Según el fundador y director ejecutivo de la firma de ciberseguridad Kaspersky Lab, fueron las películas las que animaron a los expertos en seguridad informática a hablar abiertamente sobre las amenazas del mundo de la electrónica.
El Economista. Fue en el 2008 cuando Eugene Kaspersky, fundador y director ejecutivo de la firma de ciberseguridad Kaspersky Lab, decidió que era momento de hablar en público sobre armas cibernéticas, cibersabotaje, ciberguerra. Fue con una copa de whisky escocés en la mano, mientras veía la película Duro de Matar 4.0 protagonizada por Bruce Willis, donde unos hackers toman el control de la infraestructura crítica de Estados Unidos a través de la vulneración de sus sistemas informáticos. El ataque cibernético era capaz de destruir una central eléctrica.
“Esta idea, que era mejor mantener en silencio, ahora estaban hablando de ella. A los 15 o 20 minutos de ver la película, di un trago y dije ‘¿qué demonios están haciendo?’ Si Hollywood reveló esta información, ahora podemos hablar libremente”, relata Eugene Kaspersky en una entrevista concedida a El Economista durante la celebración de la Cumbre Latinoamericana de Analistas de Seguridad, celebrada la semana pasada en Santiago de Chile.
El equipo de Kaspersky ya tenía entonces varios años investigando códigos desarrollados para infectar estructuras críticas de las ciudades, de áreas como energía, telecomunicaciones, financiera, servicios médicos, transportación, logística e infraestructura urbana. La idea de que una instrucción informática pudiera colapsar a las urbes, dejarlas sin energía, sin comunicaciones e incluso provocar muertes dejaban de ser ficción. Las armas cibernéticas creadas por grupos terroristas o por organizaciones respaldadas por gobiernos ya eran una realidad.
“Lo sabíamos en 2004, 2005 tal vez. Pero mantuvimos silencio, no queríamos hablar con periodistas. Y Stuxnet no fue una sorpresa. Internamente hablábamos de estos ataques que tenían el potencial de dañar la infraestructura, y lo explicábamos con los representantes de los países y las agencias responsables de la seguridad nacional. Ellos nos escucharon pero no lo entendían”, recuerda Kaspersky.
Stuxnet es un complejo virus informático desarrollado por Estados Unidos e Israel que estaba dirigido a sabotear el programa nuclear de Irán que data del 2010. Este ataque, que vulnera los sistemas SCADA –usados para monitoreo en plantas industriales incluyendo de energía– salió del control de los Estados y se comenzó a propagar a nivel mundial.
“Cuando sucedió lo de Stuxnet, yo me estaba preparando para salir de vacaciones. Los expertos llegaron a mi oficina y dijeron: ‘estamos esperando a que pase algo serio’ y pasó”, agrega el directivo.
A la fecha, compañías como Petróleos Mexicanos (Pemex) monitorean sus sistemas para evitar la infección de Stuxnet, que aprovecha una vulnerabilidad día cero en este sistema. Posteriores pesquisas revelaron campañas como Equation, presuntamente apoyadas por agencias gubernamentales, y que aprovecharon la vulneración antes que Stuxnet.
El fin de la evolución
Cinco años después de que Stuxnet saliera a la luz, y a ocho de que fuera estrenada la película “Duro de Matar 4.0”, Eugene Kaspersky claro: las armas cibernéticas para el sabotaje de infraestructura crítica, el terrorismo y la guerra son la última fase de la evolución de las amenazas informáticas. El cibercrimen, con ataques motivados por dinero; y el ciberespionaje, donde se busca información de los usuarios y sistemas, son las dos etapas previas.
La buena noticia, dice, es que no veremos etapas superiores en la evolución de los ciberataques; la mala, es que el sabotaje cibernético tiene el potencial de paralizar ciudades, destruir infraestructura e incluso llegar a matar.
No hay ninguna nación, incluyendo en América Latina, incluyendo México, que esté lista para para proteger la seguridad nacional de este nivel de amenazas.
“No hay ninguna nación, incluyendo en América Latina, incluyendo México, que esté lista para para proteger la seguridad nacional de este nivel de amenazas. Creo que los gobiernos tienen que ser responsables de la ciberseguridad nacional; el gobierno debe avanzar para tener comportamientos adecuados e introducir una estrategia que permita entender el tamaño del problema y encontrar los aliados correctos en las compañías. Los gobiernos no tienen estas herramientas, estas tecnologías, ni los expertos”, alerta.
“Las Naciones Unidas, especialmente la Unión Internacional de Telecomunicaciones (UIT) reconocen que este es un problema muy grande. Los Estados reconocen el problema y entienden que es serio pero no saben qué hacer”, agrega.
Bajo las sombras
Las armas cibernéticas destinadas al sabotaje de infraestructura, en cantidad, representan menos del 1% del total de los ataques cibernéticos, dice a El Economista el director para América Latina del Equipo Global de Investigación y Análisis de Kaspersky Lab, Dmitry Bestuzhev. El resto son cibercriminales clásicos que buscan dinero.
