Stuxnet, el gusano que acabó con buena parte de los planes nucleares de Irán en 2010, fue un punto de inflexión. Hoy son muchos los que advierten de que los conflictos armados también se juegan en Internet. Sin embargo, hay quien cree que todo es puro sensacionalismo.
Cuando se habla de ciberguerra o ciberterrorismo, las fronteras entre lo real y lo imaginario o supuesto se diluyen. A todos se nos vienen a la cabeza escenarios de película de espías o de moderna novela negra. En cualquier caso, la gran seguridad cibernética, la que incumbe a los estados que quieren defender sus grandes redes de comunicaciones, transporte o energía de ataques terroristas o de estados enemigos, o la que deben abordar las empresas para evitar el espionaje industrial, financiero o tecnológico, es un asunto de calado que está llevando a los ejércitos de medio mundo a formar comandos de especialistas.
Incluso un escéptico como Bruce Schneier, un gurú reconocido internacionalmente y que trabaja como jefe de seguridad de la multinacional BT, está convencido de que hoy miles de expertos asesoran a gobiernos como los de EE UU, China o Rusia ante una eventualciberguerra o para mantener el espionaje en la Red. Según una estimación oficial, EE UU necesita entre 10.000 y 30.000 expertos para proteger al Gobierno y a las grandes empresas de un ataque cibernético.
A mediados de 2010, el Pentágono creó una unidad especial, Cyber Command, ubicada en Maryland y con una dotación anual de 150 millones de dólares, bajo el mando del director de laAgencia de Seguridad Nacional. Algo parecido a la Unidad 8200, el comando especial de ciberinteligencia creado hace años por Israel.
El espionaje industrial es otra variante de ciberdelincuencia, más interesante en términos económicos
El experto en seguridad Chema Alonso está convencido de que todos los ejércitos del primer mundo tienen equipos de defensa y ataque de sistemas. «El Pentágono reconoció en 2010 que habían tenido una intrusión realizada con un pendrive y que tardaron seis meses en erradicarla», nos dice por correo electrónico.
Uno de los que más ha puesto el grito en el cielo en los últimos años sobre esta «escalada armamentística», que ha cambiado las armas tradicionales por sofisticados ingenios de software espía, ha sido Eugene Kaspersky, el dueño y primer ejecutivo de la firma de antivirus que lleva su nombre. «Si algunos creen que estas amenazas son ciencia-ficción, me temo que tengo muy malas noticias: todo esto es real y está ocurriendo en la actualidad», proclama Kaspersky desde su blog. En consecuencia, los presupuestos militares cibernéticos se van a disparar. Además,Kaspersky asegura que ciberarmas como Stuxnet, Duqu o Flame, que son «la punta del iceberg», son más eficaces y baratas que las tradicionales, así como difíciles de detectar y atribuir a un atacante en concreto.
Unido a todo ello está el hecho de que, al contrario que pasa en el mundo convencional, laciberguerra no está regida por un convenio internacional que imponga unas reglas del juego limpias. El ingeniero ruso recuerda en su blog personal que el año pasado Estados Unidos anunció que se reservaba el derecho a responder a un ataque cibernético con sus medios militares tradicionales. En su opinión, esto puede provocar que una mala interpretación de un software pueda justificar un ataque de la primera potencia.
Las cosas han cambiado mucho en los últimos 20 años en el mundo del ciberdelito y en las ficciones que lo han recreado en pantalla. Ahora la delincuencia y el espionaje on-line son cosa de expertos
Desenchufan Estonia
Pero antes de seguir, conviene ir a los hitos de la ciberguerra hasta el momento. El primer aviso de por dónde podían ir las cosas lo tuvieron los ciudadanos de la pequeña Estonia en 2007. El 27 de abril de aquel año, el gobierno estonio retiró una estatua erigida en los tiempos de la dominación soviética en homenaje a los soldados que lucharon contra la invasión alemana en laSegunda Guerra Mundial. La escultura era un recuerdo del imperialismo de Moscú, que controló la república báltica hasta 1991. La decisión fue muy polémica, pues hasta un cuarto de la población es de origen ruso.
Ese día hubo protestas y graves desórdenes públicos. Pero no acabó ahí la cosa y al caer la tarde llegó lo peor: las páginas web de los principales periódicos, radios y televisiones sufrieron espectaculares incrementos de tráfico que las colapsaron. Era un ataque de denegación de servicio (DoS) en toda regla. Algunas webs del Gobierno y las páginas de los principales bancos también sucumbieron. Los ataques, que venían de todas las partes del mundo, llevaron a que Estonia se desconectara. Para superar la crisis, que coleó hasta mediados de mayo, los estonios necesitaron la colaboración de expertos internacionales. Muchos señalaron a los servicios secretos rusos como el origen último del ataque.
