Cuando el terrorismo de Estado se vuelve digital

Hace unos días, Tom Bossert, asesor de seguridad del presidente Donald Trump, acusó públicamente a Corea del Norte de estar detrás de Wannacry, uno de los mayores ataques contra la seguridad digital en la historia, que perjudicó a cientos de miles de computadores en prácticamente todo el mundo y desactivó sistemas vitales en hospitales, instituciones públicas y empresas.

Las sospechas acerca de la participación de Corea del Norte emergieron a los pocos días del ataque, cuando varios investigadores independientes lograron aislar parte del código del ataque y vincularlo con muestras de otros incidentes en los que había participado una unidad de élite vinculada con el gobierno norcoreano. (Lea "Aquí le explicamos la conexión de Wannacry con Corea del Norte")

Uno de esos investigadores fue Matthieu Suiche, un analista francés con base en Dubái, fundador de la firma de seguridad digital Comae Technologies, quien aseguró en su momento que la participación de Corea del Norte en Wannacry significaría que “estaríamos ante el primer gran ataque de ransomware auspiciado por un Estado, pero con una particularidad: no se trata de conseguir dinero, sino de sembrar caos y de lograr una afectación política. El código está bien hecho, es profesional, aunque tiene unas fallas de diseño que resultan interesantes porque ha frenado la recaudación de fondos”.

En otras palabras, lo que Suiche dice es que podría ser un acto de terrorismo de Estado, pero en el reino digital. Uno de los primeros, además, en utilizar la modalidad de ransomware, o secuestro de información a cambio de dinero.

Ahora, en justicia, no es la primera ocasión en que un Estado se mete en el mundo digital para operar contra otro país o contra blancos particulares. Y esto es lo preocupante: hay guías muy claras, o al menos más reconocidas, sobre lo que puede hacer un país en operaciones militares en el mundo lejos del teclado. Pero estas líneas son más difusas, grises a lo sumo, cuando se trata de internet.

El ejemplo clásico de una operación de estas es Stuxnet: un programa malicioso cuya autoría se les atribuye a los comandos cibernéticos de Estados Unidos e Israel y que fue desplegado para afectar el programa nuclear iraní. El virus fue descubierto en 2010, aunque hay reportes que sitúan su desarrollo en 2005, y aprovechaba cuatro vulnerabilidades no reportadas, conocidas popularmente como zero day exploits.

Stuxnet fue utilizado para desmantelar las centrifugadoras utilizadas por los iraníes para enriquecer el uranio que, según ellos, era para usos civiles, aunque prácticamente el resto del mundo aseguraba que iba para armas atómicas.

Lo problemático de este ejemplo es que se trató de una operación encubierta y, por lo tanto, sin mayores rastros sobre su proceso de toma de decisiones o la lógica detrás de atacar estos sistemas. Esto es complejo porque, más allá de las implicaciones y motivaciones políticas, se trata del uso militar de vulnerabilidades de software ampliamente utilizado por civiles.

De nuevo, más allá de la geopolítica y las motivaciones para irse a la guerra digital contra otro país o contra una corporación, lo que está en el medio es la seguridad digital de todas las personas cuya vida diaria depende de los mismos sistemas que un Estado en particular trata de vulnerar. Lo que sucede con este tipo de operaciones, con el desarrollo de armas para quebrar el software usado por civiles, es que al final suelen caer en otras manos, que resultan mucho peores que las de sus creadores.

Wannacry es el perfecto ejemplo de este mecanismo: el ataque fue posible gracias al robo de armas digitales desarrolladas por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés).

Se entiende que este tipo de instituciones, como la NSA, la CIA o el GCHQ británico, busquen obtener ventajas en ataque y defensa digital. De hecho, parte de su misión constitucional es ir a la vanguardia en estas técnicas. Pero estimular la creación y explotación de fallas en los sistemas de los cuales depende toda la vida moderna termina siendo un arma de doble filo contra la parte más débil del eslabón: los usuarios.

Durante la administración de Barack Obama, la Casa Blanca creó una suerte de protocolo para mediar entre la necesidad de encontrar fallas en los sistemas y publicarlas para proteger a los usuarios civiles en todo el mundo: si una agencia detectaba una vulnerabilidad inédita, lo indicado era compartirla con el fabricante para así proteger la seguridad de millones de usuarios. La única razón bajo la cual podían ocultarla era por motivos de seguridad nacional. Un comité de expertos incluso recomendó que esta utilización de la debilidad sólo podía hacerse por un tiempo determinado.

Pero los robos de arsenal digital sufridos por la NSA y la CIA y el ataque de Wannacry terminaron por mostrar que este proceso es ineficiente, por decir lo menos.

También vale la pena anotar que durante el gobierno Obama se ordenó un incremento en los ataques digitales para sabotear y retrasar el programa de misiles balísticos de Corea del Norte. Desde hace unos años, el comando de operaciones cibernéticas de Estados Unidos ha venido creciendo: se estima que su tamaño se ha quintuplicado y que el número de personal que trabaja en él puede ser de hasta 4.000 personas.

El incremento de la capacidad de los estados para atacar y defenderse en línea es, acaso, un producto normal de las aplicaciones y posibilidades de internet. Pero el asunto es que en el mismo medio coexisten criminales, países enemigos y usuarios civiles. Si el terrorismo de Estado ya era suficientemente complejo de tratar, y de castigar, en el mundo tangible, los augurios no son buenos en el reino digital. Y en la mitad de esas tensiones quedamos todos.

