Ciberguerra: la lucha de las grandes potencias por controlar internet
La guerra de nuestro tiempo se hace en el mundo virtual. Los ejércitos cibernéticos de Estados Unidos, Rusia y otras potencias como China pugnan, con grandes presupuestos y ejércitos cada vez más numerosos de cibersoldados, por lograr una posición hegemónica en internet. Éste, sin embargo, no es un territorio físico sobre el que poner la bota y clavar la bandera, sino más bien un marco dinámico en el que diariamente surgen fragilidades y desafíos a los que hacer frente.
Por eso, la actuación de estos países en la red de redes es una combinación de amurallamiento cibernético, asedio informático, pillaje de datos y espionaje. Hacer caer una página web utilizada por los ciudadanos para llevar a cabo gestiones administrativas, robar a gran escala datos de tarjetas bancarias, acceder a bases de información de servicios gubernamentales, irrumpir en registros de información de servicios sensibles, tanto públicos como privados, obtener datos de proyectos científicos…
Ése es el catálogo más común de actividades de cualquier batallón de ciberguerra. Hacen, por lo general, un incansable trabajo cotidiano que consiste en diagnosticar las grietas propias para subsanarlas y en localizar las del contrario, para penetrar por ellas y obtener ventaja estratégica o para causar el mayor daño posible. Y lo hacen generalmente en el más críptico de los silencios.
Cinco segundos de ciberataques en el mundo
Este martes se celebra el Día de Internet Seguro... pero la ciberguerra lleva meses en boca de todos. El FBI, la CIA y la Agencia Nacional de Seguridad (NSA) publicaron a comienzos de este año un informe en el que señalaban a los servicios de inteligencia rusos como autores de diversos ataques destinados a influir en la campaña electoral presidencial, “con el objetivo de debilitar la fe pública en el proceso democrático estadounidense, desacreditar a Hillary Clinton y dañar sus posibilidades de ser electa, así como su potencial presidencia”.
El presidente ruso Vladimir Putin negó las acusaciones al borde de la carcajada, al señalar la falta de pruebas. Donald Trump, el candidato finalmente electo para suceder a Barack Obama en la Casa Blanca, no dio crédito al informe y señaló que la Administración Obama y el Partido Demócrata no habían hecho lo suficiente para protegerse. Sus palabras cobraron un nuevo sentido cuando, a los pocos días, BuzzFeed publicó un informe con datos comprometedores sobre Trump que los servicios secretos rusos estaban utilizando, supuestamente, para chantajearlo.
Por encima de la maraña de acusaciones cruzadas, de filtraciones y desmentidos, de informes y represalias, quedaba la imagen de la ciberguerra como un arcano indescifrable y una buena batería de preguntas sin resolver: ¿Qué se ataca y cómo se hace? ¿Por qué se atacan unos flancos y no otros? ¿Cuántos hackers-soldados intervienen en esos ataques? ¿Cuánto cuestan? ¿Dejan huellas probatorias estos ataques? ¿Las noticias falsas forman parte del conflicto? ¿De qué manera pueden protegerse los Estados? El Huffington Post ha hablado con varios expertos en hacking y ciberseguridad para tratar de encontrar alguna respuesta a esas cuestiones.
Lo primero que hay que tener claro es que no se trata de un único ataque, sino de muchos, de diversos tipos y en diferentes frentes. La multiplicidad es una de las características que señala Miguel Ángel Arroyo, cofundador de la Asociación Nacional de Profesionales del Hacking Ético y experto en ciberseguridad: “Es complicado saber exactamente qué vulnerabilidad ha sido explotada”, porque son varios “los recursos que están expuestos a los ciberdelincuentes”.
Enrique Fojón, subdirector de THIBER, el más importante think tank español especializado en ciberseguridad, va un paso más allá y habla de una estrategia coordinada: “Para poder tener la capacidad de interferir en unas elecciones, es necesario diseñar una estrategia que se cimenta en ciberataques, filtraciones interesadas y propagación de noticias falsas”. La elaboración de esa estrategia puede, a su juicio, “durar meses e incluso años”.
Lo primero que hace falta, pues, es un plan. Después, se precisa un objetivo.
