Archivo de la etiqueta: ciberseguridad

ES COMO PARA LLORAR. Infolibre. 8.6.2017

El reciente ataque informático del virus WannaCry, que parece haber afectado (al menos) a 150 países, ha hecho visible algo que, aunque apocalíptico, pasa desapercibido al usuario de a pie mientras que en el mundo de la ciberseguridad es cotidiano: la debilidad del sistema de redes conectadas a Internet. El alcance de este ataque, como con algunas enfermedades, probablemente es mayor al declarado y abre la puerta a un escenario de elevada complejidad: como si de una bomba de neutrones se tratara, la pesadilla puede paralizar hospitales, sistemas de transporte, de suministros de agua y energía, sistema bancario…. la vida actual, en suma, con la diferencia respecto de la bomba de que mantiene vivos a los humanos para que sufran.

Sin embargo, el ataque evidencia no tanto una debilidad estructural de la Red (relativamente robusta al no estar centralizado el sistema) sino más bien la debilidad del factor humano. La red es débil porque sus usuarios (personas físicas) lo son. La debilidad humana en este ámbito tiene que ver sobre todo con el uso de las redes sociales y con el comportamiento de los usuarios. La capacidad de expansión de un virus y de su penetración en un ordenador se vincula en una relación directa con la voluntad del usuario del terminal para recibir un mensaje electrónico en ignorancia de que ese mensaje incluye un virus malicioso. Nadie en su sano juicio dejará infectar su terminal (ordenador o teléfono móvil o tablet) conscientemente, como nadie, en general, decide infectarse conscientemente con bacterias o virus físicos dañinos. Para tener éxito los autores de los ataques con virus informáticos han de apelar en última instancia a elementos del factor humano que permitan que los destinatarios activen el virus a su recepción de manera voluntaria, aunque inconsciente. Estos elementos no tienen que ver con la tecnología, tienen que ver con el “ego” de los usuarios, que abren mensajes en las redes que aparentan provenir de un compañero de trabajo o de un “amigo” en Internet (condición que nada tiene que ver con la amistad, sino con una simple conexión con desconocidos) activando así el virus. Tenemos ya un primer factor: la curiosidad desmedida que lleva a abrir mensajes de origen desconocido. En segundo lugar: la ansiedad injustificada por contar con seguidores sin siquiera saber quién son. En tercer lugar: el narcisismo del usuario que difunde y re-difunde mensajes sin saber ni de quien provienen ni que incluyen con el único objeto de “ser” alguien en la Red. En cuarto lugar: la ignorancia sobre el funcionamiento del sistema, que alimenta la ingenuidad de creer que “en Internet mando yo”. En quinto lugar: la inmediatez que genera la alta velocidad de la comunicación en Internet, que facilita la réplica sin dar tiempo a reflexionar ni sobre el contenido ni sobre la forma del mensaje. En resumen: la debilidad del usuario se refuerza con la alta dependencia que el uso de las redes genera, incrementando así la vulnerabilidad del sistema.

Si la dependencia de las redes reviste tal magnitud solo hay dos salidas: o bien disponer de planes de contingencia efectivos, capaces de restituir el funcionamiento con el menor daño y coste posible, o bien disminuir la dependencia de los usuarios respecto del modelo. Lo primero es muy caro y lo segundo casi imposible, porque Internet dejaría de ser negocio, a no ser que se apueste por un modelo de redes que nos devuelva al origen: una auténtica red, sin oligopolios, con usuarios conscientes, que sea capaz de restaurarse gracias precisamente a su estructura no centralizada ni jerarquizada, pero sobre todo “consciente”, esto es, con consciencia de lo que sucede.

Es así como, más allá de la visión militarista que propone crear “milicias de hackers informáticos” que defiendan militarmente el ciberespacio podría plantearse otra visión del problema, a mi juicio más cercana a la realidad del día a día: la de reforzar el factor humano en el uso de las redes, más incluso, reforzar la salud psicológica de los usuarios para dificultar la dependencia enfermiza de las redes que, como epidemia que es, facilita la expansión vírica en las mismas.

Lo que está claro es que gran parte de la dependencia de las redes tiene que ver con ese hedonismo dependiente de selfies, Instagram, Facebook, Linkedin, Twitter y cualquier otra cosa que le sirva para acrecentar el ego. Ahí está gran parte del negocio, pero también de la desgracia, y, ojo, del potencial daño que un virus transmitido a través de estas plataformas puede producir. Por otro lado, la fabricación y difusión de virus informáticos viene a confirmar lo que llevamos pregonando de hace años: Internet no es un territorio de libertad dónde predomina el criterio del individuo sin someterse a estructuras burocráticas. Internet es de alguien y pertenece a sus propietarios, que imponen las reglas y usan sus armas, virus incluidos, que sirven también para incrementar el negocio de la ciberseguridad.

