viernes, 20 de marzo de 2015

La Guerra Gélida

Máquina de Turing para descifrar Enigma Foto:Magnus Manske  licencia al final del texto



Don´t fear the digital bogeyman.
Virtual conflict is still more hype than reality
No temáis al hombre del saco digital.
Los conflictos virtuales son todavía más mito que realidad
Thomas Rid
Profesor de Estudios sobre la guerra en el Kings College de Londres

Cyberwar is just as critical to military operations
 as land, sea, air, and space
La ciberguerra es tan crítica para las operaciones militares como
la tierra, el mar, el aire y el espacio
William J. Lynn III
Vicesecretario de Defensa de los EEUU (2012)

Ciberataque en tercera persona
Juan Español llegó aquel día al trabajo a las nueve de la mañana como hacía todos los días con una precisión mecánica, ni un minuto más ni un minuto menos. Su oficina estaba en uno de los edificios que su empresa, una multinacional española, tenía en el centro de Madrid y que albergaba a la división a la que Juan pertenecía, dedicada a la gestión de sus sucursales en el extranjero. Al entrar el vigilante de seguridad le dijo que tenía que subir andando hasta la tercera planta, que es donde tenía el despacho, porque se había ido la luz y el ascensor no funcionaba.  Era extraño porque parecía que todo el barrio disponía de ella.

Una vez en el despacho comprobó que no tenía luz, que no tenía teléfono y que su ordenador era un instrumento inservible sin el fluido que le da la vida. Decidió adelantar trabajo con el único instrumento que funcionaba, su pluma Montblanc que un día le regalara su mujer – entonces novia – cuando terminó allá en sus años jóvenes la carrera de Derecho. Del patio interior al que daba su ventana, abierta ahora para que entrara el fresco mañanero de primavera, se oyeron los gritos del director de la división echando pestes del departamento de informática. Juan no comprendía qué culpa tenían los de informática de un apagón de luz.

Al poco se enteró de que otras dependencias de la empresa tampoco tenían luz. Llamó a otros colegas y pudo comprobar que el rumor era cierto, nadie disponía de fluido eléctrico en unos cuantos edificios dispersos por el área metropolitana de Madrid. La sede de Barcelona tampoco tenía. ¿Alguien se habría olvidado de pagar el recibo?.

En su sede, sólo la sexagenaria Jacinta, la archivera de la segunda planta, la más obstinada y resistente al uso de los ordenadores, hacía escritos urgentes para el director con su máquina de escribir Olivetti qué tantas veces habían intentado quitársela en aras del progreso. Los demás apenas trabajaban y las tertulias y corrillos se formaban espontáneamente por los pasillos.

Juan llamó a un amigo del departamento de informática y, un tanto esquivo, le dijo que tampoco tenían luz, que todos los servidores estaban parados y que no sabía qué pasaba.

A las diez y media volvió la luz. Encendió el ordenador y no tenía acceso a la red, sólo podía trabajar en modo local. A las doce se recuperó la red corporativa, a las doce y media el teléfono se recuperó también pues era “IP” algo que Juan no sabía muy bien qué era, el correo electrónico tardó dos días en funcionar y algunas aplicaciones sectoriales todavía más. Se tardó una semana en funcionar de nuevo de manera completa.

En los días siguientes empezaron a llegar rumores de un ataque informático aunque nadie decía nada de manera oficial. Las pérdidas fueron millonarias y la inversión en seguridad creció exponencialmente los años siguientes y con ella los controles, las restricciones y las incomodidades que la seguridad conlleva.

¿Realmente existen las ciberguerras?
Todo esto pasó, más o menos novelado, en una empresa de Madrid hace unos pocos años. Esta empresa recibió un ciberataque, que extrajo información valiosa, se llevó programas y datos y bloqueó el trabajo normal durante días lo que fue aprovechado por la competencia.

Está claro que se trató de un ciberataque, pero, ¿y si se hubiera tratado de un organismo gubernamental?, ¿y si el agresor hubiera sido un Estado extranjero?, ¿habría sido un acto delictivo  o un acto de guerra?, ¿podríamos hablar de un caso de ciberguerra?.

