El negocio de la extorsión en un mundo sin cortafuegos
La inteligencia estadounidense y el ejército israelí desarrollaron Stuxnet, el programa que podría lanzar una carrera armamentística
Stuxnet fue diseñado y ejecutado por la inteligencia estadounidense y el Ejército israelí en 2010 para sabotear de forma remota una planta de enriquecimiento de uranio a 180 kilómetros al sur de Teherán. Fue el primer ciberataque contra una infraestructura crítica, y tuvo éxito porque la planta usaba el estándar en sistemas de automatización industrial: Microsoft Windows y CLP de Siemens. Los atacantes pudieron encontrar vulnerabilidades, testarlas sin riesgo en su laboratorio y perfeccionar su estrategia antes de atacar. Una vez suelto, Stuxnet pudo propagarse y prosperar atacando cientos de sistemas idénticos en Irán y el resto del mundo. Todos los monocultivos degradan el sistema y comprometen su inmunidad, pero la falta de diversidad en el mercado del software es solo una de las muchas condiciones que han convertido el negocio de los rescates online en un lucrativo sector de baja inversión, poco riesgo y explosiva rentabilidad.
El imperio global de soluciones como Microsoft Exchange, Kaseya o SolarWinds ofrece un terreno uniforme para la propagación de los virus, que son “liberados” en busca de puntos débiles y siempre los encuentran. Son el sistema linfático de la red, un universo de trabajadores estresados, administradores remotos, ejecutivos irresponsables y drivers sin actualizar. Otro foco de infección es la galaxia de miles de millones de objetos presuntamente inteligentes diseñados por empresas sin presupuesto de seguridad. Después hay otros incentivos, que favorecen el crecimiento del crimen organizado.
Para empezar, se denuncia poco. A las multinacionales y grandes infraestructuras privadas les sale más rentable pagar un rescate que reconstruir el sistema y ocultan los ataques para proteger su reputación. La nobleza feudal del capitalismo prefiere quemar dinero que admitir debilidad. Segundo, la estructura descentralizada de las criptodivisas permite que se puedan mover grandes sumas de dinero sin burocracia ni alarmas, sin el riesgo de una intervención policial.
Tercero, no es fácil atribuir los delitos, por que se trata de un mercado altamente colaborativo de servicios para la extorsión online (Ransomware as a Service o RaaS). Los grupos como REvil o DarkSide no sólo venden su código para atacar y encriptar sistemas, sino también una infraestructura de comunicaciones segura para negociar el rescate y acceso a foros y medios de noticias para volcar los datos cuando la víctima no paga. Hay quien cobra por devolver el acceso al sistema y quien cobra por no compartir los datos con otros o volcarlos en la Red. Cuando hacen las dos cosas, se llama una doble extorsión.
Otro motivo es que los principales carteles operan en países cuyo gobierno hace la vista gorda, a condición de que no ataquen dentro de sus fronteras y estén disponibles para operaciones patrióticas. “Los hackers son espíritus libres, como artistas que se levantan una mañana de buenas y se ponen a pintar —explicaba Vladímir Putin en una rueda de prensa con medios internacionales en 2017—. Hay días que se levantan, leen las noticias y, si se sienten patrióticos, tratan de hacer la contribución que consideran justa contra los que maldicen a Rusia”. Por eso es tan difícil distinguir los ciberataques militares o estatales de los genuinamente pecuniarios, o atribuir el ataque a un grupo criminal que alquila sus servicios a cambio de un porcentaje del botín.
Finalmente, es habitual que un grupo utilice herramientas robadas a otro grupo, especialmente si trabaja para la inteligencia estadounidense, como el FBI o la NSA, y que luego las vuelque en la red para borrar sus huellas. Sea como sea, sin atribución no hay denuncia y, sin denuncia, no hay orden de registro ni investigación.
Kaspersky advirtió que Stuxnet sería el comienzo de una nueva carrera armamentística mundial y tenía razón. Pero no hace falta que un ataque sea tan sofisticado para conseguir su objetivo. Según un estudio de HP, solo el 20% de los ataques de la última década han utilizado herramientas a medida diseñadas por equipos de élite, tanto criminales como servicios de inteligencia. La mayor parte son ataques realizados por hackers inexpertos con programas de software que se puede comprar en la red. En otras palabras, el enemigo casi nunca es excepcional, pero nosotros somos excepcionalmente débiles. Necesitamos desarrollar inmunidad de grupo, y ese proyecto solo puede ser deliberado, colectivo y sistémico.
Marta Peirano es periodista. Es autora de ‘El enemigo conoce el sistema: Manipulación de ideas, personas e influencias después de la Economía de la atención” (Ed. Debate)
Suscríbete aquí a la newsletter semanal de Ideas.
