Hay una palabra que escuchamos con más y más frecuencia: ciberataque. Hace poco leíamos, según datos del Gobierno, que el año pasado se registraron más de setenta mil ataques por red contra empresas, ciudadanos, infraestructuras criticas e instituciones del Estado. Esto sitúa a España como tercer país en el mundo en ataques hostiles a través de internet, tan sólo por detrás de Estados Unidos y el Reino Unido. Un total de 63 de estos actos fueron especialmente graves, con 34 ataques a empresas energéticas y cuatro a industrias nucleares.

En mi opinión, entiendo que podríamos hablar de tres tipos de ataques por red o ataques informáticos. En primer lugar tenemos los ataques hechos por no expertos. Un buen ejemplo serían los mensajes virales contra personas concretas, realizados a través de las redes sociales. No siempre tienen éxito, pero cuando “funcionan”, pueden hacer mucho daño: la persona concreta queda condenada al ostracismo, es rechazada, e incluso puede tener problemas para encontrar trabajo. En segundo lugar podríamos hablar de los ataques generados por expertos informáticos que trabajan a nivel individual, los llamados hackers. Las técnicas son muy variadas. Podemos hablar de virus y gusanos (programas que se auto-reproducen y se propagan por la red), de los troyanos o caballos de Troya que se instalan en nuestro ordenador, captan información y la envían a su dueño, de la suplantación de emisores y remitentes de mensajes, del envío masivo de correo no deseado para bloquear el ordenador receptor, de la captura de contraseñas, de la suplantación de identidad y de muchos otros sistemas. En este caso, el objetivo puede ser muy diverso, desde simplemente hacer daño a robar dinero o información. Finalmente, y esto es lo que da más miedo, tenemos las organizaciones, empresas y Estados que han creado departamentos con hackers especializados en diseñar, preparar y ejecutar ataques extremadamente sofisticados. Una muestra más de la imbricación actual de los distintos actores internacionales en un mundo en el que, como decía hace poco Luis Goytisolo, los Estados semejan cada vez más una empresa y las empresas, un Estado.

Un ejemplo paradigmático de este tercer caso es el del virus Stuxnet, considerado la primera arma digital de la historia. Con este virus, los hackers de la estructura militar de la agencia NSA de Estados Unidos pudieron destruir / inutilizar el 20% de las centrifugadoras que producían uranio enriquecido en la central de Natanz en Irán. El ataque se realizó en 2009, y en aquel momento nadie entendió lo que pasaba. De hecho, durante una visita de los inspectores internacionales en enero de 2010, ni estos inspectores ni los técnicos iraníes pudieron entender el misterio de las centrifugadoras que se rompían por exceso de presión interna, y hasta cuatro años después no pudo conocerse lo que había pasado. El virus Stuxnet fue el resultado de un proyecto conjunto entre Estados Unidos e Israel con el objetivo de atacar los sistemas de control (hechos por Siemens) de las centrifugadoras. Lo inédito es que consiguió infectar y controlar los sistemas informáticos de estas máquinas a pesar de que no estaban conectadas a la red. El ataque se realizó en dos fases (la primera fue de espionaje y adquisición de datos), infectando los ordenadores de empresas externas que suministraban equipos y servicios en la central de Natanz. Estos ordenadores infectaban a su vez los lápices de memoria de quienes los utilizaban con el virus Stuxnet, que era invisible a los sistemas anti-virus. La idea clave en todo ello era que algunos operarios acabarían yendo en algún momento en la central llevando el virus en sus lápices. El razonamiento, que funcionó a la perfección, es que si se quiere atacar un sistema muy protegido, lo mejor es hacer que los actores materiales de la infección sean los propios operarios que tienen acceso a este sistema. En la primera fase, los virus que entraban en los ordenadores de control de las centrifugadoras a través de algunos de los muchos lápices de memoria infectados aumentaban la velocidad de las mismas (con el fin de reducir su vida útil) mientras comunicaban a la sala de control de la central que todo el proceso se desarrollaba sin incidencias y enviaban información esencial sobre estos sistemas de centrifugado a la NSA; luego, en la segunda fase, los virus incrementaron la presión interna del gas de uranio hasta rebentarlas. En resumen: una brigada de hackers logró, sin moverse de delante de sus ordenadores, destruir la quinta parte de las centrifugadoras de Natanz.

Gracias a Edward Snowden sabemos de la existencia del programa Politerain. La noticia la publicó hace pocos meses el semanario Der Spiegel. El ataque ya mencionado a las centrifugadoras de Irán con el virus Stuxnet fue uno de los primeros resultados de este programa, de la famosa agencia NSA, iniciado hace ocho años. Politerain alberga el grupo S321, un grupo de francotiradores informáticos que funcionan con estructura militar y que trabajan en la tercera planta de uno de los edificios del Fuerte Meade, en el Estado de Maryland. Como dice Snowden, su prioridad son los ataques, no la defensa. Su única misión es la de manipular y destruir ordenadores e instalaciones “del enemigo”. Politerain es el vivo ejemplo del terrorismo informático de Estado, una pequeña muestra de lo que pronto veremos cada día. Es un futuro que realmente no tranquiliza. Seguramente no estamos muy lejos de ver armas digitales que matan gente civil.

