Los laboratorios de la nueva ciberguerra

WannaCry, NotPetya y los virus de ese tipo que estén por venir no han sido creados para conseguir dinero. Esos artefactos que infectan ordenadores, secuestran datos, piden rescates y asustan a Gobiernos, grandes corporaciones y humildes usuarios de Windows que temen por sus fotos y sus historiales de navegación, no son más que un entrenamiento. Ejercicios de práctica con los que los hackers demuestran su fuerza y sofistican las técnicas que van a necesitar, mañana, pasado mañana o esta misma tarde, en la siempre nueva ciberguerra. No todo va a ser envenenar a espías...

Ya no hablamos sólo de grupos de cerebritos del código que aspiran a crear el caos o de ciberdelincuentes de diverso pelaje, sino del terrorismo cibernético que está ampliando sus dominios fuera de la propaganda en redes sociales y, sobre todo, de los batallones de cibersoldados con los que las grandes potencias pugnan por la hegemonía mundial. Por eso, todas las miradas señalaron a Rusia en cuanto fue posible contar las "víctimas" de NotPetya y el balance reveló que la mayor parte de ellas estaban en Ucrania.

Ucrania sangra desde 2014 por la herida de una guerra que enfrenta a milicias independentistas prorrusas con los soldados del gobierno ucraniano. El conflicto, un incendio con sucesivos altos el fuego y reavivamientos, le ha costado a Rusia la reprobación internacional y un amplio catálogo de sanciones, pero el coste está siendo mucho mayor para Ucrania: más de 30.000 muertos y heridos, el destrozo de infraestructuras y la caída por la pendiente de los Estados fallidos.

Ensayar sobre los débiles

Grandes empresas europeas como Renault, Maersk o Merck o una web oficial como la de la sanidad británica pueden caer, y de hecho lo han hecho en los últimos ataques. Pero cuentan con un protocolo de defensa digital más o menos robusto. Han dejado de ser tan asequibles como primeros objetivos de guerra porque hacerlos caer requiere ahora de una mayor planificación y una mayor capacidad de ataque. Esto no significa que hayan dejado de ser objetivos prioritarios, sino que sólo serán asaltados cuando "las armas" necesarias para hacerlo hayan sido probadas y perfeccionadas en escenarios más asequibles, como los países en desarrollo.

"Durante años", como explica a The New York Times Allan Liska, experto en ciberseguridad de la empresa Recorded Future, "Taiwan y Corea del Sur han sido el campo de pruebas de los grupos más avanzados de hackers estadounidenses". Pero son sólo dos casos: la actividad de malware de todo tipo se está incrementando cada día, según los expertos, en escenarios que hasta ahora habían permanecido al margen de la guerra cibernética: India, África y Oriente Medio. Son lugares a los que la digitalización ha llegado hace poco y en los que el uso de internet se está expandiendo. La velocidad con la que lo hace provoca considerables agujeros de seguridad.

En todos ellos, el patrón de actuación de los hackers es el mismo: "Prueban algo, lo mejoran y, seis semanas después, vuelven a lanzar una prueba antes de atacar a sus verdaderos objetivos", explica Liska. ¿Formaban parte WannaCry y NotPetya de este patrón de experimentación? El período de tiempo transcurrido entre el brote de uno y el otro fue de exactamente seis semanas.

El primero provocó más de 300.000 infecciones en 150 países de todo el mundo y mostró que los hackers pueden detener servicios como las bases de datos de los sistemas de salud de Reino Unido o, en el caso de España, afectar a los servicios de grandes empresas como Telefónica o BBVA. El segundo, mucho más concreto, inutilizó las redes de servicios que los bancos ofrecen a sus clientes y afectó a infraestructuras clave, como aeropuertos o centrales energéticas.

Ucrania como laboratorio

Ucrania no está, según el baremo de desarrollo de los países, en la misma lista que India u Oriente Medio, pero su cercanía a Rusia y la guerra abierta la desplazan a esa categoría si hablamos de ciberguerra. En 2013, el general Valery Gerásimov, jefe absoluto del inmenso ejército ruso, formuló en un artículo académico una doctrina que lleva su apellido y que ha cambiado la manera de entender la guerra. En aquel texto aseguraba que las fronteras entre guerra y paz cada vez son más confusas y que las formas tradicionales de guerra iban a ser desplazadas por nuevas tácticas mucho más propias de la "guerrilla geoestratégica".

Crimea, intervenida militarmente por Rusia e incorporada a la Federación en 2014, es el gran ejemplo de aplicación de la doctrina Gerásimov. Pero no es el único. La creación de los batallones cibernéticos del ejército ruso es otro ejemplo de esta nueva guerra no-lineal. Los soldados virtuales de Rusia han sido reclutados con las más diversas tácticas, desde anuncios en redes sociales para captar a estudiantes recién licenciados a fichar hackers en las amplias redes de la ciberdelincuencia rusa.

