Ciberguerra, Stuxnet y gente con tejado de vidrio

Haroon Meer

Al-Jazeera

Los que rastrean historias sobre hackeo o ciberguerra han pasado unos meses muy ocupados.

Esta semana hubo titulares por cortesía del primer documento formal de ciberestrategia del Pentágono que concluyó que “el sabotaje informático proveniente de otro país puede constituir un acto de guerra”, y “abre la puerta para que EE.UU. responda utilizando fuerza militar tradicional”.

El mismo artículo incluye una cita repetida con frecuencia (pero no atribuida claramente) de un oficial militar que dijo elocuentemente: “Si colapsáis nuestra red eléctrica, puede que os lancemos un misil por una de vuestras chimeneas”.

Para muchos que trabajan en la seguridad informática, la amenaza de una respuesta militar total a una ciberofensiva parece desproporcionada –especialmente cuando muchos expertos afirman que la ciberguerra ni siquiera es una verdadera amenaza– por lo tanto, ¿de dónde sale esto y qué significa?

La mayor parte de las potencias militares establecidas han comprendido hace tiempo el potencial de Internet como campo de batalla y muchos se han estado mojando los dedos en las aguas de la ciberguerra. El primer gusano informático utilizado para infectar servidores de Internet (en 1988) fue creado por un estudiante de posgrado de la Universidad Cornell, cuyo padre era, casualmente, jefe científico del Centro Nacional de Seguridad Informática de la Agencia Nacional de Seguridad de EE.UU.

Las reacciones a ese gusano engendraron la industria de la seguridad informática como la conocemos en la actualidad, la que por su parte engendró lo que se comienza a conocer como complejo digital militar.

El incidente del mes de febrero entre el subcontratista de la defensa de EE.UU. HBGary y Anonymous ofreció a la gente un vistazo a ese mundo y abrió los ojos de muchos a los millones de dólares que se invierten en investigación de la seguridad informática. Lo que muchos sospechaban (y pocos sabían) salió a la luz para que todos lo vieran. Se estaban haciendo inmensas inversiones en Exploits & Rootkits, componentes esenciales de toda ciberguerra que se respete.

Vale la pena mencionar dos incidentes (separados por unos meses).

Stuxnet

En julio de 2010, un gusano fue descubierto por una compañía bielorrusa con algunas cargas útiles interesantes.

Cuanto más se examinaba el gusano (apodado Stuxnet) más interesante parecía. Hoy sabemos que Stuxnet se creó para atacar sistemas SCADA relacionados con centrífugas de gas. El gusano contenía múltiples vectores de ataque que anteriormente se desconocían y que de algunas maneras eran técnicamente sublimes.

Finalmente atacó reactores nucleares iraníes, y algunos expertos afirman que el gusano retrasó el programa nuclear iraní hasta en dos años. Los cálculos del coste de crear el gusano varían fuertemente, pero incluso la cifra exagerada de varios millones de dólares es mucho más económica que el armamento tradicional que habría sido necesario para lograr el mismo resultado.

Tal vez nunca lleguemos a saber con seguridad si el gusano fue creado por Israel o por EE.UU. como cree la mayoría de los expertos, pero sabemos que fue efectivo, y eso dejó claro que los ataques en el ciberespacio tienen efectos en el mundo real.

Hack Comodo

En marzo de este año se hackeó a una autoridad de certificación de Secure Sockets Layer (SSL) llamada Comodo. Para entender todas las repercusiones del hack, hay que dar un paso atrás para una comprensión (muy) básica de “SSL”.

Cuando se visita un sitio en la web a través de SSL (como lo evidencia en su navegador el familiar candado) su navegador en la red y el sitio en la web encriptan todo el tráfico entre ellos. Así se sabe, cuando se hacen operaciones bancarias por Internet (o al leer el correo), que nadie a lo largo del camino está observando ese tráfico.

Para que el navegador y el sitio en la web establezcan ese túnel encriptado, necesitan un intermediario de confianza que pueda (criptográficamente) avalar al servidor. Vuestro navegador en la web contiene una lista de esos “intermediarios de confianza” y podéis ver el candado de confianza porque un intermediario de confianza ha avalado el sitio.

