Cuando no nos habíamos recuperado del problema de Estonia con Rusia, con aquellos ciberataques que provocaron la intervención de expertos de la OTAN, parece que el problema de los ciberataques chinos va en aumento y por desgracia, está afectando a sistemas muy sensibles.
Es de todos conocido que China es fuente de malware de todo tipo, en especial troyanos y también origen de ataques de phishing, cuyas víctimas preferentes suelen ser bancos españoles (pensarán que somos más fáciles de engañar), pero ahora se habla de ciberataques con origen gubernamental y de alta sofisticación tecnológica. Incluso hay sospechas de que la reciente contaminación de discos duros fabricados en China mediante troyanos, tuviera algo que ver con todo este feo asunto...
Ya alertaron los expertos sobre la adquisición de capacidades de guerra cibernética por parte de las unidades del Ejército de Liberación del Pueblo, pero equivocaron el posible objetivo de dichas capacidades. En lugar de atacar Taiwan, foco de conflicto regional con China, los ataques se han dirigido a Alemania, Nueva Zelanda, India, Francia, Reino Unido y Estados Unidos. Los objetivos de estos ataques han sido variados, desde empresas tecnológicas, o relacionadas con materias primas y energía, a sistemas gubernamentales relacionados con defensa o la energía. Nos podemos hacer una mejor idea de todo lo anterior, mediante este interesante informe de McAfee. En ocasiones, el posible éxito de los ataques ha obligado a la desconexión de ordenadores de la Red, como ocurrió el pasado mes de junio, con la desconexión de 1.500 ordenadores del Departamento de Defensa de los Estados Unidos.
Tal es la preocupación por los ciberataques y sus posibles consecuencias para los intereses nacionales, la seguridad o la economía, que los EEUU incluso se plantea la posibilidad de bombardear físicamente el origen de los mismos, si se da el caso. Mientras, parece que algunas demostraciones militares en el Pacífico van por ese camino, con las consiguiente respuesta por parte de China. El pesimismo es tal, que se está hablando de una nueva “ciberguerra fría”, con opiniones para todos los gustos. No deja de ser curioso que cuando alguien roba las contraseñas de las embajadas sea China una de las naciones que pone el grito en el cielo.
Pero hay un toque de atención procedente de analistas de la OTAN que me preocupa y mucho:
Muchas oficinas estatales ni siquiera saben aún que tienen filtraciones de información. Probablemente, no se conoce todavía el 99% de los casos. Los atacantes utilizan troyanos dirigidos a oficinas estatales concretas. Como éstos se han creado a la medida, la detección de firmas no puede identificarlos y engañan a las tecnologías de detección, por lo que el problema es grave. Los fabricantes de malware tienen capacidades de aseguramiento de calidad especializadas que aplican a todo su software malintencionado para asegurarse de que éste no sea detectado.
Recordemos que a diferencia de los virus, cuya carga de pago se acababa manifestando de un modo u otro, el objetivo del malware actual es que el usuario no se entere que lo tiene y obtener de él toda la información que se pueda, en especial, la que tiene valor económico o de inteligencia. Podemos hacernos otra pregunta ¿cuántas instituciones, empresas o usuarios están preparados para darse cuenta de que les han entrado hasta la cocina y les han robado hasta el papel de la mantequilla?.
Estos mismos analistas de la OTAN, también sostienen que el 90%-95% de las amenazas a los sistemas de información, pueden evitarse con herramientas ordinarias y buenas prácticas de TI, lo que yo pongo en duda en base a los resultados recientes. Aunque también es cierto, que estos expertos avisan de que los últimos ataques procedentes de China, han sido muy sofisticados y deberían llamar la atención de los gobiernos y de las principales empresas de todo el mundo.
Protegerse adecuadamente ante esta situación puede ser muy caro, extremadamente caro, e inútil en algunos casos. No hay que perder de vista, que gran parte del problema tiene como origen el actual monocultura informática que afecta a la sociedad, empresas e instituciones, como ya denunció en su momento Bruce Schneier. No debemos perder de vista tampoco, que nuevas tecnologías también abren nuevas vulnerabilidades, como bien descubrieron los estonios hace unos meses. Ellos tienen el e-dni antes que los españoles y lo usan para casi todo, hasta para las votaciones, pero sufrieron una denegación de servicio en sus instituciones y no lo pudieron usar. Pero como veremos más adelante, el e-dni, lejos de ser una forma de mejorar la seguridad, puede ser fuente de nuevos problemas, si firmamos lo que no debemos mediante engaño.
Lo más lamentable de todo lo anterior, es que a pesar de que estamos sobre aviso, todavía se produzcan accesos a sistemas de alta seguridad y en países altamente desarrollados tecnológicamente. Un caso reciente, que también atribuyen a China, ha afectado a instalaciones nucleares de los Estados Unidos. Esto me provoca cierto pesimismo sobre nuestra capacidad real a la hora de evitar ataques se este tipo. ¿No decían los expertos de la OTAN que bastaban las herramientas ordinarias y buenas prácticas de TI para evitar el 95% del los problemas?, parece que no, a la vista de los resultados. Nos miramos el ombligo y discutimos si el software propietario es mejor que el libre y viceversa y mientras, se los cuelan hasta la cocina gracias a un 95,6% de los sistemas que usan un mismo software propietario, eso sí, cuentan con todas las certificaciones y bendiciones de seguridad habidas y por haber. Dicho de otro modo, que tu airbag esté certificado, no evita que te mates con tu coche.
