20 países con capacidad formidable de producir armas de guerra informáticas.
En la medida que los softwares de base inform√°ticos y de internet se hacen m√°s complejos, aparecen en ellos m√°s agujeros de seguridad, por donde penetran los ataques b√©licos, como por ejemplo el virus Stuxnet que atac√≥ las plantas at√≥micas iran√≠es, otros que han atacado el suministro de servicios el√©ctricos de pa√≠ses, y otros que roban n√ļmeros de cuentas para hacer estafas. A partir de all√≠ se ha creado un negocio de detecci√≥n de esos agujeros negros y de confecci√≥n de software para los ciberataques.

Los expertos en seguridad inform√°tica que se re√ļnen en Las Vegas para asistir a Black Hat y DEFCON, conferencias en las que se hacen demostraciones de agujeros de seguridad cr√≠ticos descubiertos en software de uso generalizado, afirman que los virus revelados en los √ļltimos a√Īos no han sido tan dram√°ticos, porque se han especializado para ataques precisos a blancos estrat√©gicos de defensa de los pa√≠ses y comerciales.

LA VULNERABILIDAD DEL D√ćA CERO

Una debilidad reci√©n descubierta en un software popular - lo que en el negocio se denomina vulnerabilidad de "d√≠a cero", es mucho m√°s rentable si se vende que la fama de haberla descubierto. Para las empresas de defensa, las agencias de seguridad y los gobiernos, la informaci√≥n sobre estos fallos puede llegar a valer cientos de miles de d√≥lares.Este comercio de vulnerabilidades de d√≠a cero no est√° muy bien documentado, pero probablemente sea la parte m√°s visible de una industria que, a lo largo de los pr√≥ximos a√Īos se llevar√° una cantidad cada vez mayor del presupuesto de defensa de Estados Unidos, cambie las relaciones internacionales y quiz√° haga que la Web sea menos segura para todos.Las vulnerabilidades de d√≠a cero son valiosas porque se pueden usar para introducir software en un sistema inform√°tico a escondidas sin que las medidas de seguridad convencionales como los paquetes antivirus o los cortafuegos lo detecten.Los criminales pueden hacerlo para interceptar n√ļmeros de tarjetas de cr√©dito. Una agencia de inteligencia o fuerza militar podr√≠a robar comunicaciones diplom√°ticas o incluso apagar una planta el√©ctrica.

LA NUEVA ERA QUE ABRI√ď STUXNET

En 2010 qued√≥ claro que este tipo de ataque iba a definir una nueva era en la historia de la guerra, cuando investigadores en seguridad descubrieron un trozo de software malicioso, o malware, conocido por el nombre de Stuxnet. Casi todo el mundo est√° convencido de que era un proyecto de las fuerzas de inteligencia de Estados Unidos e Israel (los oficiales estadounidenses a√ļn tienen que reconocer p√ļblicamente su papel, aunque ya lo han hecho de forma an√≥nima en el New York Times y la radio p√ļblica).Stuxnet se dise√Ī√≥ con mucho cuidado para infectar m√ļltiples sistemas necesarios para acceder y controlar el equipamiento industrial usado en elprograma nuclear iran√≠.Esta carga explosiva era claramente obra de un grupo con acceso a recursos e informaci√≥n a escala nacional, pero fue posible gracias a cuatro vulnerabilidades de d√≠a cero de Windows que permitieron que infectara silenciosamente los ordenadores seleccionados. Que se usaran tantos valiosos d√≠as cero, era solo una de las sorprendentes caracter√≠sticas de Stuxnet.Desde entonces se ha revelado m√°s malware con las caracter√≠sticas de Stuxnet que requer√≠an t√©cnicas a√ļn m√°s complejas (ver "La era antivirus toca a su fin").

EL MERCADO DE LAS VULNERABILIDADES DEL DIA CERO

Es probable que haya a√ļn m√°s desplegados, que no se hayan detectado p√ļblicamente. Mientras tanto, los gobiernos y las empresas de Estados Unidos y de todo el mundo han empezado a pagar cada vez m√°s por las vulnerabilidades necesarias para que este tipo de armas funcionen, seg√ļn Christopher Soghoian, tecn√≥logo principal de la Uni√≥n Americana por las Libertades Civiles.

"Por una parte el gobierno está preocupadísimo por el tema de la ciberseguridad, pero por otra, Estados Unidos participa en el mercado global de las vulnerabilidades, haciendo que suban los precios", explica Soghoian.

√Čl afirma haber hablado con personas vinculadas al negocio y sostiene que los precios van desde los miles de d√≥lares hasta los cientos de miles. Incluso las agencias de seguridad civiles pagan por d√≠as cero, afirma Soghoian, para poder colocar software esp√≠a en los ordenadores o tel√©fonos inteligentes de los sospechosos.Soghoian explica que las vulnerabilidades de los sistemas operativos m√≥viles son especialmente valiosas, porque al contrario que los ordenadores de sobremesa, los sistemas m√≥viles rara vez se actualizan. Apple env√≠a actualizaciones al software de los iPhones un par de veces al a√Īo, lo que significa que un fallo podr√≠a explotarse durante mucho tiempo.

