¿Será colectiva la respuesta ante las amenazas?

Dada la naturaleza y el tamaño de las amenazas que desde hace ya años se dan en Internet, muchos claman que sólo una respuesta colectiva podría ponerles freno. Sin embargo, la historia y la biología están llenas de ejemplos en los que esa respuesta colectiva nunca pasa de ser una ilusión. En esta ocasión vamos a revisar qué fuerzas hay para que pudiese darse ese ideal en la Internet que hoy nos tiene atrapados a todos.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

En los últimos años, los ataques más frecuentes en el ciberespacio han sido 1) los ataques colectivos contra infraestructuras individuales, muy bien plasmados en los ataques distribuidos por denegación de servicio, 2) los ataques al usuario final en sus puesto de trabajo y en sus hogares, y 3) los ataques específicos y persistentes en los que la informática sólo es una parte del problema.

Después de más de una década conviviendo y sufriendo este tipo de ataques, “el sector” clama llamando a una reunión universal de todos los agentes “buenos” para construir un frente común contra esos “malos” que con tanto éxito tumban sistemas de información, roban información, publican lo que no debería publicarse y engordan impunemente las secretas cifras de fraude en las instituciones financieras, muchas de las cuales terminamos rescatando todos.

El problema de la colaboración

Este toque de arrebato¹ no es nuevo y, sin embargo, no parece haber tenido mucho éxito a la vista de lo que se publica y se dice. Todos hablan de que la colaboración “haberla, haila”, pero nada sustancial trasluce de ella o de los efectos reales que pueda estar teniendo. La cuestión esencial y sencilla es: si realmente se puede enfrentar el problema que tenemos delante con modelos tan sencillos como los de “buenos y malos”, o si se puede albergar la esperanza de que a todos realmente les parezca bien “colaborar”.

La realidad social es un ecosistema en el que el éxito de unos supone las pérdidas o el desastre de otros. En cualquier ecosistema el flujo de energía, o de poder en el caso de los sistemas sociales, se organiza piramidalmente, de modo que a los de arriba no les duelan prendas si tienen que o les conviene sacrificar a algunos de los que están por debajo de ellos. Es cierto que los de arriba tienen mucho interés en que la pirámide siga estando y que la base sea ancha para que ellos tengan suelo firme en el que pisar, pero sólo en esas contadas ocasiones en las que se ponga en riesgo la misma existencia de la pirámide, los de arriba van a ayudar a los de abajo.

En ese escenario, ¿cuál puede ser la razón para que todos deban colaborar? Desde que en Roma se gritara “Aníbal ad portas”², con gran congojo de los ciudadanos del mundo desarrollado, apelar a la llegada de un enemigo grande, poderoso e inmisericorde siempre ha funcionado bien. Es desde este punto de vista como debemos entender esa dicotomía entre buenos y malos separados únicamente por la judicialmente difusa línea que representa la legislación vigente. A fin de cuentas, todos los implicados son competidores; el excesivo éxito de las mafias lleva a los estados fallidos³, y el desbordante éxito de la ley y el orden puede llevar a la Sharía⁴ talibán y otras dictaduras.

Sin embargo, la experiencia ecológica demuestra que además de esa supuesta amenaza común, hay otros factores a tener en cuenta en eso de colaborar o no con un competidor y de que manera hacerlo ⁵ (amensalismo, parasitismo, simbiosis, etc.).

Tomemos como ejemplo los ataques Distribuidos por Denegación de Servicio. En este escenario son cientos, miles o incluso algunas decenas de miles de equipos que, desde sus IPs, de forma concurrente y coordinada, solicitan servicio de una infraestructura de información hasta que la hacen caer o, con su tupida frecuencia de fuego, la hacen inaccesible a otros usuarios que quieren realmente acceder a ella. La esencia de este ataque es concentrar las conexiones sobre un equipo, por lo que muchos han pensado que la solución es bloquear las conexiones de los equipos atacantes “aguas arriba”, en los encaminadores más próximos al punto desde el que dispara el atacante.