Pues señores algo falla y estoy con lo que dice Bruce Schneier, tenemos lo que nos merecemos. El problema es fruto de un monocultivo informático inasumible y de nuestra dependencia tecnológica, que se focaliza en determinadas empresas que son monopolios de facto. En este saco también entra algunas empresas de hardware de comunicaciones, cuyos fallos de seguridad están teniendo el mismo efecto negativo por su presencia global y su elevada cuota del mercado.
Mal nos podemos defender si una determinada vulnerabilidad afecta al 95,6% de los ordenadores instalados y para defendernos, hace falta software y hardware adicional en tiempo y en lugar, que siempre tendrá un elevado coste, por el impresionante factor de escala en el que nos movemos. Un euro por ordenador son muchos, pero que muchos euros, lo malo es que no es un euro por ordenador. La naturaleza es muy sabia y creo que no hubiera sobrevivido en la Tierra ninguna especie cuya presencia fuera el 95,6% de la población global y que fuera vulnerable a un determinado virus o bacteria, la extinción habría sido masiva a pesar del factor de seguridad que impone la reproducción sexual ¿no creen ustedes?. De hecho, las infecciones actuales se producen de forma masiva y afectan casi al 100% de los ordenadores a las que se dirigen, sin que se puedan defender por la elevada capacidad de infección, mutación y adaptación del malware de última generación. Eso es así, lo estamos viendo a diario, afectando incluso a sistemas de alta seguridad, sin que parezca que se pueda poner remedio al problema. Yo estoy convencido de que este problema no se soluciona mediante las recetas tradicionales de antivirus y cortafuegos, pero expertos hay que dicen lo contrario.
Si seguimos por el mismo camino, que ya vemos que no es bueno, puede que esta batalla esté perdida de antemano. Natalya Kaspersky, CEO de Kaspersky Lab, admite en unas declaraciones a la revista ComputerWorld, que no tienen soluciones para el ciberdelito:
Pensamos que era posible realizar antivirus y que eran una protección adecuada. Ya no es así." Además asegura que Kaspersky tiene "a 50 ingenieros analizando el nuevo malware y buscando formas de bloquearlo, pero con 200 nuevas muestras por día, y en aumento, el trabajo se hace arduo". "Ninguna compañía antivirus puede venir y decirte que puede manejarlo todo. Consideramos responsable hacerlo saber a la gente de forma clara.
Desde mi punto de vista, una forma de protegerse "naturalmente" sería aumentando la competencia en el mercado del software, evitando los monocultivos informáticos y generando una mayor diversificación en las plataformas mediante el fomento de las alternativas a todos los niveles. Tenemos que evitar el paso transparente del malware a través de todas los sistemas de una organización, que es lo que parece que no podemos evitar con los bálsamos de Fierabrás "tradicionales".
Pero como están las cosas, ese objetivo de diversificación tecnológica parece inviable y aunque les estamos viendo las orejas al lobo y en ocasiones, incluso estamos sintiendo sus terribles dentelladas en el trasero, todavía no percibo una voluntad clara y decidida para solucionar el problema, ni en las instituciones, ni en la sociedad, ni en las empresas.
También estoy convencido de que que hay que mejorar la cultura de seguridad a todos los niveles de la sociedad. Creo que la conferencia impartida durante el DISI 2007 por Sergio de los Santos, de Hispasec, sobre la Evolución del Malware [PDF], es más que esclarecedora y muestra el elevado nivel de conocimientos que es necesario tener, si no se quiere tener problemas. En el escenario presentado, bastaba hacer clic sobre un banner para ser infectado y de nada valían los certificados digitales, el e-dni, o las comunicaciones cifradas, el problema estaba a nivel de usuario y en su navegador, aterrador y desconocido por el gran público sin duda.
También nos debe abrir los ojos un informe del SANS Institute [PDF] sobre los 20 riesgos más importantes a la seguridad en Internet, "los usuarios que son fácilmente engañados y las aplicaciones creadas a medida”, se encuentran en los dos primeros puestos y se conforman de este modo, como los principales objetivos para los atacantes. Hispasec reconoció en un estudio reciente y a pesar de como están las cosas por el mundo, que "la seguridad no es una prioridad para los usuarios", o quizás, podemos decir que "la seguridad sigue sin ser una prioridad para los usuarios". Puede que esta postura de los usuarios sea el fruto no deseado de la cultura lanzada por algunas empresas de software, de que la "informática es apta para todo el mundo" y de que "todo es sencillo y automático", convirtiendo el "user friendly software" en "red hot chili suicidial challenge". Gracias a ello, los usuarios solamente se acuerdan de la seguridad de sus sistemas cuando les limpian la cuenta y desgraciadamente, estos afectados son cada día más numerosos.
Mientras, las noticias más o menos alarmantes sobre ciberataques se suceden en la prensa e Internet y las soluciones que nos vienen del poder legislativo, casi siempre pasan por el recorte de las libertades públicas y ejemplos de ello, los tenemos variados en los últimos tiempos, lo que evidentemente no soluciona el problema, e incluso, puede que empeore la situación
