Si
nos atenemos a las dispersas noticias que se reciben desde el ciberespacio
respecto a cómo va yendo su colonización poca duda parece haber de que
-todavía- es un territorio sin ley o donde, como mucho, la aplicación de la ley
no resulta ser muy efectiva, un espacio por tanto propenso al destructivo conflicto
violento más que a la productiva competencia pacífica, un espacio que
incentiva (o al menos no desincentiva) a quienes son más habilidosos para
operar y desenvolverse en él a que
dediquen sus capacidades a destructivas actividades apropiativas tanto o
más que a las pacíficas actividades productivas, es decir que les
incentiva a dedicarse al ciberrobo y la ciberextorsión, (ya sea por cuenta
propia o alquilándose como sicarios para otros), más que a vender sus
capacidades para hacer actividades productivas a cambio de una remuneración. Y
a lo que parece, en las disputas entre hackers y empresas, los “malos” de
momento van sin duda ganando. Como un indicador indirecto de ello baste con
señalar que, sólo en el último año y sólo en los Estados Unidos, las empresas
se han gastado unos 1300 millones de dólares en seguros para cubrir los gastos
asociados al robo de datos.
Se
están generalizando, además, nuevas formas de ciberviolencia. Así, por si el
robo, la manipulación o la destrucción de datos no fuesen suficientes, se está
poniendo de moda un nuevo tipo de ciberdelito: el cibersecuestro. Programas como Cryptowall o Cryptolocker, por
ejemplo, una vez infectan los ordenadores de una red, los convierten en rehenes
encriptando los datos que contienen y manteniéndolos inaccesibles o amenazando
con borrarlos hasta que se paga por ellos un rescate. Pronto, sin duda, lo que
ya han anticipado las películas de ciencia ficción, o sea, el asesinato de la
ciberpersonalidad (que tal y como van las cosas puede llegar a suponer la
muerte real por suicidio del afectado), será algo real.
¿Qué
se puede hacer al respecto? Ésa es la gran pregunta. La solución que
históricamente funcionó en aquellas situaciones similares que se dieron en el
pasado de muchas sociedades en el mundo “real” y que consistió en la
“integración” progresiva en la estructura institucional de las sociedades
pacíficas de los bandidos y delincuentes más eficientes, en cuanto a su
capacidad de ejercer la violencia mediante su conversión, en el brazo armado de
la ley, haciéndolos así de esta manera el arma más adecuada para acabar con el
resto de los bandidos, se ha utilizado y se sigue utilizando repetidamente,
pero no ha resultado igual de efectiva en el cibermundo que como lo fue en las
sociedades históricas. Los hackers reconvertidos en ciberpolicias no han
resultado igual de eficientes, frente al resto de hackers, como lo fueron los
bandidos reconvertidos en la casta guerrera de los estados en el mundo real.
Y
este relativo fracaso se debe a la operación de una simple razón económica cual
es que en tanto que en el mundo real la violencia institucional del Estado
disfruta de lo que se conoce como “economías de escala”, economías que hacen a las fuerzas de seguridad estatales más
efectivas/productivas a la hora de usar la violencia que lo son los bandidos
desorganizados, lo que les llevó tarde o temprano a derrotarlos o a reducirlos
a la marginalidad de la delincuencia; en el ciberespacio no puede por
razones técnicas pasar lo mismo. Las empresas, pese a su tamaño relativo y sus
recursos, no disfrutan de economías de escala similares respecto a sus
ciberatacantes de modo que la productividad/efectividad de cualquier hacker a
su pequeña escala no tiene por qué ser menor que la de los ex-hacker que
trabajan para grandes organizaciones defendiéndolas. Por otro lado, los costes
de dedicarse al bandidaje en el ciberespacio no son muy elevados, cosa que
posibilita el que haya siempre nuevos entrantes en esas ciberactividades
apropiativas, “productivas” para ellos que actúan como predadores y
“destructivas” para las empresas que, a diferencia de lo que muchas veces
acontece en el mundo real, juegan el papel de presas. Por otro lado sucede que
la oferta de nuevos hackers es casi ilimitada: se renueva con cada generación
que alcanza la mayoría de edad informática, por lo que las organizaciones no
pueden dar empleo a la mayoría de ellos sacándoles de las actividades
delictivas.
