La realidad del malware toma nuevas dimensiones cuando, en lugar de verlo en el clásico escenario del cibercrimen, se le ponen enseñas nacionales y se le bautiza como si fuesen ciberarmas. Este cambio de rumbo puede tener consecuencias económicas y sociales que habría que considerar antes de dejarse llevar por lo que pueden ser modas terminológicas.

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

Aunque en la fecha en que se escribe esta columna es difícil saber cómo va a terminar la aventura belicosa en tierra ucraniana y centrada en la península de Crimea, lo que ya sí se sabe es que hay algo que a muchos les parecía inevitable, y sin embargo no ha ocurrido. Hasta el momento, no se ha desencadenado una feroz pero incruenta ciberguerra entre partidarios pro-europeos y pro-rusos en Ucrania y Rusia. Dados los antecedentes de Estonia ¹ en 2007 y de Osetia del Sur ² en 2008, era razonable pensar que múltiples no uniformados (o sin distintivos, al menos) empezasen a lanzarse los cibertrastos como parte de sus campañas de propaganda y desmoralización del enemigo al más puro estilo de una berrea ³ cibernética.

El pasado mes de marzo tuvo lugar en Madrid la quinta edición de una consolidada y reputada conferencia de hackers, la Rooted CON 2014, en la que se celebró una mesa redonda sobre el papel que podrían jugar los hackers (la iniciativa privada) en la ciberdefensa nacional. Lo más sorprendente de dicha mesa redonda fue la gran atención que se prestó a las cuestiones económicas, tales como a cuánto habría de pagarse el esfuerzo, a quién y cómo se haría.

Está claro que la dimensión económica de las ciberarmas es algo más importante de lo que algunos círculos especializados suelen difundir. Lo extraño es que esa sensibilidad por el vil metal se manifestase en una conferencia de hackers, a los que muchos todavía tenemos por gente consagrada al estudio vocacional de sistemas tecnológicos con el fin de saber cuáles son sus límites y qué otras cosas se puede hacer con ellos. ¿O quizás ya no son así?

Los hallazgos de los hackers, reunidos en un mismo concepto de 0-day ⁴, constituyen la primera carga, la fase de entrada en todos los ataques. Gracias a esas vulnerabilidades desconocidas por casi todos, los atacantes consiguen privilegios que no les son propios y que les permite libremente espiar, controlar o deteriorar una infraestructura o sistema informático. Los 0- day, así como otros elementos de la caja de herramientas del malware, tienen precios muy sustanciosos ⁵ en el mercado negro que se nutre del Cibercrimen mundial.

La materia prima del quehacer hacker son los errores y fallos de seguridad del software. Sin esos fallos, nada de todo esto tendría sentido. Los hackers son como buscadores de oro baldeando toneladas de lodo hasta que encuentran verdaderas pepitas que ellos llaman 0-days. En este caso, no hay más oro (0-days) que el que entierran, consciente o inconscientemente, las compañías de software en sus productos y que, curiosamente, nunca se hacen responsables de los efectos que esos errores puedan tener una vez sus productos llegan en el mercado ⁶. Quizás esto debería cambiar si realmente se quiere dar una batalla útil al malware y al cibercrimen, sobre todo cuando muchos bugs se hacen públicos y aun así no se corrigen o se pospone su solución ad libitum.

Algunas estimaciones ⁷ indican que, en promedio, transcurren diez meses antes de que se hagan públicos algunos detalles de esos fallos. Si a ese tiempo le sumamos lo que tardan las compañías en reparar dichas vulnerabilidades, y no todas las compañías lo hacen, tenemos una ventana de riesgo que puede durar más de un año. Los 0-days implicados en operaciones de espionaje e inteligencia permanecen indetectados durante muchos años.

Emergente mercadería

Un claro ejemplo de ese emergente mercado muy bien podría ser la empresa francesa Vupen Security ⁸ creada en 2004 para descubrir (o comercializar) vulnerabilidades en el software y luego vendérselas, en principio, a las fuerzas de seguridad de diferentes estados ¿De qué estados concretamente? Pues resulta que la NSA norteamericana es uno de sus mejores clientes ⁹; de hecho, los EE.UU. son los mayores compradores de malware del mundo.

Otro ejemplo lo tenemos en la empresa italiana HackingTeam ¹⁰ que consagra, desde 2003, el esfuerzo de sus cuarenta trabajadores en hacer tecnología informática ofensiva “de uso sencillo”. La popularidad de esta empresa llega con la detección de rastros de su tecnología en Marruecos y en los Emiratos Árabes.