A veces el descubridor de una vulnerabilidad día cero recibe un pago mensual mientras el fallo no se detecte. "Siempre que Apple o Microsoft no lo arreglen, te pagan", afirma Soghoian.

EL MERCADO SE ESTRUCTURA

No existe una ley que regule directamente la venta de d√≠as cero, ni en Estados Unidos ni en ning√ļn otro lugar, as√≠ que algunos actores se dedican a ello bastante abiertamente. Un investigador en seguridad de Bangkok (Tailandia) conocido como The Grugq, tuitea sobre su trabajo como intermediario y ha hablado con la prensa sobre negociaciones de acuerdos por valor de cientos de miles de d√≥lares con compradores de los gobiernos de Estados Unidos y de pa√≠ses de Europa Occidental.En una discusi√≥n en Twitter el mes pasado, neg√≥ que su negocio sea equiparable al tr√°fico de armas, como se√Īalan los cr√≠ticos dentro y fuera de la comunidad de la seguridad inform√°tica.

"Una vulnerabilidad es un componente de una cadena de herramientas", tuiteó. "El equipo que produce y mantiene la cadena de herramientas es el arma".

Algunas empresas peque√Īas tambi√©n se manifiestan abiertamente sobre su participaci√≥n en el negocio. La empresa francesa de seguridad VUPEN afirma en su p√°gina web que:

"proporciona vulnerabilidades de nivel gubernamental dise√Īadas espec√≠ficamente para la comunidad de inteligencia y las agencias de seguridad nacionales para ayudarles a lograr sus misiones ofensivas de ciberseguridad y de interceptado legales".

El a√Īo pasado, empleados de la empresa hicieron una demostraci√≥n p√ļblica de un fallo d√≠a cero que compromet√≠a el navegador Chrome de Google, pero rechazaron la oferta de Google de una recompensa de 60.000 d√≥lares si compart√≠an su funcionamiento. No se sabe qu√© pas√≥ con la vulnerabilidad.

EE.UU. PREPAR√ĀNDOSE PARA DEFENDERSE Y HACER CIBERATAQUES

Ninguna agencia del gobierno de Estados Unidos ha afirmado p√ļblicamente que compre d√≠as cero, pero las agencias y empresas de defensa de EE.UU. han empezado a reconocer p√ļblicamente que pretenden lanzar ciberataques aparte de defenderse de ellos, una postura para la que har√°n falta nuevas formas de penetrar en los ordenadores enemigos.El general Keith Alexander, director de la Agencia Nacional de Seguridad y comandante del Cibermando de Estados Unidos afirm√≥ en un simposio celebrado en Washington el mes de octubre pasado que Estados Unidos est√° preparado para hacer algo m√°s que limitarse a bloquear los ataques inform√°ticos."Parte de nuestra defensa tiene que tener en cuenta medidas de ataque", afirm√≥, convirti√©ndose as√≠ en uno de los oficiales de mayor rango en admitir que el gobierno har√° uso de malware. En 2012 las Fuerzas A√©reas de Estados Unidos hicieron un llamamiento para recibir propuestas para desarrollar:

"capacidades de B√©licas de Ataque en el Ciberespacio", capaces de "destruir, anular, degradar, interrumpir, enga√Īar, corromper o usurpar la capacidad de los adversarios para usar el dominio del ciberespacio en su favor".

Y en noviembre, Regina Dugan, directora de la Agencia de Proyectos Avanzados de Investigaci√≥n en Defensa lanz√≥ otra se√Īal clara sobre hacia d√≥nde se dirige la tecnolog√≠a de defensa de Estados Unidos.

"A lo largo de los pr√≥ximos a√Īos centraremos una parte cada vez mayor de nuestra ciberinvestigaci√≥n en investigar capacidades ofensivas para cubrir necesidades espec√≠ficamente militares", afirm√≥, anunciando que la agencia esperaba ampliar la financiaci√≥n de investigaci√≥n en ciberseguridad del 8 al 12 por ciento de su presupuesto.

Los analistas de defensa afirman que una de las razones que han promovido este cambio es que hablar de ataques introduce un elemento de disuasi√≥n, una estrategia consolidada en los conflictos convencionales y los nucleares.Hasta ahora los pol√≠ticos estadounidenses y jefes de defensa han hablado sobre todo de la vulnerabilidad del pa√≠s ante los ataques digitales. En el oto√Īo pasado, por ejemplo, el secretario de defensa Leon Panetta avis√≥ con franqueza de que la infraestructura de Estados Unidos era objetivo de atacantes extranjeros y que podr√≠a tener lugar un "Pearl Harbor digital" (ver "Redes el√©ctricas y plantas de agua, pr√≥ximo objetivo hacker").

