Por Bruce Schneier
Nota del editor: Bruce Schneier es especialista en seguridad tecnológica y autor del libro “Liars and Outliers: Enabling the Trust Society Needs to Survive.”
(CNN) — Actualmente Estados Unidos lleva a cabo acciones de ofensiva cibernética alrededor del mundo.
Más que espiar pasivamente penetramos y dañamos redes externas tanto para espionaje como para atacar. Creamos armas de internet diseñadas exprofeso, con blancos predefinidos y listas para ser “disparadas” contra alguna pieza de infraestructura electrónica de algún otro país en cualquier momento.
Esto es mucho peor que de lo que acusamos a China de hacer en contra nuestra. Seguimos políticas que son caras y desestabilizadoras. No hacemos que la red sea más segura. Reaccionamos con base a nuestro miedo y ocasionamos que otros países reaccionen también por miedo. Hacemos caso omiso de la resistencia a favor de la ofensa.
Bienvenidos a la carrera armamentista cibernética, un hecho que definirá el internet en el siglo XXI.
La norma 20, una política presidencial emitida en octubre pasado y divulgada por Edward Snowden, esboza las políticas de la guerra cibernética de los Estados Unidos. La mayor parte no es muy interesante, pero hay dos párrafos sobre las “Operaciones de Efectos Cibernéticos Ofensivos” (OCEO por sus siglas en inglés) que son intrigantes:
“OCEO puede ofrecer capacidades únicas y no convencionales para impulsar los objetivos nacionales de EU alrededor del mundo sin, o con muy corto aviso al adversario o blanco y con efectos potenciales que van desde daños sutiles hasta severos. El desarrollo y la base de las capacidades de OCEO pueden requerir un tiempo y un esfuerzo considerables si el acceso y las herramientas contra el blanco en específico no existen de antemano.
“El gobierno estadounidense identificará adversarios potenciales de importancia nacional donde OCEO pueda ofrecer un balance favorable de efectividad y riesgo en comparación con otros instrumentos nacionales de poder. Establecerá y mantendrá las capacidades de OCEO integradas en la medida necesaria con otras habilidades ofensivas de EU y las ejecutará de acuerdo a la norma que lo rige”.
Estos dos párrafos y otro más sobre OCEO son las únicas partes del documento clasificadas como “ultra confidenciales”. Y eso se debe a que sus declaraciones son muy peligrosas.
Los ataques cibernéticos tienen el potencial de ser inmediatos y devastadores. Pueden interferir en los sistemas de comunicación, inhabilitar la infraestructura nacional o, como en el caso de Stuxnet destruir reactores nucleares; pero solo si han sido creados y detectados desde antes. Antes de lanzar ataques cibernéticos en contra de otro país tenemos que dar varios pasos.
Debemos estudiar a detalle los sistemas de cómputo y determinar las vulnerabilidades de dichos sistemas. Si no podemos encontrar alguna que podamos explotar, necesitamos crearlas: lo que los piratas cibernéticos conocen como puertas traseras. Después tenemos que construir nuevas armas cibernéticas diseñadas específicamente para atacar esos sistemas.
En ocasiones tenemos que anidar el código hostil en esas redes, lo que se conoce como “bombas lógicas” para que sean desencadenadas o habilitadas en el futuro. Y tenemos que continuar adentrándonos a esas redes externas, ya que los sistemas de cómputo siempre cambian y necesitamos asegurar que las armas cibernéticas sigan siendo efectivas.
Al igual que nuestro arsenal nuclear durante la Guerra Fría, nuestro equipo de armas cibernéticas debe contar con blancos predeterminados y estar listas para activarse.
Eso es lo que Obama indicó al Comando Cibernético de Estados Unidos. Podemos ver indicios sobre qué tan efectivas son las acusaciones de Snowden con respecto a que actualmente la NSA interviene redes extranjeras alrededor del mundo: “Nos infiltramos en las columnas troncales de las redes, básicamente como enormes ruteadores de internet, que nos dan acceso a las comunicaciones de cientos de miles de computadoras sin tener que entrar a cada una de ellas”.
La NSA y el Comando Cibernético son básicamente lo mismo. Ambos están en Fort Meade en Maryland y son dirigidos por el General Keith Alexander. Las mismas personas que se han infiltrado en la redes, construyen las armas para destruirlas. Durante una sesión informativa en el senado en marzo pasado, Alexander presumió la creación de más de una docena de unidades cibernéticas ofensivas.