Pero, ¿qué es la ciberguerra?, ¿cuáles son sus límites?, por un lado, ¿a partir de qué momento un ciberataque de un Estado a otro puede ser considerado como acto de guerra?, ¿cuándo se roba información, cuándo se producen daños económicos, o bien,  cuando se produzcan pérdidas de vidas?. Por otro lado, ¿cuál es el campo de batalla?, ¿la utilización de la tecnología digital para uso militar o sólo el ataque a redes digitales de comunicaciones y ordenadores?.

Pues no tengo respuestas satisfactorias a todas estas preguntas, ciberataques claro que hay, pero, ¿hemos de subirlo a categoría de guerra?, el derecho internacional apenas empieza a rozar el asunto por lo que no hay definiciones legales y, dependiendo del autor del artículo o de la autoridad que realiza una declaración, del medio de prensa o de la publicación especializada de que se trate  y de su sensacionalismo o mayor rigurosidad tendremos distintas respuestas a estas preguntas.

Enrique Fojón (1), del Real Instituto Elcano (2), nos habla de campo de batalla cibernético-electromagnético que incluiría las operaciones de ciberguerra, la guerra electrónica y el control del espacio electromagnético. Y la gran mayoría de los autores circunscriben la ciberguerra a las operaciones militares sobre redes de ordenadores – “computer networks electronics operations CNEO” dicen algunos-. Otros autores como, Henning Wagener (3) – diplomático alemán especializado en ciberseguridad -, aún coincidiendo en los términos generales, prefiere hablar de ciberconflicto porque ciberguerra es elevar el listón semántico y, ya se sabe, a la semántica la carga el diablo. Y otros como el anterior Secretario de Defensa de los Estados Unidos, Leon Panetta, cree que es una realidad inminente y espera el Pearl Habor o el 11 S digital. En cambio, Thomas Rid (4) del Kings College (5), en el actual estado de las cosas nos dice que hay más mito que realidad en todo esto.

Así que no es de extrañar que el ciudadano medio dude sobre si todo esto se trata de un juego de palabras, una especie de “Scrabble”, que consiste en añadir el prefijo “ciber”(6) a una palabra conocida, o bien, si no será un modo de rellenar periódicos los días en que no hay muchas noticias o si se tratará de un bluf al estilo del efecto 2000 (7) , o una manera de engordar presupuestos militares y de paso aumentar los ingresos de las industrias del ramo, o bien, se trata de un peligro real para el que hay que estar preparados.

El mundo en que vivimos
Para dilucidar todas estas cuestiones sería bueno que nos paráramos un momento a contemplar cómo es el mundo actual. Además del clásico ordenador conectado a Internet que todos conocemos, con la llegada de los dispositivos móviles – teléfonos inteligentes y tabletas fundamentalmente pero también múltiples dispositivos móviles que usan desde los operarios a los ejecutivos de las empresas en las visitas a sus clientes -; con los millones de sistemas embebidos o empotrados (“embedded systems”) (8) dentro de productos tecnológicos como sistemas de control o sensores en las industrias; con la aplicación del concepto de “internet de las cosas” (9) con millones de objetos cotidianos interconectados con la posibilidad de ser manipulados a distancia desde calefacciones y aires acondicionados hasta lavadoras, automóviles o aparatos médicos; con los sistemas de salud, suministros de agua potable, electricidad y otros servicios de energía, todos ellos tan esenciales; con el sistema financiero y bancario tan dependiente de las telecomunicaciones. Con todo este parque de soportes digitales interconectados que algunos dicen que en esta década llegarán a 20.000 millones, casi tres veces la población mundial, y otros comentan que esta enorme galaxia en red podría alcanzar los 50.000 millones en los próximos años. Y todos ellos en potencia tan vulnerables como los ordenadores clásicos.  Con un mundo así, ¿cómo no preocuparse?.