A
diferencia de lo que acontece en el mundo real del combate militar en el que
por lo general el defensor tiene una ventaja comparativa respecto al atacante
en la medida que conoce mejor el terreno por lo que puede responder a un ataque
rápidamente desplazando sus fuerzas defensivas donde sea necesario, en el
ciberespacio no sucede lo mismo. Aquí, el atacante lleva siempre la ventaja
pues puede elegir a voluntad qué ataque realizar y cuándo y cómo hacerlo. En el
ciberespacio acontece que las empresas se encuentran en lo que los estrategas
militares denominan “la posición del
interior”, aquella situación en que el defensor ha de hacer frente a
cualquier posible ataque, lo que le obliga a dispersar sus fuerzas para cubrir
las múltiples posibilidades que puede adoptar el ataque, en tanto que el
atacante sólo ha de decidirse por uno de los ataques del conjunto de ataques
disponibles, lo que le permite concentrar sus fuerzas y aumentar así su
eficacia y decisividad en la lucha.
La
debilidad que aqueja a las posiciones defensivas en el ciberespacio se acentúa
adicionalmente por el tipo de sistema defensivo que, por ahora, se puede
instrumentar. En efecto, en términos militares cabe hablar de tres tipos de
defensa: defensa pasiva, defensa activa y contraataque. El
primer tipo es estático y su objetivo es la disminución de la efectividad del
ataque pero sin poder afectar al atacante. Por ejemplo, la defensa pasiva ante
un ataque aéreo en el mundo real puede consistir en la dispersión de las
fuerzas propias y su ocultación en refugios y búnkeres. En el ciberespacio, la
defensa pasiva adopta la forma de la infinidad de firewalls, antivirus y
sistemas de alarma, vigilancia, detección y monitoreo de intrusiones en una red
que existe y crece sin cesar. Sistemas de defensa pasiva más sofisticados
incluyen la colocación de señuelos o la
construcción de una suerte de laberintos en los que los ciberatacantes
literalmente se pierdan o les conduzcan a callejones sin salida. CrowdStrike y
CloudFare son empresas que han diseñado programas “despistadores” de este tipo
que tienen el objetivo de confundir a los hackers, es decir, incrementar el
coste de los ataques disminuyendo su efectividad.
Pues
bien, al igual que las defensas aéreas de tipo pasivo, que frente a su bajo
coste tienen el inconveniente de que, al no afectar a los atacantes, no
disminuyen su capacidad ofensiva lo que les permite redoblar sus esfuerzos y
encontrar tarde o temprano vulnerabilidades en el sistema de defensa, lo mismo
sucede en el ciberespacio. Pese a toda la propaganda que acompaña sistemáticamente
al lanzamiento de cualquier nuevo sistema de protección, no hay sistema de
defensa sin “agujeros”. La baratura
de estos mecanismos de defensa pasiva
sólo lo es a corto plazo, pues la carrera de armamentos entre hackers y
empresas que diseñan estos sistemas pasivos de seguridad nunca tiene final.
(Incluso aunque pudiera diseñarse un sistema de defensa pasiva perfecto,
difícilmente puede pensarse que se implementaría pues ninguna empresa
fabricante del mismo tendría el menor incentivo en hacerlo).
Las
defensas activas, por contra, buscan afectar o infligir daños al atacante bien
durante su ataque bien en su “retirada” tras el ataque con o sin botín. En el caso de un ataque aéreo la
defensa antiaérea es un ejemplo de defensa activa. La sabiduría militar siempre
ha mantenido que siempre es mejor, más eficiente, la defensa activa que la
meramente pasiva. Sin embargo, en el ciberespacio, frente al desarrollo de los
sistemas pasivos de defensa, los de defensa activa todavía están en mantillas.
Un curioso ejemplo de uno, ya operativo, lo proporciona el Grupo de
CiberSeguridad de Symantec que creó para una empresa cliente unos falsos planos
de un producto en los que se
introdujeron unos fallos rastreables e inocuos. Cuando más adelante aparecieron
en el mercado negro esos planos falsos, Symantec fue capaz de rastrear la fuga
hasta un subcontratista y actuar legalmente contra él.
No hay comentarios:
Publicar un comentario