Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

No todos los ataques son ciberataques

La diferenciación entre distintos tipos de delitos informáticos es clave para distinguir los actos de guerra de las actividades criminales

No todos los ataques son ciberataques

Raras veces pasa una semana sin que se mencione un ciberataque en los titulares de la prensa internacional. Pero ya sea la reciente filtración de datos de la Agencia Mundial Antidopaje (AMA), el robo de 6,6 millones de claves de seguridad del servicio publicitario ClixSense o los ataques DDoS (Ataque Distribuido de Denegación de Servicio) contra los populares servidores de videojuegos de Blizzard Entertainment, lo normal es que todos los incidentes sean denominados como ciberataques sin la menor distinción entre sí.

Para observar las cosas con perspectiva, imaginemos un mundo en el que cualquier acto criminal, por insignificante que sea, fuese calificado como asesinato. Y ahora pensemos en cómo afectaría eso a nuestra sensación de inseguridad.

Ciertamente, uno de los mayores retos de la seguridad de la información es que, como describe con elocuencia el Centro de Excelencia para la Ciberdefensa Cooperativa de la OTAN (CCD COE): “No existen definiciones comunes para los términos informáticos; cada nación/organización los entiende de una manera diferente”.

El ejemplo más notable de cómo este problema cobra relevancia fueron las palabras que pronunció el director de la Inteligencia Nacional de EE UU, James Clapper, frente al Comité para la Inteligencia de Interior en septiembre de 2015. Clapper básicamente dijo que la intrusión en la red de la Oficina Estadounidense de Administración de Personal (OPM) —y el robo de la información de 21,5 millones de funcionarios (antiguos, vigentes y futuros)— no era un ciberataque: “No hubo destrucción o manipulación de datos. Simplemente los robaron. Eso es una actividad pasiva de recolección de información, similar a la que nosotros hacemos”. El Comité, por supuesto, no daba crédito a lo que escuchaba, y argumentó con vehemencia que negarse a calificar de ciberataque al pirateo de la OPM minimizaría la gravedad del incidente.

Sin embargo, Clapper tenía razón. De hecho, la definición más correcta de lo que constituye un ciberataque se puede encontrar en el Manual Tallinn sobre el Derecho Internacional en Ciberguerra, que lo describe como: “Aquella operación cibernética, ofensiva o defensiva, de la que se espera que pueda causar pérdidas de vidas humanas, lesiones a las personas o daños o destrucción de bienes”.

Hasta la fecha solo ha habido dos operaciones cibernéticas que han superado el límite de lo físico, causando daños

Hasta la fecha, sólo hay dos ciberataques que hayan superado ese límite físico. El primero fue el uso del gusano informático Stuxnet en agosto de 2007 para infectar la planta de enriquecimiento de uranio de Natanz en Irán (atribuido a EE UU e Israel), y el segundo es un ciberataque mucho menos conocido contra una planta siderúrgica alemana (sin nombre) en 2015 que nadie se ha atribuido públicamente, y que causó “daños considerables y sin especificar”.

Hay también otros ataques que han llegado a rozar el límite físico. Por ejemplo, el ataque del virus Shamoon contra la petrolera saudí Aramco durante el Ramadán de 2012 (atribuido a Irán), que “borró parcialmente o destruyó por completo los discos duros de 35.000 ordenadores de la compañía”. El incidente llegó a obligar al por entonces secretario de Defensa de EE UU, Leon Panetta, a declarar que Shamoon es “uno de los primeros [programas de malware] que hemos visto que puede inutilizar y destruir ordenadores (…) hasta el punto de tener que reemplazarlos”. Otro caso es el ciberataque contra la red eléctrica ucraniana a finales de 2015 (atribuido a Rusia), que afectó aproximadamente a 225.000 usuarios con un apagón que duró varias horas. Según E-ISAC (Centro de Análisis e Intercambio de Información sobre la Electricidad en América del Norte), los ciberataques en Ucrania fueron “los primeros incidentes públicamente reconocidos que han causado cortes en el suministro”. En comparación con estos sucesos, la intrusión en la OPM (atribuida a China) o la reciente filtración de los correos electrónicos del Comité Nacional Demócrata de EE UU (atribuida a Rusia), constituyen presas fáciles cuyos sistemas no gozaban para empezar de un mantenimiento o sistema de seguridad adecuados.

Por ello, emplear la terminología correcta es enormemente importante, porque llamar a todo por el mismo nombre (a) debilita la noción de ciberseguridad del público, (b) desdibuja los límites entre actos de guerra y actividades criminales, (c) oculta la tendencia general de que los ciberataques van a mejor, no a peor, y (d) no tiene en cuenta el peligro mayor de que el conocimiento de cada ciberataque se propaga inevitablemente por igual entre los Estados nación y los cibercriminales. Roel Schouwenberg, antiguo analista sénior de Kaspersky Labs, lo dejó bien claro: “Los cibercriminales corrientes observan lo que hace Stuxnet y dicen: ‘Qué buena idea, hagamos lo mismo”.

Stefan Soesanto es investigador del Consejo Europeo para las Relaciones Exteriores (ECFR) y experto en ciberseguridad.

Traducción de Germán Ponte.

Más información