SOFTWARE COMO ARMAMENTO EN UN MUNDO CONECTADO POR LAS COMPUTADORAS

SAN FRANCISCO .- El Internet fue creado hace casi 40 años por hombres – y algunas mujeres – que imaginaron una “red intergaláctica” donde los humanos pudieran tomar datos y recursos computacionales de cualquier servidor en el mundo y, en el proceso, liberar sus mentes de tareas mundanas e insignificantes.

“La esperanza es que, en no muchos años, los cerebros humanos y las máquinas computacionales se acoplen”, escribió Joseph Carl Robnett Licklider, quien era conocido como “Lick” y es el hombre ampliamente recordado como el pionero del Internet. Licklider se unió al Pentágono en 1962, y sus ideas posteriormente formaron la base para el trabajo del internet original de las fuerzas militares.

- Publicidad-

Oren Falkowitz, izquierda y Blake Darche, fundadores de la "startup" de seguridad de computadoras, Area 1, que creen que han asegurado un único punto de ventaja para monitorear e incluso bloquear ciber ataques, se encuentran en "Cate Machine and Welding", una empresa que le permite a Area 1 monitorear la actividad de sus servidores en Belleville Wis. Mayo 19, 2016. La tecnología de la compañía dirige una de las amenazas digitales más perjudiciales: llamada "spear-phishing attacks". [Lauren Justice / 2016 ©The New York Times] Oren Falkowitz, izquierda y Blake Darche, fundadores de la “startup” de seguridad de computadoras, Area 1, que creen que han asegurado un único punto de ventaja para monitorear e incluso bloquear ciber ataques, se encuentran en “Cate Machine and Welding”, una empresa que le permite a Area 1 monitorear la actividad de sus servidores en Belleville Wis. Mayo 19, 2016. La tecnología de la compañía dirige una de las amenazas digitales más perjudiciales: llamada “spear-phishing attacks”. [Lauren Justice / 2016 ©The New York Times]

Incluso un idealista de gran visión como Licklider nunca pudo haber imaginado que más de 50 años después, estaríamos contando a Internet nuestros secretos más profundos y nuestra localización, y conectando a él nuestros smartphones, refrigeradores, autos, oleoductos, redes eléctricas y centrifugadoras de uranio.

E incluso los primeros pioneros del Internet en el Pentágono no podían haber previsto que medio siglo después, los miles de millones de errores cometidos a lo largo del proceso de crear el Internet de hoy y todas las cosas vinculadas a él serían hilvanados para establecer el escenario para la guerra moderna.

- Publicidad -

Es raro encontrar una computadora hoy que no esté vinculada con otra, que no esté repleta de circuitos, aplicaciones y sistemas operativos y que no haya sido _ en un momento u otro _ sondeada por un hacker, un criminal digital o una nación en busca de debilidades que explotar con fines de espionaje, destrucción o ganancias.

Hay mucha materia prima con la cual trabajar. En promedio, hay entre 15 y 50 defectos por cada mil líneas de código en el software distribuido, según Steve McConnell, el autor de “Code Complete”. Hoy, la mayoría de las aplicaciones de que dependemos _ Google Chrome, Microsoft, Firefox y Android _ contienen millones de líneas de código. Y la complejidad de la tecnología está aumentando, y con ello el potencial de defectos.

- Publicidad -

La motivación para encontrar defectos explotables en el código ampliamente usado nunca ha sido más alta. Gobiernos grandes y pequeños están acumulando vulnerabilidades y exploits en hardware, software, aplicaciones, algoritmos e incluso defensas de seguridad como cortafuegos y software antivirus.

Están usando estos huecos para monitorear a sus enemigos percibidos y muchos gobiernos están almacenándolos para los tiempos difíciles, cuando pudieran simplemente tener que dejar caer una carga explosiva que perturbe o degrade el sistema de transporte, energía o financiero de un adversario.