“Hay que tener en cuenta que los recursos de la administración electrónica, aquellos que permiten a los ciudadanos, profesionales y empresas llevar a cabo consultas o gestiones de la administración, son recursos que están expuestos”, explica Arroyo. Por eso, suelen ser los primeros servicios en ser atacados.
¿De qué hablamos? De “tirar” Netflix, Spotify, Paypal, Twitter, Amazon… pero también páginas como la de Obamacare o la de la candidata Hillary Clinton. Es como si en España, un ataque coordinado tumbase la página web a través de la cual se concierta una cita con el médico de cabecera, o la de solicitud de becas de estudios, o las citas para renovar el DNI o la que se utiliza para confirmar el borrador de la Declaración de la Renta.
El más habitual es el ataque de Denegación de Servicio y su hermano aún más complicado, el ataque de Denegación Distribuida de Servicio (DoS y DDoS, por sus siglas en inglés). “Es el más sencillo”, explica Álex López, director en España de la empresa de ciberseguridad de F5 Networks. ¿Has tratado alguna vez de acceder a un página web y te has encontrado con que no funciona, por mucho que presiones la tecla de refresco? Quizá estaba siendo víctima de un ataque DDoS.
“Consiste básicamente”, explica López, “en saturar los recursos de un servicio cualquiera en internet, mediante el envío de una cantidad de peticiones que no puede asimilar”. Esto, fácil de hacer contra usuarios particulares o páginas web de empresas pequeñas, entraña mucha más dificultad cuando se trata de atacar recursos de una administración, en este caso la estadounidense.
Por ello, en esos casos, el ataque que suele primar es el conocido como de Amplificación y Reflexión. Álex López lo explica de manera muy gráfica: “Con una pequeña línea de código, generas una respuesta masiva. Yo llamo a diez pizzerías diciendo que soy tú y encargo 50 pizzas familiares en cada una de ellas. Es una actividad sencilla que genera una respuesta masiva: tu casa se ve inundada de comida que no has pedido y tu cartera colapsa”.
A estas alturas, puede que estés preguntándote para qué sirve tirar una página web, además de para privar de sus servicios temporalmente y demostrar fuerza de hackeo. Si es así, debes saber que un ataque DDoS de ese tipo suele ser el paso previo a una ofensiva mayor. “Hacer caer un servicio por saturación puede dejar al descubierto sus vulnerabilidades de programación. Y eso se aprovecha para, por ejemplo, acceder a las bases de datos y robarlos”, explica el responsable de F5 Networks en España. Son los datos que se utilizan para acceder a cuentas bancarias o para chantajear a las empresas y sus usuarios.
La designación de la palabra “posverdad” como término del año 2016 tiene mucho que ver con la influencia inusitada que los bulos y las noticias falsas han alcanzado en el debate público. ¿Forman estas noticias parte de la ciberguerra? Álex López lo tiene claro: “No me cabe duda de que los servicios estatales están detrás de su creación y viralización. Estados Unidos, China, Rusia… tienen ejércitos informáticos dentro de su propio ejército y son quienes elaboran las estrategias propagandísticas y las estrategias para influir”.
A Enrique Fojón, de THIBER, tampoco le parece descabellado. De hecho, según su opinión, cualquier estrategia de ciberguerra que se precie incluye la creación y propagación de noticias falsas. Es lo mismo que piensa Miguel Ángel Arroyo, aunque él experto en ciberseguridad no habla de grandes ejércitos: “No es necesario un ciberejército para propagar y viralizar noticias falsas. Un simple ciberdelincuente puede hacerse con las credenciales de algún medio de comunicación y publicar en su nombre”. Eso, a simplemente aprovechar las dinámicas internas de las propias redes sociales en torno a la viralización de contenidos.
A la hora de repasar la estrategia que precede a un ataque y de describir cómo se desarrollan los mismos, los expertos consultados coinciden. En el momento de calcular cuántos hackers y cuánto dinero hace falta para llevar a cabo una ofensiva cibernética, sin embargo, comienzan las divergencias.
Enrique Fojón, de THIBER, señala que la respuesta a la pregunta de cuántos soldados se precisan es “depende”. “Este tipo de ofensivas necesitan que un conjunto de profesionales trabajen de manera coordinada”, explica, antes de detallar: “Analistas de inteligencia, expertos en seguridad informática y profesionales en el manejo de redes sociales y la comunicación son algunos de los perfiles involucrados en este tipo de operaciones”.