La respuesta quirúrgica

Pues bien, para poner en pie sistemas automáticos que desarrollen esta contramedida, todos los elementos de la red telemática que supone Internet deberían estar controlados por un único ente que orquestase esa respuesta quirúrgica. ¿Estarían todas las operadoras del mundo dispuestas a disolverse en una sola? ¿Quién apretaría el botón de las contramedidas? ¿Bajo qué criterio? ¿Quién determinaría que se trata de un ataque?

En este escenario, la solución supondría la desintegración de importantes agentes actuales en el teatro económico y soberano que es la red física sobre la que fluye Internet, por lo que es impensable que esto pueda ocurrir. Otra posibilidad es que no se disuelvan pero sí se coordinen, con lo que el tiempo de respuesta sería mayor, su eficiencia mucho menor y, sobre todo, sería un sistema poco confiable ya que dependería en todo momento de acuerdos tan lábiles como los que suelen hacerse entre empresas competidoras que se pueden fagocitar unas a otras.

Así pues, no es muy probable que sean las operadoras de telecomunicaciones e ISPs las que asuman el papel de control planetario de ataques masivos como los DDoS. Por si fuera poco, las funciones represivas no suelen ir bien en los negocios cuyo cliente final es el ciudadano de a pie.

Otro ejemplo lo podemos poner en las Amenazas Avanzadas y Persistentes, más conocidas como APTs⁶, que están tan de moda. En general, con estas siglas nos referimos a enemigos que tienen la capacidad y la tenacidad suficiente para conseguir afectar a una determinada entidad o sistema. En internet se refiere mas concretamente a las herramientas y actividades de espionaje y sabotaje para conseguir el acceso no autorizado a informaciones protegidas o a sistemas de control industrial (SCADA).

Los hackers individuales no suelen tener los recursos necesarios para ser, a la vez, avanzados y persistentes por lo que, en este caso, los atacantes son profesionales a sueldo de gobiernos, corporaciones, mafias, sindicatos y todos con dinero suficiente para permitírselo.

Al ser infraestructuras críticas las que se ven afectadas en estos casos, no hay duda de que los gobiernos se lanzarán de lleno a desarrollar medidas o ciberarmas que, ante sus ojos, les permitan realizar la función soberana de defensa y ataque que tienen encomendada. En este caso, el escenario Internet no se distinguirá en nada de lo que ya se da en el entorno militar occidental actual.

En 2008 Wikileaks publicó un documento⁷ que ponía de manifiesto que el gobierno alemán contactó con la firma DigiTask para que le escribiera un caballo de Troya ⁸ que le permitiese infectar los ordenadores de sus ciudadanos ⁹ y así monitorizar las comunicaciones cifradas de video/audio de los que usan Skype. Ese mismo año, el 27 de febrero de 2008, el Tribunal Constitucional Federal alemán estableció que ese proceder era y es legal si lo autoriza un juez (alemán, por supuesto).

Mas tarde, en noviembre de 2010, un ponente del Chaos Computer Club (CCC) anunció ¹⁰ que había hecho la autopsia del caballo de Troya del gobierno alemán, el “bundestrojaner”, y mostró cuáles eran realmente sus capacidades y cómo éstas se extralimitaban respecto a la autorización de espionaje que habían dado los jueces alemanes dos años antes. Desde entonces cuatro de los dieciséis estados alemanes (Bavaria, Baden-Wurttemberg, Brandenburgoy Baja Sajonia) han reconocido haber utilizado ese software y DigiTask admite que el susodicho se parece mucho a otro que ella vendió a las autoridades de Alemania, Austria, Suiza y Holanda en 2007.

