La periodista Yolanda Quintana, autora del imprescindible libro ‘Ciberguerra: Todo lo que no sabes sobre las nuevas amenazas y las guerras que ya se libran en la red‘ (Catarata, 2016). ‘ nos brinda las cinco claves para entender este fenómeno.
En los últimos años hemos visto noticias sobre una central nuclear saboteada por un virus, apagones de luz provocados por ataques informáticos, o misiles Patriot dirigidos a distancia por alguien desconocido sin autorización para ello. Estos incidentes reflejan, por si alguien lo dudaba, que l on líneas de código y el terreno a ganar ya no es físico, sino virtual.
Pero, ¿en qué consisten y cómo se desarrollan? ¿cuál es el alcance real de las nuevas amenazas? ¿qué papel tiene en todo ello la tecnología, y por qué es distinto de los conflictos armados del pasado?
1. Nuevo territorio: el Ciberespacio
Si las guerras se venían definiendo por el área geográfica en la que tenían lugar, en el caso de la ciberguerra este ámbito es el Ciberespacio. En el Ciberespacio desarrollamos buena parte de nuestra vida, y ahí realizamos operaciones tan sensibles como volcar nuestra intimidad o gestionar nuestros ahorros. Sin embargo, todavía rodea al término un halo de futurismo y ciencia ficción.
Fue precisamente en este género donde el concepto se popularizó. Se atribuye su empleo por primera vez al autor ciberpunk William Gibson, en su novela ‘Neuromante‘ (ver ‘Tecno Pop: seis libros para entender la cultura techie‘), publicada en 1984. Usó “Ciberespacio” para referirse a una realidad simulada que se encontraba implementada dentro de los ordenadores y de las redes digitales de todo el mundo.
En el campo de la Defensa, llegar a precisar el concepto de Ciberespacio no ha sido una cuestión trivial, donde se le considera un dominio militar más a sumarse a los clásicos de “Tierra, Mar, Aire y Espacio”. Para los militares, el Ciberespacio sería aquel “dominio global y dinámico compuesto por las infraestructuras de tecnologías de la información (incluida Internet), las redes, los sistemas de información y telecomunicaciones”.
¿Por qué debería importarnos cómo se defina el Ciberespacio en un contexto de ciberguerra? El experto mundial en seguridad informática, Bruce Sch Schneier, nos da una pista: “Si enmarcamos esta discusión como una discusión guerra, entonces lo que se hace cuando hay una amenaza de guerra es llamar al ejército y se obtiene una solución militar. Si se piensa en estas amenazas en términos de delincuencia, se obtienen soluciones policiales. La forma en que enmarcamos este debate, la forma en que hablamos sobre él; la forma en que se dan los titulares, determina qué tipo de soluciones queremos”.
2. La guerra en red
¿Qué tienen en común las técnicas de propaganda del terrorismo islamista, los ataques informáticos (no reconocidos) de los ejércitos, o las redes de ordenadores zombis que ejecutan órdenes dictadas a distancia?
Todos ellos son manifestaciones del carácter “irregular” de las contiendas en este nuevo escenario. Condicionada por el terreno -el Ciberespacio-, los actores que intervienen -organizaciones, grupos o individuos distribuidos-, y la cultura de la sociedad de la información, la Ciberguerra no es un conflicto convencional: es una guerra en red.
En términos de Defensa, una guerra en red es una guerra asimétrica: conflictos entre naciones o grupos que tienen capacidades militares y estrategias dispares. No existe un frente determinado, ni caben acciones militares convencionales, sino que se emplean tácticas atípicas como la implicación de la población civil o un uso intensivo de las acciones de propaganda.
Este carácter irregular de la ciberguerra abre el debate sobre si estas acciones no estarían más cercanas al terrorismo que a los conflictos bélicos tal como los conocemos, según defienden algunos expertos en seguridad informática, como Eugene Karpersky, “descubridor” de buena parte de los ataques más sonados en la última década:
“‘Ciberguerra’ es utilizado por muchos para describir la situación, pero ese término que implica que hay dos iguales -dos enemigos conocidos enzarzados en combate- es anticuado. Con los ataques de hoy, en los que no se tiene ni idea ni quién lo hizo, ni cuándo van a atacar de nuevo, no es ciberguerra, sino ciberterrorismo”.
[‘Ciberguerra’, de Yolanda Quintana. Editorial Catarata. COMPRAR ]
3. Nuevos actores: Quién es quién en la ciberguerraqueremos”.
Mientras que en la guerra tradicional los únicos actores son los ejércitos, en la Ciberguerra esto cambia por completo. Junto a protagonistas tradicionales, como los Estados, van a aparecer grupos emergentes con capacidad de participar en este tipo conflictos.
