CIBERDESPACIO
Publicado por el Instituto Español de Estudios Estratégicos (IEEE) en http://www.ieee.es/Galerias/fichero/docs_opinion/2013/DIEEEO57-2013_CiberDespacio_GomezAgreda.pdf
Resumen
El ciberespacio es un entorno dinámico y activo por naturaleza. La protección de los recursos que gestionamos en él debería ser sólo una de nuestras prioridades. Esta defensa no puede ni debe basarse en una actitud pasiva. Es fundamental mantener un equilibrio entre el concepto de “necesidad de conocer”, que implica restricciones al acceso a la información, y el de “necesidad de compartir”, que permite un mayor aprovechamiento de todas las posibilidades de la red. La seguridad en internet tiene que basarse en una combinación de medidas de protección y en una incesante innovación e influencia sobre el entorno.
Abstract
Cyberspace is a dynamic environment by its own nature. Protection of the resources that we manage in it should only be one of our priorities. This defense cannot and should not be based on a passive attitude. It is of paramount importance to keep a balance between the “need to know” and “need to share” concepts. The former implies curtailing access to information while the latter allows for a better use of the web’s possibilities. Internet security needs to be based in a combination of protective measures and a neverending process of innovation and influence over the environment.
Texto
No, no se trata de una errata. Desde luego se trata, cuanto menos, de una paradoja. Todo lo "ciber" es incompatible con la lentitud, la parsimonia, la apatía,... He escrito ciber-despacio con la tranquilidad de saber que, en cualquier caso, casi todas las ciber-palabras que utilizamos a diario, no están en el diccionario.
Sin embargo, en algunos momentos parece que estuviéramos viviendo en una versión analógica del siglo XXI. Como queriendo dar la espalda a una realidad que se impone por sí misma y que no nos permite, en realidad, resolver los problemas que nos plantea su versión digital con las unidades ni con los ejes de coordenadas de hace sólo unos años.
Hace unos días escuché una frase que me llamó poderosamente la atención: "Es que el correo electrónico... es tan siglo XX". (Creo que la entonación va implícita.) Pues bien, parece que muchos se empeñan en mantenerse en su esfera de confort, en espacio conocido, en terreno conquistado donde, a pesar de no entender realmente las preguntas que se les hacen, encuentran soluciones con las que se quedan satisfechos.
Lo que viene a continuación es fruto de una reflexión muy personal después de bastantes contactos con personas del sector digital dentro y fuera de España. Supongo que una buena parte de ellas no comparte mis conclusiones.
Volvamos al principio. Le decía que, de todas las palabras con el prefijo "ciber", el español solo admite "ciberespacio". Nuestra lengua, a pesar de la excelente labor que desarrollan desde la Academia y desde otras fundaciones, todavía no recoge la definición de "ciberseguridad" ni de "ciberdefensa". Ni, obviamente, la diferencia entre ambas.
Quizás asuma (como hace el Manual de Tallin respecto de la validez del Derecho Internacional en el ciberespacio[1]) que todas las actividades humanas, una vez "ciberizadas", pueden recibir el tratamiento equivalente al de antes de serlo. De esta manera, la ciberseguridad sería la seguridad del –o en el– ciberespacio y la ciberdefensa, la defensa del – o en el– ciberespacio.
Otra posibilidad es que no existan ni la ciberseguridad, ni la ciberdefensa. O que no exista la diferencia entre ambos conceptos y los académicos –muy precavidos ellos– estén esperando a que los términos estén bien definidos para incorporarlos a los diccionarios físicos y digitales.
Tampoco parece que estén contentos todavía con la diferenciación que hay entre ciber-gamberradas, ciber-activismo, ciber-hacktivismo, ciber-crimen, ciber-terrorismo y ciber-guerra. Ninguna de estas acepciones, con o sin guión, ha encontrado todavía acomodo entre las páginas de nuestros lexicones y tesauros.
Se me ocurre pensar que, lejos de culpar a nuestros académicos de falta de diligencia, quizás no sea tan importante definir cada una de estas categorías. En sesudas reuniones, mesas redondas, foros, seminarios, conferencias y jornadas he tenido ocasión de comprobar el gusto del ser humano por etiquetar absolutamente todo. Podemos no entender algo bien, pero si lo tenemos clasificado, nos resulta menos hostil.
Sin embargo, mientras que en el mundo físico y tangible es importante la diferencia entre determinados comportamientos porque responden a realidades distintas, el modus operandi que se sigue en muchas de las actividades enumeradas dos párrafos más arriba es prácticamente el mismo. De hecho, llama la atención cómo la Estrategia de Ciberdefensa (término que no sé si existe en holandés) de los Países Bajos[2] no se pierde en disquisiciones sobre si los atacantes son galgos o podencos. Los holandeses advierten que no van a perder el tiempo en averiguar si el ataque que están recibiendo proviene de actores privados o estatales, si es en el contexto de un conflicto o en las vacaciones de verano. Simplemente, si nos atacas y te pillamos, iremos a por ti.
Podría ser que los neerlandeses sean unos simples, o unos vagos que no quieren tomarse la molestia de discriminar entre un adolescente que les roba los planos de su última fragata para divertirse y una potencia enemiga que les roba los planos de su última fragata para copiársela. Mi impresión es que no son ni simples ni vagos sino que lo importante es si te han robado los planos de una fragata que, además del valor económico que puedan tener, pueden servir para afectar al equilibrio geopolítico, económico e industrial en un modo no deseado.
En este asunto de las clasificaciones me gusta emplear el ejemplo de un hacker saudí que se dedicó a sustraer datos de tarjetas de crédito y a regalarlos a cualquiera que le diera un propósito para el dinero que iba a obtener fraudulentamente. No tenía que ser algo como pagar la operación de una madre enferma o evitar un desahucio de una familia numerosa con todos sus miembros en paro. Si querías comprarte una maqueta de un tren o la última versión de un juego de la PlayStation, podías pedirle un par de números de tarjeta y sus contraseñas para comprártelos on-line[3].
Se trata de un caso "de libro" de fraude, por mucho que él apenas se lucrase con las tarjetas sustraídas y que, generosamente, se pudiera decir que se trataba de una gamberrada cibernética.
Sin embargo, este joven saudí sólo robaba tarjetas de crédito de víctimas israelíes. Detrás de la actividad fraudulenta, había también una intencionalidad política. Arabia Saudí e Israel no mantienen unas relaciones como las que puedan tener los Estados Unidos y Canadá, por ejemplo. De hecho, al cabo de un tiempo, hackers israelíes comenzaron a tomarse la revancha con tarjetas de crédito saudíes.
A mí, personalmente, en este caso me cuesta bastante establecer diferencias claras entre las distintas categorías que nos empeñamos en definir. No sabría muy bien definir dónde acaba la gamberrada y empieza la falta, o el delito, o la xenofobia, o el acto terrorista.
Otro caso parecido sería el del hacker que se introdujo en la cuenta de Twitter de la agencia de noticias Asociated Press. El rumor –avalado por el prestigio de AP– de que se habían producido unas explosiones en la Casa Blanca y que el presidente Obama estaba herido hizo que los índices bursátiles de Wall Street perdiesen varios puntos porcentuales de su valor (es decir, muchos millones de dólares) para recuperarse poco después cuando se confirmó la falsedad del tuit.
Doctores tiene la Santa Iglesia y seguro que se puede llegar a definir dónde empieza la gamberrada, dónde la apropiación de identidad, dónde la manipulación de información y, finalmente, hasta qué punto las pérdidas y ganancias bursátiles que se hayan podido obtener, son lícitas o no. Es posible que esta taxonomía sea necesaria a efectos procesales, pero no nos va a ayudar a solucionar el problema de la seguridad.
Curiosamente, este hecho es el resultado de la utilización de algoritmos financieros que se emplean para invertir en bolsa de forma automática. Y, en este caso, se trata de un producto informático perfectamente legal. Estos algoritmos detectan palabras clave en los despachos de las agencias de noticias e intentan anticipar la reacción del mercado en cada caso.
Así pues, me permito dudar de la necesidad de establecer ciber-nombres distintos para actividades cuyos efectos son muy parecidos. En cualquier caso, no creo que debamos hacer de ello una prioridad.
De hecho, poner muchos nombres tiene un problema muy parecido al de poner muchos CERT[4], puedes dejar huecos entre lo que significan –o protegen– cada uno de ellos.
Uno de los problemas fundamentales que tenemos cuando nos enfrentamos al ciberespacio es que en él (un conocido me lo comentaba hace poco) la física cuántica tiene una aplicación mucho mayor. Especialmente, el principio de incertidumbre. Y tenemos pocos expertos en física cuántica.
Me temo que, por lo que me han explicado, la ciencia informática forense (que existe, y es la que se encarga de determinar, por ejemplo, quién ha causado un efecto, cómo y desde dónde) está todavía en un estado bastante incipiente. Para un hacker avezado resulta relativamente sencillo complicar el trabajo de los investigadores –los e-CSI, por así decir– y esconder sus huellas en las infinitas conexiones de internet. Por el momento estamos condenados a luchar contra esos efectos. Tenemos que actuar sobre lo conocido para protegerlo o para controlarlo.
A pesar de todo, las empresas siguen empeñadas en vender soluciones de seguridad que garantizan nuestra protección.
Hace muchos años me explicaron que la seguridad (tenía que ser la física, porque no existía internet) es siempre cara y nunca es total[5]. A lo máximo que podemos aspirar es a gestionar los riesgos a los que nos enfrentamos de tal manera que el daño que nos inflijan sea el menor posible. En el ámbito cibernético –y, cada vez más, en todos– se emplea el término "resiliencia" (que también me subraya el procesador de textos). En su día lo quise traducir como "resistencia adaptativa". Se trata de resistir las agresiones sin que el sistema llegue a romperse completamente y luego ser capaces de reconstruirlo en el menor tiempo posible y, ya puestos, de un modo más resistente frente a ataques similares al sufrido.
Está claro que una muralla se puede rebasar por encima, por debajo, o a través de ella. El mundo de internet es algo más complejo porque se caracteriza por las conexiones que se establecen. Las rutas que llegan a la muralla son muchas y muy diversas. Uno no puede pretender ser capaz de repeler todas las agresiones. Ni se puede uno anticipar a los ataques; al menos, no fácilmente.
Cada día se crean más de 70.000 nuevas piezas de malware (programas dañinos como virus, gusanos, troyanos,...). Resulta comprensible que incluso el mejor antivirus no haya "oído hablar" de alguna de las amenazas que se encuentra a diario.
Lo que sería lamentable es que permitiésemos que la misma arma pudiese ser empleada varias veces sin que se hubieran puesto los medios para combatirla.
Una adecuada gestión de la información y una capacidad de procesado y distribución ágil deberían permitir minimizar los riesgos derivados de "rebotes ofensivos" (empleando terminología baloncestística) que permiten segundas oportunidades al adversario.
Se puede decir que, para cada ataque, tenemos que diseñar una respuesta personalizada en mayor o menor medida y que, por lo tanto, estamos condenados a ser básicamente reactivos cuando nos colocamos en una actitud pasiva. Claro es que no debemos colocarnos en una actitud pasiva.
En el ciberespacio, la mejor defensa no es un ataque. No se puede detener cualquier agresión con otra. Fundamentalmente porque, según la teoría de la "primera batalla", un ataque lo suficientemente potente puede anular tu capacidad para operar y, por lo tanto, para contraatacar.
Esto no significa que tengamos que permanecer pasivos. Quizás la mejor técnica defensiva que podemos adoptar (sin dejar por ello de reforzar nuestros instrumentos tradicionales) es una actitud activa –que no necesariamente agresiva– en varios frentes. Para ello conviene recordar que los actores que participan en la actividad cibernética somos seres humanos. Las máquinas todavía no han "tomado conciencia" de sí mismas como el Skynet de Terminator. Encima de cada ratón y cada teclado hay una mano que lo mueve.