En el artículo, “La Conexión Permanente”, comentaba que yo me sentía viviendo en dos mundos paralelos, el mundo real y el virtual que supone Internet,  pero cada vez más los autores hablan de convergencia entre ambos mundos. Carlo Ratti y Matthew Claudel del MIT(10) exponen que la información ya no está secuestrada en una esfera virtual sino que inunda el ambiente en el que vivimos, Los mundos físico, biológico y digital han empezado a converger en lo que ellos denominan “sistemas ciberfísicos”.

Así que, como mínimo, somos vulnerables porque dependemos en exceso de sistemas automáticos interconectados y esto hace que si un Estado quisiera atacar a otro no podría descartar al ciberespacio como un campo de batalla más. 

Por tierra, mar, aire y…
Cuando yo era un niño, había un programa en la televisión - cuyo objetivo era hacer propaganda del ejército – que se llamaba “Por tierra, mar y aire”, hoy en día, un programa equivalente debería llamarse “Por tierra, mar, aire, espacio y ciberespacio”, si hemos de hacer caso al anterior Vicesecretario de Defensa de los Estados Unidos, William Lynn, que en un famoso artículo escribió: “La ciberguerra es tan crítica para las operaciones militares como la tierra, el mar, el aire y el espacio exterior”. Desde entonces, en casi toda la literatura especializada, el ciberespacio se ha convertido en el quinto escenario territorial de una guerra.

Ciberataques famosos
¿Y qué tipo de ataques se han realizado hasta el momento que justifiquen toda esta prevención?. ¿Se han producido víctimas mortales?. Bueno pues hasta el momento la mayoría de los autores coinciden en que no se han producido víctimas humanas, aunque en la literatura ad hoc se habla de dos posibles ataques con resultados funestos, pero no está nada claro que su origen fuera un ciberataque. En primer lugar la explosión de un oleoducto en la antigua Unión Soviética en 1982, que según la CIA alcanzó una energía de 3 kilotones, debido a una bomba lógica (11) que saboteó el software canadiense que gestionaba el sistema. Las autoridades rusas siempre han negado el incidente.
El segundo caso se habría producido también en Rusia en 2009 con un accidente en una turbina de una central hidroeléctrica que podría haber sido causado por un ciberataque  aunque no está confirmado. Se provocó una explosión que produjo la muerte a 75 personas y que tuvo importantes consecuencias económicas para  Rusia (12).

Uno de los ciberataques con intención militar más famosos  fue el provocado por el virus Stuxnet que se supone desarrollado por los israelíes y norteamericanos que afecta a programas de monitorización y control industrial y que se supone que paró las centrifugadoras que enriquecían el uranio para el programa de desarrollo de armas nucleares de Irán (13). Otro fue el ataque a Estonia por en abril de 2007 que se produjo en respuesta a la polémica reubicación de un monumento de guerra soviético, evidentemente Estonia culpó a Rusia. Fue un enorme ataque de denegación de servicio que provino de más de 85.000 ordenadores pirateados y duró tres semanas. El peor día fue el 9 de mayo cuando 58 sitios web estonios fueron atacados a la vez tirando por tierra todos los servicios en línea del sistema bancario. 

Otros ataques registrados son el de China a Taiwan en 2003, los ciberataques rusos contra Georgia en la guerra por Osetia del Sur en 2008,  los ciberataques de China a Canadá en 2011, de China a varios medios de la prensa norteamericana en 2013 que provocaron la firma por el presidente Obama de un decreto de poderes especiales para responder a este tipo de agresiones, el famoso ataque a la multinacional Sony por parte de Corea del Norte por el estreno de la película “La Entrevista” que se toma a chunga al régimen coreano.

¿Y España ha quedado al margen de estos vaivenes?. Pues parece ser que no. En un artículo de El País de 14 de diciembre de 2014, se informaba de que se habían recibido ciberataques desde Rusia y China en la Presidencia del Gobierno y los ministerios de Asuntos Exteriores, Defensa e Interior. Así que parece que incluso nuestro pequeño país no está al margen de  esta tendencia.

