Ciberataque o hackeo pronto podrían erigirse como palabras más populares del año. Los ataques por internet ya batieron un nuevo récord en el 2017. Sólo en España se registraron más de 120.000 incidentes, un 140% más que dos años antes. Y a escala mundial, la cifra superó de largo los 10 millones. Los expertos implicados en su control aseguran que se crean más de 27.000 nuevos virus o programas maliciosos al día, uno cada 3,2 segundos, y ya no atacan sólo por el ordenador, sino que se infiltran en móviles, juguetes, cámaras de vídeo, coches conectados…
Y si uno se hace eco de las advertencias de esos técnicos, en un futuro no muy lejano se producirán ataques a través de los dispositivos médicos (desde intentos de hackeo de marcapasos o de bombas de insulina hasta extorsiones a pacientes o a centros de salud para no desactivar sistemas vitales), desde las cámaras y los altavoces de los televisores conectados a internet o desde los terminales de pago con tarjeta (TPV), y se clonarán huellas dactilares y se burlarán los sistemas de reconocimiento facial para suplantar identidades. ¿Tanto nos expone la conexión digital? ¿Deberíamos preocuparnos más por los hackers?
Amenaza real. “Los hackers, como personas expertas en el manejo de ordenadores que se ocupan de su seguridad, no son necesariamente algo negativo; pero los ciberdelicuentes sí son una amenaza real porque se producen ataques a diario; puedes pensar que no van a ir a por ti porque eres una persona sin relevancia pública o económica, pero en una sociedad interconectada como la que vivimos pueden usar tus dispositivos para cometer delitos, o robar información de grandes corporaciones que guardan tus datos y luego extorsionarte, o usarlos para suplantar tu identidad; así que ¡claro que estamos expuestos a riesgos!”, asegura Carlos García García, especialista en pruebas de penetración y evaluación de vulnerabilidades informáticas.
Hace 20 años el único riesgo era recibir un correo con un virus; hoy usamos móvil, ordenador y relojes inteligentes; conectamos el coche, el televisor y el frigorífico a internet
Nacho Heras, de la firma de seguridad G Data Software, coincide en que “hoy todo el mundo es vulnerable y susceptible de sufrir un ataque informático, unos más alarmantes que otros: pueden usar tu ordenador como parte de un ejército de equipos para tirar un servidor en un ataque de denegación de servicio (cosa que quizá no te preocupe mucho), o puede que consigan datos de tu cuenta bancaria y te desvíen las transferencias que intentas hacer, y eso te hará menos gracia; ambas son realidades que están ahí y a las que nos enfrentamos todos los días”.
Pero ¿por qué crecen ahora los ataques? ¿Es internet lo que nos hace vulnerables?
Los especialistas no dejan lugar a dudas: somos mucho más vulnerables que hace 20 años –cuando el único riesgo era recibir un correo electrónico infectado por un virus–, pero también que hace sólo cinco, porque ahora vivimos en un mundo hiperconectado donde usamos móvil, ordenador, pulseras y relojes inteligentes, conectamos el televisor, el coche, el robot de cocina o el frigorífico a internet, y eso hace que “la superficie de exposición al ataque” sea más amplia y, por tanto, se multipliquen las vulnerabilidades.
La IoT eleva el riesgo. “La eclosión de la internet de las cosas (IoT, por sus siglas en inglés) y el mal diseño del ser humano para tomar decisiones a las velocidades que requiere el ciberespacio nos hacen hiperdependientes de la tecnología y de los algoritmos de toma de decisión; y los riesgos y las amenazas se vuelven exponencialmente altos”, opina el director del Centro Nacional de Excelencia en Ciberseguridad (CNEC), Enrique Ávila Gómez.
“Desde el dispositivo más pequeño conectado a nuestros equipos hasta las grandes redes de conexión que existen alrededor del mundo; desde los niños de la casa hasta el mayor magnate multimillonario, están expuestos”, enfatiza el presidente de la Asociación de Internautas, Víctor Domingo.
