¿Pero, estamos o no estamos en ciberguerra?

11/02/15
Publicat a: El Mundo

Es la palabra de moda. Alguien desde China roba información de ordenadores del gobierno norteamericano... ¡Zas! Es ciberguerra. Radicales islámicos asaltan la cuenta en Twitter de una agencia de noticias... ¡Zas! Es ciberguerra. Los países anglosajones, antes UKUSA, ahora Cinco Ojos, en resumen: EEUU, Canadá, Gran Bretaña, Australia y Nueva Zelanda, llevan años practicando la guerra electrónica. Ahora cada vez más contrincantes pueden enfrentárseles en este campo de batalla. Pero, ¿es eso ciberguerra o un simple saqueo de las herramientas inventadas por los hackers para aplicarlas a sus asuntos geopolíticos?

21 de agosto de 1995. La entonces poderosa revista norteamericana "Time" dedica su portada a un concepto llamado "Cyberwar" (Ciberguerra), en grandes letras. Pocos habían escuchado antes esta palabra excepto algunos aficionados a la guerra electrónica, nacida en la II Guerra Mundial y dedicada al control del espacio radioeléctrico. Entre ellos, militares de los servicios secretos y ejércitos de Aire, los más tecnológicos de la milicia. Los nuevos apóstoles dispuestos a vender sus libros, cursos y asesoramiento a contratistas del ejército mezclaban en 1995 dos términos: Infoguerra, como guerra de la información, y Ciberguerra.

El reportaje de "Time" se centraba de lleno en la novedosísima ciberguerra, aunque más repleto de imaginaciones que de realidades. Su única base real eran un par de videojuegos con los que algunos militares estadounidenses habían empezado a entrenarse, en escenarios virtuales donde aprendían a atacar y defender las redes informáticas. Entre frases apocalípticas de altos mandos y contratistas del ejército - "Nadie podrá oir los clics del enemigo en el ciberespacio", "Es la peste del siglo XXI", "Podremos parar una guerra antes de que empiece"- el reportaje describía los mundos simulados.

En la ciberguerra del videojuego de 1995, el país agresor infestaba de virus los ordenadores que controlaban las telecomunicaciones del país víctima. Los semáforos no funcionaban, se estrellaban trenes y aviones. Las listas informatizadas de la Seguridad Social se volvían locas y quien tenía un cáncer aparecía como sano. Un tipo de virus llamado "logic bombs" (hoy serían las puertas traseras y troyanos) durmiente hasta ahora en los ordenadores de los bancos, empezaban a comerse datos. Los cajeros no funcionaban. La bolsa se desplomaba. Las cuentas suizas de los máximos dirigentes se veían reducidas a cero en pocos clics de ratón.

Las emisoras de televisión se veían inundadas con mensajes de propaganda y desinformación. El correo electrónico era interceptado y usado en oscuras campañas psicológicas. Imágenes en vídeo de masacres "reales" de la guerra eran distribuidas en minutos al ciberespacio para manipular a la opinión publica. Proyecciones holográficas desorientaban a los soldados en el campo de batalla. Satélites espía fotografiaban el territorio y mandaban los datos al ordenador que programaba la trayectoria de misiles inteligentes. Bombas termonucleares estallaban a gran altitud y desprendían rayos X y Gamma que, sin dañar a las personas, inutilizaban circuitos electrónicos y desmagnetizaban discos duros de los ordenadores.

Veinte años después, ya no nos sorprenden estos escenarios, demasiado posiblemente reales. Quizá habría faltado en la imaginación del creador del videojuego algún "drone", alguna "botnet" y algún teléfono móvil. Y por el momento no sabemos nada de proyecciones holográficas en terreno de combate ni bombas termonucleares que hagan saltar por los aires nuestros discos duros.

Gobiernos borrachos de poder informático pero nada nuevo bajo el sol

"Estamos viendo un incremento de actos terroristas que ningún estado nación se atribuye. También ciberataques por parte de "vigilantes" contra grupos terroristas y otras causas, incluídas las políticas. Y ataques para hacerse ricos", afirma Pete Herzog, cofundador de la organización de seguridad ISECOM. Pero, destaca: "No veo que sea una cantidad exagerada de ataques, solo que ahora se están haciendo más públicos y salen en los medios". Herzog destaca, en cambio, lo poco que se ha avanzado en educación y creación de herramientas que defiendan a la población civil de estos ataques.