Por lo tanto, podemos volver a los clásicos. Sun-Tzu nos decía que el general que se conoce a sí mismo pero no conoce al adversario (o el que conoce al adversario, pero no se conoce a sí mismo) ganarán unas batallas pero perderán otras. Sólo aquel que se conoce a sí mismo y conoce a su enemigo puede alcanzar siempre la victoria.
En la red podemos aplicar esa misma máxima. Tenemos que conocer a nuestro adversario tomando una postura activa de vigilancia de hechos y –muy importante– de tendencias. Una gran amenaza es como un gran meteorito, si estás mirando en la dirección correcta con los medios adecuados, deberías poder verla venir.
La otra parte es conocerse a sí mismo. Y conocer el propio entorno. En el ciberespacio, hombre y máquina se convierten en un único sistema. Las vulnerabilidades de uno y de otro son igualmente importantes; aunque su protección pueda ser muy distinta. Una vulnerabilidad sin parchear en una máquina es una herida abierta por la que puede infectarse el conjunto.
Desgraciadamente, no existen parches para la estupidez humana[6]. Este axioma ya es un clásico en la comunidad cibernética.
El entorno digital no puede, igual que el físico, llegar a ser absolutamente seguro. Como dicen en las películas: "puedes correr, pero no esconderte". Todo sistema terminará por desvelar sus vulnerabilidades, aunque sólo sea por el hecho de ser artificial y, por lo tanto, sujeto a las imperfecciones de su diseñador.
Por lo tanto, si no cabe esconderse y si la mejor defensa es correr, corramos. Seamos más rápidos, más efectivos, más productivos. El mismo ciberespacio nos proporciona las herramientas para hacerlo. Diseñemos nuestra estrategia desde un punto de vista distinto. No se trata de proteger lo que tenemos porque lo que tenemos es cosa del pasado. No, no vamos a regalarlo, pero vamos a invertir en su protección el esfuerzo que merezca y vamos a no hacer de la seguridad un fin en sí misma, sino el medio que es para llegar a algún sitio, para construir algo.
La globalización y el ciberespacio llevan asociados cambios que parece que no acaban de ser entendidos, ni siquiera por parte de muchos de los que están plenamente implicados en su construcción. No es extraño, el fontanero que contribuye a la construcción de una vivienda no tiene porqué hacerse una idea de su conjunto para hacer su trabajo. Sin embargo, probablemente, su aportación al resultado final podría ser mucho mayor si fuese capaz de ver más allá de grifos y tuberías.
Es muy llamativo, en un campo tan técnico como el de la seguridad informática, comprobar que una parte importante de aquellos que están diseñando las herramientas con las que se construye el siglo XXI siguen viviendo anclados en las estructuras lógicas, psicológicas, sociológicas y organizacionales del XX.
De este modo, muchos pretenden vivir, en un mundo en el que los individuos vienen definidos por las relaciones que mantienen dentro de una estructura reticular muy poco jerarquizada, manteniendo organizaciones piramidales y stovepipes (en su equivalente militar, el conducto reglamentario).
Esas mismas personas suelen enfrentarse a la evolución de los acontecimientos con una parsimonia propia de la época victoriana. En el mundo digital no sólo cambian las unidades de medida, sino que, aquellas que siguen existiendo ven alterado su orden de magnitud. Así, claro, no dejan de sorprenderse cuando los acontecimientos les sobrepasan, cuando las innovaciones se producen en saltos revolucionarios más que en rampas evolutivas. Muchas veces, cuando oigo algunos comentarios de esta gente, no puedo menos que recordar el sonido que hacía mi modem telefónico allá en los años 80.
El principal problema del elemento humano en el ciberespacio es que tiene más de dos mil millones de usuarios en todo el mundo... y creciendo. Y todos estamos conectados. No en igualdad de condiciones, claro está, pero conectados. La seguridad de una muralla no se mide por su tramo más alto y robusto, sino por el más bajo y vulnerable. De poco sirve disponer de grandes especialistas si el nivel general de conciencia del riesgo y de las amenazas no responde a unos mínimos. Quizás deberíamos crear una "e-ducación para la e-ciudadanía" que beneficiase al conjunto.
¿Tienen nuestros líderes –aquellos con capacidad de decisión a todos los niveles y en todos los sectores– una formación suficiente como para comprender el alcance del ciberespacio en la sociedad en su conjunto y en el individuo en particular? Me temo que, en el mejor de los casos –y salvo excepciones–, cada cual tiende a ver internet y el ciberespacio en general desde el punto de vista que mejor se acomoda a sus prejuicios y a su formación y experiencia.
Por internet se mueve información, datos. Igual que el mar es el medio más rentable para el transporte de mercancías, el ciberespacio lo es para la difusión de ideas. La diferencia es que yo no puedo comprarme un petrolero, pero sí puedo acceder a las redes sociales y ser un actor relevante en ellas.
El ciberespacio rompe, de alguna manera, el monopolio estatal sobre la violencia. Digo de alguna manera, porque la sociedad –así, en abstracto– sí se va acomodando al significado de la globalización, por mucho que los Estados no lo hagan. Y la sociedad ya ha incorporado formas de violencia asimétrica que generan un impacto mucho más relevante del que corresponde a su potencia.
En el ciberespacio, este acercamiento entre los efectos que puede provocar un individuo y los que puede conseguir un Estado se hace cada vez mayor. La inacción por parte de los colectivos les convierte en rehenes de los individuos con mayor iniciativa. Ese es, en mi opinión, el mayor riesgo que nos acecha en internet: la pérdida de la iniciativa por parte de las instituciones y organizaciones públicas y privadas y un cambio sustancial del modelo de sociedad en el que vivimos (o la sobrerreacción de los Estados, como alternativa).
La Orden Ejecutiva del Presidente Obama parece entender la importancia de compartir la información no como una opción contrapuesta a la de protegerla, sino como la mejor forma de apoyar esta defensa. Estaría bien que esta claridad de ideas no fuera exclusiva del Ejecutivo norteamericano sino que hubiera sido compartida y estado apoyada también por el legislativo. Parece evidente que, para dar pasos en la buena dirección, lo primero es saber hacia dónde se quiere ir.
Estamos viviendo el equivalente a la Línea Maginot tras la guerra de posiciones de la Primera Guerra Mundial casi cien años después de que ésta ocurriese. Los que no entiendan el dinamismo que se requiere en este nuevo escenario, los que pretendan defender lo que tienen parapetándose detrás de alambres de e-spino, los que cedan la iniciativa y sean incapaces de controlar la punta de lanza del conocimiento en lugar de intentar proteger la lanza completa, todos esos acabarán perdidos en el Ciberdespacio.
[1] “The Tallinn Manual on the International Law Applicable to Cyber Warfare” (http://www.ccdcoe.org/249.html) es una publicación del NATO Cooperative Cyber Defence
Centre of Excellence, un centro asociado de la OTAN ubicado en Tallin, Estonia, dedicado a la reflexión sobre temas de ciberdefensa. El manual explora la aplicabilidad del Derecho Internacional Público al entorno digital.
Centre of Excellence, un centro asociado de la OTAN ubicado en Tallin, Estonia, dedicado a la reflexión sobre temas de ciberdefensa. El manual explora la aplicabilidad del Derecho Internacional Público al entorno digital.
[2] La Estrategia de Ciberdefensa de los Países Bajos (disponible on-line en http://www.ccdcoe.org/strategies/Defence_Cyber_Strategy_NDL.pdf ) es un documento derivado de su Estrategia Nacional de Ciberseguridad y de aplicación al ámbito de la Defensa Nacional.
[4] Computer Emergency Response Team.
[5] El World Economic Forum, en publicación Global Risks 2012. Seventh Edition. (disponible en internet en: http://www3.weforum.org/docs/WEF_GlobalRisks_Report_2012.pdf) establece como axiomas del ciberespacio que:
- Cualquier dispositivo con un comportamiento definido por software puede ser alterado para que lleve a cabo acciones para las cuales no estaba diseñado.
- Cualquier dispositivo conectado a una red de cualquier tipo, sea como sea esta conexión, puede ser comprometido por un agente externo. (pág. 27).
[6] No, me temo que el arrepentimiento puede, a lo sumo, tener aplicación en el campo de la ética. En internet, cada click del ratón tiene consecuencias muchas veces indelebles. Sobre Ética y Derecho es interesante el artículo de DUNLAP Jr., Charles, “Cyber Lawfare?”, disponible en ISN http://www.isn.ethz.ch/isn/Digital-Library/Articles/Special-Feature/Detail/?lng=en&id=163103&tabid=1454266499&contextid774=163103&contextid775=163100
LA MANO QUE MUEVE EL RATÓN...
Publicado por la Revista SIC http://revistasic.es/index.php?option=com_content&view=article&id=837&Itemid=820
RESUMEN
La carencia de conocimientos
suficientes por parte de la mayor parte de los cibernautas y la falta de una
perspectiva amplia y multidisciplinar en el caso de los expertos en seguridad
cibernética son los dos principales problemas que estamos sufriendo en esta
fase de adaptación a la Era del Conocimiento. La escasa comprensión de lo que
realmente significa la irrupción del ámbito digital en nuestras vidas se
extiende de los particulares a las instituciones, que no han sabido afrontar la
necesidad de adaptación estructural al nuevo modelo social que se impone a
través de las redes. Esta inacción es, precisamente, el mayor riesgo que
corremos en el ciberespacio.
La mano que mueve el ratón es la mano
que domina el mundo. En el thriller psicológico de 1992 era la mano que mecía
la cuna la que dominaba el mundo. Es todo una cuestión de perspectivas, de
puntos de vista y de educación. El desconocimiento genera temor y rechazo, el
conocimiento parcial genera ofuscaciones y verdades a medias que, en ocasiones,
son mucho peores que los errores de bulto. El punto de vista del bebé y el del
cibernauta medio difieren en muy poco.
El ciberespacio es lo bastante antiguo
como para empezar a dejar de considerarlo una novedad en nuestras vidas. Sin
embargo, el ritmo al que se mueve nos mantiene permanentemente descolocados y
confundidos. La misma magnitud de la tarea de conocer el entorno siempre
cambiante en que nos movemos disuade de su acometimiento. Además, siempre hay
alguien que diseña un software lo bastante sencillo como para que todos tengan
la sensación de estar rentabilizando su equipo informático.
El grueso de sus usuarios -de sus
habitantes, podemos decir- apenas si desarrollan los conocimientos mínimos para
manejarse en él. La élite del conocimiento cibernético, impelida por el ritmo
frenético que impone su estudio, se concentra en una parcela muy concreta del
mismo. Para unos, los problemas no existen –ni, probablemente, existirán– hasta
que es demasiado tarde; para otros, los problemas tienen siempre soluciones que
se encuentran allá dónde ellos se sienten más cómodos, en su esfera de
conocimiento parcial.
Para estos últimos es de aplicación
algo que leí últimamente: “cada problema complejo tiene siempre una solución
sencilla, que generalmente es errónea”[1].
La respuesta a ambas limitaciones tiene,
como no puede ser de otra manera después de lo que acabo de escribir, dos
soluciones distintas. La solución a la desinformación pasa por amplias campañas
de conocimiento y difusión dirigidas a usuarios de base en las que se aborden
los riesgos y oportunidades que ofrece el ciberespacio. Frente al síndrome de
todo martillo de ver un mundo lleno de clavos lo oportuno es el establecimiento
de estrategias y estructuras multidisciplinares que permitan abordar la
utilización de las redes informáticas de la forma más eficiente y segura.
Hemos sobrepasado la cifra de 2.000
millones de cibernautas en todo el mundo. Existen más de 40.000 redes distintas
conectadas entre sí que configuran lo que conocemos como la red de redes. Sin
embargo, parafraseando a Churchill; nunca, en la historia de los asuntos
humanos, tantos supieron tan poco sobre algo que afectaba directamente a sus
vidas. Nos hemos lanzado a la exploración y explotación del ciberespacio
devorando etapas como Pac-Man tragaba puntos amarillos, con los ojos cerrados.