El carácter de “guerra en red” de la Ciberguerra va a dar ventaja a quienes adapten su organización y estrategia a esta nueva modalidad de enfrentamiento. Esto permite un amplio espectro de agentes con motivaciones y niveles de peligrosidad diferentes.
Los Estados
Hoy, por hoy, los gobiernos son los principales promotores de las batallas que, en el ámbito de la Ciberguerra, se están librando: desde ataques informáticos contra blancos más o menos estratégicos, al desarrollo de nuevas ciberarmas, pasando por el ciberespionaje. Este último sería, para el Centro Nacional de Inteligencia español (CNI), actualmente la mayor ciberamenaza.
Grupos terroristas
Según los servicios de inteligencia, el ciberterrorismo no sería una amenaza inminente: “Aunque la peligrosidad potencial de las acciones atribuibles al ciberterrorismo sigue creciendo, no puede afirmarse que, en la actualidad, represente una grave amenaza, especialmente por las limitadas capacidades técnicas que se han observado en sus despliegues”, afirma en su informe anual sobre ciberamenazas el Centro Criptográfico Nacional, organismo adscrito al CNI (Centro Nacional de Inteligencia).
Grupos de hackers (crackers)
En ocasiones promovidos por los Estados y, en otras, con fronteras difusas con el hackitivismo o la delincuencia informática, nos encontramos con los grupos de atacantes informáticos (“crackers”) organizados bajo una identidad digital.
Algunos de los más conocidos o activos han sido o son: Los pioneros, Legions of the Underground (LoU)”, Syrian Electronic Army, Lazarous Group (Grupo Lázaro), Dragonfly, Waterbug / Turla o, el “hacker” del momento, Phineas Fisher alias @GammaGroupPR.
Delincuentes y mercenarios ocasionales
La ciberdelincuencia quedaría, teóricamente, fuera del ámbito de la ciberguerra: su objetivo es meramente económico y no se persigue ningún fin político o militar. Sin embargo, la alta capacidad técnica que cabe atribuir en general a quienes desarrollan estas acciones les convierte en un peligro en potencia al ser susceptibles de realizar “servicios por encargo”.
Desde el punto de vista de la ciberseguridad, después de la amenaza de las acciones de los distintos países, la ciberdelincuencia ocuparía el segundo lugar de preocupación como amenaza.
La ciberdelincuencia rusa ocuparía, en este terreno, un lugar destacado con “múltiples operadores independientes que se dedican al delito informático sin relación con el Estado”. Otro caso es el de Los “Halcones del desierto” (The Desert Falcon), un grupo de mercenarios que operan en el Oriente Medio.
Hacktivistas
Como fusión de los términos hacker (en su sentido original) y activismo surge hace casi dos décadas el concepto de “hacktivismo”.
De acuerdo a su definición original, recogida en Hack Story, sería “’hacer hacking, phreaking o crear tecnología para conseguir un objetivo político o social’, según uno de los principales grupos que impulsaron esta práctica a finales de los 90, Cult of the Dead Cow. Algunas de sus acciones se han denominado como “desobediencia civil electrónica”.
En sus inicios hubo una importante discusión en la comunidad hácker sobre la ética de estas acciones, en particular si suponían un ataque a la infraestructura de Internet, como los ataques de denegación de servicio.
Anonymous se encuadraría en esta categoría de actores.
Cibervándalos
Con frecuencia los medios de comunicación sitúan las acciones de “cibervándalos” y “script kiddies” en el ámbito de la ciberguerra (al entrar su actividad dentro de la categoría genérica de “ataques informáticos”), sin embargo, sus ataques, de poca envergadura en general, no tendrían ninguna finalidad política, económica o activista, más allá de llevarlos a cabo “porque se puede”.
Las acciones que llevan a cabo en ocasiones obtienen una amplia atención mediática por lo llamativo de sus objetivos, pero, según los servicios de inteligencia, “no constituyen una amenaza seria a los intereses de las organizaciones”.
Un ejemplo de este tipo de agente sería el grupo autodenominado “Lizard Squad” o escuadrón lagarto, responsables en 2015 del ataque a la web de Malasyan Airlines.
