Per qu¨¨ som uns inconscients digitals?

¡°Inconsci¨¨ncia digital¡±. El concepte el va proposar la professora Mireille Hildebrandt a Les tecnologies intel¡¤ligents i els l¨ªmits de la llei. Era el 2015. Per¨° la gran majoria fem com si no tingu¨¦ssim vida digital. Malgrat que gaireb¨¦ el 95% de la poblaci¨® es connecta regularment a internet (ho diu l¡¯Institut Nacional d¡¯Estad¨ªstica), pocs percebem que vivim entre dos mons. Un el coneixem b¨¦. L¡¯altre ¨¦s l¡¯online i, malgrat que hi desenvolupem gaireb¨¦ el 50% de la nostra activitat, ¨¦s molt m¨¦s desconegut.

Les institucions s¡¯esforcen (i fan b¨¦) a reduir l¡¯escletxa digital. El coneixement de la tecnologia no pot ser un impediment per entrar en aquest metavers, no d¡¯avatars i realitat virtual, sin¨® m¨¦s prosaic. S¨®n les noves maneres d¡¯aconseguir cita al CAP, pagar impostos, lligar o matricular-se a la universitat. Per¨° cada cop que afavorim fer per internet all¨° que fins ara f¨¨iem sense la intervenci¨® de cap aparell inform¨¤tic, incrementem la inconsci¨¨ncia. Cal acompanyar la transici¨® al m¨®n virtual d¡¯una pedagogia adient, un ma?nual d¡¯¨²s que ens previngui del que significa aquesta nova manera de fer les coses.

Els ciutadans avui som amfibis, a cavall de dos medis. Ens ens sortim molt b¨¦ en superf¨ªcie, per¨° desconeixem qu¨¨ ens pot passar quan ens capbussem a la web, sigui o no profunda.

Fa poc m¨¦s d¡¯un any, un atac de ran?somware va inutilitzar els serveis inform¨¤tics de la Universitat Aut¨°noma de Barcelona. El mateix tipus d¡¯atac que aquest octubre ha filtrat 52 gigues d¡¯informaci¨® confidencial m¨¨dica de pacients de diferents centres del Consorci Sanitari Integral a Catalunya. B¨¦ sigui com a estudiants de la universitat, b¨¦ com a pacients d¡¯un centre de salut, demanem als responsables dels serveis que vetllin per la seguretat de les nostres dades, per¨° no som conscients de la nostra corresponsabilitat en la seguretat dels sistemes inform¨¤tics que utilitzem.

A la nostra vida anal¨°gica prenem un m¨ªnim de precaucions: tanquem la porta amb clau, vigilem la bossa en llocs p¨²blics... per¨° el nostre comportament general respecte de la tecnologia es podria considerar irresponsable. La digitalitzaci¨® ens aboca a un entorn perill¨®s. I el m¨¦s greu: no ho sabem i la nostra actuaci¨® pot incrementar molt els perills a qu¨¨ fem front. Com diu Hildebrandt: som uns inconscients.

La inconsci¨¨ncia digital es produeix principalment per desconeixement. Tamb¨¦ per una falsa sensaci¨® d¡¯invulnerabilitat, que ens fa pensar que el que veiem a les not¨ªcies no ens pot passar a nosaltres. En paraules de Ren¨¦ Serral, responsable acad¨¨mic del pioner Coordinaci¨®n de Emergencias en Redes Telem¨¢ticas (esCERT), ¡°no cal ser ric perqu¨¨ t¡¯atraquin pel carrer, a internet la majoria som turistes despistats¡±. Tots hi estem exposats, individus, institucions, empreses, estats... Tots els qui tenim una vida digital podem ser v¨ªctimes, b¨¤sicament perqu¨¨ criminals i delinq¨¹ents tamb¨¦ han fet el salt al m¨®n virtual.

Universos diferents, proteccions diferents

Una de les grans paradoxes que observem en el ciberespai ¨¦s el tipus de precaucions que prenem els usuaris. Tendim a reproduir les mesures de protecci¨® a qu¨¨ estem acostumats en l¡¯entorn tradicional. Utilitzem antivirus com qui es vacuna (i est¨¤ molt b¨¦) i usem contrasenyes m¨¦s o menys com les claus de casa (i amb les directrius correctes, ¨¦s del tot recomanable), per¨° realitats diferents requereixen funcionaments diferents. No podem protegir una botiga online de la mateixa manera que ho far¨ªem per a un establiment a peu de carrer. O els nostres diners com ho f¨¨iem quan eren de paper.

