Que (sobre)vivimos instalados en una ciberguerra global permanente es una evidencia desde hace mucho tiempo. En el mundo físico resultaría impensable que un grupo de informáticos chinos forzase la cerradura y abordase los sistemas de gestión de equipajes de un aeropuerto de Estados Unidos o el circuito eléctrico de una de las principales plantas industriales de Francia, pero en el mundo virtual se intenta y se repele algo similar cada día a gran escala. En todas direcciones.
La cosa no va a más porque, como me explicaba recientemente el CEO de S2 Grupo, José Miguel Rosell, la pelea entre los hackers y los sistemas de defensa se asemeja más todavía a la Primera Guerra Mundial, al combate cuerpo a cuerpo bayoneta en ristre, que a Star Wars. La vulnerabilidad responde más al vicio de no vigilar el perímetro que a la destreza del asaltante. De hecho, si nos dejamos llevar por los precarios sistemas legales actuales, incapaces de resolver no ya algo tan primario como la atribución del delito, sino incluso su procedencia, la analogía más apropiada sería la del Lejano Oeste.
El fenómeno ha entrado en una fase nueva. Desde la invasión de Ucrania ordenada por Vladímir Putin, asistimos por primera vez casi en directo a la convivencia a nivel masivo de la ciberguerra virtual con la guerra convencional ‘real’. Testimonios como los del analista e investigador Jeffrey Carr, en conversación con el equipo de hackers del GURMO (Dirección General de Inteligencia del Ministerio de Defensa de Ucrania), permiten vislumbrar, pese a las dificultades para contrastar la información en fuentes alternativas, el uso que se puede obtener de los ciberataques en coordinación con una acción militar digamos… ‘sobre el terreno’.
El ejército ruso inoculó grupos de sabotaje en Ucrania cuya misión era cortar el suministro eléctrico y las comunicaciones en las primeras 24 horas de la invasión con el objetivo de provocar el pánico. Para distraer a los defensores de Zelenski, la orden habría sido provocar también actos de incendio y saqueo, a los que seguirían ataques cibernéticos masivos contra la Oficina del presidente, el Estado Mayor, el Gabinete y el Parlamento y la caída del proveedor de señal por satélite ViaSat.
En respuesta a esa ofensiva, los ciberagentes de GURMO habrían obtenido éxitos como el hackeo de los datos personales y las tarjetas de crédito de la Unidad Militar rusa 6762, de los servidores de la flota del Mar Negro, de ROSATOM, de la unidad de operaciones especiales 607 del FSB (la agencia de espías de élite), del chief missile officer del Ministerio de Defensa de Rusia, de la Agencia Federal de Transporte Aéreo, los planos de la planta de energía nuclear de Beloyarsk (los únicos reactores rápidos comerciales del mundo, una tecnología que domina Rusia y ansía el resto del planeta), o los planes para instalar una base automatizada en la Luna (Luna-Gob) y del proyecto EXOMars.
Rik Ferguson, vicepresidente de la compañía de ciberseguridad Trend Micro, me advirtió en Londres de que el internet de las cosas y la mayoría de los dispositivos digitales se estaban creando sin tener en cuenta los ciberataques. “Tenemos un historial terrible diseñando cosas de forma insegura”, me dijo, quizás la más famosa de ellas el propio internet. Rosell sostiene que la ausencia del principio secure by design sigue existiendo en el caso de la industria 4.0 y el hardware del metaverso. También los aparatos de guerra están demostrando, en su momento culminante, un alto grado de vulnerabilidad.
En el laboratorio de S2 Grupo están acostumbrados, por ejemplo, a hackear coches. No es ningún misterio: el vehículo conectado usa entre 20 y 50 microprocesadores y su PLC es sencilla. En realidad, los ingenieros de Rosell lo hacen para ejercitarse en el control de clases de dispositivos. Porque lo interesante, el futuro, es atacar sistemas enteros. Será entonces cuando le llegue la hora a ciudades, infraestructuras o grupos completos de coches autónomos.
La guerra de Ucrania probablemente está dando la medida real de la ciberguerra como arma, aunque por el momento sirva más para alimentar la propaganda que para frenar tanques. Sin duda, todos los países estarán tomando lecciones sobre el terreno. La más importante, quizás, sea esta: ¿cómo sentirnos seguros si ni siquiera el propio Ejército se ha configurado ‘secure by design’?