Los ataques por red no se pueden evitar, es uno de los peajes que debemos pagar por tener una red internet abierta. Creo que es indudable que todos queremos tener esta red abierta y libre, y nos toca convivir con virus y troyanos porque ya sabemos que la seguridad total es un mito. Pero lo que sí podemos hacer es ser vigilantes y cuidadosos con nuestros datos y no exponernos a los peligros de manera imprudente. No es lo mismo enviar un correo electrónico a una persona concreta que enviarle mensajes públicamente a través de una red social. Hace un par de días Guillermo Zapata comentaba, justificando su dimisión como concejal de cultura del Ayuntamiento de Madrid, que los tuits que ahora lo han hecho dimitir habían sido enviados en el contexto de una conversación privada sobre los límites del humor. Debo confesar que su frase me sorprendió. ¿Por qué tuiteó conversaciones privadas en lugar de enviar e-mails? Todo ello me recordó al filósofo Byung Chui Han, cuando dice que la peculiaridad del panóptico digital es que las personas colaboran de manera activa en su propia vigilancia y en la construcción y conservación de este inmenso panóptico. Lo hacen cuando se exhiben mientras desnudan su información en las redes sociales.

NOTA: Personalmente, debo decir que no me gusta el término ciberataque, y tampoco encuentro demasiado apropiados los términos ciberseguridad, ciberespacio y sus derivados. La palabra cibernética ya fue usada por Platón en La República para hablar del arte de gobernar y de “dirigir los hombres”, pero quien le dio su actual significado actual fue en Norbert Wiener en 1948. La cibernética trata sobre sistemas de control y por lo tanto es mucho más cercana a los robots (y por tanto a los drones u otros artilugios automáticos) que a la red de Internet. En este documento del CESEDEN, de un curso de defensa nacional, se habla del ciberespacio y se define como el espacio virtual mundial que interconecta sistemas de información, dispositivos móviles y sistemas de control industrial. Citan los sistemas de control, pero es claro que en su definición, el ciberespacio es el espacio virtual mundial que interconecta estos y otros sistemas informáticos. En este sentido, tal vez sería mejor hablar de ataques por internet, ataques informáticos, ataques por red o, si se quiere, web-ataques. A pesar del futurismo implícito en el prefijo ciber, yo me atrevería a sugerir que el término es inadecuado.

Hi ha una paraula que cada cop escoltem més: ciberatac. Fa poc llegíem, segons dades del govern espanyol, que l'any passat es van registrar més de setanta mil atacs per xarxa contra empreses, ciutadans, infraestructures critiques i institucions de l'Estat. Això situa Espanya com a tercer país al món en actes cibernètics hostils, tan sols per darrere dels Estats Units i el regne Unit. Un total de 63 d'aquests actes van ser especialment greus, amb 34 atacs a empreses energètiques i quatre a industries nuclears.

Crec que podríem parlar de tres tipus d'atacs per xarxa o atacs informàtics. En primer lloc tenim els atacs fets per no experts. Un bon exemple serien els missatges virals contra persones concretes fets a travès de les xarxes socials. És clar que no sempre tenen èxit, però quan “funcionen”, poden fer molt mal: la persona concreta queda condemnada a l'ostracisme, és rebutjada, i fins i tot pot tenir problemes per trobar feina. En segon lloc podríem parlar dels atacs generats per experts informàtics que treballen a nivell individual, els anomenats hackers. Les tècniques són molt variades. Podem parlar dels virus i cucs (programes que s'auto-reprodueixen i es propaguen per la xarxa), dels troians o cavalls de Troia que s'instal·len al nostre ordinador, capten informació i l'envien al seu amo, de la suplantació d'emissors i remitents de missatges, de la tramesa massiva de correu no desitjat per a bloquejar l'ordinador receptor, de la captura de paraules claus, de la suplantació d'identitat i de molts altres sistemes. En aquest cas, l'objectiu pot ser molt divers, des de simplement fer mal a robar diners o informació. Finalment, i això és el que fa més por, tenim les organitzacions, empreses i Estats que han creat departaments plens de hackers especialitzats en dissenyar, preparar i executar atacs extremadament sofisticats. Són una mostra més de l'actual imbricació entre els diferents actors internacionals en un món en el que, com fa poc deia en Luis Goytisolo, els Estats cada cop més s'assemblem a empreses i les empreses, a Estats.