Además, como explica el último informe de seguridad de Cisco, si hace diez años los ataques informáticos solían aprovechar los fallos cometidos por los propios usuarios y eran realizados por grupos concretos de crimen organizado, hoy el cibercrimen se gestiona como un negocio que oferta diferentes opciones y “kits de explotación” listos para usar, así que el ciberdelincuente puede ser cualquiera (no necesita conocimientos de seguridad) y atacar desde cualquier lugar, y el número de ataques se dispara.
Todo apunta a que esta vulnerabilidad y la frecuencia de los ataques irán a más con el despliegue de la IoT. Diversos estudios pronostican que en 2020 habrá más de 80.000 millones de dispositivos conectados. Eso no sólo ampliará los potenciales objetivos, “la superficie de exposición” al riesgo, sino el riesgo en sí mismo. Facilitará los ataques debido a que, según los expertos, todo dispositivo conectado es susceptible de ser controlado en remoto por cibercriminales y muchos de estos objetos se están desarrollando y poniendo en el mercado sin pensar en la seguridad, sin prever cómo se actualizarán y se corregirán las vulnerabilidades que puedan detectarse cuando estén funcionando.
“Sólo uso dispositivos con tecnología ya madura: PC, portátil, móvil y libro electrónico; en mi casa no hay nada más conectado porque el riesgo no compensa”, dice el experto en vulnerabilidad informática Carlos García
“Se premia la innovación frente a la seguridad y se confunde entre eficacia y eficiencia, de modo que se están poniendo en el mercado millones de dispositivos diseñados y fabricados con el único objetivo de minimizar costes, y eso tiene implicaciones si hablamos de ciberseguridad, porque un coche conectado es una minirred con miles de sensores, y si estos se han adquirido al precio más bajo posible, con que uno de ellos tenga una vulnerabilidad podemos acceder a todo el sistema”, denuncia el director del CNEC. Lo ejemplifica con el caso del hacker que logró acceder a los sistemas de vuelo de un avión a través de su sistema de vídeo. “No somos capaces de apreciar ni de medir el riesgo en la sociedad hiperconectada”, dice.
Carlos García asegura que “los fabricantes se centran en la idea de producto, en que sea funcional, en abaratar costes y en venderlo, pero una vez vendido el dispositivo no ofrecen soporte, y si hay una vulnerabilidad, ese fabricante no se encarga de enviar una actualización y parchear la brecha, como sí pasa en los ordenadores o los móviles, así que quedan conectados a la red millones de aparatos con vulnerabilidades conocidas, fáciles de utilizar para llevar a cabo ataques, y por eso la expansión de la IoT nos hace más vulnerables”.
¿Y qué puede hacer el ciudadano, no usar dispositivos conectados?
Comodidad y amenaza. Los expertos en seguridad informática dan su opinión: “El usuario debe valorar el beneficio real que le aporta una tecnología frente a la amenaza o el riesgo asociado que conlleva, debe poner en la balanza qué le aporta tener la nevera o el microondas vinculados a internet sabiendo que puede ser la puerta de entrada a la red interna de su casa, a la que están conectados el móvil y el ordenador con todos sus datos…”.
Resulta tentador consultar desde el móvil cuánto tiempo falta para que el pollo que está en el microondas se descongele, o poder activar el lavavajillas o la lavadora a distancia, o acceder desde el robot de cocina a una receta de internet, “pero no toda ganancia en comodidad compensa la amenaza que implica”, reflexiona García.
En su caso, sólo usa dispositivos cuya tecnología considera suficientemente madura, como el ordenador, el portátil, el móvil y el lector de libro electrónico. “En mi casa no hay nada más conectado a internet, ni siquiera el televisor, porque hoy por hoy la balanza beneficio-riesgo no me compensa”, confiesa este experto en vulnerabilidades.