De hecho, en la mayor parte de los
casos, somos consumidores compulsivos de productos de los que apenas si tenemos
un conocimiento superficial y, en muchas ocasiones, incluso esa información
está distorsionada por ideas preconcebidas basadas en nuestra experiencia
analógica (sé que no es el caso de muchos de los lectores de estas líneas y
también que, precisamente por eso, son incapaces de imaginar siquiera el
analfabetismo digital de sus conciudadanos).
Se da la paradoja de que, por un lado,
asociamos las acciones y los riesgos y amenazas cibernéticos con sus
equivalentes del mundo físico sin entrar a considerar las peculiaridades de uno
y otro. Mientras tanto, somos incapaces de conceder la misma importancia a
nuestros actos digitales que a los de nuestra vida fuera de las redes. Es como
si nuestros avatares digitales, a los que gestionamos como a nosotros mismos,
fueran los personajes de un videojuego en lugar de nuestros representantes en
el ciberespacio. Recuerdo un caso que podría ser equivalente en el uso
irresponsable de las tarjetas de crédito por parte de aquellos que eran incapaces
de relacionar los cargos en que incurrían con dinero físico y con el esfuerzo
invertido en ganarlo.
De este modo, tendemos a considerar
que podemos conducirnos en internet de una forma similar a la de nuestra vida
cotidiana pero decidimos ignorar factores como el alcance de nuestras acciones
o los ritmos (tempo) a que evoluciona el mundo digital. Esto es cierto tanto
para las oportunidades que nos ofrece internet como para los riesgos que presenta
su uso.
Lamentablemente, el esfuerzo por
aprovechar un diferencial del total de lo que nos ofrece el ciberespacio para
solucionar los problemas del día a día no nos deja tiempo para reflexionar
sobre las profundas implicaciones que este medio tiene realmente en nuestras
vidas.
La potencia de las herramientas
informáticas nos sobrepasa de tal modo que nos hemos acostumbrado a emplearlas
a una fracción de su potencial. Si bien lo anterior es cierto también para los
programas y aplicaciones, y para la web 1.0, meramente estática, es tanto más
acusado cuanto más avanzados son los desarrollos.
Una de las razones para esta desproporción
entre las capacidades de las herramientas y el uso que hacemos de ellas es la
teórica universalidad de la habilidad para desarrollarlas. El "espíritu
hippie", altruista a la vez que transgresor, de la comunidad digital de
los primeros años no acomodaba la oferta a la demanda como en un mercado
normal, sino que incorporaba aplicaciones en función de la potencia de proceso
de datos -es decir, según la ley de Moore- sin más objetivo aparente que
ocupar, durante un tiempo efímero, el puesto simbólico de desarrollador más
avanzado y aprovechar las ventajas comerciales que pudiera obtener durante ese
intervalo.
La misma existencia de una red global
en la que dar a conocer las propias habilidades retroalimentaba el ego de los
creadores y mantenía viva la carrera dentro de un submundo –en buena parte de
los casos, pero no siempre– ajeno a las leyes de la oferta y la demanda e
inconsciente de las verdaderas necesidades de los usuarios medios. Fenómenos
similares se vivieron con anteriores desarrollos tecnológicos más o menos
recientes, como la aviación. Aún así, las consecuencias que esta actitud tiene
en el ciberespacio no resisten comparación con ninguna otra.
El uso de estas herramientas por parte
de cibernautas principiantes sería el equivalente de poner un coche de Fórmula
1 o un tráiler de dieciséis ruedas en manos de un conductor novel. Desde el
momento en que estos medios interactúan con otros actores con un grado de
formación e información muy diferente al nuestro, y mucho más allá del hecho de
que el usuario será incapaz de extraer un mínimo porcentaje del potencial del
útil a su disposición, existe el riesgo cierto de que las capacidades del mismo
puedan situarle en una posición no deseada e, incluso, peligrosa.
Es más, los Estados y Organizaciones
Internacionales han estado haciendo absoluta dejación de sus responsabilidades,
tratando el ciberespacio como un entorno lúdico-festivo que no era necesario
regular. Lo han dejado crecer y multiplicarse esbozando una sonrisa
complaciente y dejando hacer con la convicción de que se trataba de un juego de
niños y que la amenaza se limitaba a los usuarios particulares y a poco más que
a una molestia casual. Una estadística publicada recientemente[2] debería hacer reflexionar
a los que siguen pensando que la mayor amenaza a la que nos enfrentamos son los
virus del tipo "ILoveYou".
Por el contrario, hoy podemos decir
que han sido precisamente los hackers y los crackers los que han mantenido viva
una capacidad, que nos puede resultar vital, de poder reaccionar ante los
verdaderos riesgos que aparecen en el entorno digital. Su actividad ha
permitido poner la base de los servicios que deberán responder a ataques mucho
más importantes y destructivos.
A estas amenazas no habrá que
reaccionar siempre desde el ámbito tecnológico. La misma falta de mentalización
por parte del grueso de los usuarios de lo que realmente está en juego y su
desconocimiento de los más elementales rudimentos técnicos han llevado a que,
hasta ahora, haya sido así. No quedaba más remedio, ya que los técnicos eran
los únicos en tomarse en serio el peligro. Sin embargo, el instrumento que nos
puede llevar a hacer verdaderamente habitable el ciberespacio no va a ser
tecnológico sino que va a implicar a toda una serie de disciplinas sociales en
un esfuerzo concertado.
No se puede olvidar que el
ciberespacio es un hábitat humano. El hecho de que sea artificial y que se
confunda con una herramienta o un artículo de ocio no debería distraer nuestra
atención de que una parte importante de nuestra vida social -y una no menor de
los datos que nos definen en la misma- se encuentra en un espacio
insuficientemente comprendido y regulado. Se corre el riesgo de que internet se
convierta en un "puerto franco" donde impere la ley del más rápido.
(Me gustaría aquí hacer un inciso
sobre la base de la frase anterior. La globalización propiciada por el uso de
las tecnologías de la información y las comunicaciones supone una alteración
radical de los ejes de coordenadas en los que operamos. El espacio -la
geografía, que tanta trascendencia tiene en el mundo físico- se vuelve
irrelevante. Las coordenadas típicas de espacio y tiempo que nos definían la
velocidad, a través de su cociente, han quedado sustituidas por el tiempo y la
conectividad. Su producto nos proporciona la capacidad de influencia, el nuevo
paradigma de la nueva forma de relación entre humanos. Me extenderé en otro
momento más sobre este asunto.)
El ciberespacio permite a los
individuos asumir papeles tradicionalmente reservados a los Estados. De manera
similar a otras formas de conflicto asimétrico, el monopolio en el uso de la
fuerza se diluye por la especial relevancia que la red otorga a los actos de
cada cual con independencia de su peso específico. El dinamismo que requiere su
gestión contrasta con la falta de agilidad de las administraciones que, por lo
tanto, no están particularmente bien dotadas para hacer el uso más eficiente de
él.
Para conseguir operar en el
ciberespacio con la agilidad necesaria, los Estados deberán adaptar sus
estructuras mismas al nuevo entorno en que deben moverse. Del mismo modo que
las formas externas de los vehículos adoptan características aerodinámicas o
hidrodinámicas para operar en medios diferentes del terrestre, la adecuación
formal de los organigramas a la operativa digital será un requisito básico para
actores estatales y grandes corporaciones que quieran aprovechar las
oportunidades que ofrecen las redes.
De nuevo podemos volver al caso de
grupos y organizaciones que emplean medios y procedimientos asimétricos en su
lucha contra los Estados. La orgánica que muestran los grupos terroristas más
recientes presenta estructuras reticulares con un escaso desarrollo vertical.
Es decir, mucha relación entre iguales y pocos niveles de mando. Esto se
traduce en una gran capacidad de adaptación y de compartición de información,
en la posibilidad de compartimentar subgrupos y, por lo tanto, en una elevada
resiliencia (entendida la resiliencia como la capacidad de la estructura para
absorber un ataque y recuperar la plena operatividad inmediatamente).
En comparación, la Administración presenta
estructuras fuertemente jerarquizadas, con un enorme desarrollo vertical y
escasa permeabilidad lateral. En su diseño se adivina más la adecuación a
intereses personales que a la capacidad para alcanzar resultados que sean fruto
de la colaboración entre distintas partes de la organización. Si bien toda
organización tiene mecanismos informales que le permiten flexibilizar su
funcionamiento, la necesidad del sello o la firma, omnipresente en todo
ministerio que se precie, minimiza los beneficios que podrían obtenerse de
estos intercambios de información.
Hablo de beneficios y de oportunidades
porque, de todos los riesgos que se corren en el ciberespacio, el mayor de
todos es no hacer uso del potencial que tiene para generar conocimiento,
influencia y negocio. Las tres cosas y en ese orden.
La cantidad de información disponible,
adecuadamente procesada y asimilada, genera conocimiento nuevo. Este
conocimiento es el verdadero valor de la sociedad en que vivimos. Atrás quedó
ya la Era de la Información, donde el acceso a datos “en bruto” era la
aspiración de cualquier industria puntera. En el siglo XXI no es la información
lo que se persigue, ya que cualquiera tiene acceso a una parte muy
significativa de la misma (para muchos procesos, mucha más de la necesaria para
tomar una decisión). El conocimiento, la consecuencia, la conclusión, la
patente, es el valor añadido de nuestros tiempos.
Ese conocimiento debe ser gestionado
con agilidad y rapidez. Decía el General Patton que un buen plan hoy es mucho
mejor que un plan perfecto mañana. La Era del Conocimiento nos invita a demorar
la toma de decisiones de forma indefinida ante el caudal inagotable de nuevos
datos a los que tenemos acceso. La capacidad para resolver el puzle con el
menor número de piezas a la vista es lo que otorga una ventaja competitiva en
un mundo que prima la velocidad sobre la precisión.
La realidad es un puzle de muchas
piezas distintas. De nada nos sirve, para visualizar la imagen que contiene, ni
tener repetida la misma pieza, ni una altísima resolución en unas pocas de
ellas. Lo que realmente es necesario es tener el mayor número posible de piezas
distintas y la habilidad para saber cómo se relacionan entre ellas. De igual
modo, la seguridad debe ser equivalente en todos los flancos. La miopía a la
hora de determinar nuestras vulnerabilidades es lo que lleva a facilitar
agresiones procedentes de agentes que tienen una visión de conjunto de nuestra
situación o un punto de vista distinto a los que hemos contemplado. Es del
cruce de las informaciones parciales de cada pieza de donde se obtiene
conocimiento. NO se puede esperar a describir la imagen hasta que se disponga
de todas las piezas.
Esa actuación temprana y esa
generación de conocimiento adelantado a la competencia, convenientemente canalizada,
resultan en una mayor influencia sobre el entorno social, económico o político.
Es la influencia, y no directamente el ejercicio del poder (que desgasta), lo
que se busca en la sociedad 3.0 (igual que es el control de las rutas
logísticas lo que otorga poder sobre los suministros más allá de la posesión de
los recursos mismos).
Evidentemente, aquellos capaces de
influir serán aquellos que vean mejorar sus oportunidades de negocio. En un
mundo que se ve obligado a filtrar la información que le llega, aquel cuyas
luces brillen más y cuyo mensaje cale más profundo será el que modele las
percepciones del público. No siempre se venden las mejores ideas, ni se obtiene
el mejor precio por el producto en el que más trabajo y esfuerzo se ha puesto.
La imagen corporativa, el valor añadido y la habilidad para hacer ver sus
ventajas y justificar su adquisición por encima de la competencia serán claves
en nuestra estrategia.
Lo cual no deja de ser una perspectiva
preocupante habida cuenta de la dejación de funciones institucional que
mencionábamos antes.
El Ciberespacio es el gran igualador
de posibilidades. La capacidad de influencia de un particular puede superar con
mucho a la del Estado del que es nacional; sobre todo si el Estado colabora con
la creación de ese diferencial negativo no tomando parte en la actividad del
entorno digital.