Al año siguiente, el punto de interés estuvo en la exrepública soviética de Georgia, que por aquellos días mantenía un conflicto armado con Rusia por el control de la región de Osetia del Sur. Aquí, por primera vez, un conflicto bélico tenía su paralelo en la Red. Los hackers rusos se dedicaron a bloquear algunas de las principales páginas del Gobierno georgiano. Un fotomontaje que comparaba al presidente del país con Hitler sustituyó el contenido original de la web delBanco Nacional.
Y entonces llegó Stuxnet
Sin embargo, el punto de inflexión en esta historia fue Stuxnet, una pieza tan buena que muchos la consideran la Capilla Sixtina del software espía. Aquello fue distinto de cualquier otro ataque conocido hasta el momento. A finales de septiembre de 2010, miles de ordenadores fueron infectados en Irán por un gusano de nombre bien sonoro. El ataque alcanzó al sistema informático de la central nuclear de Bushehr o el complejo nuclear de Natanz. El gusano estaba pertrechado con hasta cuatro exploits de zero-day de Windows (que atacan vulnerabilidades desconocidas incluso para el fabricante del producto), todo un portento, según los expertos. Irán no reconoció daños graves, pero todas las fuentes apuntan a que su programa nuclear sufrió un varapalo.
Se dice que el virus infectó decenas de miles de ordenadores industriales (un 60% de los casi 100.000 ordenadores que quedaron infectados por el gusano, muchos de usuarios particulares que ni siquiera lo notaron, estaban en Irán) y destruyó buena parte de las centrifugadoras nucleares.
La ciberguerra o ciberterrorismo compete a los ejércitos y a los cuerpos de seguridad del estado
Aquí no estamos hablando de simples apagones por denegación de servicio, sino de una pieza de malware muy sofisticada con un objetivo muy concreto: tomar el control de los sistemas de Scada de Siemens que controlan los procesos químicos de las centrales iraníes y retrasar o dar un golpe de muerte a su programa nuclear, que tantos recelos siempre ha levantado. El asunto es más de película si se tiene en cuenta que el ataque se efectuó sobre instalaciones que, por su naturaleza, no están conectadas a Internet, lo que refuerza la hipótesis de que el virus se introdujo a través de un dispositivo, como una llave USB.
Sobre el origen del ataque, todos apuntaron de entrada a Estados Unidos e Israel, primer interesado en que el programa nuclear de Irán no prospere. La última palabra al respecto la puso un artículo de The New York Times en enero de 2011, que citaba fuentes muy próximas alPentágono que certificaban que, efectivamente, Estados Unidos e Israel estaban detrás deStuxnet.
David Sancho, experto en seguridad de Trend Micro, asegura que Stuxnet «nos abrió los ojos a todos». «Esto no podía haber sido hecho por ciberterroristas, sino por un país o varios. Sus autores tenían mucho conocimiento de las centrales de uranio. Además, necesitaban un gran aparato logístico, así como años y mucho dinero para desarrollarlo. Stuxnet era un monstruo que usaba hasta cuatro exploits zero-day, que son muy caros y que no hay equipo que lo aguante». Chema Alonso está de acuerdo: «Con Stuxnet el grado de complejidad fue altísimo tanto en la creación del software, como en la planificación lógica del ataque».
Pero la historia no acaba con Stuxnet.Leon Panetta, secretario de Defensa de Estados Unidos y director de la CIA hasta 2009, decía hace poco que su país estaba al borde de «unPearl Harbor cibernético». Con esto se refería a los ataques que los sistemas informáticos de la industria petrolera saudí y de instituciones financieras norteamericanas estaban sufriendo por parte de Irán, y que han sido la respuesta a Stuxnet. Muchos dicen que pintando un panorama tan sombrío, los Estados Unidos buscan una justificación a futuros ataques. En cualquier caso, Stuxnet supuso un antes y un después, pero los ataques no han cesado.
El año pasado, Duqu, Flame, Gauss o miniFlame volvieron a demostrar que la guerra cibernética continúa, a pesar de que el usuario de a pie no lo note. Flame fue el más importante. Como Stuxnet, su objetivo volvían a ser las instalaciones nucleares iraníes y su aparición confirmaba que tanto EE UU como Israel mantenían una campaña persistente de sabotaje contra la república islámica. Flame, que se hacía pasar por una rutina de actualización de software de Microsoft y que estuvo operativo años antes de ser detectado por Kaspersky, se diseñó para replicar información de redes, incluso de alta seguridad, y controlar las funciones cotidianas de un ordenador enviando la información a sus creadores.
