Septiembre 17, 2012
Flame Cambió el Mundo
Yo nunca olvidaré los momentos que viví en el Oktoberfest de 2010. Sí me gusta la cerveza, especialmente las cosas alemanas y más concretamente el Oktoberfest. Pero ni siquiera recuerdo la cerveza, y eso no es porque tomara demasiada 🙂 Fue en aquel momento cuando recibimos las primeras noticias de una tendencia desagradable que yo había temido durante años. Así es, ésta era la primera vez que Stuxnet mostraba su lado oscuro –el primer malware creado con el apoyo del Estado y diseñado para cumplir una misión militar específica. Esto es exactamente lo que nosotros habíamos hablado en nuestra conferencia de prensa en el Oktoberfest: ¡Bienvenido a la era de la guerra cibernética! Era entonces evidente que Stuxnet era sólo el comienzo.
Poco ha cambiado desde Septiembre hasta el día de hoy. Todo el mundo tenía una idea bastante buena sobre de dónde viene y quién está detrás de Stuxnet, aunque ni un sólo Estado asumió la responsabilidad; de hecho, ellos se distanciaron de la autoría tanto como les fue posible. El “avance” se produjo a finales de mayo cuando nosotros descubrimos un nuevo malware, el cual dejó pocas dudas sobre sus orígenes militares y sus objetivos.
Sí, hoy estoy hablando sobre el malware The Flame.
Dejando los detalles técnicos del malware The Flame a un lado: ¿Cuál es el significado histórico de Flame? ¿Por qué todo el alboroto causado entorno a este malware en particular? ¿Hasta qué punto es peligroso y qué tipo de peligros plantea? ¿Son las armas cibernéticas capaces de convertirse en parte de una doctrina militar del Estado y provocar una carrera armamentística? Estas preguntas pueden sonar extrañas, incluso alarmante –Esto es sólo un virus ¡No es una cosa importante! Después de todo, esto no va a evitar que me coma mi croissant por la mañana (o mi Dim Sum :), ¿verdad? Bueno, si el desarrollo del malware militar sigue una espiral fuera de control, entonces la falta de un croissant o dim sum será la menor de todas las preocupaciones.
La semana después de ser detectado Flame nosotros vimos noticias de última hora inesperadas. La noticia básicamente “mejoró” la percepción actual de la estrategia militar y demostró que los estados han aplicado ya con éxito las armas de ataque cibernéticas desde hace varios años.
El 1 de junio, The New York Times publicó un artículo relevante donde se señalaba firmemente con el dedo la responsabilidad de Stuxnet de los EE.UU. –y no fue desmentida por Washington. Más bien lo contrario –La Casa Blanca expresó su cabreo por las filtraciones de información y pidió una investigación. Al mismo tiempo, Israel también arrojó sus inhibiciones y, sin ir tan lejos como asintiendo el reconocimiento de su participación en estos incidentes, finalmente admitió su interés en el desarrollo y puesta en práctica de las armas cibernéticas.
Ahora echemos un vistazo a las posibles repercusiones de esta noticia.
En primer lugar, Stuxnet, Duqu y Flame han demostrado que las armas cibernéticas son: a) efectivas; b) mucho más baratas que las armas tradicionales; c) difíciles de detectar; e) difíciles para defenderse, dadas todas las vulnerabilidades del software; f) se puede replicar sin ningún coste extra. Lo que es más, el carácter aparentemente inofensivo de estas armas significa que sus propietarios tienen pocos escrúpulos sobre lo que desencadena, sin pensar en las consecuencias. Y habrá consecuencias –hasta el punto de que el escenario de La Jungla 4.0 (Die Hard 4) sucederá. Podréis encontrar los detalles más abajo.
En Segundo lugar, los ejemplos recientes han justificado el uso de armas cibernéticas, tanto ética como legalmente. Estoy seguro de que otros continentes también han hecho uso de estas tecnologías, pero antes esto no era tratado y todo se realizó con tranquilidad, poco a poco y en secreto. Ahora, nadie va a detenerlo.
Y los países que no tienen armas cibernéticas serán considerados atrasados por la “honrada sociedad militar”. Como consecuencia, en un corto plazo de tiempo, los presupuestos militares cibernéticos serán multiplicados varias veces y nosotros vamos a ver una carrera armamentística en la dimensión cibernética. Como sabemos muy bien, las pistolas están hechas para disparar.
En tercer lugar, la falta de cualquier tipo de convención internacional (es decir, un acuerdo sobre las “reglas del juego”) en el desarrollo, la implementación y distribución de armas cibernéticas y la inexistencia de ningún tribunal de arbitraje dará lugar a varias amenazas muy reales:
- La aparición de malware especialmente peligroso que deliberadamente, por accidente o por algún efecto “boomerang” golpea las infraestructuras críticas, capaces de desencadenar desastres sociales, económicos o ecológicos regionales / mundiales.
- El uso de las armas convencionales en respuesta a los ataques con armas cibernéticas. El año pasado, los EE.UU. anunciaron que se reservaban el derecho a responder a un ataque cibernético con los tradicionales medios militares.
- Una imitación, provocación o mala interpretación de un ataque cibernético para justificar un ataque militar contra otro Estado. Una especie de ciber Pearl Harbor.
No hay muchas personas que actualmente comprendan el peligro de las armas cibernéticas. Es difícil creer que un virus, unos pocos kilo/megabytes de códigos puede causar de repente, por ejemplo, un accidente en una central nuclear, un incendio en un oleoducto o un accidente de avión ¿verdad? Pero la humanidad desde hace algún tiempo se ha convertido cada vez más en dependientes de la tecnología de la información.
