✍️ ESPECIAL: No, no es la primera ciberguerra mundial
Koldo Urkullu nos explica que los conflictos en el mundo electrónico existen.
Es una gozada escribir para esta comunidad semana a semana. Cada vez somos más (casi 6.000). Y cada vez salen comentarios y aportaciones más relevantes. Hace unos días, a raíz de la # 48 ¿La primera ciberguerra mundial de la historia?, en la que lanzaba la pregunta de si estábamos ante la primera ciberguerra, me escribió Koldo. Me comentó que los conflictos en el mundo electrónicos son muchos y variados. Le animé a desarrollar la idea y compartirla en este espacio.
Koldo me suele decir que es un “escritor frustrado”. Tuve el placer de tenerle como alumno, y no solo destaco su brillantez en las aulas, sino también con la pluma en la mano. Ex-alumno de la mejor facultad de Ingeniería del mundo mundial (Deusto Ingeniería), es un profesional de la Ciberseguridad. Gran persona, y mejor ingeniero, no se pierdan sus habilidades para narrarnos que no, no estamos ante la primera ciberguerra mundial.
Los conflictos en el mundo electrónico existen. Es algo real aunque los medios todavía lo muestren como algo muy reciente y cinematográfico. No obstante, sorprende más el hecho de que llevan con nosotros más de quince años ajustándonos a las fechas mayoritariamente consensuadas por los profesionales del sector. No faltan analistas que defienden sólidamente las dos décadas. Ya no es sólo ciencia ficción de William Gibson.
Los inicios silenciosos: Hacktivismo, Censura y Nacionalismo digital
Conflictos como el actual entre Rusia y Ucrania empujan y visibilizan el concepto de ciberguerra. Se empieza a dejar ver a principios de este siglo con la censura digital y los subterfugios para burlarla. En China se levanta el gran cortafuegos (The Great Firewall), que no deja de ser el mayor sistema de censura existente en Internet y como consecuencia aparecen las formas de evadirlo. Primero como acciones individuales que saturan los mecanismos que consultan las listas de destinos censurados haciendo que, ante esta saturación, se permitan mayor cantidad de accesos con el fin de desatascar los sistemas. No duraría mucho. Al equivalente chino de la Operación Millenium en España se respondería allí con sistemas periféricos más restrictivos y penas de cárcel. Las quejas de los ISP chinos con respecto a las pérdidas de calidad del servicio y de privacidad se encuentran con los oídos sordos de su gobierno.
La población cambia su estrategia hacia las VPN (proporcionadas mayormente desde Hong Kong) para salir a Internet sin censura. Prohibidas incluso a día de hoy pero mucho más difíciles de controlar. En 2010 en Ebay es el producto más demandado por usuarios chinos quienes, irónicamente, no pueden obtenerlo desde dentro de su territorio. Incluso a día de hoy turistas en el gran país asiático no son conscientes de estar cometiendo un delito. Venezuela y la isla de Aruba siguieron un esquema similar a mucha menor medida. Es curioso que, a día de hoy, incluso con la gran evolución tecnológica que ha tenido lugar en quince años, los gobiernos siguen recurriendo a la censura de medios de información y redes sociales. Rusia acaba de cortar el acceso a Facebook y Twitter. Ningún problema, ya que el gobierno de Putin ofrece los sustitutos Vkontakte y la mensajería de Yandex. Censura y exhibición de músculo propio al mismo tiempo. Ya en su momento China había apartado a Google para masificar su Baidu y margina a Amazon para impulsar AliExpress. Nacionalismo electrónico con mayúsculas.
Si bien a principios de siglo comienzan a aparecer las ciberescaramuzas para tumbar sistemas de control y censura, se considera el inicio de la ciberguerra tal como la conocemos hoy en un conflicto entre Rusia y Estonia en 2007. Por qué se origina esto y cómo es que no nos habíamos dado cuenta hasta que estallan el conflicto armado. Dos grandes causas: las tecnológicas y las político-sociales. Las primeras son exclusivas de esta modalidad de conflictos pero las segundas son intrínsecas a todas las guerras humanas.
Causas tecnológicas. Hardware y Software.
