La vida del hombre moderno no se entiende sin internet. Vendemos nuestros datos de forma consciente o inconsciente a cambio de poder acceder a una serie de servicios como redes sociales, facilidades de acceso a nuestras cuentas, compra de productos, domótica, etc. ¿Somos conscientes de lo que esto implica? ¿Están los partícipes en este ecosistema preparados para defender esos datos que les hemos confiado? Claramente no, y con la previsible explosión del “internet de las cosas”, esto sólo va a ir a peor.

Una breve introducción. En términos de cyber-seguridad, se llama vulnerabilidades a las puertas que los sistemas se dejan abiertas (normalmente sin querer) y que pueden ser encontradas y abiertas (explotadas) por cyber-atacantes. Si las localizan y consiguen abrirlas, entran en el sistema inyectando un elemento de software (virus). Esta infección puede tener múltiples objetivos. Demostrar que son capaces de hacerlo, corromper el sistema, extraer información sin que el usuario sea consciente o por ejemplo tomar el control del sistema suplantado al verdadero usuario.

¿Es esto complicado de hacer? Como un buen gallego diría, depende. La primera regla del sentido común es que cuantas más puertas dejemos abiertas, más fácilmente será que nos entren hasta la cocina. Los sistemas nunca proporcionan una seguridad absoluta, que nadie nos engañe. Es un continuo proceso del ratón y el gato. Cuanto más viejo sea nuestro sistema, más fácilmente nos cazará el gato. Esa puerta ya se la conoce. Por eso es tan importante tener las últimas versiones de los sistemas de software.

¿Estamos en buenas manos? En este último cyber-ataque masivo, la puerta por la que entraron estaba en una versión de Windows ya obsoleta. Algo entendible en particulares que tengan que pagar con sus escasos recursos dichas actualizaciones, pero qué decir de esas grandes empresas cuyos trabajadores seguían teniendo estos sistemas obsoletos. No es un buen dato. Nos deja una íntima preocupación. Si no son capaces de proteger los datos de sus empleados, ¿qué decir de la protección de los datos de sus clientes (nuestros datos).

Esto también lanza una pregunta a los proveedores de software. ¿Deberían hacer más por fomentar las actualizaciones de su software? ¿Quién es el responsable de tener en el mercado una versión que tiene vulnerabilidades conocidas? Microsoft llevaba tiempo advirtiendo de estos temas. Lo cual me lleva a la siguiente pregunta, si estas empresas cumplen con la legislación, ¿no deberían nuestros legisladores hacer algo más de lo que hacen para fomentar estas actualizaciones? Todo cuesta dinero y recursos. Si no es obligatorio, las empresas difícilmente lo harán de “motu proprio”.

Me gustaría volver a los peligros del cyber-espacio. ¿Se conocen todos los ataques que se producen? Claramente no. De hecho, sólo se conocen cuando por algún motivo no hay más remedio. Cuando el cyber-ataque es masivo resulta obvio, pero también pasa a la luz pública cuando ello implica una potencial cancelación de elecciones, un recuento manual de los votos, o una insinuación de injerencia extranjera en los resultados de las votaciones. Sin embargo, la mayoría de los ataques permanecen ajenos a ese conocimiento público. Si una empresa o institución recibe un ataque, y aún más si este ataque resulta exitoso para los atacantes, reconocerlo sería lo mismo que reconocer su vulnerabilidad. De igual manera que si se corre el rumor de que un banco no es seguro el dinero vuela fuera de sus cuentas, imaginemos que nuestros datos hubieran sido vulnerados estando en las manos de una de estas compañías. El efecto suele ser devastador. Si esto se produce ¿quién es el responsable al que demandar por los daños y perjuicios de las consecuencias? ¿A alguien le extraña que se intenten cargar las culpas sobre unas contraseñas débiles o a otros elementos achacables al usuario final?

