De ‘I love you’ a ‘Wannacry’

El 4 de Mayo del año 2000 se creó el virus I Love You, que infectó millones de ordenadores. Panda Security calcula que en España el 80% de las empresas se vieron afectadas de una u otra forma. Este virus utilizaba de reclamo una supuesta carta de amor que alguien remitía al receptor del mensaje para que éste abriera un archivo adjunto que contenía el citado virus a través del cual se accedía a información sensible del usuario realizando reenvíos de la misma. El mensaje que envuelve el virus tenía como asunto ILOVEYOU e incluía como archivo adjunto LOVE-LETTER-FOR-YOU.TXT.VBS, aunque también era posible recibir este virus vía IRC (el sistema de chat más utilizado de la época) con un archivo HTM. Con la perspectiva del tiempo transcurrido, muchos expertos afirman que fue un adelanto de cómo iban a ser en el futuro los problemas de seguridad.

Diecisiete años después, el virus Wannacry, técnicamente más sofisticado, utiliza la misma puerta de entrada a los sistemas. Al igual que el Petya propagado este miércoles. Se sospecha que utiliza la vulnerabilidad EternalBlue para codificar los archivos de los equipos que no instalaron la actualización de Windows que lanzó Microsoft.

Casi 20 años distancian ambos ataques, pero ambos se aprovecharon del eslabón más débil de la cadena: el usuario. Ninguno de estos virus podría haberse propagado sin que el factor humano entrara en juego. “Recuerda que el eslabón más débil eres tú”, nos avisa frecuentemente el mando conjunto de ciber defensa. Decía Alex Mayfield que siempre que algún ingeniero de software piensa: “nadie se complicaría tanto como para hacerlo”, hay algún chaval en Finlandia dispuesto a complicarse.

Ya nadie duda de que debemos poner medios para defendernos de las amenazas externas de un nuevo dominio. El enemigo no sólo viene ahora por tierra, mar y aire sino a través del ciberespacio. En el entorno digital, los territorios están desdibujados, las fronteras no existen y las murallas pierden su utilidad. Los ataques ya no los realizan ejércitos jerarquizados con debida obediencia al mando, sino redes de personas con capacidades complementarias que ejecutan tareas de forma concurrente, colaborativa y distribuida.

El INCIBE publicaba hace unos meses el ranking de incidentes de ciberseguridad producidos en 2016 en todo el mundo. En la primera posición se encuentra el robo de 81 millones de dólares al Banco Central de Bangladés. Un hurto físico de este calibre sería hoy casi imposible dado el avance en las medidas de seguridad bancarias. Pero el ranking de INCIBE evidencia que todavía queda mucho camino por recorrer hasta conseguir, en el ámbito digital, un nivel de seguridad similar al que existe hoy respecto de la seguridad física.

La introducción de tecnología en los procesos productivos, el aumento de la conectividad como consecuencia de la industria 4.0., el desarrollo del vehículo autónomo o el impulso al Internet de las cosas conseguirán aumentar nuestra productividad y especializar el empleo. Pero todos estos cambios también suponen nuevos riesgos que debemos gestionar. En el entorno del trabajo, las empresas no sólo deberán formar a sus empleados en materias como la seguridad física, contra incendios o para prevenir enfermedades profesionales. Los riesgos de mantener conductas inadecuadas que puedan poner en peligro la integridad y seguridad de la información que manejan también deberán ser abordados dentro de la política general sobre prevención de riesgos laborales.

Desde hace un tiempo, la Unión Europea ya legisla sobre la necesidad de tener responsables de datos en las entidades y empresas que traten información sobre menores de edad o ficheros con información privada o confidencial (hospitales, colegios, etc.). Para minimizar riesgos en el ámbito físico, la disponibilidad de efectivos y medios garantiza un nivel de seguridad suficiente. Sin embargo, en el ciberespacio no siempre ocurre así. En este caso, la detección, formación, incentivación e incorporación de talento es el factor clave para desarrollar medidas de seguridad efectivas en la red. El joven Marcus Hutchins utilizó sólo 10€ para registrar un dominio a su nombre que consiguió detener parte del avance del virus Wannacry tras comprobar que el malware intentaba conectarse a un dominio inexistente, lo que favorecía su reproducción. Ahora, el Reino Unido le ha fichado para que colabore con su país en la ciberdefensa de sus intereses. Marcus quizá no hubiera pasado un proceso de selección convencional, pero es evidente que su actuación demuestra que atesora capacidad y talento en uno de los mayores retos del futuro.

Teodoro García Egea es diputado por Murcia del Grupo Parlamentario Popular