Las causas técnicas son bastante evidentes una vez que asumimos que nuestras redes de comunicación y nuestros dispositivos conectados a ellas son cada día más complejos. En cualquier producto moderno (entendamos moderno como un dispositivo que cuenta con una batería recargable) la parte tangible y física (hardware) es probada concienzudamente. Los coches pasan por muchas pruebas hasta demostrar que son seguros para los pasajeros. Nos espanta que las baterías de los primeros móviles exploten. Incluso más allá del mundo tecnológico los medicamentos no pueden cambiar sus procesos de fabricación una vez que demuestran ser seguros. Deben demostrar su seguridad por adelantado.
Por otro lado aceptamos que el software sea moderadamente defectuoso mientras que nos lo puedan arreglar rápido. Los videojuegos lanzan en su primera semana de vida parches de día cero (¿pero no se supone que estoy pagando por un producto terminado?). Nuestro sistema operativo se actualiza constantemente. El salto mundial a Internet doméstico en occidente se da a mediados de los noventa. Microsoft, entonces propietario del sistema operativo mayoritario, arranca su iniciativa Trustworthy Computing para impulsar la seguridad una década después.
El hardware lo queremos seguro desde el principio, el software puede estar menos fino hoy si mañana nos lo arreglan, pero esto se acaba convirtiendo en una falacia peligrosa. En el mundo de la ciberseguridad el software nunca está arreglado del todo, siempre acaban apareciendo vulnerabilidades nuevas, y esta probabilidad aumenta exponencialmente de modo equivalente a la ley de Moore. Tardaríamos unos años en darnos cuenta de que en este paradigma nos estamos olvidando de los sistemas industriales donde la disponibilidad es tan crítica que precede a la misma corrección de vulnerabilidades. Éramos miopes y lo íbamos a pagar caro. Sin embargo, sí que nos fijamos en la aparición del Internet de las Cosas. Un blog de un reputado analista de seguridad avisaba sobre el peligro de que todas estas cosas conectadas a la red podían usarse como vector de ataque. Efectivamente, una semana después, este blog sufría un irónico DDoS demostrando así que el internet de las cosas puede utilizarse para atacar blogs que alertaban sobre el peligro del internet de las cosas. Sorprende la variedad de dispositivos que pueden ser utilizados: En 2012 semáforos, en 2013 sistemas de calefacción y aire acondicionado, en 2016 cámaras y, ya el colmo, en 2017 un acuario.
Causas políticas. Nada nuevo
Las causas político sociales son las mismas que pueden darse en cualquier guerra o conflicto humano. Son intrínsecas a la historia, el gobierno y la visión identitaria de países y territorios. La censura china proviene de una frase de Deng Xiaoping; "Si se abre una ventana entrará aire fresco, pero también entrarán moscas".
El casus belli que inicia la ciberguerra entre Estonia y Rusia en el 2007 se debe a una estatua dedicada a los Liberadores de Tallín. Para los rusoparlantes representaba la victoria de la URSS sobre el nazismo. Los estonios no consideraban a los soldados soviéticos como unos liberadores sino como ocupantes, así que la estatua era un símbolo de la opresión. El gobierno estonio decide trasladar la estatua a un cementerio militar a las afueras de la ciudad, lo que llevó a los rusos de un lado de la frontera a manifestarse en contra y a los rusos al otro lado de la frontera a iniciar una campaña de ciberataques nunca vista hasta entonces.
Sorprende la similaridad con la situación actual de Ucrania. Existe en Estonia una región al este con más afinidad rusa que el resto; el condado de Ida-Viru. Hoy con tres cuartas partes de población rusoparlante descendientes del éxodo soviético desde final de la URSS. Existe el antecedente de un referéndum de anexión a Rusia en 1993 que se descartó por parte de las autoridades estonias debido a acusaciones de pucherazo y a la baja participación (55%) debida mayormente a las fuertes restricciones para que los extranjeros votasen, en aquel entonces rusos casi todos. Hoy en día sigue siendo parte de Estonia y es una potente zona industrial del país, exactamente igual que el Donbass ucraniano.
La ofensiva digital en 2007
Tras dos días de manifestaciones en Estonia, los servicios online de los bancos, los medios de comunicación y las agencias gubernamentales resultaron afectados. Los cajeros automáticos se bloquearon y no se podía ni enviar un solo email entre funcionarios del gobierno. Los periodistas no podían comunicar noticias en tiempo real, había que esperar a la edición impresa del periódico o al noticiario televisivo para informarse.
