De ¡®I love you¡¯ a ¡®Wannacry¡¯

El 4 de Mayo del a?o 2000 se cre¨® el virus I Love You, que infect¨® millones de ordenadores. Panda Security calcula que en Espa?a el 80% de las empresas se vieron afectadas de una u otra forma. Este virus utilizaba de reclamo una supuesta carta de amor que alguien remit¨ªa al receptor del mensaje para que ¨¦ste abriera un archivo adjunto que conten¨ªa el citado virus a trav¨¦s del cual se acced¨ªa a informaci¨®n sensible del usuario realizando reenv¨ªos de la misma. El mensaje que envuelve el virus ten¨ªa como asunto ILOVEYOU e inclu¨ªa como archivo adjunto LOVE-LETTER-FOR-YOU.TXT.VBS, aunque tambi¨¦n era posible recibir este virus v¨ªa IRC (el sistema de chat m¨¢s utilizado de la ¨¦poca) con un archivo HTM. Con la perspectiva del tiempo transcurrido, muchos expertos afirman que fue un adelanto de c¨®mo iban a ser en el futuro los problemas de seguridad.

Diecisiete a?os despu¨¦s, el virus Wannacry, t¨¦cnicamente m¨¢s sofisticado, utiliza la misma puerta de entrada a los sistemas. Al igual que el Petya propagado este mi¨¦rcoles.?Se sospecha que utiliza la vulnerabilidad EternalBlue para codificar los archivos de los equipos que no instalaron la actualizaci¨®n de Windows que lanz¨® Microsoft.

Casi 20 a?os distancian ambos ataques, pero ambos se aprovecharon del eslab¨®n m¨¢s d¨¦bil de la cadena: el usuario. Ninguno de estos virus podr¨ªa haberse propagado sin que el factor humano entrara en juego. ¡°Recuerda que el eslab¨®n m¨¢s d¨¦bil eres t¨²¡±, nos avisa frecuentemente el mando conjunto de ciber defensa. Dec¨ªa Alex Mayfield que siempre que alg¨²n ingeniero de software piensa: ¡°nadie se complicar¨ªa tanto como para hacerlo¡±, hay alg¨²n chaval en Finlandia dispuesto a complicarse.

Ya nadie duda de que debemos poner medios para defendernos de las amenazas externas de un nuevo dominio. El enemigo no s¨®lo viene ahora por tierra, mar y aire sino a trav¨¦s del ciberespacio. En el entorno digital, los territorios est¨¢n desdibujados, las fronteras no existen y las murallas pierden su utilidad. Los ataques ya no los realizan ej¨¦rcitos jerarquizados con debida obediencia al mando, sino redes de personas con capacidades complementarias que ejecutan tareas de forma concurrente, colaborativa y distribuida.

El INCIBE publicaba hace unos meses el ranking de incidentes de ciberseguridad producidos en 2016 en todo el mundo. En la primera posici¨®n se encuentra el robo de 81 millones de d¨®lares al Banco Central de Banglad¨¦s. Un hurto f¨ªsico de este calibre ser¨ªa hoy casi imposible dado el avance en las medidas de seguridad bancarias. Pero el ranking de INCIBE evidencia que todav¨ªa queda mucho camino por recorrer hasta conseguir, en el ¨¢mbito digital, un nivel de seguridad similar al que existe hoy respecto de la seguridad f¨ªsica.

La introducci¨®n de tecnolog¨ªa en los procesos productivos, el aumento de la conectividad como consecuencia de la industria 4.0., el desarrollo del veh¨ªculo aut¨®nomo o el impulso al Internet de las cosas conseguir¨¢n aumentar nuestra productividad y especializar el empleo. Pero todos estos cambios tambi¨¦n suponen nuevos riesgos que debemos gestionar. En el entorno del trabajo, las empresas no s¨®lo deber¨¢n formar a sus empleados en materias como la seguridad f¨ªsica, contra incendios o para prevenir enfermedades profesionales. Los riesgos de mantener conductas inadecuadas que puedan poner en peligro la integridad y seguridad de la informaci¨®n que manejan tambi¨¦n deber¨¢n ser abordados dentro de la pol¨ªtica general sobre prevenci¨®n de riesgos laborales.

Desde hace un tiempo, la Uni¨®n Europea ya legisla sobre la necesidad de tener responsables de datos en las entidades y empresas que traten informaci¨®n sobre menores de edad o ficheros con informaci¨®n privada o confidencial (hospitales, colegios, etc.). Para minimizar riesgos en el ¨¢mbito f¨ªsico, la disponibilidad de efectivos y medios garantiza un nivel de seguridad suficiente. Sin embargo, en el ciberespacio no siempre ocurre as¨ª. En este caso, la detecci¨®n, formaci¨®n, incentivaci¨®n e incorporaci¨®n de talento es el factor clave para desarrollar medidas de seguridad efectivas en la red. El joven Marcus Hutchins utiliz¨® s¨®lo 10€ para registrar un dominio a su nombre que consigui¨® detener parte del avance del virus Wannacry tras comprobar que el malware intentaba conectarse a un dominio inexistente, lo que favorec¨ªa su reproducci¨®n. Ahora, el Reino Unido le ha fichado para que colabore con su pa¨ªs en la ciberdefensa de sus intereses. Marcus quiz¨¢ no hubiera pasado un proceso de selecci¨®n convencional, pero es evidente que su actuaci¨®n demuestra que atesora capacidad y talento en uno de los mayores retos del futuro.

Teodoro Garc¨ªa Egea es diputado por Murcia del Grupo Parlamentario Popular