Porque haberlos, haylos: bajo nombres pomposos como Regin, Red October o TheFlame se esconden programas informáticos de toda la vida llamados "puertas traseras" o "virus troyanos", que al usarse para el espionaje electrónico contra grandes empresas y gobiernos se les ha confeccionado incluso un nuevo genérico: "Advanced Persistent Threat" (APT). En una especie de juego de camarote de los Hermanos Marx, no hay gobierno que no haya sido espiado por una APT (Rusia, Arabia Saudí, la Comisión Europea) o incluso se haya construído la suya propia.

Pero no hay gran innovación que digamos. Más complejidad sí, y TheFlame innovó al usar fraudulentamente certificados auténticos de Microsoft para ganarse la confianza de las máquinas que atacaba. Pero al final siguen siendo las viejas herramentas de los hackers, los viejos "keyloggers" (graban lo que tecleamos en el teclado, lo que vemos en pantalla, activan la webcam), el viejo "Back Orifice" (puerta trasera que permite la administración remota de un ordenador sin el conocimiento del propietario), los códigos maliciosos que convierten millones de ordenadores en esclavos, generando las "botnets", o los troyanos bancarios que se activan cuando visitamos nuestro banco y roban las credenciales que tecleamos.

Poca novedad bajo el sol, excepto que ahora no son El Pirata Barbaroja o Sid Vicious quienes están al mando de tales herramientas, sino países como China, Rusia, Estados Unidos, Israel, Europa, espiándose o atacándose según convenga. Las revelaciones de Edward Snowden han mostrado sin tapujos esta militarización de la red y que no todo era culpa de China, como llevaba años denunciando Estados Unidos, sino que precisamente EEUU y sus amigos se mueven en este terreno como líderes.

"Nuestra opinión es que no estamos viviendo una ciberguerra y muchos menos una guerra mundial", afirman desde el colectivo Areópago 21. Y siguen: "No creemos que haya un repunte del espionaje, ni siquiere del espionaje electrónico". Simplemente, dicen, "hoy la información se transmite por medios electrónicos y eso permite que los sistemas de interceptación seran más "productivos"". Por otra parte, la sensación del público es que pasan más cosas porque "se sabe más, pero esto tampoco es nuevo, sólo hay que recordar el Watergate donde Garganta Profunda reveló espionaje político a la prensa".

Herzog insiste: "Hay más ataques criminales, pero no ciberguerra". Chema García, del "think tank" THIBER, añade: "Era cuestión de tiempo que las organizaciones utilizasen las ventajas del ámbito digital para seguir realizando sus actividades. Sólo ha cambiado el medio pero siguen siendo los mismos actores". De todas formas, explica: "Sí existe una guerra que se libra en la red, la guerra para controlar la información, por conocer los hábitos, intimidades y secretos de los ciudadanos, empresas y gobiernos, en la que no se utilizan armas de fuego y es más bien una guerra como las financieras, no bélica".

En cuanto a la guerra bélica, desde Areópago no la ven tan lejos: "Puede haber ciberguerra en un futuro, por eso la OTAN hizo un manual con legislación en ese contexto y ya existen empresas de cíberarmamento, pero hasta ahora sólo han existido "agresiones" y no una escalada de violencia, y mucho menos una declaración formal de guerra". De todas formas, la sensación es que estas "agresiones" han ido subiendo de tono y saliendo a un escenario más público.

"No harás la ciberguerra"

Enero de 1999. Ocho destacados grupos hacker de todo el mundo hacen pública la "Declaración Conjunta contra la Ciberguerra". Son los españoles !Hispahack, los norteamericanos Phrack, 2600 y Cult of the Dead Cow (inventores por cierto del término "hacktivismo"), los alemanes Chaos Computer Club y los portugueses Toxyn y Pulhas. Condenan a otro grupo, LoU, que pide a la comunidad hacker que se una a la ciberguerra contra los gobiernos de Irak y China.

El manifiesto afirma: "Aunque estemos de acuerdo con LoU en que las atrocidades en China e Irak deben parar, no lo estamos con los métodos que quieren utilizar, que pueden ser muy contraproducentes. No se puede pedir legítimamente el libre acceso a la información de una nación, estropeando sus redes de datos. Si los hackers se ofrecen ellos mismos como armas, el hacking en general será visto como un acto de guerra".

Y aquí estamos, en 2015, en el camino totalmente contrario. Algunos de los mejores hackers del mundo trabajan creando APTs e introduciéndolas allí donde se les manda. Según fuentes de la seguridad informática española, los servicios secretos podrían estar pagando 80.000 euros anuales a un programador por trabajos muy concretos. Incluso los hacktivistas, que atacaban sitios por ideología política y sin ánimo de lucro, ahora trabajan para gobiernos, como los Syrian Electronic Army (SEA), leales al presidente de Siria. Es el nuevo hacktivismo político militar. Hacktivismo de estado.

