CEO de Kaspersky: «La actividad militar está convirtiendo a Internet en un gran campo minado»

Columna sobre Internet y los peligros militares que la rodean. Realizada por Eugene Kaspersky, CEO de Kaspersky Lab.

¿Cuál es la diferencia entre un misil nuclear y el software malicioso?

No es una pregunta capciosa: el software malicioso puede tomar el control de un misil, pero no es posible utilizar un misil para destruir software malicioso. Con las herramientas adecuadas, el software malicioso puede desviar un misil, pero ningún combate con armas de fuego puede desviar el software delictivo una vez que está activo.

A diferencia de las armas tradicionales, el software malicioso puede autorreplicarse indefinidamente. Y, mientras que un misil se puede controlar a menudo de algún modo, el software malicioso suele atacar de manera indiscriminada: nadie sabe a quién perjudicará ni qué caminos atravesará para el ataque. En las inescrutables trayectorias de la web, cuando un ciber-criminal lanza un programa malintencionado para ganar dinero fácil, cualquier cosa puede suceder. Resulta imposible calcular qué consecuencias tendrá, qué podrí­a verse afectado de manera accidental o incluso cómo podrí­a dañar a sus creadores mediante un efecto bumerán. Las personas suelen cometer errores en todo lo que hacen, y la creación de código (malintencionado o no) no es la excepción. Existen numerosos ejemplos de este tipo de “daño colateral” (lean mi artí­culo sobre el destino de Internet publicado anteriormente).

Al menos ahora se observan esfuerzos conjuntos por combatir a los criminales cibernéticos.

La industria de la seguridad está ajustando los tornillos contra ellos, y los jugadores importantes, como Microsoft, se están involucrando. Otras organizaciones no comerciales e intergubernamentales también están siguiendo estos pasos. Los gobiernos están empezando a comprender que Internet puede ser un camino hacia la catástrofe y se están despertando ante la necesidad de hacer algo al respecto. Estamos experimentando entonces un cierto progreso.

Sin embargo, estoy más preocupado por la otra cara de la seguridad en Internet. Los trucos de un criminal cibernético parecerán insignificantes en comparación con una guerra cibernética en la Web. Sí­, leyeron bien: una guerra cibernética en la web. Aquí­ es donde las cosas se vuelven mucho más complicadas y confusas.

Estos son los hechos.

En primer lugar, la actividad militar de diferentes paí­ses está enfocada en la creación de unidades cibernéticas dedicadas y el “desarrollo” de armas cibernéticas (entre los ejemplos, se incluyen los Estados Unidos, India, el Reino Unido, Alemania, Francia, la Unión Europea, la OTAN, China, Corea del Sur y Corea del Norte).

En segundo lugar, los casos de espionaje industrial y los actos de sabotaje son de conocimiento público (lean las noticias sobre ataques de alto perfil con estados nación detrás de ellos, como Stuxnet y Duqu).

En tercer lugar, las noticias acerca de ataques cuidadosamente planificados se están comenzando a divulgar a un ritmo alarmante (bueno, todos tenemos alguna idea de quiénes son los malhechores detrás de ellos). Se ha acuñado incluso un nuevo término para describir esto: APT.

No cabe duda de que todo esto es apenas la punta del iceberg. Cada vez que descubrimos un nuevo programa malintencionado similar a Stuxnet sucede lo siguiente:

• El software malicioso “quedó desenmascarado” debido a un error o por accidente.
• Ha estado “reposando” silenciosamente en varias redes por mucho tiempo y no podemos saber con certeza qué ha estado tramando allí­.
• Muchas caracterí­sticas técnicas del software malicioso (y la motivación de su creador) aún están rodeadas de conjeturas.

¿Entienden adónde voy con todo esto?

Evidentemente, estamos sentados sobre un barril de pólvora, estamos cortando la rama sobre la que reposa la totalidad de Internet, y la infraestructura de todo el mundo reside junto a ella. La actividad militar está convirtiendo gradualmente a Internet en un gran campo minado. Una sola pulsación de teclas podrí­a desencadenar un caos tan grande que nadie quedarí­a a salvo. Con tan solo pulsar malintencionadamente un botón se podrí­an frenar todas las operaciones, no sólo los computadores. La reacción en cadena afectarí­a las operaciones en el mundo real, además del mundo virtual (y las centrales de energí­a nuclear, tal vez). De este modo, un conflicto en la red podrí­a extenderse rápidamente y convertirse en uno militar. No es una hipérbole lo que impulsó a los EE. UU. a equiparar los ataques de hackers con una invasión: ellos claramente comprenden las posibles consecuencias. Cuanto más analizamos esta cuestión, más atemorizante se vuelve.