El poder del ciberterrorismo
El número de ataques dirigidos por parte de gobiernos, grupos terroristas o activistas políticos es hoy día altísimo. El ciberterrorismo, otra vertiente de esta particular guerra, suele usar Internet como medio de propaganda, aunque también trabaja para derribar servidores o atacar a personas u organizaciones muy concretas.
Chema Alonso recuerda que las ONGs que defienden los derechos del pueblo y la cultura tibetana sufren constantemente estos ataques, supuestamente con origen en China, y que se hacen con malware creado para Windows y Mac (el Dalai Lama usa un ordenador de Apple). Precisamente, la CNN sufrió en abril de 2008 un ataque de denegación de servicio por un reportaje que emitió sobre el Tibet.
Pero la cosa puede ir más allá. «Grupos como Al Qaeda utilizan OSINT (recursos de información accesibles para todo el mundo en Internet) para preparar sus objetivos y ya hemos tenido varias alertas con ataques a sistemas Scada de centrales potabilizadoras o riesgos de ataque al software de navegación de un avión», desvela Alonso.
La pregunta es: ¿puede uno de estos grupos apagar una cuidad o volver loco al sistema que gestiona el tráfico aéreo, provocando un desastre sin precendentes? El mismo Chema Alonso dice que aún no se ha caído ningún avión o se ha infectado una ciudad por un ataque ciberterrorista. Sin embargo, sí lo ve posible.
El espionaje industrial
Otra de las variantes de la ciberdelincuencia a nivel de países y empresas está en el espionaje industrial, que es el pan nuestro de cada día. Son ataques que llaman menos la atención de los medios, pero que interesan más a los ciberdelincuentes porque hay mucho dinero de por medio. «La información es poder», recuerda Emilio Castellote, director de marketing de Panda, quien asegura que este tipo de ataques son más interesantes, en términos económicos, que los que van dirigidos a una infraestructura crítica de una ciudad o un país, que tienen siempre un móvil más político o propagandístico. La mayor cantidad de ataques tienen que ver con el acopio de información tecnológica y empresarial.
En este campo, sobre todo China y Rusia están muy activas. «Los chinos son una economía que, por su nivel actual de expansión, necesita acceso a información de tecnología para seguir adelante», dice Castellote. «Para hacer este tipo de robo de información, no hay que llegar a niveles muy avanzados.
El método de propagación es muy clásico. Un directivo o una persona del Gobierno recibe un correo ‘muy personal’ sobre hobbies o cosas que a uno le gustan. Esta información, además, está disponible hoy en las redes sociales. Cuando el atacado acude a la web que se le indica, el sistema introduce un troyano para controlar el ordenador».
El usuario queda al margen
¿Hasta qué punto afecta esta guerra, casi siempre silenciosa, al internauta de a pie y qué debe hacer para protegerse? Los expertos consultados dicen que los usuarios pintan poco. No suelen ser objetivo y, como mucho, solo intervienen como correa de transmisión de un malware que, si está en su equipo, suele no dejar rastro. Chema Alonso cree que son asuntos que competen a los ejércitos y a los cuerpos de seguridad del estado. Vicente Díaz, técnico de Kaspersky, dice que la ciberguerra y el ciberterrorismo no deberían afectar directamente a nadie, salvo que un ataque a una infraestructura deje al usuario sin transporte, sin agua o sin conexión con su banco.
De lo que sí tiene que protegerse el usuario de a pie (poniendo un antivirus y chequeando regularmente el sistema) es de los ataques a su ordenador llevados a cabo por delincuentes que, por lo general, buscan datos personales y financieros, como el número de tarjeta de crédito o de cuenta bancaria. Son conocidos los casos de Sony, que vio como en 2011, unos hackers comprometían los datos confidenciales de millones de usuarios de su plataforma de juego on-line PlayStation Network, o de LinkedIn, que el pasado verano también sufrió el robo de seis millones de contraseñas.
El último capítulo de la ciberdelincuencia financiera tuvo lugar hace escasamente un mes, cuandoCheck Point informaba de un ataque a bancos europeos que había supuesto la sustracción de 36 millones de euros procedentes de 30.000 cuentas bancarias. En España estuviron implicadas siete entidades y más de 11.000 usuarios vieron desaparecer casi 6 millones de euros.
España no tiene plan de actuación coordinado
El ISMS Forum es un lobby conformado por más de 100 empresas y 700 expertos en seguridad que no se cansa de pedir al Gobierno que convierta el ciberespacio en un ámbito de actuación militar, como lo son el mar, la tierra y el aire. Este organismo exige al ejecutivo de Rajoy que desarrolle y apruebe una Estrategia Nacional de Ciberseguridad, con el fin de coordinar esfuerzos y disuadir a potenciales agresores, como países hostiles, terroristas o ciberdelincuentes.