Estado Islámico, con el nombre CiberCalifato, se unía a principios de 2015 a este tipo de fiesta, asaltando las cuentas en Twitter y Youtube de la división del ejército norteamericano dedicada a Asia Central y Oriente Medio. Envalentonados por el ridículo mundial que hicieron pasar a sus enemigos, decidieron emular al SEA cuando en abril de 2013 se hizo con el control del Twitter de la agencia Associated Press y publicó allí la falsa noticia de la explosión de una bomba en la Casa Blanca que había herido al presidente, lo que hundió la bolsa.

Para ello, CiberCalifato asaltó las cuentas en Twitter del "New York Post" y la agencia de noticias United Press International. En ambas publicó diversas noticias falsas, siendo la más inquietante la que publicó en el sitio de UPI: Una foto del Pontífice de la Iglesia Católica acompañada del texto: "Papa: "La III Guerra Mundial ha empezado"".

¿Es así? ¿Estamos en la III Guerra Mundial y es una ciberguerra? Las intromisiones en sistemas informáticos gubernamentales, los bombardeos, el código espía, el hacktivismo "poli-mili" son sólo la punta de un iceberg que crece exponencialmente y al que sólo faltó, en 2010, la aparición de Stuxnet, por fin un arma de ciberguerra: un virus del tipo gusano, el primero conocido que no sólo espía sino que también puede reprogramar los sistemas informáticos industriales en los que se infiltra. Concretamente, Stuxnet era un arma contra las centrales nucleares de Iran, creada por Estados Unidos e Israel.

Y junto a esta grave amenaza para las infraestructuras críticas, están los cada vez más presentes y brutales ataques a grandes corporaciones, cuya autoría se aleja del simple ladrón. Son multinacionales atacadas por países, según mantiene el presidente de Estados Unidos, Barack Obama, convencido de que el gran hack contra Sony vino de Corea del Norte. O de que el robo de credenciales de 76 millones de clientes de JPMorgan Chase, en verano de 2014, fue cosa del presiente ruso. O, hace quince días, que el robo de datos de 80 millones de asegurados en Anthem fue "made in China".

"Aunque seguimos viviendo "guerras entre religiones" y "guerras por dominar territorio", cada vez se producen más "guerras para dominar mercado", guerras comerciales", afirma Manuel Medina, director científico de APWG y esCERT-inLab-UPC y asesor de varias organizaciones. La opinión de Medina es clara: "Estamos viviendo los preparativos, el posicionamiento estratégico y táctico de los ciber-ejércitos. Lo que se publica en los diarios no deja de ser el equivalente a las "pruebas nucleares" de los años '40 y '50. Están intentando determinar el alcance y la capacidad destructiva de las ciber-armas".

"Fase 3 activada. No la líe Mortadelo"

Esto no va en broma y así lo muestran los documentos que sigue desvelando Edward Snowden sobre todo tipo de estrategias, escaramuzas y herramientas de la National Security Agency, con una actitud más ofensiva que defensiva, dedicadas a conseguir el poder absoluto en el ciberespacio. Así lo explica un reciente artículo publicado en "Der Spiegel" y firmado por activistas de la talla de Andy Müller-Maguhn o Laura Poitras.

Según este artículo, la NSA estaría preparándose para una futura guerra digital y reclutando a gente capaz de "introducirse en los ordenadores de terceros y destruirlos remotamente, así como "routers", servidores" y dispositivos de redes". La gran estructura de espionaje creada por la agencia secreta sería sólo la fase 0 de una estrategia que habría permitido la detección de vulnerabilidades en sistemas enemigos (Fase 1) y la introducción de puertas traseras y troyanos a través de ellas (Fase 2).

Ahora, con los sistemas enemigos bajo el control permanente y remoto de la NSA, el plan para dominar el mundo pasaría a la Fase 3: las infraestructuras críticas, léase electricidad, centrales nucleares, agua, tráfico, aviones... y su control y capacidad de destrucción. Básicamente, si nuestros lectores no se han perdido, es exactamente el argumento que proponía el videojuego de ciberguerra de 1995.