Sin embargo, igual que el entorno
virtual otorga gran relevancia y visibilidad a los individuos, también tiene la
capacidad de convertir a cualquiera en invisible, voluntaria o
involuntariamente.
Uno se convierte en invisible cuando
su mano no mueve el ratón, cuando no tiene influencia, cuando no se distingue
del paisaje. Si bien la invisibilidad es algo que tiene sus ventajas
(especialmente en el submundo de lo ilegal), también tiene sus inconvenientes.
Depende de si queremos influir o vender algo. “¿Cómo empezamos a codiciar,
Clarice? ¿Buscamos objetos que codiciar?...No. Empezamos codiciando lo que
vemos cada día…”[3].
La misma velocidad de renovación de
contenidos, de generación de conocimientos, el dinamismo de la red y el simple
número de usuarios también ofrece retos y oportunidades. Todo en su interior es
fugaz y caduco; las noticias duran apenas el tiempo que tarda en aparecer un
relevo, las modas se desvanecen, las tendencias cambian con un par de clicks.
Ser visible, ser capaz de aprovechar las posibilidades del mundo virtual
implica mucho más que estar activo, implica dedicación y saber cómo llegar a
los usuarios.
Para algunos la seguridad empieza por
hacerse invisibles, por pasar desapercibidos. Sin embargo, hay demasiados
usuarios ahí fuera y demasiadas herramientas de búsqueda como para creer que
podemos escondernos en el ciberespacio. Como dicen en las películas de serie B,
“puedes correr, pero no esconderte”. De nuevo es la velocidad la clave para
vivir en las redes. No sólo para conseguir generar o atrapar las oportunidades
sino para evitar las múltiples amenazas existentes.
Llegamos así a la necesidad de
disponer de especialistas en la gestión del riesgo y las oportunidades. La
expresión es deliberada. No se trata de que nadie nos ofrezca una seguridad
total ante las amenazas del ciberespacio, ni de crear equipos especializados en
blindar las puertas de nuestra organización mientras las ventanas permanecen
abiertas de par en par. Se trata de gestionar, no de combatir. Y se trata de
ser capaces de explotar las ventajas tanto como de negarle esa posibilidad a
los adversarios.
Para ello necesitaremos equipos
multidisciplinares, capaces de identificar tanto nuestras vulnerabilidades como
nuestras fortalezas, contextualizar ese conocimiento y ponerlo al servicio del
usuario final.
Las soluciones técnicas solo lo son
respecto de problemas técnicos y pretender aplicar indiscriminadamente parches
a cualquier falla del sistema lleva a un exceso de parcheado y a un déficit de
consistencia de la solución.
El primer requisito en la gestión de
la seguridad es la definición del bien que se pretende proteger y el grado de
protección que se quiere proporcionar a cada elemento. Una identificación de
los costes asociados a cada nivel de protección debería permitir decidir hasta
qué punto nos conviene seguir elevando las barreras en torno a un elemento
concreto. En esos costes, además, debería estar incluido el de oportunidad,
tanto por lo que respecta al gasto incurrido en la construcción de la barrera,
como por la degradación en la usabilidad de un elemento cuando su acceso nos
resulta particularmente complejo.
No hay nada más sencillo ni más
engañoso que disociar los riesgos de las oportunidades. En el idioma chino, la
palabra “crisis” (危机, weiji) es la
mezcla de los caracteres correspondientes a “peligro” y a “oportunidad”. Quizás
la principal amenaza procedente de China sea que entienden mejor que otros cual
es el verdadero partido que se puede obtener del ciberespacio.
La mano que mueve el ratón es la mano
que domina el mundo. Hay manos que se mueven con el ratón, que lo acompañan en
su movimiento y manos que deciden el movimiento de su ratón y, con él, el de
millones de ratones en todo el mundo. El ciberespacio es un vacío lleno de
oportunidades y donde el mayor riesgo existente es no saber aprovecharlas.
Corolario: la mano que no mueve el
ratón es dominada por la que sí lo hace.
[1]
La frase es del periodista
norteamericano Henry Louis Mencken y la tomo prestada del título de un artículo
de Carlos Herrera(http://ebd06.ebd.csic.es/pdfs/Herrera.2007.01.Quercus.pdf ).
[3]
De mi escena favorita de “El silencio de los corderos” (Jonathan
Demme, 1991)
Riesgos y amenazas en y desde el ciberespacio
(Publicado en el número 1 de Seguridad Global, del Instituto Choisseul (http://www.choiseul.es/) verano de 2011).
La
mayor pérdida que podemos sufrir en relación con el Ciberespacio es dejar de
sacar partido a sus innumerables potencialidades por temor a los riesgos y
amenazas que existen en o hacia él.
DE
LA NATURALEZA DEL CIBERESPACIO
“We are stranded…between the
inadequacy of the nation-state and the emerging imperative of the global
community.”[1]
Cuando
hablamos del Ciberespacio nos vemos mediatizados por la naturaleza difusa del
término. No existe una definición universalmente aceptada de qué abarcan
términos como la Ciberdefensa, la Ciberseguridad y, mucho menos, el
Ciberterrorismo. De alguna manera, nos movemos en terreno poco firme cuando nos
adentramos en un campo que pocos comprenden y que nadie domina en su totalidad.
Éste
no es el lugar para aventurar una definición de Ciberespacio y de todos los
ciber-términos que queramos incorporar. Sin embargo, su delimitación es el
primer paso para su comprensión y regulación. Michael Dell, Presidente del
Consejo de Dirección y CEO de DELL, colocó esta indefinición en primer lugar de
la lista de problemas que existen para la supervisión del espectro cibernético
en su intervención en la Cumbre del Primer Foro Mundial de Ciberseguridad
celebrado en Dallas el pasado año.[2]
Algunas
de las definiciones existentes no recogen la totalidad de lo que supone el
Ciberespacio. Cuando se retrata como el “conjunto de medios físicos y lógicos
que conforman las infraestructuras de los sistemas de comunicaciones e
informáticos”[3] se está dejando fuera una
parte muy importante de su naturaleza.
Las
Directivas Presidenciales (NSPD-54/HSPD-23) de los Estados Unidos lo definen
como “entramado interdependiente de infraestructuras de tecnología de la información”
y puntualiza que incluye Internet, las redes de telecomunicaciones, los
sistemas informáticos y los procesadores y controladores incrustados en
industrias críticas. Tras una pausa, recuerda que su uso común también incluye
el entorno virtual de información e interacciones entre la gente. Y este uso
común contiene nociones que resultan de capital importancia a la hora de determinar
a qué riesgos está sujeto y qué amenazas debe afrontar.
La
naturaleza del espacio virtual es mucho menos intuitiva que la de los espacios
naturales. Tanto las posibilidades que ofrece como los riesgos que entraña son,
no sólo poco definidos sino enormemente cambiantes en unos plazos de tiempo a
los que no estamos acostumbrados[4].
La velocidad a la que se mueve este campo del conocimiento dificulta
terriblemente obtener la foto fija que todo órgano de decisión quiere tener
para poder basar en ella sus estrategias. Es más, la imagen que pudiéramos
obtener en un momento dado reflejaría, igual que en el mundo de las partículas
subatómicas, una realidad distorsionada y distinta de la real en el momento de
su análisis.
De
estas afirmaciones tenemos que extraer una primera hipótesis de trabajo que
parte de los tempos que impone la
utilización de los medios informáticos en el modo en que se hace en la actualidad[5].
El Ciberespacio es mucho más que internet; es, incluso, mucho más que los
mismos sistemas y equipos, el hardware
y el software y los mismos usuarios.
El Ciberespacio es una cuarta dimensión con sus propias “leyes físicas” que
debemos entender para poderlas explotar adecuadamente. No comprender esto
significa no estar en condiciones de afrontar los retos ni de aprovechar las
oportunidades que supone.
Como
vemos, la incapacidad de adaptarnos a los ritmos que imponen las tecnologías
asociadas al Ciberespacio es una de las principales razones de parálisis y de
falta de una respuesta adecuada a los retos que se plantean. Estamos condicionados
por un proceso de razonamiento analógico y secuencial que ya no es de
aplicación en esta esfera. De ahí, precisamente, la desconexión generacional
que sufre nuestra sociedad. Nos hemos subido al carro del espacio cibernético
con nuestro equipaje cargado de ideas adaptadas al mundo físico escasamente
conectado en el que vivíamos.
Las
percepciones que comparte la mayor parte de la población respecto a las
amenazas del mundo informático están basadas en parámetros temporales que no le
son aplicables. El ritmo evolutivo del Ciberespacio es incomparablemente mayor
que el del resto de las tecnologías y su impacto no ha terminado de ser
comprendido por los responsables de dirigirlo. Precisamente por esa razón
tendemos a dramatizar los acontecimientos pasados y las amenazas que lo fueron
del Ciberespacio de hace meses o años como si siguieran vigentes o sólo
ligeramente atemperadas. En realidad, los plazos en los que se miden tanto la
aparición de nuevas formas de ataque como la generación de barreras y estrategias
defensivas son mucho más cortos que en el resto de los ámbitos.
Otro
factor muy a tener en cuenta es la asimetría que hay entre, por un lado, la
accesibilidad al sistema y la facilidad de uso que permite a usuarios con
conocimientos muy rudimentarios obtener un cierto rendimiento del Ciberespacio
y, por otro, el alto grado de desconocimiento de las tecnologías subyacentes y
la estructura misma del sistema. Estos dos factores combinados generan un
usuario medio vagamente consciente de los riesgos que asume para obtener un
partido limitado a su equipo.
UN GRAN SALTO PARA LA HUMANIDAD
Igual
que la aparición del vapor o del motor de explosión o de la aviación
supusieron, en su momento, un salto significativo hacia adelante en cuanto a
los tiempos de reacción que tenían las autoridades para tomar decisiones y para
llevarlas a término, la aparición de los procesos automatizados, en los que los
cálculos se efectúan en diminutas fracciones de segundo, implican la necesidad
de adaptar nuestro proceso decisorio a estos plazos. El ciclo de la decisión establecido por el Coronel John Boyd en su
famoso “OODA Loop” hace hincapié en la criticidad de la rapidez en la adopción
de decisiones. El ciclo, de forma muy simplificada, comienza con la Observación
de los hechos o de los datos, pasa a la Orientación, esto es, el análisis
basado en nuestros conocimientos y experiencia, para llegar, en el menor plazo
posible a la Decisión y, sin solución de continuidad, a la Acción. La teoría de
Boyd establece que la victoria corresponde a aquel que sea capaz de completar
el ciclo en un plazo menor y, por lo tanto, anticiparse a las decisiones de los
posibles rivales.
En
este mundo cambiante, menos que en cualquier otro, no podemos permitirnos
“intentar ganar la última guerra” sino que tenemos que estar siempre preparados
para hacer frente a la siguiente. Las vulnerabilidades de los sistemas son incontables
en tanto que los sistemas mismos son muy numerosos y todos ellos presentan un
número indefinido de ellas que, además, evolucionan junto al sistema mismo. No
existe paralelismo histórico a la situación que estamos viviendo; ni siquiera
los aviadores de la Segunda Guerra Mundial, que veían las características de su
avión – un prototipo apenas del año anterior – mejoradas por un nuevo modelo
que lo dejaba anticuado en cuestión de meses, estaban sometidos a esta tiranía
de la innovación.
La
gran diferencia es que el Ciberespacio es, entre otras cosas, un vehículo para
la transmisión de las ideas y los datos y afecta a la forma en la que
concebimos nuestro entorno directamente. Tenemos que pensar en las redes
informáticas como una segunda revolución del conocimiento equivalente al
desarrollo de la imprenta a mediados del siglo XV. De nuevo, la diferencia
fundamental estriba en los plazos en los que el nuevo invento ha desarrollado
un cierto potencial de influencia sobre el pensamiento global de la humanidad.
