Una guerra a escala global se está produciendo aquí y ahora. Es una guerra real, pero tan secreta que sus acciones se desdibujan entre ataques sin reivindicar, atentados de falsa bandera, actividades criminales y travesuras de adolescentes.

Sé que suena confuso (incluso contradictorio), pero esa es, precisamente, una de las características de su campo de batalla.

Me estoy refiriendo a la ciberguerra.

 

WannaCry

El viernes 12 de mayo de 2017 se desató una crisis informática a escala global. Un ransomware (es decir, un software malicioso que «secuestra» los datos del ordenador por medio de la encriptación para luego —o al mismo tiempo— pedir un rescate) se esparció por el mundo. Aquella jornada, el número de afectados escaló hasta los 45.000 usuarios en 47 países y, con los días, llegó hasta los 200.000 en 150 países. Entre los afectados figuraron hospitales (en Reino Unido), la compañía de trenes alemana, entidades financieras (en Rusia), universidades (en China), o la sede de Telefónica en España.

Y si bien, en principio, el incidente se vinculó directamente con el virus WannaCry (que ya había atacado en marzo) luego se supo que se trataba de una variante del mismo conocida como WanaCryptOr. De todos modos, en la prensa se sigue hablando de WannaCry: quizás porque el nombre es mucho más expositivo de los efectos del mismo.

Hasta aquí, nada que no pueda leerse en esta selección de artículos de El país. Claro que, si has leído con atención, estarás a punto de preguntarme…

 

¿Qué tiene que ver la ciberguerra con ese virus?

…si el ransomware parecería ser obra de una organización cibercriminal; una versión 2.0 del «secuestro exprés», por decirlo de forma sencilla.

Buena pregunta. Permíteme que no la responda todavía… para hacerlo es necesario dar un poco de contexto.

Eso sí, dado que la mezcla de ciberguerra y cibercrimen es un caldo de cultivo para teorías de la conspiración, antes de seguir debo aclarar un par de cosas: la primera es que mi intención en este artículo es brindarte una serie de datos que te permitan evaluar ese vínculo por tu cuenta; y la segunda es que lo único que haré será ponerlos sobre la mesa: no pretendo convencerte de nada, solo exponer una posibilidad.

 

Otro caso a tener en cuenta

Este incidente no ha sido el único ataque global sufrido en el último año. El viernes 21 de octubre de 2016 (casualmente, otro viernes) una serie de ataques DDoS hicieron caer algunos de los más populares sitios web, incluyendo periódicos como The Guardian o The New York Times.

¿Y qué significa DDoS? ¿Tiene alguna relación con el ransomware WannaCry?

No de forma directa.

Empecemos por la definición: DDoS es el acrónimo de «Ataque de denegación de servicio» (distributed denial-of-service), un ciberataque consistente en enviar tal cantidad de solicitudes de datos a un sitio web o servidor concreto que este es incapaz de responderlas y colapsa. Obviamente, estas solicitudes de datos parten de dispositivos infectados con malware que actúan como una botnet, es decir: como una red de robots informáticos controlados de forma remota.

Los ataques DDoS no son una novedad. Sin embargo, según Brian Krebs (un investigador independiente en seguridad informática entrevistado en aquel entonces por The Guardian), el «código fuente» del Mirai botnet (la red de robots específica empleada en ese golpe) parecía mostrar que «Internet pronto se verá inundada por los ataques de muchos nuevos botnets que emplearán routers inseguros, cámaras IP, videograbadoras digitales y otros dispositivos fácilmente hackeables».

O, dicho de otra forma: resulta muy probable que en los próximos años ese tipo de ataque se incrementen.

 

Sospechas

Vale, pero todavía no me has respondido; ¿quién está detrás de los ataques? ¿Y qué relación tiene todo esto con la ciberguerra?

Empecemos por el ataque de octubre.

Aunque en su momento nadie lo reivindicó, la mayoría de los expertos en ciberseguridad coincidieron en que había más posibilidades de que los perpetradores fueran adolescentes intentando hacer una trastada que atacantes maliciosos patrocinados por estados.

 

Y sin embargo…

Desde principios de siglo, los países más poderosos del mundo disponen de cibercomandos… y estos grupos suelen acusan de sus acciones a hackers civiles.

No es una teoría de conspiración; es el modo en que funciona esta guerra.

Como muestra te daré un ejemplo: aunque hoy es sabido que en agosto de 2008 un cibercomando ruso llevó a cabo un ciberataque contra Georgia que colapsó sus sistemas informáticos (antes de proceder al ataque terrestre con fuerzas convencionales), en aquel entonces, el gobierno de Rusia dijo que este había sido perpetrado por hackers civiles.

De hecho (al margen de la postura mayoritaria de los expertos en seguridad informática), la posibilidad de que el ataque de octubre hubiese sido cometido por un país extranjero fue un tema bastante candente durante las semanas previas a las elecciones norteamericanas.

En primer lugar, debido a la ubicación de los servidores afectados: únicamente en Estados Unidos. Y en especial por las recientes filtraciones de información política; algo que nunca sabremos cuánto influyó en la campaña electoral y que (ya por entonces) la administración Obama había atribuido a Moscú.

 

Un poco de historia

Antes de seguir, vale la pena dar otro paso hacia atrás.

El libro Guerra en la red. Los nuevos campos de batalla (Ariel, 2011) sigue siendo, hoy en día, una excelente puerta de acceso a esta temática. Fue escrito por Richard A. Clarke (responsable de seguridad de cuatro presidentes de Estados Unidos) y Robert K. Knake (corresponsal de asuntos internacionales en el Council of Foreing Relations) por lo que su enfoque evita el alarmismo (lo que no impide que, en ciertos pasajes, resulte alarmante).