Están dispuestos a pagar buenas cantidades a cualquiera que pueda encontrar y aprovechar estas debilidades para que se las entreguen, y nunca digan una palabra a las compañías cuyos programadores inadvertidamente las escribieron en el software en primer lugar.

El mundo tuvo uno de sus primeros vistazos al mercado de vulnerabilidades este año cuando James B. Comey, director del FBI, sugirió que su agencia pagó a hackers más de 1.3 millones de dólares por un exploit para iPhone que permitiera al FBI eludir la seguridad de Apple.

Eso está a la par con lo que han ofrecido pagar otras compañías que compran y venden fallas a los gobiernos, como Zerodium.

Zerodium dijo que pagó un millón de dólares por información sobre debilidades en el sistema operativo iOS 9 el otoño pasado, pero la compañía revende esas debilidades a los gobiernos con ganancia.

Quienes dan seguimiento al mercado del comercio de fallas y exploits tuvieron un vistazo aun mayor de sus patrocinadores el verano pasado cuando un grupo italiano llamado Hacking Team _ que empaqueta debilidades en herramientas de vigilancia para gobiernos en todo el mundo _ fue hackeado.

Las filtraciones revelaron una larga lista de clientes, incluidos departamentos policiales, agencias de procuración de justicia y de espionaje en Estados Unidos, Europa y países como Bahréin, Etiopía, Sudán, Uzbekistán, Kazajstán, Azerbaiyán y Marruecos.

Pero el mercado de fallas explotables es mucho más grande que la lista de clientes de Hacking Team, y las naciones han estado pagando enormes sumas a los hackers dispuestos a entregar esas debilidades a los gobiernos, y no compartirlas con las compañías de software, durante más de 20 años.

En la mayoría de los casos, esos huecos han sido usados para el espionaje, pero cada vez más están siendo usados para la destrucción. Stuxnet, el gusano computacional estadounidense-israelí que fue usado para destruir centrifugadoras en la instalación nuclear Natanz de Irán en 2009 y 2010, usó cuatro vulnerabilidades en Microsoft Windows y una en un servicio de impresoras para atacar y hacer girar fuera de control a las centrifugadoras de uranio de Irán, o para que dejaran de girar por completo.

Una vez que Stuxnet y sus motivaciones fueron descubiertos _ primero por un investigador de seguridad en Bielorrusia y luego en todo el mundo _ se abrió una caja de Pandora.

Hoy, más de 100 gobiernos han reconocido públicamente sus propios programas de guerra cibernética ofensiva. Se descubrió que países que no estaban en el mercado antes de Stuxnet lo están ahora.

Funcionarios iraníes ahora afirman que tienen el tercer ejército digital más grande del mundo detrás de Estados Unidos y China. Esas afirmaciones son imposibles de verificar, en gran parte porque la mayoría de los países mantienen en secreto esos programas. Pero los hackers iraníes tienen muchas demostraciones.

Funcionarios gubernamentales en Estados Unidos responsabilizan a hackers iraníes de lo que describen como un ataque de represalia contra Saudi Aramco en 2012 que reemplazó los datos en 30,000 computadoras de Aramco con una imagen de una bandera estadounidense en llamas.

Al año siguiente, los hackers iraníes fueron culpados de una serie de ataques contra el sistema bancario de Estados Unidos. Y aunque expertos en seguridad que han analizado esos ataques afirman que las capacidades de los iraníes siguen muy lejos de las de Estados Unidos y sus aliados más cercanos, están mejorando constantemente.

A las naciones les tomó un tiempo comprender el potencial del Internet en tiempo de guerra, pero los países ahora están duplicando sus capacidades de ataque digital.

Sigue pendiente el veredicto sobre si ataques como Sutxnet violan el derecho internacional. El espionaje digital, como el hackeo chino de la Oficina de Gestión de Personal descubierto el año pasado, no. E incluso cuando esos ataques violan las leyes nacionales, las sanciones no son mucho un freno para los atacantes que oprimen teclas desde el otro lado del mundo.

 

 Escrito por: Nicole Perlroth / © 2016 New York Times News Service