“Pero el impacto que causa es más grande que perder el dinero. Se trata de campañas de sabotaje en algunos casos cuando se trata de destruir algo o paralizar y otras actividades más allá que simplemente el dinero”, explica uno de los principales investigadores de la firma.
A finales del año pasado se dio a conocer que una planta alemana de producción de acero fue víctima de un ataque cibernético, perpetuado a través de una Amenaza Persistente Avanzada (APT, por su sigla en inglés). Estas amenazas, por su complejidad técnica y operativa, usualmente están respaldadas por algún gobierno o agencia de inteligencia.
“¿Alemania? ¿Acero? ¿Por qué? No lo sé pero después del ataque, toda la producción de acero se movió a China. La única producción de acero que queda en Alemania o en otras naciones es para aplicaciones específicas. ¿Podría ser militar? No lo sé. Pero esto no fue sólo un ataque cualquiera sino que tal vez alguien quería detener algún proyecto específico de acero”, sugiere Eugene Kaspersky.
El desarrollo de arsenal cibernético es una actividad que se realiza en total secrecía. La tendencia es que los criminales tradicionales como los terroristas, comiencen a utilizar estas herramientas informáticas para sabotear ciudades y sus gobiernos; pero los gobiernos también realizan estas tareas ya sea en cooperación con otros organismos o internamente.
El trabajo bajo las sombras es clave para el desarrollo de armas informáticas y las campañas de sabotaje.
Eugene Kaspersky explica: “Las armas tradicionales y las armas cibernéticas son diferentes. La principal diferencia es que si das a conocer tu arma cibernética, está arruinada porque todo el mundo estará protegido; pero puedes demostrar tus armas tradicionales como las militares. Las armas cibernéticas, si las das a conocer, significa que todo el mundo podrá estar preparado. Los Estados no van a demostrarlas y las van a mantener con mucha secrecía y espero que no las quieran usar”.
Por ello es imposible predecir quién será el próximo atacante y cuál será su objetivo. El peligro crece cuando existe la oportunidad de que el conocimiento generado salga de las agencias de inteligencia y pueda ser usado por los criminales.
“Me preocupa que en el futuro será peor porque tengo miedo que habrá nuevos actores. Los terroristas tradicionales, el crimen tradicional, la mafia, y temo que en el futuro habrá mucho más daño”, reconoce.
Salvar el mundo
Un mundo lleno de ciberamenazas, ciberespías y arsenales informáticos listos para emprender ataques sin bombas y misiles, sólo códigos, brinda un panorama nada alentador. Y el mundo se vuelve cada vez más complejo.
Eugene Kaspersky, un físico, matemático y emprendedor ruso de 50 años de edad, que comenzó su negocio en 1997 en la era de la post Unión Soviética, bien habla del crecimiento de las amenazas con la evolución de la Internet de las cosas, los crecientes desafíos en las tecnologías de cifrado de datos con el desarrollo de la computación cuántica. Incluso ve crucial para el futuro de las democracias, los sistemas de voto electrónico seguros que permitan verificar la identidad de los ciudadanos a partir de tecnologías biométricas y al mismo tiempo garantizar el anonimato en los sufragios.
El espectro de atacantes también crece, al pasar de criminales a las agencias de inteligencia de las naciones, y grupos de desarrollo que trabajan en conjunto con el crimen organizado o los gobiernos.
Las firmas de ciberseguridad lo saben. De acuerdo con información filtrada por Edward Snowden y publicada por The Intercept, 23 compañías, incluyendo Kaspersky Lab, fueron blanco las agencias de inteligencia estadounidense y británica quienes buscaron burlar su tecnología mediante ingeniería en reversa, para infiltrarse en dispositivos y espiar comunicaciones.
En nuestro caso, estoy seguro un 99.9% que fue un ataque respaldado por un gobierno; no era criminal. Adivinamos quién pudo ser pero no podemos probarlo. Lo que puedo decir es que no hubo ciencia de China en este ataque.
Kaspersky Lab también reveló en junio que fue blanco de un ataque en la que se buscó robar información e inteligencia de sus desarrollos e investigaciones.
“En nuestro caso, estoy seguro un 99.9% que fue un ataque respaldado por un gobierno; no era criminal. Adivinamos quién pudo ser pero no podemos probarlo. Lo que puedo decir es que no hubo ciencia de China en este ataque. No estaban interesados en nuestros datos financieros ni en los datos de nuestros clientes. Ellos estaban interesados en las tecnologías que usamos para analizar malware”, explica.
Pero Eugene Kaspersky y su equipo tiene un lema: “Nuestra misión es salvar al mundo de los ciberataques”. La colaboración a nivel internacional para la difusión y creación de conocimiento en ciberseguridad, la participación conjunta con el sector privado para el desarrollo de tecnología, el rediseño de la arquitectura de los sistemas donde no todo esté conectado a la red, buenas prácticas y la educación serán pasos cruciales para reducir los riesgos de ser blanco de las amenazas informáticas.
—¿Y el mundo puede ser salvado?
—Espero que sí. Soy optimista.