eldiario.es

Síguenos:

Boletines

Boletines

Menú

Ataques en tiempos de paz: yo también "quiero llorar" (wanna cry)

Internet se parece bastante al mundo de la serie Incorporated: un mundo en el que el Estado de Derecho ha fracasado miserablemente, y en consecuencia, ha sido arrumbado a un rincón por fuerzas mucho más poderosas

- PUBLICIDAD -
Rasomware ‘Wannacry’, que ha infectado a cientos de miles de ordenadores con sistemas Windows.

Rasomware ‘Wannacry’, que ha infectado a cientos de miles de ordenadores con sistemas Windows.

El viernes de hace dos semanas, arrancamos la jornada abruptamente, con la noticia de un ataque informático a gran escala, que habría afectado a una de las mayores empresas de este país. Tras unas horas de incertidumbre, empezamos a tener algunos detalles técnicos sobre la causa del follón: un ransomware, una miasma digital de la que ya hemos hablado por aquí. Este espécimen, en concreto, ya había sido liberado meses atrás, y había pasado sin pena ni gloria. Pero la nueva versión llevaba un "suplemento" adicional: disponía capacidades de gusano, aprovechando la vulnerabilidad bautizada como 'Eternal Blue', que consiste en un fallo del protocolo SMB que le permite propagarse indiscriminadamente, dentro de una red local, a través del puerto 445.

¿Lo qué? Vale, tampoco me pidan explicaciones demasiado técnicas, ni que les destripe el código del bicho, para eso ya tiene doctores la Iglesia Hacker. Dentro de los diversos protocolos de comunicaciones existentes, SMB se utiliza para compartir archivos e impresoras entre distintos usuarios de una red interna que funcionen bajo sistema operativo Windows.

Lo curioso de este "bug", de este fallo, es que fue descubierto y explotado durante años con la más absoluta impunidad por la NSA, la infame Agencia de Seguridad Nacional estadounidense, hasta que un grupo autodenominado 'Shadow Brokers' irrumpió en su cripta de los secretos, se llevó dicha información y la publicó. A partir de ahí, alguien hizo uso de ese conocimiento para "vitaminar" el código de WannaCry, uno de los nombres que recibe el bicho, y convertirlo en algo parecido a una variante del Ébola con la capacidad de contagio de la gripe común.

¿Y qué tiene que ver esta milonga informática con lo que habitualmente se nos cuenta en este blog? Bien, poniéndonos estrictamente jurídicos, lo que hacen los creadores y explotadores de esta última versión de WannaCry tiene encaje en dos tipos delictivos del Código Penal: el primero, el de daños informáticos del artículo 264, por hacer inaccesibles los archivos de las víctimas, que quedan cifrados, en su vertiente agravada por afectar a un gran número de dispositivos; el segundo, el de extorsión del artículo 243, por obligar a realizar un negocio jurídico bajo intimidación, la adquisición de una cantidad de bitcoins equivalente a 300 dólares y transferirla a un monedero concreto, bajo amenaza de perder los archivos cifrados definitivamente en caso de no hacerlo.

Ambos delitos estarían en concurso medial del artículo 77, por lo que se impondría la pena correspondiente al más grave de los delitos, en su mitad superior. Es decir, de tres años, seis meses y un día, a cinco años de prisión, más multa de hasta diez veces el equivalente al perjuicio económico causado.

Hay quien discrepa en cuanto a lo de la extorsión, encontrando más adecuada la calificación de amenazas condicionales del artículo 169, aunque son matices casi irrelevantes.

Sobre todo, por un pequeño detalle: ¿alguno de ustedes ha oído hablar de denuncias, procedimientos incoados, actuaciones de juzgado alguno, o incluso de investigaciones de la Fiscalía de Criminalidad Informática, sobre este asunto? El silencio sobre esta cuestión es absolutamente estruendoso, como suele suceder en este tipo de incidentes. Normalmente, las empresas no anuncian a bombo y platillo que han sido objeto de un acto criminal de estas características, así que la transparencia de Telefónica, paciente cero en España de esta infección, es de agradecer. Pero les puedo adelantar el resultado de cualquier tipo de pesquisa judicial: auto de sobreseimiento provisional por falta de autor conocido. Directamente.

No es de extrañar. A pesar de que la última reforma de la Ley de Enjuiciamiento Criminal en materia de medidas de investigación tecnológica parece habilitar poderosas herramientas procesales, incluyendo los tan traídos y llevados "troyanos policiales" (chupito), lo cierto es que parece haber un pánico cerval a usarlas a pleno rendimiento, incluso en casos de notoria gravedad como éste.