Comodo era uno de esos intermediarios de confianza. Después de hackearlo, el atacante pudo generar varios certificados falsos. Le permitieron establecer sitios falsos en la web y que fueran avalados. Uno pensaba que estaba hablando con la banca por Internet (o Gmail) y el navegador mostraría con mucho gusto el candado, pero toda la comunicación podría estar comprometida.

Los atacantes crearon certificados falsos (para avalar) mail.google.com, login.skype.com y login.live.com (entre otros) pero una vez que tuvieron la capacidad de crear certificados, podrían haberlos generado para cualquier sitio que desearan. Eso podría posibilitar la interceptación masiva del tráfico y poca gente sabría que está sucediendo.

Comodo rastreó el ataque a Irán y afirmó que era un ataque auspiciado por el Estado. Los medios se lo tragaron todo (Irán ataca a Gmail y Skype con hack de SSL falsos).

Unos días después, sin embargo, el verdadero atacante se presentó al público. En una declaración en línea, demostró que era el verdadero atacante, explicó sus motivos y señaló su edad: “Debería mencionar que tengo 21 años… Cuando EE.UU. e Israel crean Stuxnet, nadie habla de eso, no se culpa a nadie, no pasa nada… Yo digo que, cuando firme certificados nada debería pasar (sic).”

Hemos visto la misma película antes: hackers jóvenes, talentosos, que son capaces de lograr resultados con suficiente impacto para que la gente atribuya sus acciones a un Estado-nación. Al final, todo ese poder estaba en las manos de un hacker de 21 años con una ideología. Como en el caso de HBGary contra Anonymous, recibimos un fuerte recordatorio de nuestro estado de vulnerabilidad y del problema de la asimetría.

La simple verdad es que es difícil controlar el ciberespacio y casi imposible protegerlo (con la actual tecnología). Hay demasiadas piezas en movimiento y la tecnología defensiva todavía no se pone a la altura de los ataques.

Stuxnet es probablemente el producto de malware más analizado del mundo, y todavía no podemos decir categóricamente quién lo creó. La dificultad que existe al atribuirlo significa que la amenaza de lanzar “un misil por vuestra chimenea” es disparatada en el mejor de los casos, o irresponsable en el peor.

Ahora vemos una creciente carrera para crear capacidades cibernéticas y aunque la cibernética parece que es la nueva carrera armamentista, existe una importante diferencia.

Las proezas se pueden desarrollar en privado sin que haya las nubes en forma de hongo o dobles rayos de luz que delatan los ensayos nucleares. Es posible crear capacidades y refinarlas por fracciones del coste, y más importante aún: No hay ningún indicio de destrucción mutuamente asegurada (MAD, por sus siglas en inglés).

La MAD mantuvo fría la guerra fría, ya que ambos lados temían la reacción a un primer lanzamiento. Eso no tiene ningún paralelo cibernético y la posibilidad de operaciones de bandera falsa (o que ataques de apariencia aún más compleja puedan haber sido perpetrados por jóvenes idealistas) significa que simplemente no estamos listos para considerar represalias militares.

Luego, claro está, tenemos que ponderar ¿quién sería exactamente el más vulnerable en términos de ciberataques? La respuesta es obviamente: el que está más conectado. La pérdida de acceso a Internet por un día significaría mucho más para Wall Street que para Irán (que bloqueó el acceso a Internet en el pasado).

Enviar Stuxnet podrá haber parecido una buena idea, pero ya que todos son vulnerables (y algunos son más vulnerables que otros) es posiblemente un camino que más vale evitar. Cuando se trata del ciberespacio, el mundo conectado vive en una casa de cristal, y todos sabemos que el que tiene tejado de vidrio no debería lanzar piedras.

Haroon Meer es fundador de Thinkst Applied Research. Se le encuentra en twitter como @haroonmeer o en su blog en http://blog.thinkst.com/

Fuente: http://english.aljazeera.net/indepth/opinion/2011/06/20116673330569900.html

Traducido del inglés para Rebelión por Germán Leyens

rCR

Te gusto, quieres compartir