Por Paul F. Roberts
Traducido por Francisco Reyes
Technologys Review
Al igual que con la bomba atómica en los últimos días de la Segunda
Guerra Mundial, el virus informático conocido como Stuxnet, descubierto
en 2010, pareció marcar el comienzo de una nueva era de guerra. En la
era de la ciberguerra, según advirtieron los expertos, en vez de
explosivos, tanques y ametralladoras, tendremos ataques silenciosos y
basados en software, o al menos serán el primer paso antes de la
artillería pesada.
O tal vez no. Casi cuatro años después de que fuera identificado por
primera vez en público, Stuxnet es una anomalía: es la primera y única
ciberarma que, según se sepa, haya sido desplegada. Algunos expertos en
ciberseguridad e infraestructura crítica quieren saber por qué. ¿Hay un
menor número de objetivos realistas de los que se sospechaba? ¿Son este
tipo de armas más difíciles de construir de lo que se pensaba? ¿O es
que, sencillamente, la actual generación de ciberarmas está muy bien
escondida?
Estas preguntas rondaban la mente de los principales expertos del
mundo en seguridad de sistemas de control industrial la semana pasada
durante la conferencia anual S4 celebrada en las afueras de Miami
(EEUU). S4 reúne a los mejores expertos del mundo en seguridad de
reactores nucleares, redes eléctricas y líneas de montaje.
En S4 casi todos estuvieron de acuerdo en que, mucho después de que
el nombre de Stuxnet haya desaparecido de los titulares, algunos
sistemas de control industrial, como los Controladores Lógicos
Programables Siemens, siguen siendo vulnerables.
El investigador de seguridad de la firma IOActive, Eireann Leverett,
aseguró a los asistentes de la conferencia que las prácticas de
seguridad comunes en el mundo de la tecnología de la información dentro
de las empresas siguen siendo algo poco común entre los proveedores que
desarrollan sistemas de control industrial (ver “El enorme reto de proteger las redes eléctricas frente a los ‘hackers‘”).
Leverett observó que los sistemas de control industrial modernos, que
se venden por miles de dólares la unidad, a menudo vienen con tipo de
software que carece de los controles de seguridad básicos, como la
autenticación de usuarios, la firma de código para evitar
actualizaciones de software no autorizadas, o el registro de eventos
para permitir a los clientes realizar un seguimiento de los cambios en
el dispositivo.
También está claro que, en los años transcurridos desde que Stuxnet
salió a la luz, tanto las naciones desarrolladas como en desarrollo han
aprovechado las operaciones cibernéticas como nueva y fructífera vía
para la investigación y el desarrollo (ver “Bienvenidos a la industria del software malicioso“).
La exanalista de inteligencia del Departamento de Defensa de EEUU,
Laura Galante, que ahora trabaja para la firma Mandiant, señaló que EEUU
no sólo está haciendo un seguimiento de las actividades de naciones
como Rusia y China, sino también de Siria y el objetivo preferido de
Stuxnet: Irán. Galante señaló que las armas cibernéticas dan a las
naciones más pequeñas y pobres una forma de aprovechar fuerza asimétrica
contra enemigos mucho más grandes.
Aun así, las armas cibernéticas verdaderamente eficaces requieren un nivel de experiencia extraordinario. Ralph Langner,
quien tal vez sea la máxima autoridad mundial en cuanto al gusano
Stuxnet, sostiene que la mera piratería de sistemas críticos no cuenta
como guerra cibernética. Por ejemplo, Stuxnet fue noticia por haber
usado cuatro vulnerabilidades de agujeros de “día cero” (o no
descubiertos previamente) en el sistema operativo Windows. Pero Langner
señala que la experiencia metalúrgica necesaria para entender la
construcción de las centrifugadoras de Irán era mucho más impresionante.
Los que crearon Stuxnet necesitaban saber la cantidad exacta de presión
o el par necesario para dañar los rotores de aluminio por dentro y
sabotear, así, la operación de enriquecimiento de uranio del país.
Concentrarse en herramientas basadas en software que puedan causar
daño físico establece un listón mucho más alto para los debates
relacionados con las armas cibernéticas, señala Langner. Según ese
estándar, Stuxnet fue una verdadera ciberarma, pero el ataque Shamoon de
2012 contra la gigante petrolera Saudi Aramco y otras compañías
petroleras no entran en esa categoría, a pesar de que se borraran los
discos duros de los ordenadores infectados.
Hay quienes argumentan que las condiciones para el uso de una
ciberarma tan destructiva simplemente no han surgido de nuevo, y no es
probable que surjan por algún tiempo. Operaciones como Stuxnet, es
decir, proyectos sigilosos diseñados para degradar lentamente la
capacidad de enriquecimiento de Irán a lo largo de los años, son la
excepción y no la regla, señaló Thomas Rid desde
el Departamento de Estudios de Guerra en el Kings College de Londres
(Reino Unido). “No hay demasiados objetivos que se presten a una campaña
encubierta como la de Stuxnet”, señaló Rid.
Rid aseguró a los asistentes que la calidad de la inteligencia
reunida sobre un objetivo concreto marca la diferencia entre una
cirberarma eficaz y un fracaso.
También es posible que se hayan utilizado otras armas cibernéticas,
pero las circunstancias que rodean a su uso son un secreto, protegido
por los gobiernos como información “clasificada”, o por estrictos
acuerdos de confidencialidad.
De hecho, Langner, que trabaja con algunas de las principales
empresas y gobiernos industriales del mundo, afirmó que conoce otro
ciberataque físico, en este caso vinculado a un grupo criminal. Pero no
quiso hablar de ello.
Los profesionales del control industrial y académicos se quejan de
que la información necesaria para investigar ataques futuros se mantiene
fuera del dominio público. Y las compañías eléctricas, las empresas
industriales y los propietarios de las infraestructuras críticas están
tomando conciencia de que los sistemas que, según creían, estaban fuera
del alcance del internet público, muy a menudo no lo están.
Mientras tanto, la tecnología está impulsando cambios cada vez más
rápidos y transformadores como parte de lo que se conoce como el
internet de las cosas. La conectividad general a internet, en
combinación con ordenadores y sensores de bajo coste y minúsculos,
pronto permitirá a los sistemas autónomos comunicarse directamente entre
sí (ver “La nevera que enviaba ‘spam’“).
Si no se incluyen medidas de seguridad apropiadas en los productos
industriales desde el primer momento, el potencial de ataques y el daño
físico aumentan de forma espectacular. “Si seguimos ignorando el
problema, vamos a tener serios problemas”, señaló Langner.
No hay comentarios:
Publicar un comentario