Los programas maliciosos evidencian la paradoja de la seguridad en internet: defensas individuales frente a amenazas globales

El número de ciberataques, su complejidad y los objetivos no paran de crecer. Según el panel de expertos de ENISA, la Agencia de Ciberseguridad de la Unión Europea, los programas maliciosos (malware) son la mayor amenaza del mundo digital y se han perfeccionado, hasta el punto de hacerse indetectables, como el reciente Black Lotus que se vende en la red oscura o clandestina. Las a...

El número de ciberataques, su complejidad y los objetivos no paran de crecer. Según el panel de expertos de ENISA, la Agencia de Ciberseguridad de la Unión Europea, los programas maliciosos (malware) son la mayor amenaza del mundo digital y se han perfeccionado, hasta el punto de hacerse indetectables, como el reciente Black Lotus que se vende en la red oscura o clandestina. Las acciones con mayor crecimiento son la suplantación de identidad (phishing), robos y secuestros con extorsión (ransomware). Y no solo se han multiplicado los vectores (el medio para transmitir un código malicioso), sino también sus consecuencias. Frente a esta globalización de los ataques, de acuerdo con los participantes en el último Foro Europeo de Ciberpolítica, la respuesta sigue siendo mayoritariamente individual, pese a los intentos de articular acciones conjuntas. “Es absolutamente necesario y muy crítico encontrar una línea política clara y común”, advierte Dennis-Kenji Kipker, profesor de la Universidad de Bremen (Alemania).

La ciberseguridad no es solo un problema de las grandes empresas o de las infraestructuras críticas, ni sus brechas son limitadas. Christos Douligeris, profesor de Informática de la Universidad del Pireo (Grecia), advierte de que “afecta a todo en la vida, desde los sistemas de control de escritorio hasta los dispositivos médicos, los marcapasos cardíacos, las redes sociales o la conducción”. “Es una guerra y, a diferencia de la militar convencional, hay muchos actores, muchas partes implicadas, desde los Estados hasta las entidades privadas. En muchos países no sabemos qué está pasando. Tenemos que encontrar soluciones cooperativas en el ámbito internacional”, añade.

Pese a intentos como los de la ENISA, la agencia nacida para garantizar la fiabilidad de productos, servicios y comunicaciones, así como para colaborar con los países europeos en ciberseguridad, Christian Funk, jefe de Investigación y análisis global de Kaspersky, la entidad organizadora del foro, observa un “panorama fragmentado”, con grandes zonas oscuras, como China, o espacios de difícil control, como la dark web (red al margen del internet público).

Black Lotus tiene toda la funcionalidad necesaria para persistir y operar indefinidamente dentro de un entorno sin ser detectado

Scott Scheferman, investigador de seguridad informática

En este sentido, el investigador Scott Scheferman ha alertado de la presencia en el mercado clandestino de la ciberdelincuencia de un programa denominado Black Lotus que, por un precio de 5.000 euros, ofrece capacidades de amenazas persistentes avanzadas y es indetectable para los sistemas de defensa actuales. Según escribe Scheferman, Black Lotus “tiene toda la funcionalidad necesaria para persistir y operar indefinidamente dentro de un entorno sin ser detectado. Esto representa un salto hacia adelante en términos de facilidad de uso, escalabilidad, accesibilidad y, lo que es más importante, un impacto potencial mayor en las formas de persistencia, evasión y destrucción”.

A esta sofisticación de las armas digitales se suma la ampliación del espectro de sus consecuencias. “Aunque la intención de un atacante sea una diana concreta, el alcance real puede extenderse mucho más allá”, señala Funk. Un ejemplo es el grupo conocido como Vice Society, sobre el que han alertado la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos y el FBI por sus “desproporcionados” secuestros y extorsiones de sistemas educativos y sanitarios. Sin embargo, sus efectos son mayores. En un reciente ataque a un distrito sanitario de Nueva Zelanda este verano, causó la cancelación de vuelos al ser imposible acceder a los resultados negativos del covid de los miembros de las tripulaciones.

Kipker admite ciertos avances en la visión de la ciberseguridad, que ha pasado, según su opinión, a una actuación más transversal tras haberse centrado en infraestructuras críticas y servicios digitales, como la computación en la nube o mercados digitales. Pero advierte de una brecha tecnológica importante en Europa que impide su soberanía y que la hace dependiente de actores externos. Es el caso de la actual crisis de semiconductores, agravada por el “cada vez más intenso conflicto entre China y Taiwán”. En este sentido, el profesor alemán advierte de que la seguridad digital no depende solo de la programación, sino también de los componentes esenciales de dispositivos con funcionalidades críticas. “La Unión Europea debe ser más independiente en producción propia de tecnologías digitales clave para reducir su dependencia de empresas internacionales”, asegura.

La Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos y el FBI han alertado sobre Vice Society por sus “desproporcionados” secuestros y extorsiones de sistemas educativos y sanitarios

Todos coinciden en que la única solución pasa por “facilitar y acelerar el intercambio de información de seguridad cibernética de forma efectiva y confiable”, según resume el profesor de Bremen. “Tanto como sea posible, sí, por favor”, añade Funk. Douligeris se suma a esta demanda y la extiende a todo el mundo: “Tenemos que saber lo que está sucediendo en otros lugares y cuáles son los problemas y sus necesidades. Generalmente, nos enfocamos solo en China y Rusia, pero no en África o el sudeste asiático u otros países en desarrollo”.

En este sentido, el profesor griego admite que “cada país tiene su propio enfoque y hay un compromiso diferente con la seguridad cibernética”. Señala que Naciones Unidas ha creado un grupo de trabajo (Open-ended work group, OEWG, por sus siglas en inglés) al que están invitados todos los países miembros, pero que es básicamente un equipo de expertos con dificultades para influir en las legislaciones, según advierte. No obstante, admite que, “al menos, dan algunas ideas para disponer de una legislación moderna sobre delitos cibernéticos y, si es posible, a nivel mundial”.

Cooperación, mucho diálogo, confianza y “puertas abiertas”, defienden los expertos como única forma de afrontar los ataques digitales globales, algunos de los cuales llevan más de una década activos con mutaciones para hacerse más invisibles y sofisticados, según advierte Funk.

Para el investigador alemán, uno de los escollos para conseguirlo es la “regionalización creciente” que disminuye la confianza entre países: “No confiamos en nada que provenga de países extranjeros y, en mi opinión, no podemos detener esto en este momento; no es realmente posible”.

Fragmentación o respuesta global

Frente a esta fragmentación de las posibilidades de respuesta, se multiplican las amenazas avanzadas persistentes (APT, por sus siglas en inglés) —”mejoran continuamente, son más efectivas y reinventan su arsenal cibernético ofensivo”, explica Funk— y también los ataques simples. En este sentido, un estudio israelí demostró que un número relativamente pequeño de computadoras pueden llevar a cabo ataques DDoS (denegación de servicio distribuido) a escala masiva con una campaña incesante de solicitudes falsas de información y con el objetivo de hacer inaccesibles infraestructuras básicas.

Uno de estos ejemplos ha sido el ataque sufrido en octubre por parte de tres hospitales catalanes, que no solo causó la pérdida temporal del acceso a los servicios, sino que se vio también comprometida la confidencialidad de datos, según reconoció el Consorcio Sanitari Integral (CSI).

La dispersión de las capacidades de respuesta no afecta solo al ámbito público. Funk advierte que “la mayoría de las pequeñas y medianas empresas, aunque temen cada vez más los ataques cibernéticos, curiosamente, no priorizan sus defensas”. “Muchas organizaciones”, añade, “tratan los incidentes de seguridad como un acto completamente fuera de control o se resignan a los seguros para minimizar los daños. Los afrontan con un sentimiento de impotencia y, si este fenómeno se extiende, podría provocar una aceptación pública y la consiguiente paralización”. “No caigamos en esto cuando podemos hacerlo mejor”, concluye.

La jefa de seguridad de Proofpoint, Lucia Milică, ajena al foro europeo, coincide en la necesidad de una actuación global: “Desde una perspectiva más amplia, por encima de organizaciones individuales, vemos la creciente necesidad de que los sectores público y privado se unan para aumentar nuestra capacidad de recuperación y abordar los problemas urgentes de ciberseguridad”.

Christos Douligeris añade que no hay que tener miedo a comenzar desde cero y aboga por la educación sobre ciberseguridad desde los niveles inferiores y por promover carreras relacionadas con esta. “Falta gente”, asegura. La situación española es similar. Según los datos del Instituto Nacional de Estadística y la Asociación Española para la Digitalización, hay 120.000 vacantes tecnológicas sin cubrir. La seguridad es una de las demandas prioritarias de este sector.

Puedes escribirnos a rlimon@elpais.es, seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter y apuntarte aquí para recibir nuestra newsletter semanal