De todo esto que estamos analizando podemos concluir que, cada vez más, los Estados se ven implicados como agresores, como agredidos – por otros Estados o por organizaciones de diversos tipos - o en ambos papeles. Por otra parte hemos visto la fuerte dependencia de nuestro modo de vida de los sistemas automáticos conectados a la red y cómo los fallos en este tipo de dispositivos puede crear desde inconvenientes molestos a la pérdida de servicios esenciales, incluso aunque todavía oficialmente hayan sido conflictos sin víctimas, en algún momento puede llegar a atacarse sistemas que afectan directamente a la vida de las personas.

Ciberdefensa
Por consiguiente los Estados cada vez se preparan más para esta situación tanto de manera ofensiva como defensiva. Por ahí andan artículos que hablan de las legendarias unidades militares dedicadas a la ciberguerra como la división 61398 del Ejército Chino (14) o la unidad 8200 de las Fuerzas de Defensa de Israel (15) o el más que real Cibercomando de los Estados Unidos que, a su vez, agrupa distintas unidades de ciberguerra de cada uno de los cuerpos militares de los Estados Unidos con un presupuesto superior a 3.000 millones de dólares (16). España, mucho más modesta y en mi opinión más sensata acorde con nuestras posibilidades, plantea una estrategia defensiva con la “Estrategia Nacional de Ciberseguridad” cuyo objetivo principal es “Lograr que España haga un uso seguro de los Sistemas de Información y Telecomunicaciones, fortaleciendo las capacidades de prevención, defensa, detección, y respuesta a los ciberataques” (17)

En cualquier caso, todos los Estados están, en función de sus riesgos y sus recursos, preparándose para este tipo de recursos. Es de destacar que en estos conflictos, según algunos autores, la posibilidad de atacar no es ningún privilegio exclusivo de las grandes potencias y se es más vulnerable cuanta más dependencia haya de las redes de comunicaciones y de los sistemas automáticos. También los Estados más modestos pueden sacar provecho del efecto asimétrico de la tecnología digital y construir con medios relativamente limitados un potencial ofensivo notable. Allá donde no llegan los recursos puede llegar la creatividad y destruir la integridad de sistemas es más fácil que construirla y además Windows, si lo contemplamos históricamente, lo ha venido poniendo bastante fácil.
En conclusión
Los ciberconflictos o ciberguerras están aquí. Existen. No estoy de acuerdo con  Rid en que son más mito que realidad, como mucho, puedo admitir que todavía están en un estado embrionario, en sus comienzos y, por tanto, hay problemas para encontrar una definición legal y establecer sus límites para distinguirlos de otros tipos de conflictos que tienen como base las redes de ordenadores. 

Hay una fuerte dependencia en nuestras sociedades de sistemas automáticos vulnerables, al tiempo que existen formas de modificar su comportamiento con fines destructivos –  los ciberataques con lo que algunos llaman ciberarmamento o armamento cibernético (18) -, y los Estados se están tomando en serio la amenaza. 

Quizás estos conflictos no se hayan generalizado más y sean más destructivos porque, gracias a Dios,  llevamos varias décadas sin un conflicto mundial generalizado desde la Segunda Guerra Mundial. Después de esta gran conflagración, las potencias rivales usaron conflictos indirectos, guerras no declaradas, guerras de terceros en el tercer mundo, espionaje y contraespionaje, pero no llegaron a la confrontación directa ante el temor a una guerra nuclear y se le llamó guerra fría. Quizás se trate tan sólo por ahora de una guerra gélida, sin muertos. Esperemos que no se caliente.

Juan Carlos Barajas Martínez
Sociólogo e informático

Continuará…
Este artículo se continúa en “La Guerra Gélida II”, de próxima publicación, en el que se examinan los distintos escenarios de un posible ciberguerra, las ventajas y desventajas de los ciberconflictos para una potencia con malas intenciones y las estrategias preventivas para evitar este tipo de conflictos.