Manuel Medina no se lo toma para nada a broma: "Algunos gobiernos, como los Estados Unidos, ya han pedido a los proveedores de servicios críticos que estén preparados para un ataque cibernético. Y la Unión Europea está intentando recopilar información sobre todos estos "pequeños ataques", para evaluar la evolución del riesgo cibernético". Los ejércitos de la OTAN, incluído el español, llevan años organizando juegos de simulación de este tipo de ataques, que si en 1995 pintaban lo que hoy está pasando no queremos saber qué deben estar pintando hoy.

Preocupa, y mucho, la seguridad de las infraestructuras críticas, explica Medina: "España creó el año pasado el Instituto de Ciberseguridad con competencias de coordinación de la respuesta a incidentes de ciberseguridad industrial. ENISA, la agencia de la Unión Europea por la seguridad de la información y la red, lleva 5 años organizando ejercicios internacionales, simulando ataques a infraestructuras críticas y preparando a los equipos de respuesta y a los suministradores para responder de la forma más eficiente posible, para minimizar el alcance del ataque", afirma.

Aún así, no se hace lo suficiente, según Chema García, de THIBER: "La pregunta a plantearse es si España está desarrollando sus cibercapacidades atendiendo a la realidad geopolítica que le atañe, y no parece que se hayan terminado de entender totalmente las implicaciones del ciberespacio, siendo nuestro horizonte de acción más reactivo que prospectivo, lo que lastra nuestra preparación a medio y largo plazo".

No será porque no se haya hecho propaganda de la dichosa ciberguerra. Desde Areópago ven necesaria este "histeria": "Es más fácil que den fondos a ciertos sectores de los gobiernos que son necesarios, y también es más fácil que el país y sus empresas se protejan, si invertimos un poco en miedo. Esta histeria permite que en otros países -el nuestro no- se promueva en investigación y tecnología propia".

Pero, ¿tan mal está la cosa? Manuel Medina, persona usualmente ponderada, no lo es con esto: "Cuando estalle la III Guerra Mundial Digital, no tendremos refugios "antiaéreos" donde protegernos. No se caerán las casas ni los puentes por las bombas, pero no tendremos energía, ni trasportes, y posiblemente tampoco alimentos porque los suministradores no serán capaces de producir o distribuir, como ya se demostró con el ciberataque en 2012 a la petrolera Aramco".

Es más, sigue Medina: "Es evidente que los ejércitos y las policías no tienen capacidad suficiente para defender a los ciudadanos de un ciber-ataque. Por eso quieren que directivos y trabajadores de empresas, y sobre todo las administraciones públicas y proveedores de servicios críticos, tomen conciencia del peligro e inviertan lo más rápidamente posible en protegerse. Deben aprender a coordinarse entre ellos, con la ayuda de las organizaciones gubernamentales. Es como la protección contra incendios, las empresas deben tener sus propios sistemas de prevención y extinción, sobre todo las de alto riesgo".

Y es que cuando el monopolio de la seguridad en la red estaba bajo el control de la comunidad hacker, esta tenía una ética propia que ayudaba a que las cosas no se fuesen de madre. "Yo podría destruir Internet -decían los hackers más buenos- pero después ¿con qué jugaría?". Hoy las herramientas que esos hackers inventaron se llaman armas y están en manos de gente sin ética para la que Internet no es un juego, ni siquiera un bello lugar donde vivir, sino un nuevo, reluciente y maravilloso campo de batalla.


CÓMO SE GANA UNA GUERRA DOMINANDO LA RED

M.M. Mediados de noviembre de 2013. Abu Mohamad (nombre ficticio) forma parte de un pequeño ejército de diez unidades, opositores sirios, decididos a cambiar el sistema de su país. Cuentan para ello con la ayuda de la informática e Internet, que les ayudan a comunicarse, organizarse, recabar información para sus acciones de guerrilla, decidir objetivos... La calidad de Internet en Siria deja bastante que desear, así que los disidentes usan conexiones vía satélite, que comparten para abaratar costes.

Son días de gran actividad para Mohamad, que vive aislado de su familia y amigos para no ponerlos en peligro. Pero al frenesí del día le sigue la soledad de la noche, las emociones reprimidas, el miedo, tan humano también para un soldado. Y es de noche cuando alguien le llama vía Skype, una mujer que se disculpa azorada, se ha equivocado. ¿No es él Mohamad Abu Ahmad de Líbano? ¿Ah, no? Casi sin querer se inicia una conversación donde la mujer se muestra muy atenta y, sutilmente, fluye hacia un territorio cada vez más erótico, hasta que él le pida o ella le ofrezca su foto.