Por ejemplo, vamos a volver a lo del croissant.
Está hecho en una panadería, donde los ordenadores son usados por el departamento administrativo, por el almacén y en los sistemas responsables de la mezcla de la masa y el control de los hornos. Los ingredientes se suministran a las panaderías de otras fábricas, que son similarmente automatizadas. Toda su logística involucra a los ordenadores y a las redes. La electricidad, el agua, el alcantarillado y otros servicios municipales también son suministrados por las empresas informáticas. Incluso el montacargas que lleva el croissant hasta la cafetería de moda está dirigido por un delicado sistema de IT. Por último, la tarjeta de crédito se utiliza para pagar el croissant… Bueno ¿Tengo que decir algo más?
Todos éstos son objetivos potenciales de un ataque cibernético. Y luego nosotros tenemos a Stuxnet, el cual puso centrífugas en las instalaciones nucleares de Irán fuera de acción. Una panadería o una planta de agua es poco probable que tenga una mejor protección. De hecho, todo es mucho peor –Las instalaciones industriales y de infraestructura crítica operan con sistemas SCADA vulnerables, que por encima de todo, son habitualmente conectadas a Internet. Y la pereza de los desarrolladores de estos sistemas cuando se trata de fijar vulnerabilidades (que pueden ser aprovechadas para realizar un ataque cibernético) ha dado lugar a un nuevo término “forever days“.
En cuanto a su potencial destructivo, las armas cibernéticas no son en absoluto inferior a las armas nucleares, biológicas o químicas. Pero, a diferencia de estas armas de destrucción masiva, las armas cibernéticas no están sujetos a ningún tipo de control y tienen el encanto de ser invisible, omnipresente y “precisas” (algunos “expertos” incluso fueron más lejos al afirmar que las armas cibernéticas en realidad contribuyen a la paz del mundo), que hacen su uso aún más tentador.
Mediante el desarrollo de las armas cibernéticas, nosotros estamos cortando la rama sobre la que nos sentamos. Como resultado, los países desarrollados, por ser las entidades más informatizadas, sufrirán más.
Para ser honesto, soy pesimista. Espero estar equivocado. No creo que ahora sea posible que los países estén de acuerdo en las reglas de la guerra cibernética. Actualmente nosotros estamos prestando asesoramiento técnico a la Unión Internacional de Telecomunicaciones de las Naciones Unidas (UIT). Ellos están trabajando para crear, al menos, algún sistema para regular el ciberespacio en la línea de la IAEA. Pero incluso los artículos en los medios de comunicación muestran que algunos países se resisten a estos esfuerzos.
En efecto, ¿Quiénes necesitan regulaciones para tal prometedoras e “inofensivas” armas? Creo que los gobiernos sólo entienden el peligro real en su totalidad después de ser golpeados con fuerza, como fue el caso de la costa noreste de EE.UU. a lo largo de 2003 – Se intentó evitar que ocurriera algo malo cuando ya había ocurrido y la situación no se podía cambiar. Me pregunto si en el siglo XXI podemos ser más listos.
Conclusiones:
- La comunidad internacional debe tratar de llegar a un acuerdo sobre el desarrollo, la aplicación y la proliferación de las armas cibernéticas. Esto no resolverá todos los problemas, pero por lo menos ayudará a establecer las normas del juego, la integración de las nuevas tecnologías militares dentro de las estructuras de las relaciones internacionales, impidiendo su desarrollo incontrolado y el uso imprudente.
- Las instalaciones de las infraestructuras industriales, financieras y sistemas de transportes, servicios públicos y otras cosas importantes deberían reconsiderar su enfoque de la seguridad de la información, en primer lugar, en cuanto a su aislamiento a Internet, la búsqueda de alternativas de software que cumplan con los nuevos desafíos para los sistemas de control industrial.
- Aunque la industria de la seguridad se ha centrado en la lucha de las epidemias masivas durante muchos años, su arsenal incluye tecnologías de protección que son probablemente más capaces de prevenir ataques dirigidos por las armas cibernéticas. Sin embargo, esto requiere que los usuarios reconsideren el paradigma de la seguridad e introduzcan un sistema de protección multi-nivel.
- Stuxnet, Duqu y Flame son sólo la punta del iceberg. Sólo podemos adivinar que otras armas cibernéticas están transitando alrededor del mundo. Estoy seguro de que tendremos más descubrimientos pronto. Sólo espero que no traigan demasiado miedo.
- Ser una empresa mundial que tiene como primera misión preocuparnos por la seguridad de nuestros clientes, nosotros declaramos oficialmente que vamos a luchar contra cualquier tipo de armas cibernéticas independientemente de su país de origen y cualquier tentativa de coaccionarnos a “colaborar”. Nosotros consideramos que cualquier acuerdo en este aspecto es incompatible con nuestros principios éticos y profesionales.
La guerra cibernética respaldada por un estado es una amenaza real que acaba de dar sus primeros pasos hacía la adopción masiva. Cuanto antes los gobiernos entiendan las posibles consecuencias, más seguras serán nuestras vidas. No puedo estar más de acuerdo con Bruce Schneier:
Los Tratados sobre Ciberguerra, por imperfectos que puedan ser, son la única manera de contener la amenaza.
¿Puedes tú imaginar el orden del mundo sin tratados internacionales sobre energía nuclear / química / armas biológicas? La Agencia Internacional de Energía Atómica IAEA no impidió que India, Israel, Corea del Norte y Pakistán desarrollaran sus propias armas nucleares. Sin embargo, estos tratados señalan claramente lo que está bien y lo que está mal estableciendo las reglas del juego.