2004: Virus Horribilis

Paul Wolfowitz y sus amigos neoconservadores pueden creer que con Sadam Hussein en la c¨¢rcel la humanidad se siente m¨¢s segura. Tambi¨¦n celebrar¨ªan un eventual apresamiento de Osama Bin Laden, present¨¢ndolo como el fin de los instigadores del terrorismo internacional. Sin duda, un an¨¢lisis de esta naturaleza ser¨ªa visceral, y descansar¨ªa sobre postulados hardware, y no intelectual, lo que exigir¨ªa ser completado con una visi¨®n software.

Veinte a?os despu¨¦s de que Fred Cohen introdujese el t¨¦rmino "virus" en el lenguaje de los ordenadores, todav¨ªa no hemos aprendido que un pa¨ªs puede paralizarse sin que le disparen un solo tiro, simplemente compartiendo informaci¨®n. Recientes estudios calculan que este tipo de virus provocan da?os anuales a la econom¨ªa de EE UU de 60 billones de d¨®lares. La propagaci¨®n a trav¨¦s de Internet de enfermedades digitales como Sobig, Slammer, Blaster o MyDoom no ha tenido, desgraciadamente, un combate universal equivalente al que Nelson Mandela lidera en la lucha contra el sida.

En los inicios, los contaminadores eran investigadores universitarios que gozaban de encontrar vulnerabilidades a los sistemas inform¨¢ticos. Con posterioridad se unieron j¨®venes socialmente inadaptados que evidenciaban su rebeld¨ªa haciendo valer su inteligencia y, hoy d¨ªa, pueden ser editores de spam, defraudadores financieros o agentes de marketing directo. Pero tambi¨¦n pueden ser terroristas que ponen en riesgo a gran parte de la humanidad sin autoinmolarse con un ataque suicida. El ciber-terrorismo es menos her¨®ico que el b¨¦lico, pero puede ser tan letal. El planeta dispone de l¨ªderes conocidos en la lucha contra el terrorismo hardware, pero carece de cruzados pol¨ªticos contra el terrorismo software. En EE UU el Department of Homeland Security es el responsable de velar por la National Strategy to Secure Cyberspace, cuyos objetivos son la prevenci¨®n de ciberataques contra infraestructuras cr¨ªticas del pa¨ªs, reducir la vulnerabilidad nacional ante la eventualidad de dichos ataques, minimizar el da?o producido y acelerar los tiempos de recuperaci¨®n de los elementos afectados. Desgraciadamente, esta estrategia descansa en la cooperaci¨®n voluntaria entre los sectores p¨²blico y privado, aspecto no materializado hasta el momento m¨¢s all¨¢ de las declaraciones de buenas intenciones sobre la ciberhigiene.

Sin legislaci¨®n que se?ale los est¨¢ndares de seguridad que deben seguir los bancos, las compa?¨ªas el¨¦ctricas y de agua, los hospitales, centros de emergencia, los operadores de comunicaciones, fabricantes de equipos inform¨¢ticos, los desarrolladores de aplicaciones etc., los hackers continuar¨¢n aprovechando las grietas de los programas o las inadecuadas precauciones de los propietarios de equipos inform¨¢ticos. Lo grave es que los tiempos entre el descubrimiento de la vulnerabilidad de un sistema y su explotaci¨®n criminal se est¨¢ acortando aceleradamente. En ausencia de una regulaci¨®n coercitiva en este dominio, no es de extra?ar que las inversiones de las empresas estadounidenses en sistemas de seguridad hayan crecido a tasas inferiores al 5%, aun desde los ataques del 11 de septiembre. Si las empresas no est¨¢n obligadas a informar, o a ser auditadas, sobre sus sistemas de seguridad digital, el peligro de trasgresi¨®n siempre ser¨¢ patente. Si las empresas inform¨¢ticas gastan ingentes cantidades en campa?as de publicidad ponderando las excelencias de sus productos en t¨¦rminos de rapidez, capacidad, econom¨ªa... y no invierten suficientemente en materia de su seguridad, estar¨¢n administrando cloroformo medi¨¢tico. Los fraudes cometidos por directivos de Enron, WorldCom, Tyco y otros, originaron la conocida ley Sarbanes-Oxley por la que se responsabiliza a los ejecutivos de las empresas que cotizan en Bolsa sobre la preparaci¨®n y aprobaci¨®n de sus informes financieros. Algo equivalente deber¨ªa ser concebido en materia de sistemas de seguridad inform¨¢tica.

