Hay una palabra que escuchamos con más y más frecuencia: ciberataque. Hace poco leíamos, según datos del Gobierno, que el año pasado se registraron más de setenta mil ataques por red contra empresas, ciudadanos, infraestructuras criticas e instituciones del Estado. Esto sitúa a España como tercer país en el mundo en ataques hostiles a través de internet, tan sólo por detrás de Estados Unidos y el Reino Unido. Un total de 63 de estos actos fueron especialmente graves, con 34 ataques a empresas energéticas y cuatro a industrias nucleares.
En mi opinión, entiendo que podríamos hablar de tres tipos de ataques por red o ataques informáticos. En primer lugar tenemos los ataques hechos por no expertos. Un buen ejemplo serían los mensajes virales contra personas concretas, realizados a través de las redes sociales. No siempre tienen éxito, pero cuando “funcionan”, pueden hacer mucho daño: la persona concreta queda condenada al ostracismo, es rechazada, e incluso puede tener problemas para encontrar trabajo. En segundo lugar podríamos hablar de los ataques generados por expertos informáticos que trabajan a nivel individual, los llamados hackers. Las técnicas son muy variadas. Podemos hablar de virus y gusanos (programas que se auto-reproducen y se propagan por la red), de los troyanos o caballos de Troya que se instalan en nuestro ordenador, captan información y la envían a su dueño, de la suplantación de emisores y remitentes de mensajes, del envío masivo de correo no deseado para bloquear el ordenador receptor, de la captura de contraseñas, de la suplantación de identidad y de muchos otros sistemas. En este caso, el objetivo puede ser muy diverso, desde simplemente hacer daño a robar dinero o información. Finalmente, y esto es lo que da más miedo, tenemos las organizaciones, empresas y Estados que han creado departamentos con hackers especializados en diseñar, preparar y ejecutar ataques extremadamente sofisticados. Una muestra más de la imbricación actual de los distintos actores internacionales en un mundo en el que, como decía hace poco Luis Goytisolo, los Estados semejan cada vez más una empresa y las empresas, un Estado.
Un ejemplo paradigmático de este tercer caso es el del virus Stuxnet, considerado la primera arma digital de la historia. Con este virus, los hackers de la estructura militar de la agencia NSA de Estados Unidos pudieron destruir / inutilizar el 20% de las centrifugadoras que producían uranio enriquecido en la central de Natanz en Irán. El ataque se realizó en 2009, y en aquel momento nadie entendió lo que pasaba. De hecho, durante una visita de los inspectores internacionales en enero de 2010, ni estos inspectores ni los técnicos iraníes pudieron entender el misterio de las centrifugadoras que se rompían por exceso de presión interna, y hasta cuatro años después no pudo conocerse lo que había pasado. El virus Stuxnet fue el resultado de un proyecto conjunto entre Estados Unidos e Israel con el objetivo de atacar los sistemas de control (hechos por Siemens) de las centrifugadoras. Lo inédito es que consiguió infectar y controlar los sistemas informáticos de estas máquinas a pesar de que no estaban conectadas a la red. El ataque se realizó en dos fases (la primera fue de espionaje y adquisición de datos), infectando los ordenadores de empresas externas que suministraban equipos y servicios en la central de Natanz. Estos ordenadores infectaban a su vez los lápices de memoria de quienes los utilizaban con el virus Stuxnet, que era invisible a los sistemas anti-virus. La idea clave en todo ello era que algunos operarios acabarían yendo en algún momento en la central llevando el virus en sus lápices. El razonamiento, que funcionó a la perfección, es que si se quiere atacar un sistema muy protegido, lo mejor es hacer que los actores materiales de la infección sean los propios operarios que tienen acceso a este sistema. En la primera fase, los virus que entraban en los ordenadores de control de las centrifugadoras a través de algunos de los muchos lápices de memoria infectados aumentaban la velocidad de las mismas (con el fin de reducir su vida útil) mientras comunicaban a la sala de control de la central que todo el proceso se desarrollaba sin incidencias y enviaban información esencial sobre estos sistemas de centrifugado a la NSA; luego, en la segunda fase, los virus incrementaron la presión interna del gas de uranio hasta rebentarlas. En resumen: una brigada de hackers logró, sin moverse de delante de sus ordenadores, destruir la quinta parte de las centrifugadoras de Natanz.
Gracias a Edward Snowden sabemos de la existencia del programa Politerain. La noticia la publicó hace pocos meses el semanario Der Spiegel. El ataque ya mencionado a las centrifugadoras de Irán con el virus Stuxnet fue uno de los primeros resultados de este programa, de la famosa agencia NSA, iniciado hace ocho años. Politerain alberga el grupo S321, un grupo de francotiradores informáticos que funcionan con estructura militar y que trabajan en la tercera planta de uno de los edificios del Fuerte Meade, en el Estado de Maryland. Como dice Snowden, su prioridad son los ataques, no la defensa. Su única misión es la de manipular y destruir ordenadores e instalaciones “del enemigo”. Politerain es el vivo ejemplo del terrorismo informático de Estado, una pequeña muestra de lo que pronto veremos cada día. Es un futuro que realmente no tranquiliza. Seguramente no estamos muy lejos de ver armas digitales que matan gente civil.
Los ataques por red no se pueden evitar, es uno de los peajes que debemos pagar por tener una red internet abierta. Creo que es indudable que todos queremos tener esta red abierta y libre, y nos toca convivir con virus y troyanos porque ya sabemos que la seguridad total es un mito. Pero lo que sí podemos hacer es ser vigilantes y cuidadosos con nuestros datos y no exponernos a los peligros de manera imprudente. No es lo mismo enviar un correo electrónico a una persona concreta que enviarle mensajes públicamente a través de una red social. Hace un par de días Guillermo Zapata comentaba, justificando su dimisión como concejal de cultura del Ayuntamiento de Madrid, que los tuits que ahora lo han hecho dimitir habían sido enviados en el contexto de una conversación privada sobre los límites del humor. Debo confesar que su frase me sorprendió. ¿Por qué tuiteó conversaciones privadas en lugar de enviar e-mails? Todo ello me recordó al filósofo Byung Chui Han, cuando dice que la peculiaridad del panóptico digital es que las personas colaboran de manera activa en su propia vigilancia y en la construcción y conservación de este inmenso panóptico. Lo hacen cuando se exhiben mientras desnudan su información en las redes sociales.
NOTA: Personalmente, debo decir que no me gusta el término ciberataque, y tampoco encuentro demasiado apropiados los términos ciberseguridad, ciberespacio y sus derivados. La palabra cibernética ya fue usada por Platón en La República para hablar del arte de gobernar y de “dirigir los hombres”, pero quien le dio su actual significado actual fue en Norbert Wiener en 1948. La cibernética trata sobre sistemas de control y por lo tanto es mucho más cercana a los robots (y por tanto a los drones u otros artilugios automáticos) que a la red de Internet. En este documento del CESEDEN, de un curso de defensa nacional, se habla del ciberespacio y se define como el espacio virtual mundial que interconecta sistemas de información, dispositivos móviles y sistemas de control industrial. Citan los sistemas de control, pero es claro que en su definición, el ciberespacio es el espacio virtual mundial que interconecta estos y otros sistemas informáticos. En este sentido, tal vez sería mejor hablar de ataques por internet, ataques informáticos, ataques por red o, si se quiere, web-ataques. A pesar del futurismo implícito en el prefijo ciber, yo me atrevería a sugerir que el término es inadecuado.