La cuestión no es que España no tenga equipos dedicados a la persecución de la delincuencia o el terrorismo en la Red, pero falta coordinación. Hay muchos, pero están muy dispersos: Inteco,RedIRIS, unidades especializadas en la Policía Nacional y la Guardia Civil o la Agencia Española de Protección de Datos, además de las unidades del Ejército destinadas a estos asuntos o las que hay repartidas por comunidades como Cataluña, País Vasco, Valencia o Madrid.
Por otra parte, el Gobierno, según ISMS, también debería concienciar a los ciudadanos, las instituciones y las empresas de los peligros que acechan, y destinar fondos de I+D al sector de la seguridad cibernética. Guianluca D´Antonio, presidente de ISMS Forum, recuerda que agencias de este tipo están apareciendo «en muchos países de nuestro entorno».Además, laOTAN y la Unión Europea están trabajando en la misma dirección.
David Sancho, de Trend Micro, reconoce que en España no ha habido hasta la fecha ataques remarcables. Sin embargo, a finales de 2011, el virus Duqu, de código similar a Stuxnet, estuvo a punto de poner en jaque las infraestructuras críticas del país, según reconocía Andreu Abreu, responsable de seguridad informática de Gas Natural. Se calcula que de los 1.600 ciberataques diarios que se registraban a finales de 2011, 90 tenían un riesgo muy alto, y de ellos, ocho eran considerados «muy críticos».
Cuidado con las APTs
Es una de las siglas de moda en el mundo de la seguridad informática, y raro es el proveedor que no tiene una solución o una estrategia para combatirlas. Las Advanced Persistent Threats(APTs) son un malware que es capaz de ocultarse y mutar con el fin de no ser visto una vez está dentro del sistema infectado. Esta capacidad le permite permanecer años en la empresa u organismo atacado.
Y es que sus creadores no buscan un rédito inmediato, sino que prefieren un control de bajo perfil, pero prolongado en el tiempo. Son piezas únicas de software desarrolladas por verdaderos profesionales. Stuxnet, Flame o Gauss son ejemplos recientes.
Una invención de los medios
Una de las voces discordantes en este tema es la de Bruce Schneier. Este gurú, cuyo blog es seguido por cientos de miles de personas en todo el mundo y que ha escrito un puñado de libros sobre la materia, no se cree nada. En un cruce de correos con PC Actual dice que hablar de ciberguerra y de ciberterrorismo es hacer sensacionalismo. «Es una invención de los medios de comunicación», espeta. «Los periodistas lo hacen porque así consiguen lectores; los políticos, votos; y los militares, un presupuesto.
En el caso de las empresas, lo que quieren son contratos».Schneier está convencido de que nunca ha habido una guerra en la Red, aunque reconoce que Stuxnet es la primera arma cibernética. Eso sí, cree que los ejércitos han buscado la colaboración de miles de expertos en seguridad informática para afrontar un eventual ataque. Por último, el experto alivia a los más preocupados: «Los usuarios normales no pueden hacer nada para parar una ciberguerra, como tampoco pueden hacer nada para impedir que un tanque vuele por los aires su casa».
Cronología
2007. Gran ataque de denegación de servicios al Gobierno y los bancos de Estonia. Tanto que funden el país durante días. El origen: el derribo de una estatua que solivianta a los rusos.
2008. Bloqueo de la página del Gobierno de Georgia durante el conflicto de esta república con Rusia por la región de Osetia del sur.
2010. Operación Aurora. Este ataque dirigido buscaba propiedad intelectual de grandes empresas. Explotaba una vulnerabilidad zero-day de Internet Explorer. Por su parte, hizo su aparición Stuxnet, gusano enviado a los sistemas industriales de las instalaciones nucleares de Irán. Un prodigio de software que contenía varias exploits zero-day.
2011. Piratas informáticos chinos intentan robar las claves de cientos de usuarios de Gmail, entre ellos funcionarios de alto rango del Gobierno de Estados Unidos, activistas y periodistas chinos. Todo apunta a que el Gobierno del país asiático está detrás. En Budapest descubrenDuqu, un malware muy similar a Stuxnet (de hecho hay quien defiende que ambos comparten procedencia). Con Duqu, que busca información de sistemas industriales, se atacaron instalaciones españolas, aunque la cosa no pasó a mayores.
2012. En mayo Kaspersky descubre Flame, un malware modular que Estados Unidos e Israel desarrollaron conjuntamente para recoger información clave sobre las instalaciones nucleares iraníes. Se da la voz de alarma sobre Gauss, un software espía que pretende robar información de los equipos de los usuarios, sobre todo de los de Oriente Medio.
Fuente:PCActual
No hay comentarios:
Publicar un comentario