¿Qué consecuencias pueden tener estos cyber-ataques? Esta es la gran pregunta. Si todo lo que va a suceder es que nos pidan $300 en bitcoins o que con encender y apagar o con actualizar los sistemas está todo solucionado; entonces es como un resfriado, un mero aviso de que tenemos las defensas algo bajas. Sin embargo, con lo anterior sólo habremos vislumbrado la superficie de los verdaderos elementos que están aquí en juego. Los objetivos de los cyber-ataques pueden ir mucho más allá de entrar en los sistemas de una institución financiera y conseguir transferirse unas cantidades a algún paraíso fiscal sin dejar rastro. Los hay mucho más graves.

¿Qué sucedería si el objetivo fuese entrar en una empresa alimentaria, o en una central eléctrica, o en una compañía de aguas? ¿Es esto difícil? Desgraciadamente no tanto. Aunque las empresas tomen medidas, estas suelen ser frente a ataques frontales a sus servidores. Ahí suelen tener las mayores protecciones y las menores vulnerabilidades. El problema es que hay muchas puertas traseras. ¿Y si el acceso se hace a través de un proveedor? Hoy en día todas las empresas tienen proveedores, que cada vez están más integrados con el cliente para poder pasar pedidos, implementar sistemas just-in-time, etc. Ello implica acceso a los sistemas del cliente por parte del proveedor. ¿Y si el proveedor está mucho menos protegido que el cliente? Entrar en sus sistemas resulta mucho más sencillo, y una vez ahí, entrar en los del cliente es seguir el flujo normal al que ya han abierto la puerta. Boom. Imaginemos que entrasen mediante este procedimiento en los sistemas de control de fabricación de un yogurt y cambiasen los productos a utilizar o sus proporciones. Si al mismo tiempo hicieran indetectables estos cambios porque también hubieran “hackeado” los sistemas de control de calidad ¿Qué sucedería?  ¿Y si eso fuera en una central nuclear y se cambiasen los tiempos de refrigeración? ¿Alguien recuerda lo que pasó con las centrifugadoras que Irán estaba utilizando para intentar crear material fisible para sus bombas atómicas? La verdadera historia algún día saldrá a la luz pública.

¿Existe la cyber-seguridad absoluta? No, no existe. Es como las enfermedades, la muerte está íntimamente ligada a la vida. Aquella no existiría si no hubiera vida. Los riesgos en el cyber-espacio son inherentes al hecho de existir y poder navegar por él (tanto los “buenos” como los “malos”). Dicho esto, no es lo mismo tener un sistema sanitario de última generación que tenga preparados protocolos frente a enfermedades conocidas y recursos que le permita responder frente a las inesperadas, que tener un sistema chapucero y sin recursos. Una cyber-seguridad nula es mala, tenerla mediocre es peor, ya que sirve para lo mismo, es decir, para nada, pero además nos habremos gastado un dinero en ella.

Las empresas y los Estados deberían implementar los mejores sistemas de detección permanente de vulnerabilidades y su eliminación. No es ninguna broma. Europa no tiene buenos sistemas de cyber-seguridad. Obvio, como tampoco tiene ninguna empresa entre las mejores tecnológicas del mundo. Hoy en día la mejor cyber-seguridad la tienen algunos departamentos y empresas de EEUU e Israel. Que a nadie le extrañe que para que estas empresas den este servicio de protección a empresas y Estados fuera de sus fronteras tengan que pedir permiso a sus respectivos gobiernos para poder implementarla. Y no siempre lo dan.

Este ataque masivo del tipo denominado ransom malware (código malo que exige recompensa) es sólo un aviso a navegantes. Un mero resfriado que durará unos pocos días. Lo peor está bajo la superficie. La porción del león está en lo que las grandes empresas y los gobiernos tienen en sus servidores. Ese es el trofeo que los cyber-atacantes buscan. Unos por dinero, otros porque este es el verdadero terreno en dónde se están librando las auténticas guerras de nuestro mundo post-moderno.