Amy Zegart, professora a Stanford i assessora de governs en pol¨ªtiques de ciberdefensa, destaca les cinc grans difer¨¨ncies que hi ha entre el ciberespai pel que fa a riscos i amenaces.

Les empreses m¨¦s cotitzades a la borsa s¨®n les m¨¦s avan?ades tecnol¨°gicament i les m¨¦s vulnerables als ciberatacs

En la manera de pensar tradicional, els qui tenen la tecnologia m¨¦s sofisticada s¨®n tamb¨¦ els m¨¦s poderosos. Entre els ex¨¨rcits o la policia, aquells que disposen de les armes m¨¦s avan?ades i en un nombre m¨¦s gran, s¨®n tamb¨¦ els m¨¦s forts. En el ciberespai ¨¦s just al contrari: aquells que tenen m¨¦s tecnologia s¨®n alhora els m¨¦s vulnerables. Si parlem d¡¯empreses, les m¨¦s cotitzades a la borsa s¨®n les m¨¦s avan?ades tecnol¨°gicament, i a la vegada s¨®n les m¨¦s vulnerables als ciberatacs. El 2017, el ransomware Wannacry, ho va fer evident.

La segona difer¨¨ncia ¨¦s la superf¨ªcie d¡¯atac. Al ciberespai ¨¦s enorme, i indubtablement molt m¨¦s gran. Quan protegim les nostres cases, empreses o incl¨²s estats, els llocs on concentrem els esfor?os estan molt ben identificats: assegurem portes i finestres, caixes fortes i cambres cuirassades, protegim fronteres. Identifiquem clarament els llocs vulnerables i actuem proporcionalment per protegir-los.

En el m¨®n digital, en canvi, cada nou dispositiu, cada aplicaci¨® o programa inform¨¤tic, cada connexi¨® a la xarxa, cada funcionalitat avan?ada que afegim, suposa una nova amena?a. Els punts vulnerables creixen constantment i sense que depengui completament de nosaltres.

Directament i indirectament, estem en mans del correcte funcionament d¡¯una realitat electr¨°nica que no acabem d¡¯entendre i controlar. Perills fortu?ts o atacs premeditats que no avisen que ens ho poden trasbalsar tot. Penseu en els cotxes actuals. Ja no ¨¦s mec¨¤nica, el que s¡¯ha de saber per conduir tranquil. L¡¯ordinador del vehicle pot prohibir arrencar-lo o fins i tot impedir que bloquegem les portes, sense que hi tinguem control. Ning¨² t¡¯explica que no importa que siguis doctor en telecomunicacions: si la bateria deixa d¡¯alimentar l¡¯electr¨°nica, est¨¤s perdut.

Cada cop hi ha m¨¦s casos de companyies amb ¡°dades segrestades¡±, a les quals demanen que paguin un rescat

Un altre exemple, ara de depend¨¨ncia indirecta: l¡¯errada en l¡¯actualitzaci¨® del programari del sistema de control de trens atura tot el servei ferroviari catal¨¤, m¡¯impedeix anar a la feina i perjudica l¡¯economia. A m¨¦s, dona pistes als hackers d¡¯on es troba el punt m¨¦s feble d¡¯aquesta infraestructura cr¨ªtica. Imagineu les conseq¨¹¨¨ncies catastr¨°fiques que podrien tenir errades o atacs similars en hospitals, centrals el¨¨ctriques o gasoductes.

La nostra ignor¨¤ncia no ¨¦s nom¨¦s de l¡¯exist¨¨ncia del perill, tamb¨¦ del fet de ser atacat: la tercera difer¨¨ncia. Les v¨ªctimes digitals normalment no sabem que ho som. S¨®n tants els punts vulnerables, i tan gran la nostra inconsci¨¨ncia, que no detectem ni tan sols que ens ataquen. Una invasi¨® de fronteres ¨¦s evident, un robatori es percep a simple vista. La intrusi¨® d¡¯un ordinador o un m¨°bil no nom¨¦s ¨¦s dif¨ªcil de detectar, sin¨® que qui ho fa actua de manera sigil¡¤losa per tenir tot el temps del m¨®n i poder fer les seves il¡¤legalitats sense ser descobert. Al nostre pa¨ªs tenim exemples famosos com els spywares o programes com Pegasus.