Con todo, deja claro que la solución no es renunciar a los avances tecnológicos sino revisar la legislación para forzar a los fabricantes a hacer productos seguros desde el inicio, a aplicar medidas de prevención como puede ser no colocar contraseñas por defecto sino que cada usuario deba introducir la suya cuando arranque por primera vez un dispositivo, y responsabilizarles de mantener actualizados los aparatos inteligentes que venden.
Guerra económica y contrapoder. El director del CNEC enfatiza que el riesgo y la amenaza que implican los hackers –él los denomina magos “dado que disponen de un conocimiento especializado fuera del alcance de la mayoría de la población”– son inabarcables en la sociedad hiperconectada porque “pueden causar mucho daño a un precio irrisorio”.
Las infraestructuras críticas (las que garantizan servicios que nos permiten vivir en la sociedad actual, como las plantas generadoras de energía, el agua potable o los servicios financieros) son el objetivo más ansiado y también el más protegido frente a la ciberdelicuencia, como ya lo eran frente a las guerras o el terrorismo, porque se estima que una caída total de los sistemas supondría la pérdida de una enorme cantidad de vidas humanas.
“Si no podemos acceder a servicios básicos de distribución de agua o energía, la primera vez que tuviéramos que beber de un charco estaríamos muertos, nuestro sistema inmunológico no aguantaría; eso, por no hablar de la situación zombie que se podría vivir a la hora de acceder a alimentos si falla la cadena logística”, ejemplifica Enrique Ávila.
“Los hackers pueden causar mucho daño a un precio irrisorio; si atacaran la red de agua y tuviéramos que beber de un charco, estaríamos muertos”, ejemplifica el director del CNEC
Considera que no hemos de desestimar el riesgo de que “esos magos” puedan configurarse como un poder sin contrapoder en nuestras sociedades. “Puede parecer una broma, pero no lo es; en la facultad de Derecho, en la primera clase, te enseñan la diferencia entre derecho, ley y justicia; esta última es un desiderátum, algo a lo que se aspira en nuestras sociedades democráticas, pero siempre encuadrado en el respeto a la ley y la disposición de un derecho; pero todos somos testigos de que las redes sociales, la influencia y el relato de la posverdad dejan sin efecto en muchas ocasiones la aplicación del derecho. Y tampoco opera siempre algo tan importante como la separación de poderes”, dice.
El responsable del Centro Nacional de Excelencia en Ciberseguridad advierte que en un mundo interconectado todos los sectores son vulnerables y los ataques cibernéticos también pueden constituir actos de guerra económica para sacar a un competidor del mercado, dañar su reputación, ganar un concurso público para la provisión de servicios esenciales, etcétera. Y cree que con el despliegue de la inteligencia artificial habrá más ataques de este tipo.
“Creamos algoritmos para que tomen decisiones por nosotros, y si puedes predecir cómo actúa el algoritmo, su sesgo, puedes atacarlo para que actúe de determinada manera y alterar mercados o posicionarte en alguno de manera competitiva”, reflexiona Ávila.
Prepararse para el ataque. Está convencido de que “las posibilidades de generar daño tienden a infinito”, pero también de que “el conocimiento, la formación y la concienciación pueden mitigar parcialmente el problema”. Por ello propone invertir más en “planes de resiliencia”, realizar análisis de riesgos y de impacto para implementar contramedidas, concienciar a las direcciones estratégicas de cualquier organización de que la tecnología y la información son el capital principal de su negocio y de que para que este funcione han de disponer de talento en ese área.
Carlos García asegura que las empresas han de dificultar las cosas a los ciberdelincuentes, pero, sobre todo, prepararse para reducir el impacto de sus acciones, porque antes o después van a ser atacadas. El director del CNEC remarca que el consejo es válido para los gobiernos, que han de estar preparados ante la amenaza real de un ciberataque.