LOS PROVEEDORES SE ESPECIALIZAN

La mayoría de los contratistas de defensa son menos francos sobre su papel a la hora de crear software para atacar a los enemigos del gobierno de Estados Unidos, pero evidentemente se están dando prisa por aprovechar la oportunidad que presenta.

"Es un campo en crecimiento en el negocio de la defensa, en un momento en el que el resto del negocio se está encogiendo", afirma Peter Singer, director de la Iniciativa Defensa del Siglo XXI en el Instituto Brookings, un think-tank con sede en Washington. "Han identificado dos áreas de crecimiento: los vehículos aéreos no tripulados y lo cibernético".

Los contratistas grandes ya est√°n contratando a mucha gente con conocimientos de seguridad inform√°tica, y las ofertas para algunos puestos dejan claro que existen oportunidades para jugar a algo m√°s que a la defensa.

El a√Īo pasado Northrop Grumman public√≥ anuncios buscando a gente para "planificar, ejecutar y evaluar una misi√≥n de Operaci√≥n Ofensiva en el Ciberespacio" y muchos de los puestos disponibles actualmente en Northrop piden "experiencia de primera mano en operaciones cibern√©ticas ofensivas".

Raytheon empieza sus anuncios de puestos de trabajo relacionados con la seguridad con un lenguaje dise√Īado para atraer al hacker inform√°tico arquet√≠pico: "Tablas de surf, banderas pirata e insignias negras de DEFCON decoran nuestras oficinas y nuestra colecci√≥n de pistolas Nerf deja en pa√Īales a la mayor√≠a de las tiendas de juguetes. Nuestros proyectos de investigaci√≥n y desarrollo cubren todo el espectro de las tecnolog√≠as de seguridad, ofensivas y defensivas".

EL MUNDO CIBERN√ČTICO SE VUELVE MAS PELIGROSO

Este nuevo enfoque perseguido por los contratistas militares y de defensa estadounidenses quiz√° preocupe a algunos contribuyentes. Con m√°s dinero p√ļblico gast√°ndose en investigar nuevas formas de atacar los sistemas inform√°ticos, parte de ese dinero acabar√° en manos de personas como The Grugq para descubrir nuevas vulnerabilidades d√≠a cero. Y la escalada de un ciclo de competencia entre Estados Unidos y las agencias gubernamentales extranjeras y contratistas, podr√≠an hacer que el mundo fuera m√°s peligroso para los usuarios inform√°ticos de todo el mundo.

"Todos los países fabrican armas: desgraciadamente, el ciberespacio también es así", afirma Sujeet Shenoi, director del programa Cyber Corps subvencionado por el gobierno en la Universidad de Tulsa (EE.UU.) Su programa entrena a los alumnos para trabajos gubernamentales de defensa de los ataques, pero teme que los contratistas de defensa, que también tienen interés por contratar a estos estudiantes, estén llevando la idea de la ofensiva demasiado lejos.

Desarrollar un malware potente introduce la peligrosa tentación de usarlo, afirma Shenoi, que teme las consecuencias de ataques activos contra infraestructura. "Creo que quizá los tribunales civiles deberían reunirse para prohibir este tipo de ataques", sostiene.

Adem√°s, seg√ļn se√Īala Shenoi, la facilidad con que se pueden cubrir las huellas de los atacantes tambi√©n aumenta el riesgo de que se usen este tipo de armas. A√ļn peor, incluso si un ataque usando malware no tiene √©xito, existe una gran probabilidad de que una copia quede en el sistema de la v√≠ctima -por accidente o a prop√≥sito- o de que encuentre el camino hasta sistemas inform√°ticos que no eran el objetivo inicial, como sucedi√≥ con Stuxnet.Algunas empresas de seguridad ya han identificado malware criminal que usa m√©todos observados por primera vez en Stuxnet (ver "Los delincuentes inform√°ticos copian los trucos de Stuxnet").

"El paralelismo ser√≠a soltar la bomba junto con unos folletos explicando c√≥mo se construye", afirma Singer. Calcula que alrededor de 100 pa√≠ses ya tienen unidades de ciberguerra de alg√ļn tipo y alrededor de 20 tienen una capacidad formidable: "Hay mucha gente jugando a este juego".

Fuentes Tom Simonite para Opinno, Signos de estos Tiempos

Haga click para ver las otras noticias

Entre su email para recibir nuestra Newsletter Semanal en modo seguro, es un servicio gratis:

S√ļmate a nuestra Newsletter y recibe las √ļltimas publicaciones
en tu bandeja de entrada

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.

Ver todo
Estamos migrando el sitio a una nueva plataforma! :)