L¡¯asimetria de tempos ¨¦s la quarta difer¨¨ncia. Els ex¨¨rcits s¨®n conscients que s¡¯estan produint moviments de tropes molt abans que es produeixi un atac. En el moment en qu¨¨ es produeix la invasi¨®, es pot actuar r¨¤pidament i sabem contra qui hem de contraatacar. En el m¨®n virtual, els temps d¡¯advert¨¨ncia i decisi¨® s¡¯inverteixen. Estem desinformats i desprevinguts del moment de l¡¯atac, el temps d¡¯advert¨¨ncia es redueix al m¨ªnim, s¨®n atacs per sorpresa (o indetectables). I, quan es produeixen, no podem reaccionar immediatament, ja que no sabem qui ¨¦s l¡¯atacant; a m¨¦s, estarem m¨¦s enfeinats a mitigar i con¨¨ixer l¡¯abast de tot plegat. El temps de resposta ¨¦s molt m¨¦s llarg.

Per ¨²ltim, en el m¨®n anal¨°gic deixem la responsabilitat de defensar-nos a un ¨²nic agent: aquell que ostenta el monopoli leg¨ªtim de la for?a. Policia, ex¨¨rcit, empresa de seguretat, depenent del que vulguem protegir. En un o altre dipositem la confian?a per protegir-nos. En el m¨®n digital, per contra, els l¨ªmits dels dominis de protecci¨® s¨®n difusos. La defensa digital no es pot deixar ¨²nicament en mans d¡¯un sol agent. Cal una actuaci¨® coordinada de diferents actors, i en tots ells hem de confiar.

Manual d¡¯instruccions

Qu¨¨ hem de fer si volem ser ciutadans protegits en l¡¯entorn digital? ?scar Esparza, responsable del grup de Seguretat de la Informaci¨® de la Universitat Polit¨¨cnica de Catalunya (ISG-UPC), posa en valor la import¨¤ncia de la divulgaci¨® en mat¨¨ria de ciberseguretat. ¡°No n¡¯hi ha prou que els investigadors estiguem al dia de les amenaces existents i les proteccions necess¨¤ries. Als grups de recerca fem la nostra feina, per¨° la societat ha d¡¯estar previnguda, cadasc¨² de manera individual som els primers responsables de la nostra protecci¨®, la primera l¨ªnia de defensa¡±.

I ¨¦s que molts dels atacs que es produeixen aprofiten les males praxis dels usuaris per perpetrar-se. ?s el que s¡¯anomena ¡°enginyeria social¡±, explotar la ingenu?tat humana per fer-li fer clic all¨¤ on no l¡¯hauria de fer, endevinar les seves contrasenyes insegures o infectar un USB que es va propagant d¡¯ordinador en ordinador. Fer cas dels consells b¨¤sics d¡¯¡±higiene inform¨¤tica¡± ¨¦s fonamental per aquesta primera l¨ªnia de defensa. Quants de nosaltres usem passwords diferents per a comptes diferents i que siguin robustos? Els actualitzem sovint? Usem un gestor de credencials? Tenim activat el doble factor d¡¯autentificaci¨®? Tenim l¡¯antivirus i el firewall instal¡¤lat i actualitzat? Comprovem la validesa dels certificats digitals dels correus electr¨°nics que rebem i llocs webs que visitem? Evitem compartir dispositius USB? Ens connectem nom¨¦s a xarxes wifi de confian?a? Sense una bona primera l¨ªnia de defensa, posem les coses m¨¦s f¨¤cils als que volen atacar-nos.

La intrusi¨® ¨¦s dif¨ªcil de detectar pel qui ¨¦s atacat, com passa amb els ¡®spywares¡¯ o programes com Pegasus

Les empreses i institucions s¨®n cada cop m¨¦s conscients d¡¯aquests riscos, tal com prova l¡¯increment en la demanda de professionals qualificats. Els titulats dels m¨¤sters en ciberseguretat, com el de l¡¯Escola de Telecomunicaci¨® i la Facultat d¡¯Inform¨¤tica de la UPC, en s¨®n l¡¯exemple. S¡¯incorporen als equips especialitzats que les empreses creen per fer front als perills digitals: la segona l¨ªnia de defensa.