Según los investigadores de la empresa de seguridad informática Fire Eye, la conversación podría haber discurrido así:

Ella: - ¿Tienes Skype abierto en tu móvil o tu ordenador? Él: - Ambos. ¿Cuántos años tienes? Ella: - 25. ¿Y tú? Él: - ¿Cuándo cumples años? Ella: -10-3-88 Él: -Jajajaj. Yo, 10-3-89. Ella: - ¡Qué feliz coincidencia! Te mando mi foto. Él: - Me vuelves loco.

La coincidencia en el cumpleaños no ha sido más que otra ardid para crear empatía con Mohamad. Cuando el joven abre la foto, se instala un virus troyano en su ordenador que grabará todo lo que está almacenado, todo lo que se introduzca a partir de ahora y todas las comunicaciones y las mandará a los mercenarios informáticos que trabajan para el presidente sirio Bashar Hafez al-Asad. El interés de la "chica" en saber si Mohamad estaba en un ordenador o un móvil era para dilucidar qué tipo de virus debía mandarle.

Una variante del engaño puede ser conectar con la víctima vía chat, en Facebook. Para generar mayor confianza, la mujer puede declararse también opositora y recomendar al joven una página web supuestamente pro-oposición, creada por los mercenarios. La página, así como el perfil en Facebook de la chica, son trampas mortales, llenas de enlaces a documentos y fotos infectados. En la web pro-oposición hay una sección para hablar por webcam con diversas mujeres, previa descarga de un programa especial que, al instalarse en el ordenador del opositor, instala un troyano.

Según los investigadores de Fire Eye, de esta forma se habrían robado cientos de documentos de la oposición y se habrían grabado más de 30.000 conversaciones en Skype, entre mayo y diciembre de 2013, donde se discutían planes y logística para ataques contra las fuerzas de Asad. Cuando se conseguía asaltar el Skype o Facebook de un opositor, se conseguía además un "bonus": la lista de sus contactos, muy posiblemente en la oposición.

Fueron espiados también de esta forma periodistas y personal de ayuda humanitaria. La información conseguida fue valiosísima, desde nombres, fechas de cumpleaños y armas de cientos de personas que luchaban en la oposición, detalles sobre sus planes, discusiones de estrategia política, alianzas, agentes dobles, identificación y localización de refugiados.

El uso compartido de ordendadores por parte de los opositores ayudó a los mercenarios, explica Fire Eye: "Al ser tan caro el ancho de banda y limitadas la electricidad y el tiempo de uso de los equipos, más la necesidad de operar vía satélite desde una localización fija, los miembros de la oposición en Siria suelen compartir conexiones y ordenadores localizados en sitios como centros de medios locales o salas de operaciones. Como resultado, un mercenario que infectase exitosamente a una persona en un dispositivo compartido podía robar fácilmente bases de datos de Skype y documentos de otros individuos de la organización".

Estas labores de espionaje se llevaron a cabo en tiempo real, mientras tenía lugar el conflicto entre el gobierno y la oposición, de forma que se proveía al gobierno de gran cantidad de inteligencia militar para su uso inmediato en la batalla, desde conversaciones donde se pedía un pasaporte falso para determinada persona, hasta otras más sensibles sobre qué misiles iba a recibir la oposición, cuál era el punto de entrega, con cuántos hombres armados contaba una unidad para una acción concreta, a qué hora se llevaría a cabo la misma y dónde.

No es esta la ciberguerra para la que lleva décadas entrenando la National Security Agency norteamericana, según relatan los documentos de Snowden. La de la NSA es la ciberguerra total y se libra íntegramente en el ciberespacio, mientras que lo ocurrido en Siria es el espionaje electrónico de toda la vida, ahora llamado "Advanced Persistent Threats". Eso sí: como puede comprobarse, funcionar, funciona.

ENLACES

ISECOM http://www.isecom.org/

Areópago 21 http://www.areopago21.org

THIBER http://www.thiber.org

Operaciones APT famosas http://www.areopago21.org/2014/04/operaciones-apt-famosas.html

The Digital Arms Race: NSA Preps America for Future Battle http://www.spiegel.de/international/world/new-snowden-docs-indicate-scope-of-nsa-preparations-for-cyber-battle-a-1013409.html

Hacktivist Group Anonymous (#OpISIS) Takes Down Islamic State (ISIS) Social Media Accounts http://thehackernews.com/2015/02/anonymous-isis-cyber-attack.html

Behind the Syrian Conflict’s Digital Frontlines https://www.fireeye.com/blog/threat-research/2015/02/behind_the_syrianco.html



Mercè Molist