Chantaje cibernético, la penosa lección de Sony

Por ROBERT SAMUELSON

“A la luz de la decisión de la mayoría de nuestros exhibidores de no presentar la película ‘The Interview’, decidimos suspender el estreno en los cines, planeado para el 25 de diciembre.”

Firmado: Sony Pictures Entertainment, 17 de diciembre.

**********

Acabamos de presenciar el primer incidente importante de chantaje cibernético o ciberterrorismo. Sony capituló. Ese hecho no puede ser bueno y oculta un mensaje más perturbador: Nuestra dependencia digital nos expone a fallas catastróficas de servicios básicos.

Antes de la rendición de Sony, los medios generalmente trataron la violación de sus redes de computación como una historia entretenida. Decenas de miles de mensajes electrónicos que se daba a conocer. Comentarios embarazosos realizados por ejecutivos de los estudios (Angelina Jolie como “niña malcriada”). Datos delicados sobre remuneraciones que se publicaban. Todo eso alimentó el apetito del público por los chismes de las celebridades.

Pero ya no. No es una broma.

Este hecho parece marcar un hito. Otros grupos ofendidos podrían imitar el ataque -del que el FBI culpa a Corea del Norte-. Invadirán las computadoras de sus adversarios y, si tienen éxito, utilizarán el torrente de documentos resultante para dañar, extorsionar o avergonzar a sus opositores.

EL PEOR RIESGO

Pero ésa es sólo la consecuencia de primer orden. La piratería infringida contra Sony también nos alerta sobre el peor horror cibernético: la interrupción de sistemas electrónicos esenciales -plantas energéticas, redes financieras, suministros de agua- que crea la anarquía.

Imaginen una ciudad importante sin electricidad por un período extenso. No sabemos cuáles son las probabilidades de que esto suceda, pero están muy por encima de cero, porque gran parte de la vida cotidiana depende de redes digitales vulnerables.

Sony es simplemente la última gran organización que fue pirateada. En la lista encontramos a JPMorgan Chase, Home Depot, Target, los Servicios Postales de Estados Unidos y la Administración Nacional Oceánica y Atmosférica, informa James A. Lewis, del Center for Strategic and International Studies (CSIS). Si estas grandes instituciones no pudieron proteger sus computadoras, ¿por qué debemos creer que las plantas energéticas y otros sistemas esenciales pueden proteger completamente los suyos?

Hasta ahora, los motivos de la piratería, en su mayor parte, han sido criminales y comerciales. Ladrones que roban datos de tarjetas de crédito o todo tipo de información personal para construir identidades falsas. Empresas que hurtan secretos comerciales, planes de negocios y tecnologías de rivales. Generalmente se acusa a los chinos de ese tipo de golpe, que ha sido caracterizado -correcta o incorrectamente- como el mayor robo de propiedad intelectual de la historia humana.

Los negocios van viento en popa. Un estudio de CSIS calcula el costo mundial de la seguridad cibernética entre 375.000 y 575.000 millones de dólares anuales, cubriendo de todo, desde tarjetas de crédito robadas hasta el gasto de proteger sistemas. La cuenta va creciendo. Symantec Corp., una firma de seguridad, dice que el número de irrupciones importantes se elevó un 62 por ciento en 2013, a 253.

CRIMEN Y GUERRILLA

Pero el crimen cibernético y la guerrilla cibernética son cosas distintas. Para sus víctimas, el crimen cibernético puede ser trágico personalmente o fatal comercialmente aunque no supone un trastorno social. Pero ésa es la amenaza de la guerrilla cibernética. Los motivos son políticos. El ataque de Sony fue de ese tipo. Podría ser un precursor.

Hay otros indicios. En octubre, el Departamento de Seguridad del Territorio advirtió que algunos sistemas de control industriales -software utilizado para administrar plantas energéticas y fábricas- están siendo atacados por “malware” (software que corrompe la red) asociados con usuarios rusos. “Esta campaña tiene lugar desde por lo menos 2011,” señaló DHS secamente. El temor: que actores hostiles estén plantando software destructivo en sistemas esenciales de Estados Unidos, que podrían ser activados a voluntad.

Los rusos, los chinos, iraníes y muchos grupos proscriptos tienen motivos para piratear computadoras norteamericanas. Quizás no detectemos todo el malware que entra (Sony no lo hizo) y, aun si lo hubiera hecho, el daño causado a la red puede descubrirse y extirparse sólo después de semanas y meses.

Lo que está emergiendo es una nueva forma de guerrilla con sus propias armas. La ventaja la tienen los atacantes cibernéticos por tres motivos.

Primero, necesitan encontrar sólo un punto de entrada a un sistema de computación, mientras que los defensores deben guardar todos los posibles puntos de entrada. Ante un ataque decidido, la defensa debe ser casi perfecta, no sólo superior.

Segundo, a menudo es difícil determinar quién es el atacante. Eso frustra las represalias, realzando el atractivo de los ataques. Aunque las evaluaciones de inteligencia rápidamente conectaron a Corea del Norte con el ataque a Sony, algunos observadores inicialmente hallaron que las pruebas no eran contundentes.

Tercero, las empresas tienden a invertir poco en seguridad cibernética, dice Allan Friedman de George Washington University. El motivo es que si tiene éxito, no muestra ninguna ganancia sobre la inversión. No genera ingresos ni beneficios. Hay una tendencia a ahorrar. Por supuesto, sin ella, las empresas podrían sufrir enormes pérdidas.

EL FUTURO

¿Estamos mirando hacia un abismo cibernético? Si hablamos con expertos en seguridad, muchos de ellos son relativamente optimistas. Dicen que nuestros sistemas tienen amplia redundancia y copias de reserva. Puede haber fallos, pero los rebotes ocurren rápidamente. Estados Unidos también está desarrollando su propia capacidad de ataques cibernéticos, que sin duda disuadirían a algunos posibles adversarios. Aún así, para que tenga algún valor positivo, la debacle de Sony debe despertar nuestra conciencia sobre nuestra creciente vulnerabilidad digital.