Su sistema de control remoto (RCS ¹¹) llamado “Galileo” o “DaVinci”, dice poder romper el cifrado de emails y ficheros, además de conseguir interceptar los protocolos de telefonía por Internet. La compañía declara/explica que no vende esas “joyas ofensivas” a países que no respeten los derechos humanos. Sin embargo, el hecho real es que se han encontrado trazas de ese software en países con gobiernos nada democráticos que son responsables de reiteradas violaciones de los derechos humanos.

El software RCS ha sido hallado en los ordenadores de la agencia de noticias marroquí Mamfakinch ¹² después de recibir un documento Word infectado que contenía información confidencial relevante y cierta. Además, el bloguero encarcelado en los Emiratos Árabes, Ahmed Mansoor ¹³, recibió un correo con un adjunto en el que se han encontrado claros indicios de un troyano fabricado por la mencionada empresa italiana. Estos hallazgos los ha hecho públicos el Citizen Lab ¹⁴ de la Universidad de Toronto.

Vupen y HackingTeam no son las únicas empresas en este macabro juego de vender ciberarmas, y hay otras que también lo hacen y además profusamente como son Netragard ¹⁵ y Endgame ¹⁶.

Tampoco podían faltar las omnipotentes empresas de tecnología militar como Northrop Grumman y Raytheon, lo que ocurre es que éstas son más veteranas y por ello más discretas y no alardean de sus actividades como lo hacen las compañías de Montpellier y Milán.

Hallazgos valiosos: ¿qué hacer?

En este escenario, cualquier hacker con algún hallazgo valioso en su cabeza tiene que optar, elegir entre opciones nada equivalentes. Si tiene la suerte y la habilidad de encontrar un método, hasta entonces ignoto, para desmantelar las defensas de un artefacto popular como un iPhone o un iPad, por poner ejemplos, entonces puede: (1) informar a Apple y luego presentar dicho método en una conferencia de seguridad y así ganar cierta fama y lucrativos contratos como consultor, o puede (2) compartirlo dentro de la iniciativa Zero Day ¹⁷ y ganar hasta 10.000 dólares ayudando a esa compañía a mejorar la seguridad de sus productos y que, en ambos casos, Apple pueda seguir ganando millones de dólares con productos más seguros, o bien puede (3) contactar con “agentes” como el ciudadano sudafricano afincado en Bangkok que se hace llamar “The Grugq” ¹⁸ y contratar sus servicios como bróker de 0-days. Él se encargará de encontrar un gobierno, agencia de inteligencia u organización del crimen organizado que se lo compre sin hacer demasiadas preguntas y pudiendo llegar a pagar por la exclusiva hasta 250.000 dólares. Ese cíber-conseguidor se llevaría un 15% de comisión.

Con la actual dialéctica entre ciberguerras y ciberdefensas lo que estamos haciendo es legalizar la industria del malware. Aunque prohibirla no tendría mucho éxito, otra cosa muy distinta es darle carta de normalidad ya que las consecuencias de ello pueden ser diferentes a las más obvias y esperadas.

En todo enfrentamiento militar con batallas y muertos, vencedores y terceros oportunistas siempre saquean a los cadáveres y heridos por razones que nunca llegaré a entender. En el caso del malware de interés militar o de inteligencia, los cibercampos de batalla quedarán plagados de ciberdetritus plasmados en desarrollos, elementos software y procedimientos que muy bien podrían ser reutilizados en otros escenarios que quizás no sean militares, pero seguro que si serán civiles.

Podría darse el caso de que la inversión en el desarrollo de ciberarmas terminase convirtiéndose en malware que se disemina sin control en la sociedad civil de su promotor, causándole más pérdidas que las posibles ventajas que hubiese podido obtener en el conflicto militar. El negocio de las ciberarmas podría terminar siendo económicamente ruinoso para las sociedades que ahora lo contemplan.

El malware se parece mucho a las bioarmas que rusos, americanos e ingleses, aprendiendo de los imperialistas japoneses ¹⁹, se dedican a crear en secreto desde el final de la Segunda Guerra Mundial. En este caso, como en del malware, el problema es cómo defenderse de la peste que uno mismo ha creado. La experiencia demuestra tenazmente que eso es imposible, y ejemplo de ello son incidentes como el de Sverdlovsk ²⁰ (ahora Ekaterimburgo). En aquella ocasión, el 2 de abril de 1979, se liberaron accidentalmente a la atmósfera unas esporas de Ántrax 836 desde la fábrica militar secreta ²¹ ubicada en esa localidad. Las consecuencias de ello las pagaron con su vida trabajadores de una fábrica de cerámica que se encontraba en la dirección en la que aquel día soplaba el viento.