Miguel Ángel Arroyo, por su parte, apunta a los avances técnicos para hablar de cifras más pequeñas de las que se suelen pensar: “A día de hoy, el número de soldados informáticos necesarios suele ser bastante inferior a lo que podamos imaginarnos, ya que cada vez se cuenta con más recursos y herramientas que facilitan tareas para obtener información útil de cara a atacar”.
En 2017, el Cibercomando de Estados Unidos contará con un presupuesto de 6.700 millones de dólares, en su objetivo de combatir al Estado Islámico y pugnar con el resto de potencias mundiales. Cifras exorbitantes que contrastan con lo que apunta Arroyo: “El dinero que cuesta llevar a cabo este tipo de ataques comparado con el daño que puede producir es insignificante. Estamos hablando de que por pocos euros al mes puedes montar una buena plataforma de ataque”.
Álex López, por el contrario, sostiene que todo es una cuestión de dinero: “Atacarte a ti es barato, atacar a un periódico es un poco más caro, atacar a un banco es mucho más caro y atacar al gobierno de Estados Unidos es muchísimo más caro. Pero se puede hacer. Sabiendo buscar, encuentras gente que te ofrece sus servicios y te hace un presupuesto”. No hace falta viajar a la dark net, basta con una búsqueda en Youtube.
Basta con saber tocar las teclas adecuadas en el mercado oculto de internet. “¿Mercado?”, pregunta irónicamente el responsable de F5 Networks: “Más bien industria. Una industria que mueve cantidades ingentes de dinero cada año”.
Rusia, y Trump, han criticado el informe de la inteligencia estadounidense porque no ofrece pruebas de sus aseveraciones. ¿Dejan rastro los ataques? “Sí, lo dejan”, responde Arroyo, “porque el ataque pasa por distintos dispositivos de red que, si están bien configurados, deben almacenar registros de actividad o enviarlos a un servidor para su almacenamiento y posterior análisis”.
Pero eso no quiere decir que los ataques puedan probarse: “Un componente importante de los ataques de los que estamos hablando es la posibilidad de utilizar redes de anonimato para llevarlos a cabo, por lo que aún dejando rastro, éste podría no ser un dato identificativo para localizar o identificar al delincuente”.
Enrique Fojón es más tajante: “Hoy en día no es posible, desde el punto de vista tecnológico, determinar con absoluta certeza quién es el autor material de un ciberataque”. Y Álex López añade un comentario muy ilustrativo: “Una de las primeras habilidades que tiene que desarrollar un mangui es la de no dejar rastro, ¿no? Pues con los hackers ocurre lo mismo”.
El cofundador de la Asociación Nacional de Profesionales del Hacking Ético cree que los estados “deberían invertir más en seguridad, y no me refiero a armamento, sino a formación y preparación de los profesionales que trabajan y trabajarán en ciber-defensa. Además, hace falta un cambio de mentalidad para incluir el concepto de ciberseguridad en la formación reglada que recibimos desde pequeños”.
Su enfoque es complementario con el que plantea Álex López: “Para llevar a cabo un ataque, una de las técnicas más importantes es simplemente la de aprovecharse de la estupidez humana. Suena duro, pero es así”. El experto lo ilustra con un ejemplo y una reflexión: “Uno de los hackers más famosos de la historia, Kevin Mitnick, consiguió el código de un teléfono móvil en desarrollo con solo seis llamadas de teléfono y un correo electrónico”.
Se aprovechó de la falta de conciencia sobre seguridad de las personas a las que fue requiriendo información. Pero la situación en nuestros días es aún peor: “Estamos saturando la red con dispositivos baratos, estúpidos y desprotegidos que, además, no se pueden arreglar. Son camaritas, juguetes, dispositivos que se conectan a internet absurdamente y que cualquier con mediana habilidad puede convertir en redes zombi a través de las cuales lanzar ataques masivos”.
QUERRÁS VER ESTO:
Clinton acusa a Rusia de ciberataque
'Hackean' la cuenta del jefe de campaña de Hillary Clinton