No se consigue probar fehacientemente la complicidad del gobierno ruso en tales ataques, pero se descubren manuales en ruso y un nivel de coordinación que difícilmente había podido ser improvisado en el momento. Los grupos hackers rusos de principios de siglo (germen entonces y núcleo hoy del Servicio de Inteligencia electrónica del ejército ruso) siempre han sido extremadamente hábiles en la planificación de sus ataques y en la retirada de pruebas. Ya tenían amplia experiencia en este asunto, podríamos decir. Cuando todavía la NSA luchaba por controlar la existencia de la red TOR y años antes del modelo de negocio de Cloud Computing, los activistas rusos ya ofrecían servicios efímeros (e ilegales) donde las propias máquinas físicas que los alojaban habían desaparecido en 24 horas.
Las Infraestructuras críticas
Y desde entonces no hemos ido a mejor. En 2008 se lleva a cabo el primer ataque coordinado a una infraestructura crítica compuesta por sistemas industriales cuyo software ha hibernado anclado todavía en ciclos de revisión y seguridad propios de los años noventa. El oleoducto Bakú-Tibilisi-Ceyhan, en su paso por Turquía, recibe ataques simultáneamente a los sistemas de compuertas de presión y a los sistemas de monitorización de la misma, dejando ciegos a los operadores sobre lo que está sucediendo.
En 2010 sale a la luz un ciberataque dirigido por gobiernos. Es la primera vez que un malware lleva una bandera y se dirige contra otra bandera concreta. Stuxnet se crea con colaboración de Israel, USA y China (estos últimos por la firma de los drivers empaquetados). Se orienta exclusivamente una actividad concreta de un país determinado; la destrucción de centrifugadoras de uranio en Irán. Stuxnet se activaba únicamente si detectaba el sistema SCADA concreto que acompañaba a esas centrifugadoras y las aceleraba hasta que se rompían. Las pérdidas económicas son tremendas. Irán, que estaba al borde de la bancarrota por las sanciones internacionales, nunca ha sido transparente con ese número. La poca transparencia del país y que haya trascendido una cantidad tan alta de centrifugadoras destruidas nos da una idea de la magnitud del éxito de este ciberataque.
Las primeras víctimas humanas
Quedaba algo extremadamente peor. Entre 2010 y 2012 la petrolera Aramco y varios de sus principales oleoductos saudíes son atacados electrónicamente a través de sistemas de control industrial vulnerables. De nuevo sistemas SCADA desactualizados. El régimen de Riad tampoco es transparente con las consecuencias, pero se cifran en millones de dólares en petróleo y posibles vidas humanas sin confirmar. Curiosamente le seguirían varios meses de subida continuada del precio del crudo. Se considera a Irán como responsable de estos ataques.
A varios miles de kilómetros, entre India y China, en plena tensión por el conflicto de Cachemira, China ataca subestaciones eléctricas cercanas a la frontera india dejando a decenas de hospitales sin luz. Aquellos pacientes conectados a sistemas de soporte vital fallecen en minutos. ¿Somos capaces de imaginar lo que hubiera pasado 10 años después en plena pandemia de Covid-19 con los pacientes conectados a los respiradores artificiales?
Ningún país hasta este momento es transparente con los impactos sufridos ni con la existencia de un cuerpo militar profesionalizado orientado a la ciberguerra. Años después tendríamos informes de las Naciones Unidas sobre el Ejército electrónico de Siria, de Irán y de China. Parece que este debería ser el momento donde aceptaríamos la existencia de la ciberguerra, pero por alguna razón todavía se sigue viendo como ficticio y nos llaman más la atención los actos de Anonymous, que no dejan de ser consecuencia de todo lo anterior, o LulzSec que busca infantilmente la destrucción por diversión. La sociedad civil, en su faceta comprometida o nihilista, hace su aparición en el teatro de la ciberguerra y a pesar de ello nos quedamos mirando la máscara de Guy Fawkes (generando millonarios beneficios a Warner Bros, cabe destacar).
Las nuevas trincheras entre Rusia y Ucrania
En 2014 la inteligencia militar rusa ataca una estación eléctrica en el óblast de Ivano-Frankivsk causando un apagón de 6 horas a casi un cuarto de millón de personas. Este ataque coincide con el recrudecimiento en las masivas protestas del EuroMaidán, iniciadas por quienes apoyaban el acercamiento del país a la Unión Europea y que causan la huida del presidente prorruso Yanukóvich, quien escaparía del país en helicóptero durante la noche. En el óblast donde tiene lugar el ataque, la candidata proeuropeista (Tymoshenko) había obtenido mejores resultados que el prorruso (Yanukóvich) con amplia diferencia. El ataque es obra del grupo ruso de hackers Sandworm.