Els SOC (Security Operation Center), nom que reben aquests equips dins les empreses, s¨®n cada cop m¨¦s importants. Actuen segons l¡¯esquema Blue Team: disposen d¡¯eines de protecci¨® digital davant d¡¯eventualitats i actuen de manera preventiva. Qualsevol instituci¨® o empresa altament digitalitzada hauria de tenir-ne un. Els Blue Teams, per estar preparats, necessiten els Red Teams: els que simulen un atac de manera controlada, intentant explorar els punts febles que puguin trobar abans que siguin aprofitats per usuaris maliciosos. Els hackers ¨¨tics s¨®n aquests: els qui exploten, sense fer mal, tots els bugs o forats de seguretat que existeixen en l¡¯entorn digital. La tercera l¨ªnia de defensa.

Diversos estudis indiquen que de mitjana trobem de 20 a 30 errades de seguretat cada mil l¨ªnies de codi de programa inform¨¤tic. Errades que s¨®n forats en la nostra tanca de seguretat, susceptibles de ser aprofitades per comprometre la nostra seguretat. Els exploradors d¡¯aquestes errades, que intenten colar-se dins la tanca, s¨®n els membres del Red Team. Els gu¨¤rdies de seguretat que van patrullant per impedir-ho s¨®n el Blue Team.

Usualment, aquests serveis ¡°d¡¯atac controlat¡± es demanen a experts externs. Empreses com INCIDE Digital Data, pionera i molt coneguda al sector, no nom¨¦s ofereix aquestes auditories Red Team, tamb¨¦ ofereix Blue Teams externalitzats, per si l¡¯empresa no els vol o no els pot tenir internament. Abraham Pasamar, el seu CTO, explica que la bona coordinaci¨® entre els dos equips ¨¦s b¨¤sica. Ells van ser dels primers a incorporar la metodologia porpra (Purple Team, combinaci¨® de vermell i blau): atacants (simulats) i defensors treballant plegats per bastir les ¡°tanques virtuals¡± m¨¦s fortes possibles.

La tercera l¨ªnia de defensa tamb¨¦ pot ser governamental. Tenim experts treballant per la nostra seguretat en grups especialitzats dels Mossos d¡¯Esquadra, de l¡¯Ag¨¨ncia de Ciberseguretat de Catalunya (ACC), l¡¯Instituto Nacional de Ciberseguridad (INCIBE) i el Mando Conjunto del Ciberespacio (depenent de l¡¯ex¨¨rcit). Com deia Zegart, no podem deixar la seguretat digital a un sol agent. La cooperaci¨® i col¡¤laboraci¨® de les diferents peces de l¡¯engranatge per protegir els actius digitals ¨¦s clau, des del ciutad¨¤ fins a l¡¯estat. I l¡¯¨¨xit m¨¦s gran ¨¦s que no els notem. Quan ens adonem que hi s¨®n, ¨¦s que hem detectat que estem sent atacats. Perqu¨¨, tot i els m¨²ltiples nivells de protecci¨®, els atacs no es poden evitar.

I llavors?

Actuar r¨¤pidament: hem d¡¯acudir als especialistes de Resposta a Incidents. Aquests, igual que fa un metge quan li arriba un pacient a urg¨¨ncies, prioritzen aturar l¡¯hemorr¨¤gia i estabilitzar-lo per evitar que el mal sigui m¨¦s gran. Sebastien Kanj, especialista en respostes a incidents de malware, explica que molts cops l¡¯entrada a urg¨¨ncies s¡¯hauria pogut evitar si hi hagu¨¦s hagut les tres l¨ªnies de defensa. Malauradament, encara queda molta pedagogia per fer, per¨° tot i aix¨ª, quan s¡¯arriba a aquest estadi, encara es poden salvar moltes coses.

L¡¯atac m¨¦s freq¨¹ent avui dia ¨¦s el ransomware. Moltes empreses no ho fan p¨²blic, per¨° cada cop hi ha m¨¦s casos de companyies amb ¡°dades segrestades¡±, que no poden seguir amb la seva activitat i se¡¯ls demana que paguin un rescat. Com en les urg¨¨ncies, haver-se enfrontat pr¨¨viament a situacions similars ajuda els professionals a encarar b¨¦ la reacci¨® per mitigar les conseq¨¹¨¨ncies. Tenir c¨°pies de seguretat actualitzades ¨¦s b¨¤sic per minimitzar l¡¯impacte de l¡¯atac.