Hace unos días, Tom Bossert, asesor de seguridad del presidente Donald Trump, acusó públicamente a Corea del Norte de estar detrás de Wannacry, uno de los mayores ataques contra la seguridad digital en la historia, que perjudicó a cientos de miles de computadores en prácticamente todo el mundo y desactivó sistemas vitales en hospitales, instituciones públicas y empresas.

Las sospechas acerca de la participación de Corea del Norte emergieron a los pocos días del ataque, cuando varios investigadores independientes lograron aislar parte del código del ataque y vincularlo con muestras de otros incidentes en los que había participado una unidad de élite vinculada con el gobierno norcoreano. (Lea "Aquí le explicamos la conexión de Wannacry con Corea del Norte")

Uno de esos investigadores fue Matthieu Suiche, un analista francés con base en Dubái, fundador de la firma de seguridad digital Comae Technologies, quien aseguró en su momento que la participación de Corea del Norte en Wannacry significaría que “estaríamos ante el primer gran ataque de ransomware auspiciado por un Estado, pero con una particularidad: no se trata de conseguir dinero, sino de sembrar caos y de lograr una afectación política. El código está bien hecho, es profesional, aunque tiene unas fallas de diseño que resultan interesantes porque ha frenado la recaudación de fondos”.

En otras palabras, lo que Suiche dice es que podría ser un acto de terrorismo de Estado, pero en el reino digital. Uno de los primeros, además, en utilizar la modalidad de ransomware, o secuestro de información a cambio de dinero.

Ahora, en justicia, no es la primera ocasión en que un Estado se mete en el mundo digital para operar contra otro país o contra blancos particulares. Y esto es lo preocupante: hay guías muy claras, o al menos más reconocidas, sobre lo que puede hacer un país en operaciones militares en el mundo lejos del teclado. Pero estas líneas son más difusas, grises a lo sumo, cuando se trata de internet.

El ejemplo clásico de una operación de estas es Stuxnet: un programa malicioso cuya autoría se les atribuye a los comandos cibernéticos de Estados Unidos e Israel y que fue desplegado para afectar el programa nuclear iraní. El virus fue descubierto en 2010, aunque hay reportes que sitúan su desarrollo en 2005, y aprovechaba cuatro vulnerabilidades no reportadas, conocidas popularmente como zero day exploits.

Stuxnet fue utilizado para desmantelar las centrifugadoras utilizadas por los iraníes para enriquecer el uranio que, según ellos, era para usos civiles, aunque prácticamente el resto del mundo aseguraba que iba para armas atómicas.

Lo problemático de este ejemplo es que se trató de una operación encubierta y, por lo tanto, sin mayores rastros sobre su proceso de toma de decisiones o la lógica detrás de atacar estos sistemas. Esto es complejo porque, más allá de las implicaciones y motivaciones políticas, se trata del uso militar de vulnerabilidades de software ampliamente utilizado por civiles.

De nuevo, más allá de la geopolítica y las motivaciones para irse a la guerra digital contra otro país o contra una corporación, lo que está en el medio es la seguridad digital de todas las personas cuya vida diaria depende de los mismos sistemas que un Estado en particular trata de vulnerar. Lo que sucede con este tipo de operaciones, con el desarrollo de armas para quebrar el software usado por civiles, es que al final suelen caer en otras manos, que resultan mucho peores que las de sus creadores.

Wannacry es el perfecto ejemplo de este mecanismo: el ataque fue posible gracias al robo de armas digitales desarrolladas por la Agencia Nacional de Seguridad de Estados Unidos (NSA, por sus siglas en inglés).

Se entiende que este tipo de instituciones, como la NSA, la CIA o el GCHQ británico, busquen obtener ventajas en ataque y defensa digital. De hecho, parte de su misión constitucional es ir a la vanguardia en estas técnicas. Pero estimular la creación y explotación de fallas en los sistemas de los cuales depende toda la vida moderna termina siendo un arma de doble filo contra la parte más débil del eslabón: los usuarios.

Durante la administración de Barack Obama, la Casa Blanca creó una suerte de protocolo para mediar entre la necesidad de encontrar fallas en los sistemas y publicarlas para proteger a los usuarios civiles en todo el mundo: si una agencia detectaba una vulnerabilidad inédita, lo indicado era compartirla con el fabricante para así proteger la seguridad de millones de usuarios. La única razón bajo la cual podían ocultarla era por motivos de seguridad nacional. Un comité de expertos incluso recomendó que esta utilización de la debilidad sólo podía hacerse por un tiempo determinado.

Pero los robos de arsenal digital sufridos por la NSA y la CIA y el ataque de Wannacry terminaron por mostrar que este proceso es ineficiente, por decir lo menos.

También vale la pena anotar que durante el gobierno Obama se ordenó un incremento en los ataques digitales para sabotear y retrasar el programa de misiles balísticos de Corea del Norte. Desde hace unos años, el comando de operaciones cibernéticas de Estados Unidos ha venido creciendo: se estima que su tamaño se ha quintuplicado y que el número de personal que trabaja en él puede ser de hasta 4.000 personas.

El incremento de la capacidad de los estados para atacar y defenderse en línea es, acaso, un producto normal de las aplicaciones y posibilidades de internet. Pero el asunto es que en el mismo medio coexisten criminales, países enemigos y usuarios civiles. Si el terrorismo de Estado ya era suficientemente complejo de tratar, y de castigar, en el mundo tangible, los augurios no son buenos en el reino digital. Y en la mitad de esas tensiones quedamos todos.