Empresas
El ciberespionaje industrial, a juicio de los servicios de inteligencia, es otro de los escenarios que hay que tener en cuenta: “En el caso del ciberespionaje industrial, son las organizaciones privadas las que actúan de atacantes (en ocasiones también los Estados). El lucro derivado de una obtención ilícita de información y, el deterioro intencionado de los sistemas de la competencia son buenos motivos para que las organizaciones del sector privado desarrollen ciberataques”, advierte el CCN.
4. Nuevas formas de ataque y objetivos: Así se lucha en la Ciberguerra
Las armas que se emplean en los combates y escaramuzas de la ciberguerra, y también los objetivos a batir, han cambiado. Estas serían las ofensivas y formas de ataque más relevantes en este nuevo escenario:
Ataques ‘Día Cero’
“Día cero” en realidad se refiere a dos cosas: una vulnerabilidad de día cero o un exploit de día cero: La vulnerabilidad de día cero es un fallo de seguridad en el software (como el software del navegador o del sistema operativo) que es aún desconocido para el fabricante de software o de los proveedores de antivirus. Por ello no hay parches disponibles aún y, en general, los antivirus no pueden detectar al malware que se aprovecha de este fallo. Un exploit de día cero se refiere al código que los atacantes utilizan para aprovechar una vulnerabilidad de día cero e infectar el equipo con un virus, troyano u otro software malicioso sin ser detectado. El término “día cero” alude al número de días que el proveedor del software tiene conocimiento del fallo antes de que sea explotado por algún atacante (ningún día, puesto que no es consciente de él).
Software malicioso (malware)
Son programas específicamente creados para realizar un ataque. Se emplean para fines variados: desde el cibercrimen, al espionaje online o la ciberguerra. Existen distintos tipos de “malware” según la “misión” para la que hayan sido creados.
‘Secuestro de sistemas': ‘Ransomware’
El ransomware es un tipo de malware que funciona como mecanismo digital para la extorsión: bloquea el acceso a un sistema informático hasta que el usuario o compañía paga un rescate. En principio, este tipo de acción entraría más en el ámbito de la ciberdelincuencia que de la ciberguerra propiamente dicha. Aunque no se puede descartar que pueda llegar a ser usado (o que se esté usando ya) como vía de obtener financiación para otro tipo de ofensivas. Sus primeros casos se dieron entre 2005 y 2009 en Rusia y los países de Europa del Este. Hoy es una amenaza emergente que presenta un crecimiento exponencial.
Internet de las cosas y ciberguerra
“Internet de las Cosas”, (“IOT” por sus siglas en inglés: “Internet of Things”) es el escenario tecnológico al que nos dirigimos. Básicamente el concepto es el de conectar cualquier dispositivo a Internet y ellos entre sí. Esto incluye todo: desde teléfonos móviles, cafeteras, lavadoras, auriculares, lámparas, la televisión, ordenadores portátiles y casi cualquier cosa que se pueda imaginar, como automóviles o cualquier otro medio de transporte, sensores de todo tipo, o las prestaciones de domótica de nuestros hogares. Esto también se aplica a los componentes industriales, a las instalaciones urbanas y a cualquier infraestructura. Esta nueva realidad plantea numerosos retos desde el punto de la vista de la seguridad como el “hackeo”, destrucción o manipulación de dispositivos; el ciberespionaje; o el “secuestro” de equipos para formar parte de redes de “zombies” (terminales controlados a distancia de forma inadvertida para su propietario).
Ataques a infraestructuras críticas
Se encuentran entre los ataques más difíciles de ejecutar, pero también entre los más peligrosos. El objetivo es el daño físico a sistemas, máquinas, edificios o instalaciones relacionadas con la prestación de servicios esenciales como el sector energético, la canalización de aguas, los servicios de telefonía o cualquier proceso industrial. Sin embargo, no hay una definición universal de “infraestructura crítica”, y Estados Unidos, por ejemplo, incluye en a su industria cultural en esta categoría Interrupciones del suministro eléctrico, ataques a las redes de telefonía o al sistema de una presa son casos recientes de este tipo de ofensiva que puede tener un alcance incalculable. El caso del virus “Stuxnet”, que se narra en el libro “Ciberguerra” en detalle, es el caso más relevante de este grupo de ataques.
Ingeniería social
La “ingeniería social” no es un ataque aislado sino más bien un conjunto de técnicas que se ponen en práctica para poder llevar a cabo, en alguna de sus fases, algunos de los ataques aquí descritos. Los ataques por “phishing” (mensajes que parecen auténticos pero que no lo son) también utilizan la “ingeniería social” para poder tener éxito. El principio que sustenta la ingeniería social es el de que en cualquier sistema “los usuarios son el eslabón de seguridad más débil”.