Mientras que el invento de Gutenberg precisó de décadas, incluso siglos, para
modificar las pautas mediante las cuales el Hombre transmitía su saber e
influía en los demás, la cibernética ha logrado efectos similares en el plazo
de unos pocos años apoyándose en otras tecnologías que, desde luego, no podemos
dejar de considerar como parte integrante del Ciberespacio. Lo que es más,
hemos dejado de considerar nuestros sistemas de información como una
herramienta para integrarlos en nuestra forma de vida de un modo “íntimo”[6].
De
este modo, los cambios introducidos en nuestras pautas de comportamiento social
y las posibilidades que se abren con la utilización de las ya-no-tan-nuevas
tecnologías deben dar lugar a modificaciones organizativas y estructurales
similares a las que se abrieron paso como consecuencia de la elaboración en
serie de libros y otros documentos gracias a la imprenta.
Esta
adaptación de las mismas estructuras sociales es fruto tanto de la necesidad de
responder a un nuevo tipo de amenazas capaces de aparecer en unos plazos muy
breves desde cualquier punto del Globo cuanto del deseo de optimizar el diseño
de las organizaciones para permitirles sacar el mayor partido a las
posibilidades que se derivan del uso de la tecnología. Como es natural, la
función crea el órgano y la aparición de nuevas funcionalidades obliga a
desarrollar los instrumentos más adecuados para acometerlas.
El
mismo John Boyd, en otra de sus conferencias, anticipa el diseño de las
estructuras reticulares y lo que, en las Fuerzas Armadas modernas, se ha dado
en llamar Network Centric Warfare que
se benefician, en los dos primeros principios de su ciclo decisorio, de las
múltiples interconexiones presentes entre los distintos elementos que componen
la organización.
De
este modo, las estructuras piramidales de transmisión secuencial de datos y de instrucciones
en un flujo ordenado y en un sentido más o menos vertical se ven sustituidas
por estructuras matriciales y reticulares donde la información y las órdenes se
entrecruzan entre todos los nodos que la constituyen sin converger hacia un
centro decisorio fijo. La multitud de aspectos y de habilidades necesarios para
realizar las tareas de las redes son analizados por especialistas en cada
materia que comparten sus puntos de vista hasta crear una imagen colegiada de
la decisión. La transmisión es prácticamente horizontal en todos los casos y
sólo en sub-grupos concretos se adoptan estructuras piramidales clásicas para
la ejecución de tareas sencillas, mecánicas o que requieren de gran
centralización del control.
Esta
adaptación de la sociedad a la estructura misma del Ciberespacio se aprecia
mucho mejor cuando se analizan aquellos grupos que nacen ya dentro de la “era
digital”. Es evidente, pero para muchos la evidencia ha tardado años en
manifestarse, que un teléfono móvil es mucho más que un teléfono sin cables.
Una buena parte de la sociedad – y la práctica totalidad de la juventud –
organiza hoy su vida alrededor de los teléfonos celulares en los que concentra
muchas de las aplicaciones que estaban anteriormente dispersas y a las que, en
muchos casos, no se podía acceder más que desde terminales fijos.
La
combinación, a la que aludía antes, de los medios informáticos y de los
modernos medios de comunicación multiplica las capacidades de los usuarios
hasta límites que no habríamos imaginado hace apenas una década. El internauta
avezado de hoy goza, desde sus terminales móviles, de una suerte de ubicuidad
que le permite comunicarse e interactuar en varios escenarios de forma
prácticamente simultanea. No resulta extraño observar a los jóvenes utilizando
varias aplicaciones al mismo tiempo sobre la misma pantalla. De hecho, la
industria avanza en el sentido de favorecer la integración de las nuevas
grandes pantallas de televisión para permitir que se utilicen como plataforma
sobre la que visualizar las distintas ventanas que les asoman a multitud de
utilidades.
No
son sólo los jóvenes y, hasta cierto punto, los militares los que replican la
estructura reticular del Ciberespacio en sus propias organizaciones. Un estudio
de la estructura organizativa de las células terroristas de corte islamista[7]
revela una compleja red de interconexiones que comunica diversas sub-redes en
un firmamento de constelaciones más o menos soldadas entre sí. La
descentralización a que da lugar este tipo de organigrama – más deducido que
diseñado, por otro lado – es tan difusa que da lugar a expresiones como la de Leaderless Yihad de Marc Sageman[8].
En
esta estructura, las células operativas se configuran y reconfiguran en
cuestión de días en base a vínculos personales entre cada uno de los nodos.
Estos vínculos, muy laxos, configuran una de las múltiples conexiones que cada
elemento puede establecer, con una muy amplia libertad de movimientos tanto
dentro de su propia célula como con otras adyacentes (utilizando esta expresión
con toda cautela ya que la “proximidad” en el mundo de las redes viene
establecida por el mismo establecimiento de los vínculos y no por
características geográficas o ideológicas).
La
ligazón entre los distintos nodos tampoco responde a la estructura clásica de
los vínculos sólidos sino que responde, muchas veces, a simples conexiones por
inducción o influencia. Cada una de estas conexiones, además, resulta de un
interés compartido en un aspecto determinado y puede limitarse a un ámbito
concreto de influencia o a un periodo temporal concreto. Son lo que se denominan
“scale-free networks”, redes en las
que los individuos se agrupan espontáneamente en función de los beneficios
concretos que para una actividad determinada extraen de la pertenencia pero
que, fuera del ámbito de esa actividad, se diluyen para reconfigurarse en otras
redes con componentes distintos.
Estas
estructuras – tanto las de las células terroristas como las empleadas por los
jóvenes internautas – reproducen con gran fidelidad la misma configuración
propia de las redes cibernéticas y son, por lo tanto, particularmente aptas
para extraer el mayor partido posible a las mismas.
Negar
la evidencia sería una necedad; el uso de las redes sociales ha introducido una
nueva forma de relación (o, mejor, un nuevo instrumento para las relaciones)
que abre considerablemente el abanico de posibilidades que existían previamente. En una sociedad en
la que el adagio que rezaba que “la información es poder” es más cierto que
nunca, renunciar a la capacidad de diseminar información – y desinformación –
que tiene el Ciberespacio es equivalente a lastrar nuestras posibilidades de
influir en los acontecimientos que nos rodean – en sentido amplio – en nuestro
propio beneficio.
La
referencia que aparece más arriba al tempo
del Ciberespacio se comprende mucho mejor ahora. Los ciclos de decisión[9]
basados en la tecnología y – subrayo – en las estructuras adecuadas para mejor
explotarla se desvinculan completamente de los ritmos a los que estamos
acostumbrados en el ambiente estratégico o diplomático. Nuestros centros de
decisión son incapaces de seguir el ritmo impuesto por las Redes Sociales o,
simplemente, por la acumulación de información y de análisis – ya que el número
de interpretaciones que pueden generarse a nivel mundial sobre cada noticia
también se multiplica – a que da lugar la Globalización a través del uso masivo
de las tecnologías.
Los
acontecimientos geopolíticos recientes nos muestran con una claridad meridiana
la incapacidad de unas organizaciones diseñadas para gestionar el mundo surgido
de la Segunda Guerra Mundial y de Bretton Woods para adaptarse a las exigencias
de los nuevos retos de la sociedad reticular. La repercusión mediática que
alcanza cualquier resolución, magnificada por la infinita interconexión de los
medios, paraliza – o, al menos, mediatiza – la adopción de posturas por parte
de los dirigentes.
La
respuesta judicial a las nuevas estructuras organizativas llega con años de
retraso, como demuestra la lenta adaptación de nuestra normativa nacional a los
nuevos modelos organizativos yihadistas. La reacción ante la utilización de las
redes sociales como instrumento político apenas si ha pasado todavía de la
perplejidad y las filtraciones de datos en páginas como Wikileaks no han hecho más que demostrar como los gobiernos tienen
una opinión muy poco formada respecto a qué tipo de decisiones se requieren al
respecto.
Cabe
decir en nuestro descargo que somos la primera generación que tiene relación
con – y, simultáneamente, la primera con dependencia de – estas tecnologías. No
existen pautas creadas, no existe un aprendizaje progresivo. La memoria social
no puede ayudarnos a establecer los comportamientos adecuados y nuestra
capacidad de adaptación se ve muchas veces superada por el ritmo de los avances
tecnológicos y del uso que se hace de ellos. Podemos recibir – y, de hecho,
solemos recibir – entrenamiento en materia de seguridad informática pero eso
sigue distando mucho de una educación en la materia.
MOTIVOS DE PREOCUPACIÓN
“Los
humanos son, normalmente, el eslabón más débil en cualquier sistema de
seguridad.”[10]
¿Por
qué debemos, por lo tanto, preocuparnos ahora por los riesgos y amenazas a la
seguridad del Ciberespacio? ¿Qué ha cambiado para que éstos sean más
significativos ahora de lo que lo eran hace unos años? ¿Qué consecuencias puede
acarrear nuestra inacción en este campo? ¿Qué medidas podemos adoptar para
paliar las nuevas vulnerabilidades que supone nuestro uso del espectro
cibernético?
Internet
nace como un instrumento militar de limitado alcance, un conjunto de nuevos
protocolos de comunicaciones. Se diseña pensando en un número limitado de
usuarios y de posibilidades y, por lo tanto, primando su funcionalidad sobre su
seguridad ya que ésta venía dada por la confianza depositada en los operadores
del sistema. Las primeras redes de ordenadores son santuarios del saber donde
el tiempo de acceso está muy cotizado y restringido a aquellos que tienen
buenos motivos para utilizar la nueva herramienta.
El
diseño mismo de los protocolos que rigen estos primeros tiempos del
Ciberespacio facilita su desarrollo en base a las diferentes aportaciones de
los mismos usuarios. El espacio cibernético es, en aquellos tiempos, un mundo “hippie”, desenfadado y alegre donde no
tiene cabida el mal, donde todo es nuevo y divertido, en el que cada día aporta
novedades impensables hace apenas unos meses. La aparición del PC, el ordenador
personal, es una democratización de las redes y una puerta abierta a que
millones de personas puedan seguir contribuyendo a la construcción de ese mundo
maravilloso. Internet era una mariposa, libre, bonita… e indefensa. ¿Quién iba
a querer hacerle daño a una inofensiva mariposa?
Los
mismos que desarrollaban los programas y las aplicaciones, el hardware y sus conexiones, empezaron a
detectar – y a dejar abiertas – puertas traseras desde las que manipular sus
propias creaciones o las de los demás. Sin embargo, los usos que se daba al
Ciberespacio emergente y los beneficios que se obtenían de la explotación de su
potencial justificaban los riesgos que iban surgiendo. Riesgos que, por otro
lado, se limitaban en un principio a travesuras más o menos molestas que podían
limitar la operatividad de equipos que, en muchos casos, se empleaban para
labores de apoyo, cuando no como meros procesadores de texto y calculadoras de
gran volumen.
Tenemos
que tener muy claro, por lo tanto, que el Ciberespacio es una construcción
humana. Una construcción que no tuvo siquiera un único diseñador sino que,
partiendo de una base, fue desarrollándose con las aportaciones de los mismos
usuarios. Al contrario que el resto de los espacios en los que nos movemos
nosotros mismos, nuestros bienes y servicios, nuestros datos y opiniones, el
Ciberespacio nace para servir al Hombre con los criterios que establece el
Hombre. Ningún Ser Superior lo supervisó y “vio que era bueno”.
No
obstante, nos hemos instalado en el Ciberespacio con la misma naturalidad con que
lo hicimos en los espacios naturales pretendiendo exigirle la misma fiabilidad
a este recién nacido que a los demás ámbitos. De hecho, rápidamente lo hemos
incluido en lo que los anglosajones llaman los Global Commons, los espacios comunitarios que, sin pertenecer a
nadie, sirven para que todos transitemos o transportemos nuestros bienes,
servicios y datos. Lo hemos puesto a la par con las aguas internacionales, con
el espacio aéreo y con el espacio exterior.