“A escala de Estado, un grupo de profesionales de la ciberseguridad hemos propuesto la creación de una reserva estratégica de talento en materia ciber; no se trata de formar un ejército de hackers-magos, sino de reunir profesionales de múltiples ámbitos (juristas, sociólogos, científicos de datos, ingenieros, matemáticos, físicos, economistas, filólogos, filósofos…) incardinados en estructuras pluridisciplinares que puedan valorar y ejecutar respuestas adecuadas a una amenaza en el ciberespacio. Porque para realizar operaciones de influencia en las redes sociales necesitas sociólogos y psicólogos; si has de invocar el artículo 3 de la OTAN por un ciberataque, necesitarás especialistas en derecho internacional…”, señala Enrique Ávila.
Células de superviviencia con expertos analógicos
Resulta difícil imaginar qué pasaría, cómo sería cualquier trámite cotidiano, si un hackeo o una tormenta solar inutilizan los grandes sistemas informáticos. ¿Cómo compraríamos si no se pudiese pagar con tarjeta o sacar dinero del banco? ¿Cómo cobrarían en los supermercados? ¿Cómo atenderían a los enfermos en los hospitales? ¿Quién supervisaría que el agua del grifo es potable? ¿Cómo se controlaría el tráfico aéreo o los semáforos? El director del Centro Nacional de Excelencia en Ciberseguridad, Enrique Ávila, considera que una caída total de los sistemas se cobraría víctimas mortales. Por ello defiende la necesidad de crear kits y células de supervivencia en empresas y organizaciones.
“No sería nada descabellado recuperar o habilitar un espacio y un grupo de personas con conocimientos para resolver los procesos y mantener la actividad de forma analógica para que, en caso de que se produzca una situación en la que no se pueda acceder a la tecnología, haya comunidades que sepan y puedan producir alimentos, potabilizar el agua o proporcionar servicios básicos, porque no se podrá acudir a Google a buscar soluciones ni respuestas”, comenta. Y recuerda que en la Biblioteca del Congreso de los Estados Unidos ya se guarda y mantiene actualizada una guía –en papel– sobre cómo reedificar la sociedad tecnológica si el país involucionase hasta la edad de piedra como consecuencia de un ataque nuclear. “En el caso de un evento que provocara una caída total de los sistemas informáticos, lo ideal sería contar con grupos locales de personas con los conocimientos adecuados para ser autosuficientes en condiciones analógicas”, reitera.
Asumir el riesgo y minimizar consecuencias
La digitalización y la irrupción de la inteligencia artificial no tienen vuelta atrás, y las amenazas y riesgos que conllevan son intrínsecos a la sociedad que nos ha tocado vivir, de modo que toca aprender a convivir con ellos y minimizarlos. Pero para poder analizar y acotar los peligros hay que ser conscientes de ellos. Según los datos de un Eurobarómetro especial sobre ciberseguridad publicado en junio pasado, el 87% de los ciudadanos consultados percibe el cibercrimen como una amenaza para la Unión Europea, un porcentaje que supera en 7 puntos al de hace dos años. Y aunque son menos de la mitad quienes han sido víctimas de algún ataque en Internet, son mayoría quienes se sienten concernidos por el problema y aseguran tomar medidas de protección, como puede verse en los gráficos que acompañan estas líneas. No obstante, las encuestas también muestran que aún son muchos los internautas que admiten no adoptar algunas de las precauciones básicas que recomiendan los expertos, como utilizar contraseñas diferenciadas para cada dispositivo o servicio, cambiarlas a menudo, instalar y renovar los antivirus y mantener el software de los aparatos y las aplicaciones siempre actualizado.
“En todo caso, más que obsesionarnos en fortificarnos hay que pensar en que tarde o temprano seremos víctimas y minimizar las consecuencias de cualquier ataque, y eso significa evaluar si estamos preparados para poder funcionar si un día no podemos acceder a internet, y también guardar copias de seguridad de nuestros equipos, de todo lo que necesitemos o nos interese, y no una copia en la nube, que al fin y al cabo es el servidor de otro y también puede ser atacada”, comenta el experto en seguridad informática Carlos García.