I tot aix¨° es pot fer impunement? No. La llei ens protegeix. La mala not¨ªcia ¨¦s que, com d¨¨iem abans, no ¨¦s evident identificar el responsable. En la invasi¨® de territori ucra?n¨¨s, tristament recent, els sat¨¨l¡¤lits van detectar moviments de tropes de l¡¯ex¨¨rcit rus molt abans de l¡¯atac. Alguna cosa estava passant, sab¨ªem perfectament qui era. En el mateix per¨ªode es van detectar nombrosos ciberatacs tant a Ucra?na com a pa?sos de l¡¯OTAN. Les not¨ªcies informaven que es tenia la ¡°sospita¡± de l¡¯autoria, per¨° la certesa ¨¦s m¨¦s dif¨ªcil d¡¯aconseguir. En l¡¯¨¤mbit de la determinaci¨® de les causes i responsabilitats entra en joc la pr¨¤ctica forense digital.

?s greu, doctor?

Un forense digital, com un metge forense, entra en escena quan el d¡¯urg¨¨ncies ja ha fet la seva feina. En el millor dels casos, el pacient est¨¤ estable a l¡¯habitaci¨®, i llavors un altre professional investiga les causes per evitar recaigudes. En el pitjor dels casos, l¡¯oficina del forense ¨¦s el dip¨°sit de cad¨¤vers i la seva feina ser¨¤ determinar les causes de la defunci¨® i ajudar a trobar l¡¯assass¨ª, si es tracta d¡¯un homicidi.

La inconsci¨¨ncia digital aqu¨ª agafa un altre significat. Igual que no sabem tot el que dep¨¨n del m¨®n virtual, tampoc som conscients de l¡¯enorme quantitat de pistes que anem deixant quan actuem dins del ciberespai. Gaireb¨¦ tota interacci¨® amb un sistema electr¨°nic o inform¨¤tic deixa rastre. Afortunadament per als investigadors digitals, els usuaris van deixant empremtes a l¡¯escena del crim. Si el malfactor no ha pres la precauci¨® de posar-se guants, o no sap que l¡¯estan gravant, ¨¦s f¨¤cil trobar evid¨¨ncies del que ha passat en un atac inform¨¤tic, i en ¨²ltima inst¨¤ncia, trobar proves per saber qui ¨¦s el culpable i portar-lo a la just¨ªcia.

Un forense digital ¨¦s un expert que sap quines s¨®n les pistes que ens dona un sistema digital i ¨¦s capa? de reconstruir l¡¯acci¨® per explicar-la al jutge. Potser els casos m¨¦s sofisticats no es poden resoldre, per¨° la majoria de delictes inform¨¤tics els cometen usuaris sense coneixement profund de la tecnologia. Inconscients de les traces que deixen, descuiden esborrar-les. Un forense digital ¨¦s capa? de posar-les sobre la taula i incl¨²s recuperar les que s¡¯han esborrat de manera matussera.

?s habitual que el forense digital actu? coordinadament amb l¡¯equip de resposta d¡¯incidents (equips DFIR: digital forensics and incident response), de manera que no nom¨¦s s¡¯aturi l¡¯hemorr¨¤gia sin¨® que a la vegada s¡¯impedeixi que s¡¯esborrin proves i es vagin recollint totes les evid¨¨n?cies possibles per a l¡¯an¨¤lisi posterior. A m¨¦s, les dades recollides serveixen per enfortir les primeres l¨ªnies de defensa, tancant el cercle de protecci¨® digital.

De ciberdelictes concrets (espionatge industrial, fuga d¡¯informaci¨®, cyberbulling, sextorsi¨®...) en podr¨ªem parlar molt. De fet, se n¡¯han fet s¨¨ries de televisi¨®. De totes maneres, el primer que hem de fer per protegir-nos ¨¦s ser conscients que tots podem ser v¨ªctimes. Cal reduir la inconsci¨¨ncia digital i posar en acci¨® les diferents l¨ªnies de defensa, des de la individual fins a la col¡¤lectiva, coordinadament. Cal saber que, si som atacats, la llei ens protegeix i es pot treballar per determinar els responsables.