De
hecho, en ninguno de los otros espacios, en ninguno de los commons, nos hemos instalado con tanta rapidez ni con tanta
despreocupación como en el Ciberespacio. Hemos puesto en sus servidores
nuestros datos personales y bancarios, nuestros diseños y propiedad
intelectual, la gestión de nuestros sistemas de producción y de nuestros
tráficos y comunicaciones. Ha cumplido su función con tal grado de excelencia
que hemos confiado a su superior capacidad de cálculo las inversiones que antes
realizaban sudorosos brokers en
atestados parqués y ahora realizan algoritmos pre-programados y la dirección de
los misiles con los que defendemos nuestros mismos ideales.
Y,
todo, en poco más de veinte años.
En
el momento en que la informática dejó de ser una herramienta para dar lugar al
Ciberespacio, a un hábitat en el que interactúa el Ser Humano, el problema de
la seguridad da un salto cualitativo. No es lo mismo perder el control de un
juguete o una herramienta de jardín que el del coche en el que viajas. El
Ciberespacio es un entorno en el que se desarrolla una parte cada vez más
importante de nuestras vidas y su importancia, aparte de la que pueda suponer
en cuanto al aspecto material, es muy distinta de la que tenía hace tan solo
veinte años. Por eso, porque vivimos en parte en sus aulas, en sus foros, en
sus oficinas, en su mundo virtual y porque esa vida se ha convertido en una
parte importante de nuestra existencia, la seguridad del Ciberespacio ha dejado
de ser una opción para pasar a convertirse en una necesidad.
El
precio de la inacción no es tan solo la pérdida de datos o de bienes, por
importantes que sean. El principal precio que podemos tener que pagar es la
necesidad de renunciar a una herramienta que cambia nuestras vidas; una
herramienta que hemos diseñado nosotros para nuestro servicio y que podemos
contaminar hasta convertir en inservible. La Secretaria de Estado
norteamericana, Hillary Clinton, incluso llegó a equiparar el libre acceso a internet
con Derechos Humanos como la libertad de expresión.
Desde
luego, no podemos pretender apelar a la sensatez del resto de nuestros
congéneres, ni siquiera a la tipificación a nivel nacional de delitos y faltas
que no conocen de fronteras y que son de difícil atribución. El Ciberespacio
tiene que ser un lugar seguro donde realizar nuestras actividades; al menos,
tan seguro como lo son los barcos y los aviones que usamos para nuestro ocio y
para nuestros negocios. El precio de esa seguridad serán algunas restricciones
a su uso, pero, si queremos que siga siendo útil a sus creadores, tendremos que
hacerlo evolucionar para que siga cumpliendo su función.
Quizás
haya llegado el momento de decidir si la configuración actual del Ciberespacio
tiene la suficiente flexibilidad como para adaptarse a los nuevos requisitos o
tenemos que diseñar un nuevo ámbito como empiezan a reclamar algunos países
plenamente democráticos que pretenden, sin embargo, ejercer un control más
centralizado sobre las redes[11].
RIESGOS Y AMENAZAS
“El
impacto potencialmente más grande se verá por la proliferación de dispositivos
móviles interactuando con redes corporativas”[12]
La
advertencia es de Amichai Shulman, director de tecnología de Imperva, sobre las
tendencias en seguridad informática para este año. La proliferación de tabletas
y otros dispositivos móviles y el deseo de acceder a los datos y aplicaciones
desde cualquier lugar es una potencial fuente de amenazas a la seguridad de las
redes.
El
mismo artículo del que extraemos la cita relaciona las diez amenazas más
importantes a la seguridad informática según la misma empresa de seguridad
informática. La lista está elaborada con la clásica tabla de dos entradas en la
que aparece contrastada la gravedad del ataque con la probabilidad de su
ocurrencia. Queda como sigue:
1. Ataques cibernéticos
a países. Tanto las naciones como
las organizaciones multi- y supranacionales se pueden ver sujetos a ataques
orientados a destruir infraestructuras críticas. Stuxnet abrió el camino el pasado verano a todo un nuevo mundo de
posibilidades: los ataques desde el
Ciberespacio, a los que dedicamos un apartado más adelante.
2. Robo interno de
información por parte de empleados.
El caso reciente más llamativo es, sin duda, el del Soldado Bradley Manning y
la filtración de datos a la página Wikileaks.
Sin embargo, este caso está lejos de ser el único; los robos de información a
la empresa automovilística francesa Renault por parte de competidores
extranjeros parecen tener detrás también a algún colaborador interno y
escenifican la importancia del factor humano en la seguridad del Ciberespacio.
3.
Ataques contra navegadores como medio para acceder a los sistemas de sus usuarios.
4.
Seguridad y privacidad en redes sociales cuyo crecimiento lleva asociado un mayor número de datos
privados disponibles para aquellos que sean capaces – y tengan la falta de
escrúpulos suficiente – de penetrar en ellas.
5.
Robo de archivos y no de bases de datos[13]
6.
Seguridad en la nube[14]. A la preocupación por la seguridad del Ciberespacio “clásico”
se añade ahora el relativamente nuevo concepto de Cloud Computing. Syntec Numérique ya publicó en abril del pasado
año su “Livre Blanc Sécurite du Cloud
Computing: Analysedes risques, réponses et bonnes pratiques”[15]
en que se apuntan los nueve riesgos principales identificados en la nube y las necesidades de seguridad
física, lógica y de los datos que alberga.
7.
Mayor riesgo en teléfonos inteligentes y tabletas, muy en línea con la frase que citamos al principio de
este apartado.
8.
Menos hackers,
pero más poderosos. El Ciberespacio, lo
apuntábamos también más arriba, ha dejado de ser desenfadado y apto para
“gamberradas” para convertirse en un foro de negocios. Los aficionados de ayer
son hoy especialistas al servicio de intereses muy reales.
9.
Seguridad informática en redes corporativas. Muchas veces las grandes olvidadas al hablar del
Ciberespacio porque se tiende a dar por sentado que su aislamiento garantiza su
seguridad.
10. Leyes para proteger
la seguridad de los datos privados,
que enlaza con varias de las anteriores. Los robos de millones de datos de
gestoras de tarjetas de crédito en los Estados Unidos han costado miles de millones
de dólares y, lo que puede ser más grave a medio plazo, han afectado a la confianza
de los clientes en la seguridad de los datos que proporcionan. La intrusión
hace tres años en la base de datos de Heartland
Payment Systems se saldó con el robo de cuarenta millones de números de
tarjetas de crédito y la sentencia a veinte años de prisión del hacker responsable, Albert Gonzalez. El
negocio on-line está creciendo exponencialmente y, con él, los riesgos
asociados a la pérdida de los datos que se manejan. El comercio de datos
privados es uno de los negocios más florecientes del Ciberespacio.
Existe
una cierta tendencia a considerar que los ataques cibernéticos son acciones que
destruyen o inhabilitan los sistemas y que lo hacen de una forma total e
irreversible. El usuario medio está más preocupado porque un virus le obligue a
reconfigurar su ordenador – dando por sentado que ha adoptado las medidas
básicas de seguridad de tener un duplicado de dicha configuración – que por la posible sustracción de los datos
que éste contenga. Sin embargo, mientras que los ataques destructivos son,
ciertamente, muy graves, el riesgo que se materializa cada día es el del robo
de datos. El Ciberespionaje es mucho más frecuente que cualquier otra acción
ofensiva en el Ciberespacio.
Y,
desde luego, no es una amenaza a pasar por alto. La apropiación indebida de
terabytes de información relativa al cazabombardero de quinta generación F-35,
el Joint Strike Fighter, supone una
pérdida económica multimillonaria en tecnología pero, al mismo tiempo, permite
al ladrón un ahorro de costes de investigación y desarrollo y, sobre todo, de
tiempo que puede habilitar avances muy significativos y facilitar la escalada
armamentística equilibrando el tablero de juego. En la misma línea, las
primeras imágenes del nuevo avión chino de tecnología stealth, discreta al radar, el J-20, revelan sospechosas
similitudes con sus homólogos ruso y norteamericano que podrían indicar que
parte de la tecnología empleada en su fabricación podría provenir de
desarrollos ajenos. Las intrusiones en las bases de datos y archivos de
competidores suponen una fuente muy importante de conocimientos y un camino
mucho más sencillo que la “ingeniería inversa” tradicionalmente desarrollada
por algunos países sobre patentes extranjeras.
Tampoco
podemos despreciar el uso que hacen del Ciberespacio las organizaciones
criminales y terroristas. Las posibilidades que proporciona para el acceso
directo, la diseminación de información, las labores de propaganda y captación
y la rapidez y facilidad para el movimiento de recursos financieros necesitan
ser monitorizadas y contrarrestadas para evitar que estas organizaciones puedan
multiplicar sus capacidades a nuestra costa. Las facilidades que supone la
utilización de los medios informáticos están al alcance de todos. Esa es su
principal virtud, pero también su principal vulnerabilidad. En el Ciberespacio
todos nos igualamos relativamente, unos medios sencillos y económicos permiten
obtener, con unos conocimientos poco sofisticados, unos resultados que serían
impensables con otro tipo de instrumentos.
¿Quién
debe encargarse de la protección del Ciberespacio?
James
A Lewis, del Center for Strategic and
International Studies nos recuerda[16] que “no pedimos a nuestras compañías aéreas que protejan
nuestro espacio aéreo de los ejércitos extranjeros y no deberíamos pedir a las
compañías (informáticas) que nos defiendan de sofisticados oponentes
extranjeros si pretendemos tener éxito”. Desde luego, podemos estar de acuerdo
en que los proveedores de servicios en la red no son los únicos responsables,
ni pueden serlo, de la seguridad en el Ciberespacio. La implicación de todos
los actores, estatales y privados, civiles y militares, en dicha tarea es
imprescindible.
No
obstante, tenemos que recordar que la diferencia fundamental entre el mundo
cibernético y el físico es su carácter artificial. En este caso, nosotros
aportamos el continente y el contenido; no existe un equivalente al espacio
aéreo en el mundo cibernético sobre el que actuemos con los equivalentes a
aviones sino que tanto el aire como
los aviones son creaciones humanas.
El
Ciberespacio no es un elemento simple, se compone de múltiples capas con
diversos elementos en cada una. No es fácil ocluir todos los intersticios que
puedan quedar en cada una de ellas, pero tampoco lo es sortear el creciente
número de filtros que se van colocando en las mismas. Dicho de otro modo, cada
uno de los elementos que conforman el sistema tiene sus propias
vulnerabilidades y es susceptible de ser atacado por alguien que conozca su
arquitectura pero, al mismo tiempo, la complejidad intrínseca que presenta el
conjunto dificulta la tarea de acceder al mismo.
Por
otro lado, el acceso a un sistema convenientemente protegido no garantiza su
control ni mucho menos. La compartimentación interna – asimilable a la de un
gran buque petrolero – permitirá el acceso a la o las zonas inmediatamente
contiguas a la brecha pero difícilmente lo hará mucho más allá. La correcta
configuración de las medidas de seguridad será clave en la protección de los
contenidos.
Estos
contenidos, los datos y archivos que generamos con nuestra actividad y las
instrucciones que hacen funcionar los programas, constituyen la capa semántica del Ciberespacio. Decenas de
miles de programas han aparecido en los últimos años para gestionar cada
aspecto concreto, cada actividad de la vida humana. La especialización y la
misma naturaleza abierta del negocio informático han propiciado una gran
diversidad de soluciones, en muchos casos generadas por los mismos usuarios en
base a sus conocimientos de programación. Éste es el objetivo de los ataques
que persiguen la obtención de datos personales, propiedad intelectual, y
similares.
Toda
esta cantidad de datos y programas necesitan basarse en un soporte lógico, una
capa sintáctica compuesta por
instrucciones tanto de los diseñadores como de los usuarios y los protocolos
según los que se comunican, por formas de ordenar las instrucciones según
formatos distintos. Imposible repasar, por ejemplo, todas las posibles extensiones
de los archivos que definen una arquitectura distinta para cada caso. Hacia
esta capa es hacia donde van dirigidos la mayor parte de los ataques e intentos
de intrusión. Sus vulnerabilidades son más fácilmente explotables al ser más
abiertas. Por esa razón, los ataques producidos por virus suelen afectar a un
tipo concreto de archivo mientras que los demás son inmunes al mismo.