Pero se pone peor. Este software malicioso (militarizado o no) presenta errores de código. Una mosca se posó en el teclado del programador, era viernes por la noche o los técnicos no realizaron las pruebas adecuadas. Cualquier cosa puede suceder. Por lo general, un error habitual en un programa de software estándar tiene un efecto controlable. A lo sumo, se desplomará el sistema informático, se detendrá una turbina de energí­a o, en el peor de los casos, fallará algo en algún lugar. En el caso de un misil teledirigido convencional, puede explotar en el momento equivocado o en el lugar incorrecto. Pero con la nueva ola de software malicioso militar, un error puede traer aparejadas consecuencias catastróficas. ¿Qué sucede si el código fraudulento llega no sólo al objetivo previsto, sino a todos los objetos similares de todo el mundo? ¿Cómo puede diferenciar entre los objetivos reales y los objetivos no deseados? Si el software malicioso tiene como objetivo una central de energí­a [nuclear] especí­fica, pero finalmente ataca todas las centrales de energí­a [nuclear], ¿qué ocurre en ese caso? Internet no tiene lí­mites, y la mayorí­a de las centrales de energí­a se construyen de acuerdo con un conjunto relativamente reducido de normas. Aunque puede haber un solo objetivo, el número de ví­ctimas potenciales puede ser mucho mayor (y las ví­ctimas pueden estar en cualquier parte del mundo).

Espero sinceramente no convertirme en Casandra, como sucedió con los gusanos autopropulsados y los ataques dirigidos a proyectos industriales. Espero REALMENTE estar equivocado.

Este software malicioso militar cuenta con el respaldo de profesionales de primer nivel, una financiación generosa y acceso a recursos técnicos y materiales de avanzada. Sin todo eso, ¿cómo creen que alguien podrí­a personalizar Stuxnet para las centrifugadoras de Irán? Luego, tenemos la llave de oro de los certificados digitales, actualmente la garantí­a de confianza en la Web (otra señal de alarma, por cierto). No tengo certezas sobre las armas cibernéticas que están listas y en marcha, pero el futuro no parece ser prometedor. Todo el escenario está fuera del control de la sociedad; es prácticamente una anarquí­a en donde cada uno hace lo que quiere. Como demuestra Stuxnet, la comparación con los misiles es muy acertada: el software malicioso puede tener las mismas consecuencias que un arma militar convencional.

No obstante, hay una diferencia.

Todas las armas, especialmente las armas de destrucción masiva, junto con la tecnologí­a nuclear en general, están más o menos controladas y reguladas, al menos en teorí­a. La ONU cuenta con el Organismo de Energí­a Atómica, que es un sistema internacional de acuerdos de no proliferación, y el Consejo de Seguridad de la ONU reacciona fuertemente ante cualquier intento de unirse al club nuclear (como advirtió Irán). Sin dudas, la polí­tica, el subterfugio y los dobles discursos desempeñan un papel importante en este aspecto, pero eso nada tiene que ver con la idea que estoy describiendo aquí­.

La idea es la siguiente.

Teniendo en cuenta el hecho de que la paz y la estabilidad mundial dependen considerablemente de Internet, resulta necesario crear una organización internacional a fin de controlar las armas cibernéticas. Una especie de Organismo Internacional de Energí­a Atómica, pero dedicado al ciberespacio. En un mundo ideal, replicarí­a las estructuras de seguridad nuclear que ya tenemos y las aplicarí­a al ciberespacio. En especial, debemos considerar el uso de armas cibernéticas como un acto de agresión internacional y ponerlo en el mismo nivel que el terrorismo cibernético.

Idealmente, la forma correcta serí­a proclamar Internet como una zona libre de actividad militar, una especie de Antártida cibernética. No estoy seguro si ese desarme es posible. La oportunidad ya se perdió, las inversiones se realizaron, las armas se desarrollaron y la paranoia ya está aquí­. Pero los paí­ses deben ponerse de acuerdo al menos en las reglas y los controles relativos a las armas cibernéticas.

Me doy cuenta de que la implementación de esta idea no será nada fácil. La sociedad sigue considerando los equipos e Internet como una realidad virtual, como juguetes que nada tienen que ver con la vida real. Eso es absolutamente incorrecto. Internet es una parte fundamental de la realidad cotidiana. Y he descrito anteriormente lo que podrí­a ocasionar esta complacencia. Este tema ya ha sido objeto de debate durante varios años en los cí­rculos de profesionales de seguridad. Yo soy simplemente el primero en hacerlo público.

Y, por favor, recuerden la primera y más importante regla de la seguridad.

No matemos a Casandra. ¡Por favor!!