El otro gran ejemplo es Ucrania. La intervención rusa sobre el terreno ucraniano se ha visto acompañada de una "guerra total" en la red. Infiltraciones, borrado y robo de datos, destrucción de sistemas y paralización de las funciones básicas de diversas organizaciones... Ataques de todo tipo y en todos los sectores: medios de comunicación, finanzas, transportes, energía, ejército, política. Tal y como dice Keneth Geers especialista en ciberseguridad de la OTAN a Wired, "no hay un sólo lugar en Ucrania donde no haya habido un ataque" en los últimos tres años.

Según Thomas Rid, especialista en Estudios de Guerra del King's College de Londres, "Rusia está llevando cada vez más lejos los límites de sus capacidades técnicas". A su juicio, el Kremlin intervino en las elecciones ucranianas y no pasó nada; por eso, lo intentó después en los comicios de Alemania, Francia y Estados Unidos. "Están probando las líneas rojas, hasta dónde pueden llegar. Tú empujas y ves si algo te detiene. Si no hay nada que te pare, das el siguiente paso", explica el académico.

Ahora, ni siquiera una estructura tan aparentemente sólida como la de Facebook parece segura. El escándalo de la brecha de datos de 50 millones de sus usuarios abierta por Cambridge Analytica, muestran la debilidad de los sistemas de protección de datos. Pero la ciberguerra irá adquiriendo un rostro más "físico", o más destructivo, que el de el robo de información.

Destruir con código, cada vez más fácil

La extensión del uso de los teléfonos móviles y el impacto de los últimos ataques ransomware han abierto paso a una evidencia: el mundo digital y el físico están convergiendo a una enorme velocidad y pronto serán prácticamente indistinguibles. Lo que eso tiene de bueno para la vida de los ciudadanos también es una oportunidad, en el contexto de la lucha por la soberanía, para acceder a objetivos sensibles y destruirlos. Destruirlos en el sentido estricto de la palabra.

Lo que se adivina en la ofensiva digital sobre Ucrania es la importancia creciente de los ataques destinados a hacer inservibles infraestructuras básicas o críticas. Son los más difíciles y por eso es preciso tanto entrenamiento previo. Hasta el momento, el más potente que se conoce es el gusano Stuxnet, fechado en 2009 y cuya autoría se atribuye a los servicios de inteligencia estadounidense. Fue el primer artefacto de código capaz de reprogramar sistemas industriales y se piensa que sirvió para acelerar algo más de un centenar de centrifugadoras nucleares iraníes hasta que se destruyeron a sí mismas.

Las centrales eléctricas ucranianas han sufrido diversos ataques durante los últimos meses, cada vez más potentes, hasta el punto de dejar sin luz a una ciudad de 250.000 habitantes. Durante la infección de NotPetya, una de las principales plantas energéticas del país se vio afectada, así como un aeropuerto y otros sistemas de control gubernamentales. El continuo prueba-error de los hackers hace que un nuevo Stuxnet esté cada vez más cerca. Puede que ya está aquí: algunos miran a Industroyer como su sucesor.

El Instituto Nacional de Ciberseguridad de España (INCIBE) considera aún "poco probable" un accidente industrial causado por sabotaje digital, pero reconoce esa posibilidad como una de las principales preocupaciones de la ciberseguridad a corto y medio plazo. En uno de sus últimos informes, el Centro Criptológico Nacional (CCN) apunta que "mientras que las infraestructuras críticas y los sistemas de fabricación continúen conectados a Internet, a menudo con poca o ninguna protección, estos objetivos siguen estimulando el apetito de los atacantes".

En cuanto un Estado tenga en sus manos una herramienta capaz de dañar la infraestructura de sus enemigos, será cuestión de tiempo que ese código acabe, por ejemplo, en las manos del ciberyihadismo. La actividad de estos grupos se ha limitado hasta ahora a la desfiguración de páginas, a pequeños ataques DDoS y a la propaganda en redes sociales, pero el CCN advierte de que la tendencia está cambiando: "Los grupos yihadistas disponen de los medios económicos para perpetrar ciberataques a mayor escala. La capacidad tecnológica y los conocimientos precisos siguen siendo, sin embargo, sus puntos débiles, que están intentando solucionar contratando o atrayendo a la causa especialistas cuyo conocimiento pudiera permitirles la perpetración de ataques a mayor escala".

Por lo que pueda pasar, el Consejo Nacional de Ciberseguridad, reunido bajo la presidencia del director del Centro Nacional de Inteligencia (CNI), Félix Sanz Roldán, ha estudiado esta semana la conveniencia de elaborar una nueva Estrategia de Ciberseguridad Nacional, que actualice y sustituya a la de 2013.