Necesariamente
tiene que existir un soporte tangible para las dos capas anteriores. Una
tercera capa, denominada física, está
formada por los elementos materiales del Ciberespacio. El hardware es, sin embargo, mucho más que lo que vemos y tocamos en
nuestro puesto de trabajo o de ocio. Por detrás de las pantallas y los teclados
hay kilómetros de cables, servidores, fibra óptica, conmutadores, enrutadores,
cortafuegos y demás elementos físicos que permiten no sólo la computación
concreta de los datos en un ordenador sino también su transmisión y difusión,
almacenamiento e intercambio.
A
pesar de que pudiera pensarse que esta capa física es inerte, trozos de metal y
plástico, el potencial para planificar intrusiones desde sus componentes es uno
de los asuntos que mayor preocupación genera en las comunidades de inteligencia
de todo el mundo. La externalización en la fabricación y diseño de estos
componentes supone una pérdida de integridad altamente peligrosa para la
seguridad global del sistema[17].
En
los Estados Unidos, por ejemplo, la creciente preocupación por la posibilidad
de instalación de componentes dañinos que contengan dispositivos susceptibles
de destruir una parte del sistema o de abrir “puertas traseras” que habiliten
el acceso de terceros al sistema ha hecho que se ponga en marcha el “Trusted Foundry Programme”[18]
para certificar la procedencia de los circuitos integrados y verificar su
inocuidad. La Defense Advanced Research
Projects Agency (DARPA)[19]
se ha implicado en dicho programa con fondos destinados a garantizar la
seguridad de los componentes físicos en sistemas del Departamento de Defensa y
la Agencia de Seguridad Nacional.
Un
error muy frecuente es considerar que las agresiones deben realizarse desde una
perspectiva simétrica a la que adoptamos. Es decir, que nuestros sistemas
informáticos serán objeto de ataques o intentos de intrusión por medios
tecnológicos del ámbito del Ciberespacio. Sin embargo, los componentes físicos
de nuestro sistema son absolutamente vulnerables a un ataque cinético de
“fuerza bruta”, es decir, a su destrucción física. Por poco sutil y sofisticado
que sea un ataque de esta naturaleza, su efectividad está fuera de toda duda.
Igual que Stuxnet puede, desde su naturaleza lógica, actuar sobre el mundo
físico con efectos destructivos, el mundo físico es perfectamente capaz de
devolver el golpe. A este respecto no conviene olvidar que los componentes
físicos que configuran el sistema completo en el que nos movemos y operamos
dentro del Ciberespacio se encuentran dispersos por multitud de ubicaciones y
que nuestra capacidad para protegerlas – incluso para conocer su ubicación – es
limitada.
Si
considerásemos el Ciberespacio – como hacen muchos – limitado a las tres capas
descritas, estaríamos dejando sin tratar un elemento fundamental que debemos
incluir en todos los ámbitos de actuación del hombre: la capa humana propiamente dicha. En dicha capa
tendremos que considerar no sólo al usuario concreto sino también los
condicionantes de su formación, escala de valores, grado de supervisión,
estructura en la que se encuadra y demás. Los más espectaculares y recientes
ataques informáticos han aprovechado la vulnerabilidad de esta última capa para
acceder a sistemas que se encontraban fuertemente protegidos en las otras tres.
No
podemos olvidar que el factor humano juega un papel muy importante en los
diseños de seguridad (entendida como security
pero también como safety) de todos
los sistemas. La supervisión de las actividades de los operadores, mantenedores
e incluso de los fabricantes y diseñadores es tan necesaria como el mismo
control de los componentes físicos o lógicos.
EN EL CIBERESPACIO
“Los ataques virtuales tienen
consecuencias en la vida real.”[20]
Dentro
del ámbito mismo del Ciberespacio, originándose en como parte de él y con el
objetivo de actuar sobre sus contenidos, se desarrollan algunos de los riesgos
y amenazas puramente tecnológicos más conocidos. No es el propósito de estas
líneas entrar en los detalles de cada uno de ellos ni describir su
funcionamiento paso por paso. La mayor parte de las herramientas utilizadas,
fundamentalmente virus, gusanos y troyanos, son sobradamente conocidos incluso
por el usuario medio y su rápida evolución dejaría obsoleto en poco tiempo
cualquier intento de describir exhaustivamente todos ellos.
En
los últimos años se han venido desarrollando otros mecanismos que, basados en
ocasiones en los anteriores, buscan multiplicar los efectos obtenidos. El
desarrollo de botnets supone un medio
más que un fin en este sentido. Una vez construida la red de ordenadores
cautivos, como podríamos definir los botnets,
podemos utilizar la potencia combinada de todos ellos para lanzar ataques
contra un tercero.
Las
técnicas más utilizadas en acciones reales contra la misma estructura del
Ciberespacio en acciones que se podrían catalogar de bélicas son la Denegación
de Servicio (DoS – Denial of Service)
y la Denegación de Servicio Distribuida (DDoS – Distributed Denial of Service). Como su propio nombre indica, se
trata de saturar la capacidad de un sistema para evitar que pueda proporcionar
el servicio requerido. En el primer caso, estaríamos hablando de un duelo
singular entre dos sistemas individuales mientras que en el caso de la DDoS se
trataría de un ataque concertado desde distintos sistemas. La DDoS podría
llevarse a cabo utilizando diferentes servidores pertenecientes a una misma
organización en un esfuerzo concertado sobre un mismo objetivo, activando una
red de botnets para que, de forma
independiente pero dirigida, realizasen ataques simultáneos o, por fin, podría
provenir de un esfuerzo colectivo coordinado a través de las redes sociales o
de foros o grupos especializados.
La
aparición de estos grupos más o menos focalizados en la realización de este
tipo de acciones – de los cuales, sin duda, el más famoso es Anonymous – ha dado lugar a acciones de
protesta sobre instituciones públicas y privadas que han ido desde el defacement, o alteración de los
contenidos de una página web, generalmente con carácter caricaturesco o burlón,
hasta DDoS con efectos de gravedad variable. En España recordamos los ataques
contra las páginas web de algunos partidos políticos o el Palacio de la Moncloa
– con la sustitución de la fotografía del Presidente del Gobierno – y la
negación de servicio al Ministerio de Cultura y la Sociedad General de Autores
y Editores (SGAE) que se organizó desde los foros 4chan y coordinó por el mismo
Anonymous ya citado.
Mucho
más graves han sido recientemente los ataques sufridos por el Consejo de
Europa, la Comisión Europea y el Servicio Exterior Europeo que dejaron sin
servicio el correo de este último y obligaron a cerrar durante horas o días las
páginas web de dichas instituciones como única forma de evitar intrusiones[21]
como era el propósito del agresor.
La
toma de conciencia de la importancia que pueden llegar a tener los ataques que
pretenden la negación de servicio a países con una alta dependencia de sus
redes informáticas llegó tras el asalto que sufrió Estonia, uno de los países
donde las tecnologías de la información tienen mayor penetración[22],
en abril de 2.007. La seriedad del ataque hizo considerar a Estonia la
posibilidad de solicitar a la OTAN la activación del artículo 5 del Tratado de
Washington que prevé la actuación de la Alianza en caso de ataque a uno de sus
miembros. Tampoco es casual la ubicación del Centro de Excelencia de
Ciberdefensa Cooperativa (CCDCOE) de la OTAN en ese país.
Si
bien la mayor parte de los ataques recibidos procedían de Rusia, en ningún
momento se pudo acreditar una acción concertada de procedencia estatal. De
hecho, la causa que desencadenó los ataques – el traslado de una estatua de
homenaje al Soldado Soviético – había despertado suficiente indignación entre
los rusos a ambos lados de la frontera como para hacer creíble una respuesta
“popular espontanea”.
Estonia
tuvo que cerrar el acceso internacional a su red y contratar servicios de
empresas de routing para añadir redundancia
a las conexiones externas.
La
utilización del Ciberespacio como escenario de conflicto bélico simultáneamente
a una confrontación convencional tuvo también su ejemplo partiendo de la
Federación Rusa; en este caso, durante la breve guerra que la enfrentó a la
República de Georgia en el verano de 2.008. La DDoS llevada a cabo utilizó seis
botnets diferentes pero tampoco pudo
trazarse una conexión con las Fuerzas Armadas o la Inteligencia rusas sino que
apareció como originada por usuarios y “hacktivistas”
de todo el mundo.
La
anulación virtual del domino .ge, aparte de los efectos que se comentarán más
adelante, tuvo una incidencia directa en la capacidad del Gobierno georgiano
para dirigir las operaciones y para conseguir una conciencia situacional
suficiente para hacer frente a su gestión.
Sin
embargo, con gran diferencia, la operación más frecuente es el espionaje
informático. Ya sea éste de carácter industrial, militar, diplomático o de
cualquier otro tipo, las técnicas empleadas para llevarlo a cabo son,
fundamentalmente, las mismas. La operación de ciber-espionaje GhostNet, cuando fue descubierta en
2.009, había conseguido infiltrar alrededor de 1.300 ordenadores en más de 100
países, incluyendo los del Dalai Lama.
La
intrusión en los sistemas objetivo no es, en absoluto, sencilla ya que hay que
conocer razonablemente bien la arquitectura del sistema a penetrar o conseguir
introducir algún programa propio que identifique para nosotros las posibles
puertas de acceso. El popular phising,
cebo informático para conseguir que sea el mismo usuario el que desvele sus
contraseñas, resulta más sencillo y, sorprendentemente, es mucho más efectivo
de lo que cabría suponer.
El
intento de estafa sufrido este mes de Abril por el Elíseo francés o el “asunto
HBGary” son ejemplos recientes de incursiones. El segundo responde a una de las
más espectaculares actuaciones del grupo Anonymus,
algunos de cuyos miembros habían sido amenazados por la sociedad de seguridad
informática norteamericana con que revelaría su identidad. El ataque accedió a
casi 70.000 correos electrónicos, la mayor parte de ellos confidenciales, de la
empresa relacionados con agencias gubernamentales de defensa e inteligencia
americanas así como de algunas
sociedades privadas.
También
fue el Pentágono el objetivo de una incursión por parte de una agencia de
inteligencia de un tercer país que consiguió infiltrar una unidad flash en un ordenador portátil en una
base de Oriente Medio. El archivo se propagó a una red del USCENTCOM, el Mando
Central de los Estados Unidos, que dirige, entre otras, las operaciones en Irak
y en Afganistán.
Naturalmente,
hizo falta una operación con nombre clave de dos palabras, Buckshot Yankee, para repeler el ataque.
También
el CENTCOM aparece relacionado en informaciones oficiales un contrato con la
empresa Ntrepid que le permitiría gestionar identidades falsas en las Redes
Sociales para contrarrestar la propaganda anti-americana y para controlar la
información que se mueve por ellas. Además de servir como ejemplo de
actividades que se mueven dentro del Ciberespacio y tienen como objetivo el
mismo ámbito virtual, demuestra la importancia que las instituciones prestan a
las Redes Sociales y a su capacidad para movilizar a la opinión pública en
general.
Un
caso particular de espionaje en la red sería el robo de datos contenidos en los
sistemas protegidos. Lo poco sofisticado de los medios no hace de esa acción
algo menos peligroso, como demuestra el caso Wikileaks. La simple copia de datos en discos de almacenamiento
para su reubicación posterior en servidores externos provoca daños de igual
magnitud que el más sofisticado gusano o troyano. De nuevo, el factor humano se
demuestra como el más vulnerable de todo el sistema y uno al que,
necesariamente, hay que instruir, educar y controlar.
La
principal diferencia que existe entre el robo de datos informáticos respecto de
cualquier otro tipo de documentación estriba en el volumen que se puede
“distraer” de una forma discreta. Es evidente que el Soldado Manning hubiera
necesitado mucho más tiempo para copiar en cualquier soporte no informático la
misma cantidad de documentación y que su extracción de la zona reservada habría
sido detectada con mayor facilidad.