La fragilidad de los sistemas inform¨¢ticos del sector privado no devienen m¨¢s robustos cuando consideramos el sector p¨²blico, ni siquiera en los EE UU, que dispone de la Federal Information Security Management Act y la supervisi¨®n de la Office of Magement and Budget. En efecto, la Federal Computer Security Score Card califica al conjunto de los sistemas de seguridad del gobierno federal con una discret¨ªsima "D", lo cual significa que la mayor¨ªa de las agencias federales suspenden en esta disciplina. Curioso resulta que el Department of Homeland Security y el Department of Interior and Justice (encargado de perseguir el cibercrimen) sean suspendidos con una "F". Panorama desalentador cuando los ataques inform¨¢ticos han sufrido un incremento del 40% en el ¨²ltimo a?o, seg¨²n el CERT.

La alarma que provoca esta depauperada situaci¨®n no es exagerada. Las simulaciones de ataques terroristas sobre los sistemas inform¨¢ticos de la Administraci¨®n en sus diversos estamentos, bancos, compa?¨ªas de gas, agua, electricidad..., combinados con ataques f¨ªsicos de naturaleza virtual, mediante ejercicios del tipo Livewire, evidencian lagunas importantes en el flujo de informaci¨®n entre las organizaciones afectadas. Dudas como a qui¨¦n hab¨ªa que evacuar consultas urgentes en medio del ataque, qu¨¦ tipo de informaci¨®n debe ser transferida de un centro a otro, la calificaci¨®n de hecho relevante..., en suma, caos en los campos de la gobernabilidad en caso de contingencias y ausencia de procedimientos efectivos de comunicaci¨®n institucional.

En el plano internacional, la seguridad digital no parece ser la preocupaci¨®n prioritaria de Naciones Unidas. Cuando la mayor¨ªa de la humanidad no utiliza Internet, Naciones Unidas emplea sus energ¨ªas en crear grupos de trabajo que estudien una democratizaci¨®n de la gobernaci¨®n de la red. En otras palabras, lo que importa es el c¨®digo de circulaci¨®n, aunque no haya, ni vaya a haber en un tiempo razonable, coches en la calle. Pretender cercenar los trabajos de ICANN (la organizaci¨®n sin ¨¢nimo de lucro con base en California que gestiona el sistema de direcciones electr¨®nicas) simplemente porque los pa¨ªses del tercer mundo no est¨¢n representados en sus ¨®rganos de gobierno, es mucho m¨¢s que surrealista. A modo de mera ilustraci¨®n, Luxemburgo tiene mayor capacidad de Internet que los 760 millones de habitantes de ?frica.

Las armas que la industria inform¨¢tica ha presentado para librar la batalla de la seguridad son insuficientes. El sistema de parches de seguridad, las actualizaciones de sofware anti-virus, los antispyware, los firewalls... son manifiestamente insuficientes, al tiempo que son dif¨ªciles de gestionar por representar un n¨²mero incesante de versiones. Adem¨¢s, cuando una compa?¨ªa controla el 90% de los sistemas operativos instalados en los ordenadores personales del mundo, parece obvio que se convierta en el campo de batalla preferido de los hackers, incluso, en entornos como los cajeros autom¨¢ticos o tel¨¦fonos m¨®viles, especialmente los que utilizan tecnolog¨ªa 3G; en suma, los virus son m¨¢s da?inos cuando se opera en una monocultura. La falta de formaci¨®n sobre seguridad en la red que muestran muchos usuarios es un factor de complejidad, unido al hecho de que la responsabilidad de los fabricantes de software sobre su seguridad queda mitigada por su f¨®rmula contractual de "venta de licencias para utilizar su software" en lugar de "venta de su software". Seamos prudentes. La nueva pandemia universal puede llamarse inseguridad electr¨®nica y Al-Qaeda, quiz¨¢s, se est¨¦ frotando las manos.

Jos¨¦ Emilio Cervera es economista.jecervera@mixmail.com