Bienvenidos a la realidad. Bienvenido WannaCry si pudiera servir para reconducir la epidemia de egolatría que late en las redes y, en tanto que virus, atacar con éxito la prolífica bacteria de la ignorancia, también en Internet. De lo contrario, es como para llorar.

Anuncios

Ciberguerra o ciberseguridad. El Periódico de Catalunya 5.02.2015

El terrorismo yihadista está fomentando dos factores novedosos e inquietantes de los que adolecía la antigua “Al Qaeda”: una estructura de Estado (el califato del EI en territorio sirio-iraquí) y un proyecto de infraestructura privativa de Internet. El califato otorga al terrorismo islamista una apariencia de supuesta legitimidad del que adolecía su competidora Al Qaeda y que le permite argumentar la guerra global en las coordenadas del belicismo, incrementando una fase guerrillera que ni siquiera el “Estado talibán” en Afganistán había conseguido superar. Es éste un factor clave para comprender su atractivo respecto de centenares de voluntarios europeos que se alistan a su causa. Por otro lado, el intento yihadista de diseñar una red social propia y un sistema de mensajería instantánea privativo tiene por objeto eludir los controles policiales sobre las actuales redes usadas para hacer proselitismo y preparar atentados, a diferencia de Al Qaeda, que hasta la fecha se ha basado en el uso de redes no privativas.
Ambos fenómenos obligan a reconsiderar algunos conceptos en la lucha contra el terrorismo global. De otro modo podemos sucumbir a nuestra propia lógica en la medida en que aceptemos el reto terrorista de declararnos “en guerra”. No señor: no estamos en guerra. Estamos ante un problema de seguridad. Admitir lo contrario significa reconocer al EI un papel similar al de un Estado y admitir limitaciones excepcionales al ejercicio de derechos fundamentales similares a las propias de un conflicto bélico. El terrorismo yihadista no puede justificar la suspensión de derechos fundamentales como algunos dirigentes políticos europeos intentan argumentar. Hacerlo significa reconocer al califato del EI un estatus que no tiene: el de un Estado (exterior) agresor susceptible incluso de ser evaluado en el marco de las Convenciones de Ginebra relativas a la protección de les víctimas de conflictos armados (sería absurdo). No señor: tampoco estamos en guerra porque la amenaza no es exterior. Quién nos amenaza ahora son conciudadanos europeos captados, viajados, formados y regresados para el terror en suelo europeo.
También deberían evitarse planteamientos como el de “ciberguerra”, por cuanto las ciberguerras se desarrollan entre unidades militares de distintos Estados sin que existan ni declaración formal de guerra (son conflictos desarmados y “en la sombra”), ni daños directos a las personas (aunque puede haberlos indirectos por la caída de servicios críticos). La lucha contra el ciberterrorismo yihadista, no siendo una ciberguerra (a menos que reconozcamos como Estado al EI) es, pues, un problema de ciberseguridad de las telecomunicaciones, clave de la protección de los ciudadanos, del tráfico económico, y de las infraestructuras críticas (energéticas, transportes, etc). Recordemos que aunque los ataques a la ciberseguridad se plantean mayoritariamente a usuarios domésticos o a través de ellos (“secuestrando” sus ordenadores) con objeto de cometer delitos (robos, suplantación de claves de acceso o de identidades), el ciberterrorismo yihadista los ejecuta con objeto de mantener operativas sus redes de comunicaciones y propaganda en Internet a pesar de que no dispone, al menos todavía, de recursos suficientes para operar en una ciberguerra atacando infraestructuras críticas de determinados Estados. Otra cosa sería, desde la perspectiva occidental y de confirmarse la consolidación del Estado Islámico como tal, el uso de la ciberguerra contra las infraestructuras del califato.
Estamos pues ante un problema de ciberseguridad que va a requerir nuevas estrategias frente a la amenaza de creación de una red privativa de Internet por parte del EI. El control clásico de Internet deviene obsoleto: es preciso redefinir la regulación y autorregulación de la Red con una arquitectura selectiva que permita blindar aspectos clave de su dinámica. No pudiendo “policializar” la Red los protocolos de compatibilidad, las arquitecturas de acceso o los modelos de gestión de comunidades virtuales devienen estratégicos en la gestión de la ciberseguridad como una estructura de autovigilancia. Estos van a ser factores esenciales en el aislamiento del ciberterrorismo yihadista, junto con un eficiente y nunca suficientemente reconocido trabajo de inteligencia y policial, además de una conciencia ciudadana a la altura de las circunstancias: llama la atención que mientras en España mucha gente salió a la calle en defensa de Excalibur (el perro sacrificado de la enfermera afectada de Ebola), casi nadie se movilizara en el caso del ataque a Charlie Hebdo. En fin, si no queremos ver nuestros derechos fundamentales amenazados o rebajados no podemos admitir que estemos en guerra: estamos ante un problema de seguridad interior, y, por tanto, de “ciberseguridad”.