Por qué las ciberarmas de Estados Unidos no son como los misiles

Según una encuesta llevada a cabo por Munich Re, el 90% de las compañías fueron víctima de por lo menos un incidente de piratería informática en 2016.

Por: Redacción Gestion.pe

(Bloomberg) En las últimas semanas, WikiLeaks ha dado a publicidad una serie de herramientas de la Agencia Central de Inteligencia (CIA, por sus siglas en inglés) diseñadas para interceptar teléfonos, computadoras y otros dispositivos, un beneficio inesperado para los piratas informáticos y un dolor de cabeza para los fabricantes de estos dispositivos.

En momentos en que el acceso ilegal a datos estadounidenses está en un máximo histórico, es alarmante que hasta la CIA sea vulnerable: ojalá el Gobierno pusiera tanto empeño en proteger los sistemas de computación como en hackearlos.

Alrededor del 90% del gasto cibernético del Gobierno se destina a misiones de ofensiva, según Rick Ledgett, subdirector saliente de la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés). Aparentemente, la idea es que la mejor defensa es una buena ofensiva.

Eso es razonable en una guerra física, que es como el Pentágono parece estar posicionándonos. Como dijo un funcionario militar: “Si usted desconecta nuestra red eléctrica, quizá emboquemos un misil en su chimenea”.

Pero en el ciberespacio, la mayor parte de la batalla consiste en dilucidar quién es el enemigo y qué cosas disuadir. Sólo el mes pasado el Departamento de Justicia procesó a agentes rusos por hackear a Yahoo en 2014.

A Yahoo mismo le llevó dos años advertir que había sido hackeado. Un misil de represalia pierde su efecto si pasaron tres años y los datos de 500 millones de personas ya se han publicado en la red oscura.

Dicho esto, desarrollar conocimientos especializados en ciberataques puede ser útil: descubrir cómo se puede acceder ilegalmente a los sistemas de otras personas es una buena manera de comprender en qué puntos el propio sistema puede ser vulnerable.

Gran parte de la tecnología de intromisión cibernética del Gobierno comprende vulnerabilidades del “día cero”: errores no informados del software que el vendedor ha tenido cero días para emparchar. A veces, el Gobierno compra proezas no reveladas de investigadores de seguridad.

Otras veces, los errores existen de manera deliberada: las filtraciones de Edward Snowden revelaron que la NSA había colaborado con las compañías tecnológicas para incorporar puertas traseras secretas a productos de gran difusión.

El problema es que el Gobierno no parece dar seguridad a sus armas. Después que los Shadow Brokers anónimos filtraron una serie de herramientas de hackeo de la NSA el verano boreal pasado, los investigadores de inmediato descubrieron que se las estaba utilizando para ataques maliciosos contra usuarios vulnerables.

Si bien valoro el deseo del Gobierno de darnos seguridad a través de una vigilancia masiva, a las empresas estadounidenses les vendría bien recibir ayuda para proteger datos cruciales.

Según una encuesta llevada a cabo por Munich Re, el 90% de las compañías fueron víctima de por lo menos un incidente de piratería informática en 2016. El otro 10% probablemente todavía no se haya dado cuenta. En 2014, Intel McAfee calculó que las pérdidas anuales por ciberdelitos eran de US$100.000 millones en Estados Unidos.

Lo bueno de la seguridad defensiva es que es mucho más barata que el desarrollo continuo de nuevas ciberarmas. Una vez que se descubre un ciberhueco y se lo emparcha, la solución puede reproducirse en forma gratuita y sigue siendo eficaz para siempre.

Esto crea igualdad de condiciones y pone las mejores herramientas defensivas a disposición de cualquiera, una de las razones de que tantos hackers recurran a las tácticas de phishing que explotan las vulnerabilidades humanas en lugar de las del software. Incluso esta página web se envía a través de un encriptado de nivel militar (de modo que su proveedor de internet no pueda verla).

Es cierto que un pirata informático con suficiente motivación y recursos económicos aportados por el Estado podría acceder ilegalmente a cualquier cosa. Pero el objetivo de la seguridad defensiva es lograr que los ataques sean prohibitivamente caros, no hacer que un sistema sea absolutamente impenetrable. Por ejemplo, violar un mensaje encriptado por medio de la fuerza bruta llevaría 10 billones de años usando 10.000 millones de MacBooks Pro. Es mucho trabajo para leer un mensaje.

La estrategia actual de construir mejores ciberarmas sin tener en cuenta la defensa sólo funciona si el Gobierno logra tener superioridad sobre todas las redes del planeta. Eso no es realista.

La seguridad informática está basada en el conocimiento y ninguna entidad por sí sola puede monopolizar esa tecnología. La mejor alternativa es poner las herramientas de seguridad en la mayor cantidad posible de manos. La defensa es mucho más fácil si las personas ya saben cómo protegerse.

Esta columna no necesariamente refleja la opinión de la junta editorial ni la de Bloomberg LP y sus dueños.