La ciberguerra, si se refiere a la defensa y ataque a las infraestructuras informáticas de los ejércitos contendientes, es parte del orden de batalla y en realidad podría considerarse dentro de lo que siempre se ha llamado “guerra electrónica” y no necesitaría un nombre nuevo.

Si lo que se pretende es anular instalaciones civiles del estado enemigo, medidas para dejar sin luz a la población, por ejemplo, ya las hay. Ése es el caso de las bombas con munición como la BLU-114/B ²² utilizadas el 2 de mayo de 1999 por los americanos en su ataque a Serbia. Esos artefactos, al ser detonados sobre su objetivo, dispersan una cantidad ingente de finos filamentos de carbón que inducen graves cortocircuitos en las instalaciones de alta tensión volviéndolas inservibles. Si los sistemas SCADA actuales no están adecuadamente protegidos, quizás sea más barato utilizar malware al estilo Stuxnet en vez de bombas, pero eso dependerá del precio del malware, de su eficacia y su posibilidad de reutilización. ¿Nunca se han preguntado cuánto costó el desarrollo de Stuxnet y si mereció la pena? Algún día sabremos la respuesta.

Tampoco se puede llamar ciberguerra a los desarrollos de software e información que son parte de operaciones militares físicas. La informática y comunicaciones que hace que los drones maten personas en Afganistán o Yemen, a miles de kilómetros de distancia, nada tiene que ver con lo “cíber”, sino que es parte de la clásica industria de armamento. Confundir el malware con la guerra tiene el efecto maléfico de normalizar su producción, favorecer su comercialización y bendecir su uso.

La única posición responsable y a la larga, la más estable, es la de invertir los esfuerzos en la defensa y no entregarse a la vorágine del ataque. Lo que realmente revoluciona una sociedad es la tecnología de la que dispone en tiempos de paz y no sólo su capacidad para acaparar y hacer crecer su territorio o el número de sus súbditos.

Sean cuales sean los atacantes de un sistema de información o de una plataforma transaccional que constituye el sistema nervioso de una sociedad avanzada, lo importante es minimizar, si no eliminar, los efectos del ataque. En este nuevo escenario telemático no hay que pensar en operaciones puntuales al estilo de pasadas gestas, sino más bien en un ataque continuo de mediana o baja intensidad. Es la resistencia a esos ataques lo que en el futuro va a determinar la utilidad real de las diferentes soluciones tecnológicas.

Además de resistir, también hay que prestar mucha atención a la detección y seguimiento de operaciones “maliciosas” que se dan dentro de los sistemas. Si el perímetro es algo que ya damos por perdido en los sistemas en red, no podemos restaurarlo pensando que dentro de los sistemas “todo el mundo es bueno” y hace lo que tiene que hacer y nada más. Los futuros sistemas deben ser tales que la confianza entre sus componentes, módulos, usuarios o agentes sea la mínima inevitable.

Las tecnologías de la información han disuelto casi por completo viejos conceptos como los de nación, territorio y soberanía, y han reorganizado Occidente de un modo más horizontal, con sólo dos grandes estratos: los usuarios en sí y los que sacan beneficio directo de la existencia y consumo de esos mismos usuarios. Proteger a los primeros y controlar a los segundos es el nuevo reto de las cibersociedades avanzadas. El cibercrimen ²³ es, en esencia, el abuso criminal de algunos a la hora de hacer negocio a costa de los otros.

Las victorias militares terminan siendo efímeras, pero disponer o no de una tecnología cambia el rumbo de la historia. La comunidad hacker no debería escuchar los cantos de sirenas y convertirse en fabricantes de armamento, sino ser promotores de sistemas mucho más seguros. Por otra parte, los usuarios finales deberíamos exigir más responsabilidad a los productores del software/hardware para que presten mucha más atención a los defectos que con sus creaciones plantan en nuestra vida real y cotidiana, en la de todo el mundo. Después de todo, lo que realmente necesitamos es una mucho mejor tecnología y poder dormir tranquilos.

Documento en PDF