Hi ha una paraula que cada cop escoltem més: ciberatac. Fa poc llegíem, segons dades del govern espanyol, que l'any passat es van registrar més de setanta mil atacs per xarxa contra empreses, ciutadans, infraestructures critiques i institucions de l'Estat. Això situa Espanya com a tercer país al món en actes cibernètics hostils, tan sols per darrere dels Estats Units i el regne Unit. Un total de 63 d'aquests actes van ser especialment greus, amb 34 atacs a empreses energètiques i quatre a industries nuclears.
Crec que podríem parlar de tres tipus d'atacs per xarxa o atacs informàtics. En primer lloc tenim els atacs fets per no experts. Un bon exemple serien els missatges virals contra persones concretes fets a travès de les xarxes socials. És clar que no sempre tenen èxit, però quan “funcionen”, poden fer molt mal: la persona concreta queda condemnada a l'ostracisme, és rebutjada, i fins i tot pot tenir problemes per trobar feina. En segon lloc podríem parlar dels atacs generats per experts informàtics que treballen a nivell individual, els anomenats hackers. Les tècniques són molt variades. Podem parlar dels virus i cucs (programes que s'auto-reprodueixen i es propaguen per la xarxa), dels troians o cavalls de Troia que s'instal·len al nostre ordinador, capten informació i l'envien al seu amo, de la suplantació d'emissors i remitents de missatges, de la tramesa massiva de correu no desitjat per a bloquejar l'ordinador receptor, de la captura de paraules claus, de la suplantació d'identitat i de molts altres sistemes. En aquest cas, l'objectiu pot ser molt divers, des de simplement fer mal a robar diners o informació. Finalment, i això és el que fa més por, tenim les organitzacions, empreses i Estats que han creat departaments plens de hackers especialitzats en dissenyar, preparar i executar atacs extremadament sofisticats. Són una mostra més de l'actual imbricació entre els diferents actors internacionals en un món en el que, com fa poc deia en Luis Goytisolo, els Estats cada cop més s'assemblem a empreses i les empreses, a Estats.
Un exemple paradigmàtic d'aquest tercer cas és el del virus Stuxnet, considerat la primera arma digital de la història. Amb aquest virus, els hackers de l'estructura militar de l'agència NSA dels Estats Units van poder destruir/inutilitzar el 20% de les centrifugadores que produïen urani enriquit a la central de Natanz a Iran. L'atac va ser l'any 2009, i llavors ningú va entendre el que passava. De fet, durant una visita dels inspectors internacionals el gener del 2010, ni els inspectors ni els tècnics iranians van poder entendre el misteri de les centrifugadores que es trencaven per excés de pressió interna, i fins després de quatre anys no es va saber el que havia passat. El virus Stuxnet va ser el resultat d'un projecte conjunt entre els Estats Units i Israel amb l'objectiu d'afectar els sistemes de control (fets per Siemens) de les centrifugadores. Va aconseguir infectar i controlar els sistemes informàtics d'aquestes màquines, tot i que no estaven connectades a la xarxa. L'atac es va fer en dues fases (la primera va ser d'espionatge i adquisició de dades), infectant els ordinadors d'empreses externes que subministraven equips i serveis a la central de Natanz. Aquests ordinadors infectaven els llapis de memòria dels seus usuaris amb el virus Stuxnet, que era invisible als sistemes anti-virus. La idea clau de tot plegat era que alguns operaris acabarien anant en algun moment a la central tot portant el virus en els seus llapis. El raonament, que va funcionar a la perfecció, és que si es vol atacar un sistema molt protegit, el millor és aconseguir que els actors materials de la infecció siguin els propis operaris que hi tenen accés. A la primera fase, els virus que acabaven entrant en els ordinadors de control de les centrifugadores amagats en alguns dels molts llapis de memòria infectats, incrementaven la seva velocitat de rotació amb l'objectiu de reduir la seva vida útil mentre informaven la sala de control de la central que tot anava bé i sense incidències i mentre enviaven informació essencial sobre aquests sistemes de centrifugat a la NSA; després, en una segona fase, els virus van anar incrementant la pressió interna del gas d'urani fins trencar les centrifugadores. Resumint: una brigada de hackers va aconseguir, sense moure's de davant dels seus ordinadors, destruir la cinquena part de les centrifugadores de Natanz.
Gràcies a Edward Snowden sabem de l'existència del programa Politerain. La noticia la va publicar fa pocs mesos el setmanari Der Spiegel, i és d'on he tret la imatge de dalt. L'atac a les centrifugadores de Iran amb el virus Stuxnet va ser un dels primers resultats d'aquest programa de la famosa agència NSA, que funciona des de fa vuit anys. Politerain conté el grup S321, un grup de franctiradors informàtics que funcionen amb estructura militar i que treballen a la tercera planta d'un dels edificis del Fort Meade, a l'Estat de Maryland. Com diu Snowden, la seva prioritat són els atacs, no la defensa. La seva única missió és la de manipular i destruir ordinadors i instal·lacions “de l'enemic”. Politerain és el viu exemple del terrorisme informàtic d'Estat, una petita mostra del que aviat veurem cada dia. És un futur que realment no tranquil·litza. Segurament no som gaire lluny de saber que hi ha armes digitals que maten gent civil.
Els atacs per xarxa no es poden evitar, és un dels peatges que hem de pagar pel fet de tenir una xarxa internet oberta. Crec que és indubtable que tots volem tenir aquesta xarxa oberta i lliure, i ens toca conviure amb virus i troians perquè ja sabem que la seguretat total és un mite. Però el que sí podem fer és ser curosos amb les nostres dades i no exposar-nos als perills de manera imprudent. No és el mateix enviar un correu electrònic a una persona concreta que enviar-li missatges de manera pública a través d'una xarxa social. Fa un parell de dies, en Guillermo Zapata comentava, tot justificant la seva dimissió com a regidor de cultura de l'Ajuntament de Madrid, que els tuits que ara l'han fet dimitir havien estat enviats en el context d'una conversa privada sobre els límits de l'humor. He de dir que la seva frase em va sorprendre. Per què tuitejar converses privades en lloc d'enviar e-mails? Tot plegat em va recordar el filòsof Byung Chui Han, quan diu que la peculiaritat del panòptic digital és que les persones col·laboren de manera activa en la seva vigilància i en la construcció i conservació d'aquest immens panòptic. Ho fan quan s'exhibeixen mentre despullen la seva informació a les xarxes socials.
NOTA: Personalment, he de dir que no m'agrada el terme ciberatac, i tampoc trobo massa apropiats els termes ciberseguretat, ciberespai i els seus derivats. La paraula cibernètica ja va ser usada per Plató a La República per parlar de l'art de governar i de “dirigir els homes”, però qui li va donar el seu actual significat actual va ser en Norbert Wiener l'any 1948. La cibernètica tracta sobre sistemes de control i per tant és molt més propera als robots (i per tant als drons o altres ginys automàtics) que a la xarxa d'Internet. En aquest document del CESEDEN, d'un curs de defensa nacional, es parla del ciberespai i es defineix com l'espai virtual mundial que interconnecta sistemes d'informació, dispositius mòbils i sistemes de control industrial. Citen els sistemes de control, però és clar que el ciberespai és l'espai virtual mundial que interconnecta aquests i altres sistemes informàtics. En aquest sentit, tal vegada seria millor parlar d'atacs per internet, atacs informàtics, atacs per xarxa o, si voleu, web-atacs. A pesar del futurisme implícit en el prefix ciber, jo diria que el terme és inadequat.