DigiTask es una oscura empresa alemana dedicada al software y telecomunicaciones especiales, con sede en Haiger (Hesse),que fue fundada en 1986 con el único propósito de desarrollar soluciones de escucha electrónica y monitorización para agencias gubernamentales alemanas, como lo son la Oficina de Aduanas, la Oficina Estatal de Investigación Criminal de Baviera y de la Agencia Federal de Redes. DigiTask fue galardonada en 2009 con el Premio Big Brother ¹¹, que se concede a “aquellas organizaciones privadas o gubernamentales que han hecho más por amenazar el derecho a la intimidad personal”.

Aunque en este ejemplo esas herramientas de malware gubernamental se han utilizado para el control y la investigación policial de sus propios ciudadanos, también tenemos ejemplos como el de Stuxnet y sus relacionados, en los que sus objetivos son tan internacionales como lo son las centrifugadoras iraníes para el enriquecimiento de Uranio.

La nueva Guerra Fría

En estos casos los actores son gobiernos y países económicamente saneados los que juegan esta nueva Guerra Fría, y en este escenario sólo se puede esperar una división en bloques del mismo modo que la hubo cuando la tecnología utilizada eran los misiles balísticos intercontinentales y los submarinos nucleares desde los que se lanzaban. Al igual que entonces Occidente montó la Organización del Tratado del Atlántico Norte, en este caso sería razonable esperar que siguiese siendo esta organización, o alguna similar, la que agrupase los esfuerzos militares ofensivos y defensivos en el ciberespacio. Lo curioso es que, en esta ocasión, en el bloque del Este sólo parecen estar China e Irán.

En cuanto a los ataques dirigidos al usuario final en sus hogares y puestos de trabajo, la situación es todavía más difusa. Por una parte, los hogares y empresas constituyen la cantera de la que salen los miles de equipos que son necesarios en los ataques distribuidos y en las botnets. Cualquier medida que proteja esos equipos tendrá un impacto negativo directo sobre la cantidad de equipos “abducibles” disponibles, pero también supondrá un inconveniente para las Agencias de la Ley y el Orden que quieren utilizar Internet como herramienta de investigación.

Así mismo, unos equipos de usuario final seguros también dificultarían las operaciones ofensivas de esos estados que se apunta a la CiberGuerra Fría.

Los únicos que realmente deberían estar interesados en que Internet sea un mundo más seguro son los usuarios finales, los ciudadanos de todo el mundo avanzado, ya que son ellos los que terminan, directa o indirectamente, pagando los platos rotos de todo lo que ocurre en cualquiera de los escenarios anteriores. Sin embargo, el usuario final no tiene ni idea de cómo hacerlo y menos aún de cómo financiarlo.

En un mundo en el que cualquier cosa cuesta dinero y en el que el sentido social y colectivo van de capa caída, no veo cómo va a nacer una corriente que presionase hasta la victoria (1) a los fabricantes de software e informáticos para que sus productos no estén plagados de agujeros y fallos, (2) a los proveedores de servicio para que se aseguren de que no son cómplices, posiblemente inconscientes pero siempre necesarios, en la distribución de malware, (3) a las administraciones y a los estados para que se mantengan a raya en eso de utilizar el ciberespacio como escenario bélico de su Guerra Fría del siglo XXI y (4) para que la defensa del derecho a la intimidad de las personas sea superior a las ansias indagadoras de las Agencias de la Ley y el Orden.

Si la protección de los derechos de los ciudadanos fuese la única razón para hacer Internet más segura tendríamos que tañer ya el “Toque de Gloria” ¹² porque Internet no tendría futuro. Sin embargo, Internet ya es sinónimo de negocio, dinero y poder, por lo que los de arriba de la pirámide no la van a dejar caer y para ello desarrollarán políticas muy medidas que hagan de ella algo mínimamente seguro, mínimamente privado, y suficientemente agradable como para permitir que sigan delante los negocios y la administración en Internet,pero que no dificulten mucho esos otros usos que ya tiene esa “telemática popular” que es Internet.

Documento en PDF