Recuerdo especialmente su análisis de la «fortaleza cibernética general» de las distintas potencias que, a finales de la década pasada, ya disponían de cibercomandos. Sus autores explicaban que para estudiar dicha fortaleza era necesario cuantificar tres factores: la capacidad ofensiva cibernética (la disposición de innovaciones, personal capacitado y recursos económicos para desarrollar armas cibernéticas y mecanismos de infiltración), la capacidad defensiva cibernética (la disposición de esos mismos recursos para protegerse de ataques externos) y la ausencia de dependencia cibernética (el hecho de que las infraestructuras críticas de un país —la energía eléctrica, los ferrocarriles, los oleoductos y gasoductos, la cadena de suministros— no dependa de la conexión a la red o, al menos, que posea un respaldo en el mundo real).

 

Una estremecedora sorpresa

Una vez cuantificados estos tres factores para las distintas «ciberpotencias» los autores sumaron los resultados para obtener la «fortaleza cibernética general» de cada una de ellas.

¿Y a qué conclusión llegaron?

Según el libro (y en el momento en el que libro fue escrito) los países que mejor puntuaban en esta tabla eran Rusia y Corea del Norte, no por su capacidad ofensiva cibernética (la de Estados Unidos era muy superior), sino por su elevado puntaje en ausencia de dependencia cibernética, lo que los hacía mucho menos vulnerables a las agresiones ajenas.

 

Sospechas fundadas

Y ahora sí, ha llegado el momento de responder a la pregunta que me hiciste más arriba. ¿Qué tiene que ver el virus WannaCry con la ciberguerra?

Quizás nada, quizás solo sea un ciberataque criminal; pero quizás…

El lunes 15 de mayo (tres días después del incidente) Kaspersky y Symantec (dos firmas punteras en seguridad informática) dijeron haber encontrado evidencia que vinculaba el ransomware WannaCry con la ciberbanda norcoreana conocida como Lazarus Group.

Básicamente, lo que dijeron fue ciertos detalles técnicos en una versión temprana del código del WannaCry son similares a un código usado en una «puerta trasera» diseñada en 2015 por estos hackers norcoreanos. Hackers, por otra parte, con claros vínculos con el gobierno.

Esto no demuestra que el ataque esté asociado al gobierno de Corea del Norte; de hecho, el uso de este código ni siquiera implica directamente al Lazarus Group. Como dije al principio de esta entrada, la autoría de este tipo de acciones se desdibuja entre ataques sin reivindicar, atentados de falsa bandera, actividades criminales, e incluso travesuras de adolescentes. Sin embargo, en el artículo de The Guardian en el que Olivia Solon saca a luz este asunto, la periodista hace el siguiente análisis:

«Un código compartido no siempre significa que el mismo grupo de hackers sea responsable: un grupo completamente distinto pudo haber, simplemente, reutilizado el código de la puerta trasera —diseñada por Lazarus Grup en 2015— como una “falsa bandera” para confundir a cualquiera que intentara identificar al perpetrador. Sin embargo, el código reutilizado parecería haber sido removido de las versiones posteriores de WannaCry, lo cual —según Kaspersky— da menos peso a la teoría de la falsa bandera».

 

Una reflexión final

Sé que, tras mi primer artículo sobre bacterias resistentes a los antibióticos, esta sección se está ganando a pulso el rótulo de «conspiranoica», o al menos de alarmista. Así que, como hice en aquella ocasión, no voy a terminar el artículo con una opinión personal, sino trascribiendo la opinión de un experto.

Bruce Schneier es, en la actualidad, Jefe de Tecnología de IBM Resilient (o, dicho de otra forma, del área de seguridad informática de IBM), miembro del Harvard’s Bekman Klein Center (el área de Harvard destinada a «explorar y comprender el ciberespacio; a estudiar su desarrollo, dinámicas, normas y estándares») y miembro de la Junta de la EFF (Electronic Frontier Fundation: organización sin fines de lucro destinada a la defensa de las libertades civiles en el mundo digital). En pocas palabras: el hombre sabe de lo que habla.

Lo increíble es que, aparte de todo eso, Bruce Schneier tiene tiempo para llevar un blog desde 2004 y, pocos días después del ataque DDoS de octubre de 2016, publicó una entrada que se esparció por la red a velocidad de vértigo.

No es para menos, su título era: «Alguien está aprendiendo cómo derribar Internet».

Y si bien su análisis se refería a aquel ataque DDoS, creo que sus conclusiones podrían ser extrapolables al reciente ataque de ransomware que hemos sufrido a nivel global.

Así que, sin más preámbulos, estas son sus palabras.

«Durante el último año o dos, alguien ha estado investigando las defensas de las empresas que ejecutan piezas críticas de Internet. Estas pruebas toman la forma de ataques calibrados con precisión, diseñados para determinar exactamente cuán bien pueden defenderse estas empresas y qué se requeriría para derribarlas. No sabemos quién está haciendo esto, pero la sensación que da es que se trata de un gran estado nación».

Esperemos (por el bien de todos) que su «sensación» sea equivocada, pero los hechos que describe son reales, y como dice él mismo al final de su artículo: «…esto está sucediendo. Y la gente debería saberlo».

One Reply to “La guerra secreta

  1. Si hay gente con el suficiente poder para dejarnos sin nuestras cuentas personales, sin el registro de nuestras propiedades sin nuestras historias clínicas (oí que a un paciente tuvieron que suspender una operación cardiovascular porque los datos de los bancos de sangre habían desaparecido), y un gran etcétera, ¡¡y si esto fuese solo una experiencia piloto!!, me extraña que no se estén reuniendo para crear un protocolo de desarme cibernético, como se hace con las armas químicas por ejemplo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *