Blogs

El próximo 11-S empezará con un click

El próximo 11-S empezará con un click
El próximo 11-S empezará con un clicklarazonfreemarker.core.DefaultToExpression$EmptyStringAndSequenceAndHash@69f48aa5

El ciberataque a escala global iniciado el pasado viernes 12 de mayo ha afectado ya a más de 200.000 ordenadores en 150 países. El virus responsable, WannaCry, está basado en EternalBlue, una aplicación que desarrolló la Agencia Nacional de Seguridad (NSA) estadounidense para espiar ordenadores equipados con el sistema operativo Microsoft Windows. Dicha aplicación fue sustraída a la a Agencia Nacional de Seguridad (NSA) por el grupo Shadow Brokers y Wikileaks filtró los documentos a quien quisiera leerlos y, como no, utilizarlos. Es decir, el cazador cazado. O, en palabras de Brad Smith, Presidente de Microsoft, “como si al ejército de Estados Unidos le hubieran robado sus misiles Tomahawk”.

¿Qué la Agencia de Seguridad Nacional estadounidense tenga programas para espiar a la ciudadanía debería sorprendernos? En absoluto, pues era algo sabido. ¿Que un ataque informático pondría en jaque a empresas e instituciones públicas de medio mundo era previsible? Completamente. Estábamos más que avisados.

Y estábamos avisados, entre otros, por Alejandro Suárez, quien en su libro El quinto elemento, publicado hace unos meses en Ediciones Deusto, nos alerta de los daños inminentes que los ataques informáticos pueden causar -tal y como estamos viviendo estos días- y de que son las agencias gubernamentales las que, con sus propios programas de espionaje, nos ponen en peligro.

¿Qué papel tienen en los ataques informáticos a escala global los gobiernos mundiales, con agencias como el CNI español o la NSA estadounidense? ¿Cómo aprovechan este nuevo escenario criminales y terroristas? ¿Qué papel tienen las empresas y cómo se aprovechan o se defienden de ellos, según los casos? ¿Puede un ataque informático sembrar el caos y provocar un desplome económico mundial? ¿Son tus datos sólo tuyos o hay quien puede utilizarlos en tu contra? Son todas ellas preguntas que Alejandro Suárez recoge y responde en su El quinto elemento, un libro en el que nos describe una realidad incómoda y que se resume en una gran paradoja: el avance de la tecnología y su repercusión en el incremento de la seguridad nos ha llevado a una guerra silenciosa y real que se juega en un tablero de ajedrez del que todos somos peones partícipes.

En El quinto elemento, además, Alejandro Suárez nos explica que el desarrollo tecnológico y la creciente sofisticación de las herramientas digitales han convertido internet en el campo de batalla más grande que ha conocido el hombre. Asimismo, describe esa evolución y enumera sus más negras repercusiones: espionaje económico, industrial y personal; cibercrímenes, a menudo sin castigo, y las intrincadas y desconocidas redes del terrorismo a través de internet.

Tal y como relata en el libro, una nueva contienda mundial ha comenzado y todos somos soldados en las trincheras. El nuevo gran conflicto internacional trasciende todas las fronteras físicas y se libra simultáneamente en cientos de países. El nuevo escenario de la lucha son las redes digitales, el ciberespacio y el iceberg de la gran Internet oculta que no conocemos. Quien domine la información y la sociedad intrerconectada, en consecuencia, controlará el mundo. Espionaje de las telecomunicaciones, control de las agencias gubernamentales a sus propios ciudadanos, ciberataques y competencia empresarial, ciberterrorismo, robo de secretos militares, sabotaje industrial. Los crímenes del futuro ya están aquí y, lamentablemente, sólo les prestamos atención cuando explotan ante nuestras narices.

Como afirma Alejandro Suárez, el 11-S inauguró la era del espionaje institucionalizado y ahora nadie está a salvo. Es por nuestra seguridad, nos dicen. Y con este argumento nos vigilan: gobiernos, empresas, criminales y grupos terroristas conocen y utilizan nuestra identidad, monitorizan nuestras actividades privadas, leen nuestros correos y acceden a nuestros teléfonos móviles y mensajes de WhatsApp con total impunidad.

Los clásicos hablaban de cuatro elementos: tierra, agua, fuego y aire, así como de un quinto invisible, el éter. Estos cuatro elementos son también las cuatro divisiones de los ejércitos, a los que ahora se añade un quinto elemento: el ciberespacio (también, como el éter, invisible y casi indetectable). Un quinto elemento que da título a este ensayo en el que Alejandro Suárez nos explica por qué para el próximo 11-S no se necesitará secuestrar aviones y por qué empezará con un simple click.

A continuación reproducimos dos extractos del libro: “¿Qué demonios es eso del cibercrimen?” y “Así leen los amigos de la NSA tu correo electrónico”.

¿Qué demonios es eso del cibercrimen?

Todo el mundo sabe lo que es un crimen. Pero ¿qué es el cibercrimen? Podemos decir que el cibercrimen consiste en el uso de herramientas digitales para cometer algún tipo de actividad ilegal. El problema es que, a medida que las tecnologías de la comu-nicación evolucionan y se hacen más presentes en la vida de los ciudadanos, cada vez es más difícil encontrar crímenes que no impliquen, de algún modo, un componente digital. Diferenciar claramente ambos tipos de delitos puede parecer un debate estéril, pero, para la Comisión Europea, la distinción entre crímenes tradicionales y digitales no es baladí, ya que es necesario que que-de reflejada y definida en las leyes de la Unión Europea. Así, la diferencia entre los cibercrímenes propiamente dichos y los crí-menes tradicionales que conllevan el uso de herramientas digita-les radica, según la Comisión, en que los primeros constituyen ataques que emplean exclusivamente redes digitales, tanto en sus medios como en sus fines.

Esto nos lleva a un segundo dilema. Del mismo modo que ocurre con el crimen, todo el mundo sabe lo que es un ataque. Sí. Pero ¿qué es un ciberataque? Lo cierto es que el término está rodeado de ambigüedad, porque ha sido empleado para describir desde protestas online hasta sabotajes de investigaciones nuclea-res, pasando por el robo de secretos en internet o actos de guerra.

Como en el caso del cibercrimen, la definición de ciberataque no es una cuestión banal, especialmente si tenemos en cuenta que su número no para de crecer de forma exponencial cada año. Desde 2009, el Gobierno de Estados Unidos define un ciberataque como «una acción deliberada para alterar, interrumpir, engañar, de-gradar, o destruir sistemas informáticos o redes de información y/o programas alojados o en tránsito por esos sistemas o redes». Como en el caso de los cibercrímenes y los crímenes tradicionales, los ciberataques se diferencian de los ataques convencionales en sus medios y sus fines. En lugar de emplear herramientas ciné-ticas (por ejemplo, el puño, una bomba o una espada), un ciberata-que utiliza herramientas digitales (básicamente, ordenadores y otros dispositivos inteligentes). Esto hace que sea mucho más versátil que un ataque tradicional, porque no está sujeto ni constreñido por las leyes de la física. Tal como señalan Peter W. Singer y Allan Friedman en su libro Cybersecurity and cyberwar, un cibera-taque se mueve, literalmente, a la velocidad de la luz y no se detiene ante fronteras físicas o políticas. Además, sin ser divino, es ubicuo: puede tener lugar en varios lugares al mismo tiempo.

Atendiendo a su objetivo, un ciberataque siempre golpea primero un sistema informático, en lugar de un blanco físico. Es posible que de ese golpe se derive un daño físico para alguien o para algo, pero el primer impacto siempre es sobre un ordenador.

Al mismo tiempo, un ciberataque es mucho más difícil de identificar y atribuir que un ataque convencional. En muchas ocasiones, sólo se puede tener la sospecha de que el ciberataque se ha iniciado en un determinado país, pero resulta muy complicado asegurar quién es el responsable. Es lo que ocurre, por ejemplo, con un gran número de ciberataques originados en Asia. Muchas veces se sospecha que es China su lugar de procedencia, pero es prácticamente imposible probarlo, así como determinar qué actor lo ha ordenado, es decir, si se trata de empresarios, funcionarios del Gobierno, hackers o activistas.

Asimismo, predecir el efecto que tendrá un ciberataque es también más complicado. Resulta relativamente sencillo anticipar el coste en daños físicos o económicos que tendrá la detonación de una bomba en un centro comercial la víspera de Reyes, por ejemplo. Sin embargo, no es tan fácil calcular el impacto que puede tener un virus informático, ni sus consecuencias, ni su capacidad de propagación.

Como vemos, un ciberataque es bastante distinto de un ata-que tradicional en sus fines y en sus medios. Pero, incluso dentro de los ciberataques encontramos distintos tipos. Los «ataques de disponibilidad» tratan de impedir el acceso a una determinada red, bien sobrecargándola de visitas, bien mediante la denegación del servicio, bien tirando abajo la página. Es el caso de los conocidos ataques DDoS, que afectan a una red causando que un servicio o recurso sea inaccesible a los usuarios legítimos.

Otro tipo son los «ataques de confidencialidad», que buscan penetrar en ciertas redes para extraer información privada y da-tos de los usuarios. Un ejemplo de este tipo de ciberataque es el fraude asociado a las tarjetas de crédito o las cuentas bancarias online. Los atacantes obtienen contraseñas y otras informaciones a través de ataques informáticos, o bien engañan directamente a los clientes, haciéndose pasar por una institución financiera, en una práctica muy extendida y conocida como phishing.

Por último, hay un tipo de ciberataque que no busca robar o extraer información, sino cambiarla. Puede constituir un simple acto de protesta o vandalismo, pero también puede tratarse de un sabotaje con graves consecuencias. Por ejemplo, ¿qué ocurriría si unos cibercriminales alteraran la información de una central nuclear o de un servicio básico para los ciudadanos, como el sistema eléctrico de un hospital? Pero de esto hablaremos un poco más adelante, cuando abordemos el problema del ciberterrorismo.

A partir de estas diferentes modalidades de ataques, los cibercriminales han desarrollado con gran imaginación algunos robos verdaderamente originales y lucrativos. Una de las ventajas que tiene el robo en internet es que no tiene por qué limitarse a un individuo solamente: ¿por qué robar a una persona cuando pue-des robar a cien millones o más?

Esto es lo que permiten algunos kits de ciberdelincuencia como Blackhole o SpyEye, que minimizan el coste de los robos en términos tanto económicos como hu-manos y permiten robar a millones de personas en pequeñas cantidades, de modo que las víctimas nunca informan del abuso a las autoridades y el delito no puede ser rastreado y perseguido.

Y hay métodos mucho más sofisticados. Por ejemplo, en los últimos años ha prosperado un tipo de malware denominado ransomware, que, al infectarte, toma el control de tu ordenador e impide el acceso a tus archivos hasta que pagues un determina-do rescate.

Algunas versiones de ransomware se hacen pasar por una autoridad oficial, como es el caso del temido Reveton Trojan. Este virus bloquea el ordenador infectado, en el que hace emerger una ventana con el emblema del FBI y un mensaje en el que comunica que el propietario de esa computadora ha incurrido en una violación de las leyes federales contra la descarga ilegal de material audiovisual, o bien que ha reproducido o descargado archivos prohibidos con contenidos pornográficos. Para redimir al atemorizado usuario, se le solicita que abone una multa que oscila entre los 200 y los 400 dólares. Te sorprendería mucho ver el porcentaje de gente que acaba pagando sin hacer demasiado ruido. Muchos de ellos por miedo a la vergüenza de que pudiera trascender qué estaban haciendo en esos momentos con su ordenador. Esta estafa está tan perfeccionada que se adapta a cada con-texto nacional. Por ejemplo, si eres estadounidense te aparecerá el citado mensaje del FBI, pero, si eres británico, la pantalla emergente mostrará el logo de Scotland Yard, o el de Europol, si eres de algún otro lugar de Europa. Incluso tienen versiones en árabe para los habitantes de Emiratos Árabes Unidos y otros paí-ses de su entorno. Las víctimas de este ransomware se cuentan por decenas de miles en todo el mundo. Otro troyano que se ha labrado gran fama internacional por su peligrosidad es el conocido como CryptoLocker, que encripta los archivos del ordenador infectado de modo que su propietario no puede leerlos ni acceder a ellos. A continuación, el troyano muestra un reloj con una cuenta atrás y un mensaje siniestro: el usuario tiene sólo 48 horas para pagar 300 dólares o todos sus archivos serán destruidos de forma irreversible.

Cerca de 250.000 personas han sido víctimas de CryptoLocker, cuyo creador se ha embolsado aproximadamente 30 millones de dólares. ¿Quién dijo que los informáticos no podían ganar cantidades desorbitadas de dinero? También en España hemos sufrido este ransomware. A principios de 2015, CryptoLocker bloqueó 400.000 archivos del re-cinto ferial de Madrid, IFEMA, haciéndose pasar por un mensaje de la empresa pública Correos.

Y, por las mismas fechas, Deloitte fue víctima de un ataque —paradojas del destino— en el centro de seguridad que tiene en Alcobendas, donde trabajan doscientas personas los 365 días del año. El ataque fue dirigido a una financiera que enviaba remesas de divisas a otros países a través de una treintena de oficinas en España. Una mañana, todas las sucursales recibieron un paquete postal personalizado acompañado de un programa informático y una carta firmada supuestamente por el director de la compañía. Todo parecía real. En la carta, el ejecutivo les pedía amablemente que ejecutasen el dispositivo para actualizar los sistemas. Sólo una sucursal lo hizo, pero desató un virulento ataque masivo que inmediatamente provocó el desvío del dinero de cuentas de sus clientes a un banco de Rumanía. Esa jornada perdieron la bonita cifra de 300.000 euros.

Y es que tan sólo es necesario un tonto dentro de una organización para que un ataque sea efectivo. Aunque el personal esté bien formado y siga todos los protocolos, basta que una persona abra la puerta para que el «bicho» ya esté dentro. En este sentido, pese a toda la tecnología, en el fondo no hemos avanzado tanto, y seguimos tropezando con las mismas piedras.

En realidad, el caso descrito no es más que una evolución del clásico «timo nigeriano», que consistía en ilusionar a la víctima con una fortuna inexistente y persuadirla para pagar una suma de dinero por adelantado como condición para acceder al botín completo. Antes se calculaba que por cada mil cartas enviadas picaban unas cinco personas. Pero enviar cartas internacionales desde Nigeria tenía un costo significativo.

Hoy en día, usando medios tecnológicos, el costo es residual; además, se puede llegar a millones de personas y siempre se encuentra a alguien que abre amablemente la puerta. Luego, si el fraude está bien pensado y bien ejecutado, la efectividad aumenta. El malware que solicita rescates, y cualquier tipo de ransomware, también puede integrarse en el sistema operativo de los teléfonos móviles, haciendo que sus posibilidades de infección se multipliquen. Además, sus víctimas no tienen por qué ser sólo usuarios individuales: también pueden ser empresas, asociaciones sin ánimo de lucro o, incluso, agencias gubernamentales. Esto último fue lo que ocurrió en Massachusetts hace algunos años. Un día, el Departamento de Policía de Swansea fue infecta-do con uno de estos troyanos después de que un empleado abriera un email malicioso. El departamento fue entonces obligado a abrir una cuenta en bitcoin y pagar 750 dólares para evitar que todos los archivos policiales se perdieran para siempre. Para que te hagas una idea de que los cibercriminales siempre van un paso por delante, el jefe de la policía de Swansea declaró entonces a la prensa que no tenía ni idea de qué era un bitcoin, ni de cómo diablos funcionaba el malware hasta ese momento.

Desde luego, tras este ataque no lo volverá a olvidar. Pues así es, querido amigo: éste es el tipo de personas que debe protegernos del crimen del siglo xxi, y también de esos nuevos cibercrímenes y ciberataques que, en muchas ocasiones, ni entienden ni conocen, y contra los que, por supuesto, no tienen siquiera la capacidad de defenderse ellos mismos.

Así leen los amigos de la NSA tu correo electrónico

Pero ¿de qué modo lleva a cabo exactamente la NSA su espionaje sobre los ciudadanos? ¿Cómo accede el Gobierno de Estados Unidos a nuestro Facebook o a nuestro correo de Gmail? Y la pregunta del millón: ¿es legal?

En determinados países como China, Corea del Norte, Siria o Irán, es una obviedad decir que hay una total barra libre. Eso lo esperabas, como es evidente, pero seguro que esperas algo más de vergüenza torera en las democracias del mundo y los países de nuestro entorno.

Para los servicios secretos de los países occidentales, la legalidad es relativa. No llega a representar ni tan siquiera una traba burocrática para sus actividades. Lo más que pudiera ocurrir es que, si hay algún exceso, se tengan que forzar un par de dimisiones, retiros forzados, abrazos, medallas a los servicios prestados, entregadas en privado y jubilaciones prematuras. Poco más. La ley no importa. Todo vale y, si no fuera así, se creará una ley a medida para que así sea.

Vamos, que en un ranking de trasparencia, protección y respeto a las libertades por parte de los servicios secretos, nuestra sociedad no está tan alejada de los países del primer grupo como cabría suponer. La Cuarta Enmienda de la Constitución estadounidense establece que «el derecho de los habitantes a la seguridad en sus personas, domicilios, papeles y efectos, contra incautaciones y pesquisas arbitrarias, será inviolable, y no se expedirán órdenes al efecto, a menos que exista una causa probable, corroborada mediante juramento o declaración solemne, y cuyo contenido des criba con exactitud el lugar a ser registrado y las personas o cosas que serán objeto de detención o embargo».

Es decir, que la Cuarta Enmienda dicta que el Gobierno necesita una orden judicial para investigar a un ciudadano estadounidense. ¡Ah, espera!, si no tienes la nacionalidad estadounidense no estás protegido por esta enmienda constitucional, chico, ¡mala suerte! Ésta es una manera de dividir a la población entre ciudadanos de primera (los nuestros) y ciudadanos de segunda (todos los demás), autorizando a los de primera a violar cualquier derecho moral y legal que los de segunda puedan poseer. Aunque la ley les sirve de coartada, no nos engañemos, tampoco es que la necesiten demasiado.

En realidad, conseguir una orden judicial no es muy complicado para la NSA, que puede obtenerla rápidamente a través de un tribunal secreto llamado Foreign Intelligence Surveillance Court (FISC), algo así como Tribunal de Vigilancia de Inteligencia Extranjera. Esta corte tiene la particularidad de que sólo admite al abogado que representa al Gobierno y nunca hace públicas sus sentencias ni decisiones. Y, a pesar de todo ello, es legal. Un ejemplo de trasparencia democrática que hace, entre otras muchas cosas, que con el señuelo del terrorismo sean espiadas relaciones personales, líderes mundiales, personas anónimas, altos directivos, empresarios e incluso ONG de forma masiva y sin control alguno.

De las 1.800 órdenes de investigación que el FBI y la NSA solicitaron en 2012, el 98,9 por ciento fueron aprobadas por ese tribunal. ¡Qué efectividad, chicos! Y, una vez se han hecho con la orden judicial, las empresas están obligadas por ley a suministrar al Gobierno la información que solicite. Me encantaría haber podido tener acceso al 1,1 por ciento restante, pero no ha sido posible. Imagino que serán defectos de forma, o una manera de que no se pueda decir que el tribunal es un pasteleo total.

Pero pensarás, y con razón, que esas 1.800 órdenes no se corresponden con el espionaje masivo que han destapado los papeles de Snowden, y que es imposible que el Gobierno de Estados Unidos haya solicitado y conseguido una orden judicial para investigar a millones de ciudadanos. Efectivamente, la NSA espía a ciudadanos propios y extraños de forma completamente ilegal con la necesaria colaboración de las empresas operadoras de internet.

Pero, tal como advirtió Alberto Sicilia en el diario Público, para entender mejor cómo se lleva a cabo el espionaje es interesante analizar las palabras de un antiguo portavoz de Facebook, conocedor, por motivos obvios, de la causa: «Cuando el Gobierno pide a Facebook datos sobre individuos, nosotros sólo entregamos los estrictamente requeridos por la ley. Nunca permitimos un acceso directo a nuestros servidores».

Dos trucos, uno por cada frase.

El primero: «Estrictamente requeridos por la ley». Ya hemos visto que la ley les ampara en casi todo, ya que el tribunal desarrollado para ello les concede todos los privilegios, y, si eso falla, siempre pueden hacerlo mentando la amenaza terrorista. Si prestamos atención a la última frase, descubriremos el segundo truco. Se trata de una trampa lingüística. En efecto, las compañías «no permitían un acceso directo» a sus servidores. Eran un poco más sutiles: lo que hacían era copiar datos de sus servidores a otros servidores (que técnicamente no eran suyos aunque estuviesen dentro de sus instalaciones) a los que sí tenía acceso la NSA.

La operación para acceder al correo electrónico de los ciudadanos tampoco es muy complicada. Es posible que te hayas fijado en que, cuando te conectas a tu cuenta de Gmail, en la URL del navegador aparece «https://» en lugar de «http://» (la diferencia es la letra «s»).

Básicamente, lo que la «s» quiere decir es que la conexión entre nuestro ordenador y el servidor de Google está encriptada con el protocolo de seguridad SSL/TLS, o sea, que es segura, de tal modo que nadie puede leer nuestros correos aunque pinchase el cable por el que viaja el mensaje desde nuestro ordenador hasta Google. Sin embargo, Google no cuenta con un único servidor.

Esto significa que, cuando nos conectamos con alguno de sus servicios, en realidad nos estamos conectando al servidor que hace de «puerta de entrada» a los sistemas de Google. Esa conexión entre nuestro ordenador y la puerta de entrada es segura. Pero, una vez nuestro correo electrónico llega a Google, la multinacional lo cpia en múltiples servidores, de tal modo que, si se cayera uno de sus centros de datos, nosotros podríamos continuar navegando por Gmail sin problema.

Lo malo es que las conexiones entre los centros de datos de Google, esto es, las que se producen una vez hemos traspasado la puerta de entrada, no están encriptadas. Lo que hace la NSA, a través de su programa MUSCULAR, es pinchar precisamente esos cables entre los centros de datos de Google (pero también de Yahoo!, por ejemplo) para poder leer los correos electrónicos. Es decir, aunque pudiera robarse nuestra información camino del centro de proceso de datos (o data center) de Google, habría que desencriptarla. No es imposible, pero es mucho más trabajoso que hacerlo directamente en los sistemas de Google, donde esta información no está encriptada.

Google cuenta con cientos de data centers (DC) repartidos por todo el mundo, muchos de los cuales están conectados por fibra óptica propia. Así, la NSA sólo tiene que pinchar estos cables para poder acceder a todos los datos que circulan sin encriptar. Pero si Google colabora felizmente con las agencias gubernamentales estadounidenses, ¿por qué motivo la NSA estaría interesada en pincharles sus sistemas y robarles información?

La res-puesta es simple, porque son capaces de hacerlo, así no dependen de la colaboración bienintencionada de la empresa..., y tampoco tienen que dar explicaciones de sus prácticas, por ejemplo, si están obteniendo información y archivos de ciudadanos estadounidenses, algo vetado por la Constitución del país.

Por si fuera poco, se da la circunstancia de que, por su estatus económico y tecnológico, la mayor parte de las comunicaciones mundiales pasa por Estados Unidos, lo cual les facilita mucho las cosas. Digamos que eso convierte las redes norteamericanas en el Disneylandia de los voyeurs. Esto sucede porque las llamadas telefónicas, los correos electrónicos o los chats no viajan hasta su destinatario siguiendo el camino más corto, sino el más barato, que coincide, generalmente, con el canal con mayor ancho de banda disponible.

Puesto que el ancho de banda que une Norteamérica con Europa, la región Asia-Pacífico o América Latina es mayor que la de cualquiera de las combinaciones posibles entre estas tres, es probable que, por ejemplo, un correo electrónico enviado desde Francia y recibido en Brasil haya pasado antes por Estados Unidos.

Esta superioridad tecnológica, unida a la inmunidad de la que disfruta, es la que le ha permitido a Estados Unidos (y, en menor medida, a muchos otros Estados con un desarrollo técnico suficiente) ampliar el objeto de su vigilancia, justificando como políticas de seguridad o antiterroristas actividades eminentemente económicas. No es de extrañar que, según un informe de Verizon, Kaspersky y McAfee, el 87 por ciento de los ciberataques provenga de los gobiernos de distintos países del mundo, y que, de ellos, un alto porcentaje tengan como objetivo empresas e industrias.