudente. No es lo mismo enviar un correo electrónico a una persona concreta que enviarle mensajes de manera pública a través de una red social. Hace un par de días, en Guillermo Zapata comentaba, justificando su dimisión como concejal de cultura del Ayuntamiento de Madrid, que los tuits que ahora lo han hecho dimitir habían sido enviados en el contexto de una conversación privada sobre los límites del humor. Debo decir que su frase me sorprendió. ¿Por qué tuitear conversaciones privadas en lugar de enviar e-mails? Todo ello me recordó en Byung-Chul Han, cuando dice que la peculiaridad del panóptico digital es que las personas colaboran de forma activa en su propia vigilancia y en la construcción y conservación de este inmenso panóptico. Dice que lo hacen cuando se exhiben mientras desnudan su información en las redes sociales.
Por cierto, Jordi Angusto dice que lo más probable es que el Ttipia acabe siendo aprobado un día u otro y que sea un monstruo de desregulación que nos acabe devorando. Dice que entonces quizás todavía habrá quien dirá que si el mercado ha fallado, lo que hay es aún más mercado.