Un exemple paradigmàtic d'aquest tercer cas és el del virus Stuxnet, considerat la primera arma digital de la història. Amb aquest virus, els hackers de l'estructura militar de l'agència NSA dels Estats Units van poder destruir/inutilitzar el 20% de les centrifugadores que produïen urani enriquit a la central de Natanz a Iran. L'atac va ser l'any 2009, i llavors ningú va entendre el que passava. De fet, durant una visita dels inspectors internacionals el gener del 2010, ni els inspectors ni els tècnics iranians van poder entendre el misteri de les centrifugadores que es trencaven per excés de pressió interna, i fins després de quatre anys no es va saber el que havia passat. El virus Stuxnet va ser el resultat d'un projecte conjunt entre els Estats Units i Israel amb l'objectiu d'afectar els sistemes de control (fets per Siemens) de les centrifugadores. Va aconseguir infectar i controlar els sistemes informàtics d'aquestes màquines, tot i que no estaven connectades a la xarxa. L'atac es va fer en dues fases (la primera va ser d'espionatge i adquisició de dades), infectant els ordinadors d'empreses externes que subministraven equips i serveis a la central de Natanz. Aquests ordinadors infectaven els llapis de memòria dels seus usuaris amb el virus Stuxnet, que era invisible als sistemes anti-virus. La idea clau de tot plegat era que alguns operaris acabarien anant en algun moment a la central tot portant el virus en els seus llapis. El raonament, que va funcionar a la perfecció, és que si es vol atacar un sistema molt protegit, el millor és aconseguir que els actors materials de la infecció siguin els propis operaris que hi tenen accés. A la primera fase, els virus que acabaven entrant en els ordinadors de control de les centrifugadores amagats en alguns dels molts llapis de memòria infectats, incrementaven la seva velocitat de rotació amb l'objectiu de reduir la seva vida útil mentre informaven la sala de control de la central que tot anava bé i sense incidències i mentre enviaven informació essencial sobre aquests sistemes de centrifugat a la NSA; després, en una segona fase, els virus van anar incrementant la pressió interna del gas d'urani fins trencar les centrifugadores. Resumint: una brigada de hackers va aconseguir, sense moure's de davant dels seus ordinadors, destruir la cinquena part de les centrifugadores de Natanz.

Gràcies a Edward Snowden sabem de l'existència del programa Politerain. La noticia la va publicar fa pocs mesos el setmanari Der Spiegel, i és d'on he tret la imatge de dalt. L'atac a les centrifugadores de Iran amb el virus Stuxnet va ser un dels primers resultats d'aquest programa de la famosa agència NSA, que funciona des de fa vuit anys. Politerain conté el grup S321, un grup de franctiradors informàtics que funcionen amb estructura militar i que treballen a la tercera planta d'un dels edificis del Fort Meade, a l'Estat de Maryland. Com diu Snowden, la seva prioritat són els atacs, no la defensa. La seva única missió és la de manipular i destruir ordinadors i instal·lacions “de l'enemic”. Politerain és el viu exemple del terrorisme informàtic d'Estat, una petita mostra del que aviat veurem cada dia. És un futur que realment no tranquil·litza. Segurament no som gaire lluny de saber que hi ha armes digitals que maten gent civil.

Els atacs per xarxa no es poden evitar, és un dels peatges que hem de pagar pel fet de tenir una xarxa internet oberta. Crec que és indubtable que tots volem tenir aquesta xarxa oberta i lliure, i ens toca conviure amb virus i troians perquè ja sabem que la seguretat total és un mite. Però el que sí podem fer és ser curosos amb les nostres dades i no exposar-nos als perills de manera imprudent. No és el mateix enviar un correu electrònic a una persona concreta que enviar-li missatges de manera pública a través d'una xarxa social. Fa un parell de dies, en Guillermo Zapata comentava, tot justificant la seva dimissió com a regidor de cultura de l'Ajuntament de Madrid, que els tuits que ara l'han fet dimitir havien estat enviats en el context d'una conversa privada sobre els límits de l'humor. He de dir que la seva frase em va sorprendre. Per què tuitejar converses privades en lloc d'enviar e-mails? Tot plegat em va recordar el filòsof Byung Chui Han, quan diu que la peculiaritat del panòptic digital és que les persones col·laboren de manera activa en la seva vigilància i en la construcció i conservació d'aquest immens panòptic. Ho fan quan s'exhibeixen mentre despullen la seva informació a les xarxes socials.

NOTA: Personalment, he de dir que no m'agrada el terme ciberatac, i tampoc trobo massa apropiats els termes ciberseguretat, ciberespai i els seus derivats. La paraula cibernètica ja va ser usada per Plató a La República per parlar de l'art de governar i de “dirigir els homes”, però qui li va donar el seu actual significat actual va ser en Norbert Wiener l'any 1948. La cibernètica tracta sobre sistemes de control i per tant és molt més propera als robots (i per tant als drons o altres ginys automàtics) que a la xarxa d'Internet. En aquest document del CESEDEN, d'un curs de defensa nacional, es parla del ciberespai i es defineix com l'espai virtual mundial que interconnecta sistemes d'informació, dispositius mòbils i sistemes de control industrial. Citen els sistemes de control, però és clar que el ciberespai és l'espai virtual mundial que interconnecta aquests i altres sistemes informàtics. En aquest sentit, tal vegada seria millor parlar d'atacs per internet, atacs informàtics, atacs per xarxa o, si voleu, web-atacs. A pesar del futurisme implícit en el prefix ciber, jo diria que el terme és inadequat.