Al año siguiente este mismo ataque mucho más refinado y automatizado tiene lugar en Pivnichna al sur de Kyiv. El apagón dura menos tiempo (una hora aproximadamente) pero afecta a un área mucho más poblada. Una hora sin luz sigue siendo fatal para muchos pacientes ingresados en hospitales de la zona. La ciberarma utilizada se llama CrashOverrride y los analistas forenses que investigaron el suceso detectan innegables similaridades en el modus operandi.
Desde 2017 Rusia golpea las webs de bancos, ministerios, prensa y utilities ucranianas causando no sólo indisponibilidad de los servicios web (evitando así que los ciudadanos o clientes accedan a sus trámites o servicios) sino también inutilizando los puestos de trabajo de funcionarios y empleados de las compañías mediante ransomware que ataca e inutiliza sistemas Windows (vulnerabilidad EternalBlue). En 24 horas llegaría a extenderse por países vecinos y otros más lejanos como Francia, Estados Unidos y Australia. La ciberguerra no entiende de fronteras ni distancias, sólo de líneas de comunicaciones y medidas de seguridad.
Desde los gobiernos occidentales comienza a revolotear la idea de castigar los ciberataques deliberados como en la guerra tradicional, pero quien ha de tomar las decisiones no se lo acaba de creer. Los mayores castigos a los ciberataques se quedan en declaraciones formales de políticos, sanciones comerciales y alguna expulsión de diplomáticos. En 2021 asomaba tímidamente el asunto de la ciberguerra durante la cumbre de Ginebra. En una frase del mismo Putin: «la esfera de la ciberseguridad es extremadamente importante para el mundo en general, incluyendo a Estados Unidos y Rusia en el mismo nivel». No cuajó y no salió nada de allí. El mundo se quedó con la anécdota del primer cara a cara entre Biden y Putin.
En 2022 estalla el conflicto armado ruso-ucraniano donde el inicio de las agresiones y la apabullante superioridad militar rusa hace que el resto del mundo occidental empatice con Ucrania. Nos encantan las posibilidades de victoria del débil en una aparente causa perdida. Sin embargo, en el terreno digital la cosa ha cambiado. Ahí los dos países se tratan de igual a igual. En la primera semana caen las páginas del kremlin y del ejército ruso por ciberataques ucranianos. Desde Rusia una oleada de ciberataques no demasiado coordinados sirve como cortina de humo para lanzar un nuevo ransomware (HermeticWiper) y deciden, en la primera semana de marzo, destruir una de las torres de comunicaciones centrales de Ucrania; todavía está por ser analizado detalladamente el efecto que esto tiene en el ciberespacio.
Y el resto es conocido: se expulsa a Rusia de la red bancaria SWIFT, se congelan sus activos electrónico-bancarios en Europa y se atacan, por parte de Anonymous, las principales casas de cambio en Rusia para comprar criptomonedas. No será algo que detenga a las grandes fortunas de los magnates, sin embargo, puede que les haga perder entre un 10% y un 30% de su valor efectivo (por la caída del rublo en los primeros días y la intervención de los países). A oligarcas que se gastan medio millón de euros en un permiso para saltarse semáforos en rojo todo esto les duele, pero no mutila. Al gobierno que se nutre con sus tributos de un modo casi feudal tampoco. La guerra electrónica está hoy a la par con la guerra económica; igual de relevante, igual de real y de enraizada en todos los movimientos. Es de esperar que así ha de seguir hasta que uno de esos conflictos nos haga retroceder. Einstein dijo que no sabía cómo se libraría la tercera guerra mundial, pero que la cuarta sería con palos y piedras. Esto último por suerte, todavía sí es ciencia ficción.
He terminado hace poco de leer "Así es como me dicen que se acabará el mundo" de Nicole Perlroth. Narra todo esto que cuenta Koldo: el mercado de las vulnerabilidades de días cero, lo mucho que participan los gobiernos, ataques conocidos, y mucho más. Y me temo que lo que cuenta será la puntita de la puntita del iceberg...