Ataques DDoS
DDoS son las siglas de “Deny of Service” o “denegación de servicio”. Se refiere a un ataque mediante una avalancha de peticiones simultáneas enviadas a un sitio web para ver sus páginas, haciendo que el servidor web se bloquee o simplemente deje de funcionar en su intento de responder a más solicitudes de las que puede manejar. Hay otros tipos de ataques de denegación de servicio que utilizan diferentes tácticas, pero todos tienen el mismo efecto: impedir el acceso a un sitio web. DDoS se refiere a un ataque distribuido de denegación de servicio, es decir que el ataque proviene de múltiples máquinas distribuidos en varios lugares en el Internet. Ahora son los más frecuentes.
Desfiguración de webs
En el apartado de ataques de “baja intensidad”, por lo efímero de los daños que normalmente provocan, podemos situar las desfiguraciones de webs. Consiste en alterar temporalmente el aspecto de una web introduciendo algún lema, mensaje o imágenes. Se puede entender que cumplen la misma función que un grafiti o una pintada en un muro (en este caso, digital), pero con una capacidad de comunicación directa de la acción muy superior.
La guerra de los robots
Los hemos visto en las películas y en las novelas de ciencia ficción, pero el uso de robots en la guerra no es ninguna fantasía. La primera vez que participaron en un conflicto fue en la Segunda Guerra Mundial, con el rastreador de minas alemán Goliath y los Teletanks soviéticos. En la actualidad han sido desarrollados varios robots militares por diferentes ejércitos. Aunque Estados Unidos lidera estos programas, otros países como China, Francia, Alemania, Reino Unido, Israel y Rusia también tienen planes avanzados.
De hecho, tal como apuntaba el Financial Times a raíz de la negociación del Pentágono con el Congreso para el incremento de su presupuesto, en la “guerra de los robots” nos encontramos en un escenario de competición análogo a la “carrera especial” que Estados Unidos y Rusia mantuvieron durante la Guerra Fría, con una tensión latente por no quedarse atrás en la progresiva automatización de los ejércitos.
Por número de misiones y bajas ocasionadas (entre ellas, un porcentaje elevado de civiles) los robots con mayor presencia en la guerra son los vehículos no tripulados de combate aéreo (UCAV en sus siglas en inglés), más conocidos como drones. También son los que se llevan una mayor parte del presupuesto militar: el Pentágono tenía asignados tres mil millones de dólares para la compra de nuevos aparatos en el año 2016.
El pionero fue el MQ-1 Predator, un vehículo aéreo no tripulado (UAV) desarrollado durante los años 90 por la Fuerza Aérea estadounidense y que se usó en la Guerra de los Balcanes para tareas de reconocimiento.
El uso de robots armados en una guerra plantea problemas éticos y legales muy serios.
Amnistía Internacional, viene impulsando, junto a otras ONG, la campaña internacional “Stop Killer Robots” (Detengamos los Robots Asesinos) y pide la prohibición de armas y sistemas robóticos autónomos a través de un Tratado internacional.
5. Nuevas tácticas: de la geometría al Big Data
Antes, en las guerras, lo importante era la geometría: fortificaciones, defensas, organización de ataques…) Poco a poco fue siendo más necesario el cálculo… y ahora hay un gran territorio para la estadística, como en el análisis de modelos, especialmente si tienen que ver con la predicción del comportamiento enemigo.
Al margen de su uso para pronosticar posibles ataques, el Big Data tiene otras aplicaciones en la ciberguerra como el “aprendizaje” de robots, la cibervigilancia o, incluso, la selección de objetivos para un ataque con drones, como revelaron los “Drone Papers” (una de las filtraciones de los documentos de Snowden) que The Intercept publicó sobre las operaciones de Estados Unidos con aviones no tripulados.
El Big Data, en manos de los servicios de inteligencia, no solo sirve para poner en la diana a objetivos. De una forma más indiscriminada y masiva, distintos países (entre los que se encontraría España, donde recientemente se ha inaugurado un centro con la finalidad de “coordinar, desarrollar e implantar bases de datos, sistemas de información y de comunicaciones utilizados por las Fuerzas de Seguridad del Estado”) utilizan las técnicas de tratamiento de datos para establecer perfiles de supuestos sospechosos en función de patrones determinados.
Desde el punto de vista jurídico, estas técnicas ilustran una peligrosa tendencia: la que apunta a un modelo penal “prospectivo”, en el que cuenta no lo que has hecho, sino lo que alguien supone que podrías llegar a hacer.