El viejo observador de la NSA, James Bamfort llegó a la misma conclusión en el reciente perfil de Alexander y del Comando Cibernético que escribió antes de las revelaciones de Snowden. Habló de algunas de las diversas armas cibernéticas que el país compra:
“De acuerdo con el Defense News C4ISR Journal y Bloomberg Businessweek, Endgame también ofrece inteligencia a sus clientes - agencias como el Comando Cibernético, la NSA, la CIA y la Inteligencia Británica - con un mapa único que muestra exactamente dónde están ubicados sus blancos.
También muestra la geolocalización y la dirección digital de básicamente cualquier dispositivo conectado al internet alrededor del mundo, proporcionando lo que se llama conciencia situacional de red. El cliente localiza una región en el mapa protegido con contraseña y operado vía web, después elige un país y una ciudad, digamos Pekin, China.
A continuación escribe el nombre de la organización detectada, tal como el Instituto de investigación número tres del Ministerio de Seguridad Pública, que es responsable de la seguridad computacional o simplemente escribe su dirección: 6 Zhengyi Road. Entonces mostrará el tipo de software que opera en las computadoras de esas instalaciones, si contiene aplicaciones malignas y un menú de acciones diseñadas específicamente para lograr el acceso de manera secreta.
Al mismo tiempo puede localizar los dispositivos que están infectados con software maligno, tal como el gusano Conficker, así como las redes que se han convertido en botnets y zombis, el equivalente de una puerta trasera abierta…”
“Comprar y utilizar una suscripción de esa naturaleza puede ser considerado un acto de guerra. ‘Si estás involucrado en el reconocimiento de los sistemas de los adversarios, te encuentras en un campo de batalla electrónico y te preparas para usarlo’, escribió Mike Jacobs, el exdirector de recopilación de información de la NSA en un reporte para McAfee sobre la guerra cibernética.
En mi opinión, estas actividades constituyen actos de guerra o por lo menos un preludio a futuros actos de guerra. La pregunta es: ¿quién más está en la lista secreta de clientes de la compañía? Por qué hasta el momento no hay supervisión o regulación sobre el comercio de armas cibernéticas, las empresas en el complejo industrial cibernético son libres de vender a quien ellas decidan.
“¿Debería ser ilegal?”, dijo el exfuncionario de inteligencia involucrado en la guerra cibernética. “Yo sabía de Endgame cuando estaba en inteligencia. A la comunidad no le gustaba, pero son los más grandes en el negocio”.
Esa es la pregunta clave: ¿qué tanto de lo que actualmente hace Estados Unidos es un acto de guerra conforme a las definiciones internacionales? Ya hemos acusado a China de penetrar nuestros sistemas para generar un mapa de “instalaciones militares que pudieran ser atacadas durante una crisis”. Lo que la norma 20 y Snowden describen es mucho peor y ciertamente China y otros países hacen lo mismo.
Todos estos mapas y el hecho de mantenerlos secretos para un uso ofensivo hace que el internet sea menos seguro con estas armas cibernéticas con blancos predefinidos y listas para atacar son fuerzas desestabilizadoras en las relaciones internacionales.
Espiar en las redes de otros países, analizar sus vulnerabilidades, crearpuertas traseras y depositar bombas lógicas podrían considerarse fácilmente como un acto de guerra. Y todo lo que se necesita es un líder nacional con suficiente iniciativa para que esto se convierta en una batalla real.
Es momento de detener esta locura. Sí, nuestra milicia necesita invertir en capacidades de guerra cibernética, pero también necesitamos reglas internacionales, más transparencia sobre lo que estamos o no haciendo, cooperación entre los gobiernos de cada país y tratados viables sobre armas cibernéticas. Sí, esto es difícil. Sí, es un proceso largo y lento. Sí, no habrá un acuerdo internacional, desde luego no al principio. Pero aún con todos esos problemas, es un camino mejor que el que recorremos en este momento.
Podemos empezar por tomar la mayoría del dinero que invertimos en capacidades ofensivas de guerra cibernética y gastarlo en la adaptación del ciberespacio nacional. MAD, (destrucción mutua asegurada pos sus siglas en inglés), tenía sentido porque había dos superpotencias que se oponían una a la otra.
En la red hay toda clase de potencias, desde naciones hasta grupos mucho menos organizados. Hay un arsenal de armas cibernéticas que ruega por ser utilizado y según lo que aprendimos de Stuxnet también causa daños colaterales a los inocentes. Estamos mucho más seguros con una defensa sólida que con una ofensiva de contraataque.
Las opiniones recogidas en este texto pertenecen exclusivamente aBruce Schneier.