Según iban avanzando los días, y se iba sabiendo más del incidente, se repetían dos factores comunes que me preocupan sobremanera:

El primero, que todo esto se enfoca desde una perspectiva militar, con el prefijo "ciber": ciberataques, ciberguerra, ciberdefensa… Y no, miren. Mientras no me demuestren lo contrario, en estos momentos estamos en tiempos de paz, no hay guerra declarada contra Estado alguno por parte del Reino de España. Es decir, que el uso del ransomware WannaCry no ha sido una acción militar enjuiciable conforme a las normas de conflicto armado. Es un delito común. Y la incomparecencia del Estado, en su vertiente de Administración de Justicia, no hace más que agravar el otro factor, de los dos a los que me refería.

Ese segundo factor es un viejo conocido en las guerras convencionales, en las que hay armas físicas, campos de batalla tangibles, y muertos de verdad. Se trata de la privatización de la guerra. Hace ya años, a raíz de la invasión de Irak por parte de Estados Unidos, Reino Unido y sus mariachis (entre los que, triste y vergonzosamente, Aznar mediante, nos encontramos), se advirtió de la proliferación de fuerzas mercenarias que operaban, teóricamente, del lado occidental, pero un poco "a su aire". Eran los tiempos de Blackwater y otros "contratistas privados".

A día de hoy, y a pesar de los loables esfuerzos de instituciones públicas como INCIBE, CNPIC, CCN-CERT y otras, lo cierto es que el peso de la lucha en esta soterrada guerra cibernética la llevan empresas privadas, que disponen de un ingente capital humano y tecnológico en comparación con la penuria estatal. Por ello aparecen iniciativas bienintencionadas, como esa "ciber-reserva" de hackers voluntarios, con la que nos sorprendía el otro día la prensa. Intentos desesperados de recuperar la iniciativa, de dar un puñetazo encima de la mesa. Sólo que, como decían en The Matrix, en realidad no hay mesa.

En los últimos tiempos, me he aficionado mucho a una serie de ciencia-ficción, Incorporated, que narra una desoladora distopía en la que el cambio climático ha hecho estragos, provocando la miseria de gran parte de la población. En ese contexto, determinadas corporaciones han impulsado, y logrado que se apruebe, la conocida como "29ª Enmienda" de la Constitución de los Estados Unidos (en la actualidad, sólo existen 27). Ésta consiste, ni más ni menos, que en la concesión de soberanía a determinadas empresas, de tal manera que las zonas de seguridad construidas por ellas son territorio soberano, ajeno a la jurisdicción federal. Como pueden imaginar, dentro de dichas fronteras, cualquier asomo de Estado de Derecho brilla por su ausencia. Las luchas entre corporaciones suelen saldarse con el secuestro de activos humanos, como ejecutivos de alto nivel o científicos punteros. Para evitar la fuga de propiedad intelectual, existen "cláusulas de confidencialidad" cuya ejecución consiste en un borrado de la memoria del sujeto, convirtiéndolo en una especie de zombie sin recuerdos. La más mínima sospecha de deserción te puede llevar a una sala de detención donde los interrogatorios del "personal de seguridad" hacen parecer a Abu-Ghraib un destino vacacional.

Imagino que el mensaje subyacente a semejante horror futurista es que el espectador medio se quede tranquilo en su sofá, pensando que no está tan mal como podría estar, si esas agoreras predicciones llegasen a cumplirse.

En realidad, a día de hoy, Internet se parece bastante al mundo de Incorporated. Un mundo en el que el Estado de Derecho ha fracasado miserablemente, y en consecuencia, ha sido arrumbado a un rincón por fuerzas mucho más poderosas. Fuerzas que dirimen sus conflictos a golpe de ataque informático, y que me hacen recordar que, en el fondo, todo esto ya se contó hace muchos años. Se llama "estado de naturaleza", y lo dejó escrito un tal Thomas Hobbes, en su obra Leviathan. Aunque hoy en día se le considere un autor cuyas ideas están superadas, eso es porque los juristas y politólogos que lo afirman se limitan al mundo físico, tangible, y no tienen la menor idea de la que se está montando. Pero les puedo asegurar que, en materia de seguridad informática, la vigencia del pensamiento de Hobbes es mayor que nunca.

- PUBLICIDAD -

Comentar

Enviar comentario

Enviar Comentario

Comentarios

Ordenar por: Relevancia | Fecha