El negocio de la extorsi¨®n en un mundo sin cortafuegos

Stuxnet fue dise?ado y ejecutado por la inteligencia estadounidense y el Ej¨¦rcito israel¨ª en 2010 para sabotear de forma remota una planta de enriquecimiento de uranio a 180 kil¨®metros al sur de Teher¨¢n. Fue el primer ciberataque contra una infraestructura cr¨ªtica, y tuvo ¨¦xito porque la planta usaba el est¨¢ndar en sistemas de automatizaci¨®n industrial: Microsoft Windows y CLP de Siemens. Los atacantes pudieron encontrar vulnerabilidades, testarlas sin riesgo en su laboratorio y perfeccionar su estrategia antes de atacar. Una vez suelto, Stuxnet pudo propagarse y prosperar atacando cientos de sistemas id¨¦nticos en Ir¨¢n y el resto del mundo. Todos los monocultivos degradan el sistema y comprometen su inmunidad, pero la falta de diversidad en el mercado del software es solo una de las muchas condiciones que han convertido el negocio de los rescates online en un lucrativo sector de baja inversi¨®n, poco riesgo y explosiva rentabilidad.

El imperio global de soluciones como Microsoft Exchange, Kaseya o SolarWinds ofrece un terreno uniforme para la propagaci¨®n de los virus, que son ¡°liberados¡± en busca de puntos d¨¦biles y siempre los encuentran. Son el sistema linf¨¢tico de la red, un universo de trabajadores estresados, administradores remotos, ejecutivos irresponsables y drivers sin actualizar. Otro foco de infecci¨®n es la galaxia de miles de millones de objetos presuntamente inteligentes dise?ados por empresas sin presupuesto de seguridad. Despu¨¦s hay otros incentivos, que favorecen el crecimiento del crimen organizado.

Para empezar, se denuncia poco. A las multinacionales y grandes infraestructuras privadas les sale m¨¢s rentable pagar un rescate que reconstruir el sistema y ocultan los ataques para proteger su reputaci¨®n. La nobleza feudal del capitalismo prefiere quemar dinero que admitir debilidad. Segundo, la estructura descentralizada de las criptodivisas permite que se puedan mover grandes sumas de dinero sin burocracia ni alarmas, sin el riesgo de una intervenci¨®n policial.

Tercero, no es f¨¢cil atribuir los delitos, por que se trata de un mercado altamente colaborativo de servicios para la extorsi¨®n online (Ransomware as a Service o RaaS). Los grupos como REvil o DarkSide no s¨®lo venden su c¨®digo para atacar y encriptar sistemas, sino tambi¨¦n una infraestructura de comunicaciones segura para negociar el rescate y acceso a foros y medios de noticias para volcar los datos cuando la v¨ªctima no paga. Hay quien cobra por devolver el acceso al sistema y quien cobra por no compartir los datos con otros o volcarlos en la Red. Cuando hacen las dos cosas, se llama una doble extorsi¨®n.

Otro motivo es que los principales carteles operan en pa¨ªses cuyo gobierno hace la vista gorda, a condici¨®n de que no ataquen dentro de sus fronteras y est¨¦n disponibles para operaciones patri¨®ticas. ¡°Los hackers son esp¨ªritus libres, como artistas que se levantan una ma?ana de buenas y se ponen a pintar ¡ªexplicaba Vlad¨ªmir Putin en una rueda de prensa con medios internacionales en 2017¡ª. Hay d¨ªas que se levantan, leen las noticias y, si se sienten patri¨®ticos, tratan de hacer la contribuci¨®n que consideran justa contra los que maldicen a Rusia¡±. Por eso es tan dif¨ªcil distinguir los ciberataques militares o estatales de los genuinamente pecuniarios, o atribuir el ataque a un grupo criminal que alquila sus servicios a cambio de un porcentaje del bot¨ªn.

Finalmente, es habitual que un grupo utilice herramientas robadas a otro grupo, especialmente si trabaja para la inteligencia estadounidense, como el FBI o la NSA, y que luego las vuelque en la red para borrar sus huellas. Sea como sea, sin atribuci¨®n no hay denuncia y, sin denuncia, no hay orden de registro ni investigaci¨®n.

Kaspersky advirti¨® que Stuxnet ser¨ªa el comienzo de una nueva carrera armament¨ªstica mundial y ten¨ªa raz¨®n. Pero no hace falta que un ataque sea tan sofisticado para conseguir su objetivo. Seg¨²n un estudio de HP, solo el 20% de los ataques de la ¨²ltima d¨¦cada han utilizado herramientas a medida dise?adas por equipos de ¨¦lite, tanto criminales como servicios de inteligencia. La mayor parte son ataques realizados por hackers inexpertos con programas de software que se puede comprar en la red. En otras palabras, el enemigo casi nunca es excepcional, pero nosotros somos excepcionalmente d¨¦biles. Necesitamos desarrollar inmunidad de grupo, y ese proyecto solo puede ser deliberado, colectivo y sist¨¦mico.

Marta Peirano es periodista. Es autora de ¡®El enemigo conoce el sistema: Manipulaci¨®n de ideas, personas e influencias despu¨¦s de la Econom¨ªa de la atenci¨®n¡± (Ed. Debate)

Suscr¨ªbete aqu¨ª a la newsletter semanal de Ideas.