Notas:

  1. Enrique Fojón Chamorro es ingeniero en Informática. Subdirector de THIBER, the cybersecurity think tank, adscrito al Instituto de Ciencias Forenses y Seguridad (ICFS - Universidad Autónoma de Madrid). Miembro del ISMS Forum Spain.@EFOJONC
  2. El Real Instituto Elcano de Estudios Internacionales y Estratégicos es un centro de pensamiento (think tank) creado en 2001 en España, cuyo objetivo es analizar la política internacional desde una perspectiva española, europea y global, además de servir como foro de diálogo y discusión. Con sede en Madrid, se constituyó bajo la presidencia de honor del Príncipe de Asturias el 27 de diciembre de dicho año.
  3.  Henning Wagener, que fuera embajador de Alemania en España y secretario de asuntos políticos de la OTAN, preside el Observatorio Permanente para la Ciberseguridad de la Federación Mundial de Científicos.
  4. Thomas Rid es profesor de estudios sobre la guerra del King’s College de Londres
  5. El Kings' College de Londres (informalmente conocido como King's o KCL) es una universidad pública de investigación y “college” constituido de la Universidad de Londres. El King's es la cuarta universidad más antigua de Inglaterra, fundada por el rey Jorge IV y el duque de Wellington en 1829. En 1836, el King's se convirtió en uno de los dos “colleges” fundadores de la Universidad de Londres.
  6. El prefijo “ciber”, según el diccionario de la Real Academia, es un elemento compositivo que indica relación con redes informáticas como ocurre con las palabras ciberespacio o cibernauta y tantas otras de las que hemos abusado en este artículo. Deriva de la palabra “cibernética”.
  7. En general la gente piensa que el efecto 2000 fue un “bluff”, pero yo tuve que trabajar bastante para corregir los proyectos informáticos que dirigía en aquel momento, de no haberlos corregido habrían tenido un funcionamiento defectuoso, calculando edades centenarias para recién nacidos por ejemplo. El problema es que se exageró mucho, el día 1 de enero de 2000 nada iba a funcionar, los ascensores, los vídeos, los aviones… fue un milenarismo tecnológico.
  8.  Un sistema embebido (anglicismo "embedded") o empotrado (integrado, incrustado) es un sistema de computación diseñado para realizar una o algunas pocas funciones dedicadas, frecuentemente en un sistema de computación en tiempo real. Al contrario de lo que ocurre con los ordenadores de propósito general (como por ejemplo una computadora personal o PC) que están diseñados para cubrir un amplio rango de necesidades, los sistemas embebidos se diseñan para cubrir necesidades específicas.
  9. Internet de las cosas (IoT, por su siglas en inglés) es un concepto que se refiere a la interconexión digital de objetos cotidianos con Internet. Alternativamente, Internet de las cosas es el punto en el tiempo en el que se conectarían a Internet más “cosas u objetos” que personas. También suele referirse como el Internet de todas las cosas o Internet en las cosas. Si los objetos de la vida cotidiana tuvieran incorporadas etiquetas de radio, podrían ser identificados y gestionados por otros equipos, de la misma manera que si lo fuesen por seres humanos. El concepto de Internet de las cosas fue propuesto por Kevin Ashton en el Auto-ID Center del MIT en 1999, donde se realizaban investigaciones en el campo de la identificación por radiofrecuencia en red (RFID) y tecnologías de sensores.
  10. El Instituto Tecnológico de Massachusetts (MIT por las iniciales de su nombre en idioma inglés, Massachusetts Institute of Technology) es una universidad privada de gran prestigio localizada en Cambridge, Massachusetts (Estados Unidos).
  11. Una bomba lógica es una parte de código insertada intencionalmente en un programa informático que permanece oculto hasta cumplirse una o más condiciones preprogramadas, en ese momento se ejecuta una acción maliciosa. Por ejemplo, un programador puede ocultar una pieza de código que comience a borrar archivos cuando sea despedido de la compañía (en un disparador de base de datos (“trigger”) que se dispare al cambiar la condición de trabajador activo del programador).
  12. En concreto subieron los costes de la energía y la reconstrucción de la planta costó 1.300 millones de dólares.
  13. Ha habido múltiples teorías sobre el uso de stuxnet contra el programa nuclear iraní. Symantec, desarrolladora de los productos de seguridad Norton,  afirmó que la mayor parte de los equipos infectados estaban en Irán, lo que ha dado pie a especulaciones de que el objetivo del ataque eran infraestructuras "de alto valor" en ese país, incluyendo la Central Nuclear de Bushehr o el Complejo Nuclear de Natanz. Ralph Langner, un investigador alemán de seguridad informática, cree que Stuxnet es un arma diseñada "para disparar un solo tiro" y que el objetivo deseado por sus creadores fue probablemente alcanzado, aunque ha admitido que esto son solo especulaciones. Bruce Schneier, otro investigador en seguridad, ha calificado estas teorías como interesantes, si bien señala que existen pocos datos objetivos para fundamentarlas. Algunos especialistas señalaban a Israel como principal sospechoso, y en concreto a la Unidad 8200 de las Fuerzas de Defensa de Israel. Finalmente el New York Times eliminó todo rumor o especulación confirmando que se trata de un troyano desarrollado y financiado por Israel y Estados Unidos con el fin de atacar las centrales nucleares iraníes.
  14. La División 61398 es, al parecer, una unidad del Ejército Popular chino especializada en operaciones de ciberguerra
  15. La Unidad 8200 (léase como ocho doscientos, o יחידה 8200 (en hebreo: shmone matayim) es una unidad perteneciente a los Cuerpos de Inteligencia de las Fuerzas de Defensa de Israel cuya misión es la captación de señales de inteligencia y descifrado de códigos.
  16. El Cibercomando de Estados Unidos, también conocido por las siglas USCC (del inglés United States Cyber Command), es un comando subunificado de las Fuerzas Armadas de Estados Unidos bajo el mando del Comando Estratégico de Estados Unidos. Fue creado en 2010. Su misión es el uso de técnicas informáticas con el objetivo de velar por los intereses de Estados Unidos o sus aliados. Esto incluye la protección directa de sistemas informáticos, actuaciones de respuesta rápida frente a ataques o incluso ejecutar ataques para proteger sus intereses. El Cibercomando trabaja en estrecha colaboración con la NSA. Ambos tienen su sede en el mismo sitio, Fort Meade, Maryland. Desde su fundación el director del cibercomando ha sido a la vez director de la NSA
  17. Para descargarse el documento de la Estrategia Nacional de Ciberseguridad desde el sitio web de La Moncloa, pulse aquí
  18. El ciberarmamento, armamento cibernético o armas cibernéticas es código malicioso diseñado para cumplir objetivos militares, paramilitares o de inteligencia.



Bibliografía:

Hennign Wegener
La “ciberguerra” se puede evitar
Revista de Política Exterior
Madrid marzo/abril 2012

Thomas Rid
Think again: Cyberwar
Foreign Policy
Febrero 2012

Nathalie Caplan
Cyberwar: the Challenge to National Security
Global Security Studies Volume 4. Issue 1
University of North Carolina 2013

Lawrence Krauss
Inteligencia artificial: ¿Por qué preocuparse?
Cultura 3.0

Enrique Fojón Chamorro
La transversalidad del campo de batalla cibernético
Blogs del Real Instituto Elcano

Enrique Fojón Chamorro
Año 1 de la Estrategia Nacional de Ciberseguridad
Blogs del Real Instituto Elcano

Carlo Ratti y Mathew Claudel
Piratería informática a favor de la humanidad
El País 21 de febrero 2015

Corea amenaza a EE UU si no acepta investigar juntos el ciberataque
El País 14 de diciembre de 2014

Estados Unidos y China, ante la primera ciberguerra fría
EL País 18 de febrero de 2013

Rosa Jimenez Cano
Nadie está a salvo de esta ciberguerra
El País 10 de diciembre de 2010

Wikipedia


No hay comentarios:

Publicar un comentario