De
igual manera cabe considerar que la información en soporte “blando” puede
difundirse con mayor rapidez y alcance que cualquier otra. Es ahí donde reside
una de las principales ventajas del Ciberespacio como vector para actuar sobre
el mundo físico y sobre las percepciones como veremos más adelante.
EN LA NUBE
Philippe
Hedde, Presidente del Comité de Infraestructuras de Syntec Numérique define la computación en la nube como “una
meta-virtualización de la informática por ella misma” en el Livre Blanc sobre seguridad en la nube
de dicha organización.
La
computación en la nube comparte muchos de los riesgos de las redes informáticas
“tradicionales” pero sus propias características organizativas, técnicas y
jurídicas aportan otras vulnerabilidades que habrá que afrontar
convenientemente. Las nueve amenazas que identifica el Livre Blanc de Syntec Numérique ya
mencionado afectan, fundamentalmente a la nube externa y se presentan en
mayor o menor medida en función de las propias características y diseño de la
nube.
Conviene
recordar que la nube ofrece la posibilidad de externalizar servicios (SaaS),
plataformas (PaaS) e infraestructuras (IaaS) de manera que se centraliza uno o
varios de estos componentes para su utilización desde cualquier otro punto. Es
esta externalización la clave de todo el proceso, ya que la responsabilidad de
la protección de los medios queda muchas veces fuera del ámbito de actuación de
los usuarios finales. La seguridad pasará a ser tan buena como lo sea el
servicio prestado, pero la participación del propietario de los datos se verá muy
limitada.
DESDE EL CIBERESPACIO
“Las
implicaciones reales de Stuxnet están más allá de cualquier amenaza que hayamos
visto en el pasado”
Lo
primero que viene a la mente cuando hablamos de amenazas provenientes del
Ciberespacio hacia ámbitos exteriores a él es la utilización de virus del tipo
Stuxnet para alterar el funcionamiento de los sistemas SCADA (Supervisory Control And Data Acquisition)
que, a su vez, controlan procesos industriales. La utilización de este virus el
verano del año pasado realmente marcó un antes y un después en la percepción
que se tiene de la amenaza informática e inicia una escalada que difícilmente
podemos adivinar dónde nos llevará. La frase de Dean Turner, Director del Global Intelligence Network de Symantec,
con que abrimos este apartado lo resume a la perfección.
De
la información que ha trascendido acerca del virus cabe extraer una serie de
conclusiones que, con toda probabilidad, se convertirán en reglas de oro de
este tipo de armas. De hecho, ya existen publicaciones que especulan con otros
posibles usos de este tipo de ataques sobre infraestructuras distintas. Sin
lugar a dudas, las redes eléctricas de los países son el blanco preferido de
estos planes por la trascendencia que tendría su desconexión dada la alta
dependencia que tienen las sociedades avanzadas de esta energía. En cualquier
caso, tanto éstas como otras infraestructuras consideradas críticas, están
aisladas de las redes de acceso público y sus escasos puntos de acceso
protegidos por varios niveles de seguridad.
El
caso concreto del Stuxnet fue introducido en el sistema, por lo que ha
trascendido sobre el asunto, a través de un puerto USB al que accedió un
técnico infiltrado tiempo atrás en la Central. El gusano, del que se han
detectado al menos tres versiones que participaran en la ofensiva y una cuarta
sobre la cual se mantienen dudas, realizó distintos ataques durante diez meses.
Estaba diseñado para realizar dos acciones paralelas; por un lado alteraba los
ciclos de funcionamiento de las centrifugadoras de uranio haciendo que no se
respetasen los mismos y causando, aparentemente, su destrucción mientras que,
por otra parte, manipulaba la información que aparecía en los indicadores de
modo que los datos que se presentaba a los operadores ofrecían un panorama de
normalidad que en absoluto reflejaba lo que estaba ocurriendo.
La procedencia del gusano no ha podido ser establecida
con precisión o, al menos, no ha podido oficializarse su autoría. Los forenses
informáticos han investigado su código y llegado a la conclusión de que se
trata de un trabajo complejo que difícilmente ha podido ser completado por particulares
sin apoyo estatal por lo que cabría deducir – aunque no hay pruebas que lo
respalden – que se trata de un arma diseñada por uno o varios gobiernos. De
hecho, el periodo de diseño se estima en varios años y, desde luego, los planes
para la implantación del mismo en la Central de Busher tampoco fueron
improvisados. La dificultad, cuando no imposibilidad, para asignar la autoría
de las armas cibernéticas es un factor significativo que afecta claramente a la
libertad de acción con que se siente su usuario.
Un ataque como el llevado a cabo contra las
centrifugadoras iraníes o contra otras infraestructuras críticas puede tener
efectos similares a la utilización de armas de gran poder de destrucción. Cabe
pensar que la utilización de este armamento seguiría unos criterios muy
parecidos a los que llevarían al uso de sus equivalentes cinéticos con la
salvedad del anonimato que proporcionan; factor que está lejos de ser
intrascendente. El mundo del Ciberespacio no es tan distinto al mundo “real”;
cambian las armas y los blancos pero el objetivo de los criminales y de
nuestros enemigos potenciales sigue siendo el mismo.
El General Keith B. Alexander, Director de la NSA y Jefe
del recientemente creado Mando de Defensa Cibernética (CYBERCOM[23]), no ha dejado de pedir que
las infraestructuras críticas de EEUU se diseñen con criterios que las
conviertan en más resistentes contra los ataques cibernéticos que,
inevitablemente, sufrirán. Es importante, en este sentido, saber que el 90% de
dichas infraestructuras críticas tienen carácter civil y privado en aquel país.
Sin
embargo, no todo lo que hay fuera del Ciberespacio es mundo físico y material
y, por lo tanto, no todas las actuaciones que se pueden llevar a cabo desde él
tienen porqué tener como objetivo elementos mecánicos, procesos industriales o
infraestructuras. Conviene recordar aquí – porque muchas veces perdemos de
vista que las redes informáticas son, fundamentalmente, medios de comunicación
de ideas y datos – que la información contenida, principalmente, en internet
tiene una enorme capacidad para influir en los comportamientos de millones de
personas sin atender a fronteras y en unos plazos extraordinariamente rápidos.
El papel que juegan las Redes Sociales en este asunto no ha sido todavía adecuadamente
valorado.
No
es noticia hablar de la censura que ejercen muchos países sobre la información
contenida en la red y el control que mantienen sobre los contenidos a los que
pueden acceder sus ciudadanos. El mapa que muestra la libertad de acceso a los
contenidos de la red tiene sólo un ligero parecido con el que muestra el grado
de democratización de los mismos.
Hemos
mencionado más arriba como países occidentales de larga tradición democrática
están abogando por la creación de un “nuevo internet” en el que los países
puedan ejercer una estrecha supervisión sobre los contenidos que se mueven en
las redes. La influencia, quizás algo exagerada[24],
que se le ha atribuido a las redes sociales en la gestación de las crisis en el
Norte de África no ha hecho nada por aliviar la preocupación de los Estados. La
hipocondría que se le atribuye a Beijing
por el efecto contagio que podría haber llegado a tener la “Revolución de los
jazmines” tunecina es buena prueba de ello.
Más
allá de la censura que, por motivos ideológicos, se pueda ejercer sobre una
determinada noticia, la capacidad de internet para convertirse en generador de
tendencias es realmente notable[25].
A su multiplicidad de formatos que le permiten abordar cada noticia de la forma
más eficiente y, muchas veces, personalizada une su inmediatez, que incrementa
el impacto, y la interactividad que implica psicológicamente al receptor como
parte del acontecimiento.
Los
rumores convenientemente gestionados – incluso aquellos que, dejados a su
suerte, no son atajados de forma adecuada – en la red tienen una enorme
capacidad de manipulación. Hace tan solo unos días que el Gobierno japonés de
Naoto Kan ha reinstaurado la censura que estuvo vigente hasta su abolición por
el gabinete de Koizumi[26].
La razón inmediata para el restablecimiento de esta medida hay que buscarlo en
los “rumores dañinos” generados en torno a las noticias (o la falta de ellas)
respecto de la situación de la Central Nuclear de Fukushima Daiichi. La
corriente de opinión generada por estos rumores ha llevado al Gobierno a
impulsar una medida que, en cualquier caso, tenía intención de implantar y que
venía siendo solicitada por sus homólogos de Estados Unidos que la consideraban
necesaria para favorecer la lucha contra el terrorismo y el crimen organizado
en la red.
Otro
ejemplo claro de la influencia del Ciberespacio en el mundo de las percepciones
lo encontramos en la Guerra de Georgia de agosto del 2.008. Si bien los ataque
que se produjeron sobre el dominio .ge y que se han comentado tuvieron una
incidencia directa en la capacidad de mando y control y en otros aspectos de la
dirección del conflicto y de la vida económica, política y social, los expertos
señalan la desconexión con el resto del mundo como uno de los efectos más
significativos para el desarrollo de los acontecimientos.
De
este modo, la pérdida de conectividad que supuso para Georgia la caída de sus
accesos conllevó la falta de feed-back,
de reacciones, respecto de sus potenciales aliados y la pérdida de visión de
conjunto de los efectos que la invasión estaba causando en el mundo. Por otro
lado, la imposibilidad de influenciar esta opinión pública mundial dejaba en
manos del adversario y de las pocas filtraciones que hubiera todo el peso de la
configuración de estas percepciones con lo que se perdía un componente
fundamental en la resolución política del conflicto, más allá de las acciones
concretas de las unidades blindadas o las unidades de operaciones especiales.
El
mundo globalizado exige que la mujer del César parezca, incluso más que el que
sea. Las percepciones lo son casi todo y la velocidad a la que se generan y
destruyen es crítica. De nuevo, conseguir completar el ciclo de decisión antes
que el adversario, siguiendo otra vez a Boyd, es fundamental para evitar que
éste llegue a tomar la iniciativa.
LECCIONES EXTRAÍDAS
“Las
amenazas cibernéticas han sido sobre e infra estimadas a la vez: su alcance se
ha infravalorado mientras que el papel que juegan los actores malvados se ha
exagerado.”[27]
Las
amenazas y los riesgos de operar en el Ciberespacio no van a desaparecer, igual
que no desaparecen los de operar en el resto de los medios en los que nos
movemos. Todos los países y organizaciones han comenzado ya a elaborar y
desarrollar sus doctrinas y procedimientos y muchos han creado organismos
ad-hoc para atajar las nuevas amenazas propias del mundo globalizado y, en
particular, las que actúan en el Ciberespacio o desde él. El Reino Unido ha
destinado 650 millones de libras a la lucha contra las amenazas cibernéticas en
su presupuesto del presente año. También ha situado dicha amenaza, en su
Revisión de la Estrategia Nacional, en el primer grupo de prioridades. Francia
ha elaborado distintos documentos que responden a la alarma que han generado
ataques contra su Ministerio de Finanzas durante la Cumbre del G-20 o los
intentos de estafa al mismísimo Elíseo. Estados Unidos ha creado su Mando
Estratégico Cibernético y la Unión Europea aboga por la acción concertada de sus
gobiernos en la lucha contra el crimen en la red.
La
solución no puede venir, sin embargo, de actuaciones parciales dentro de cada
ministerio – las Fuerzas Armadas norteamericanas empezaron por crear Mandos
Cibernéticos diferenciados para cada servicio antes de centralizar la gestión
en un Mando Conjunto – ni aislando las administraciones públicas de la empresa
privada. En un mundo interconectado e interdependiente, las soluciones tienen
que ser de alcance global aunque, a partir de ahí, cada usuario adopte las
medidas que mejor garanticen su seguridad.
Como
en el resto, el escenario futuro será uno de permanente competición entre
ataques y defensas, intentos de incursión y desarrollo de medidas para
evitarlas. Algo así como un partido de baloncesto en el que los ataques suelen
terminar por dominar muchas veces a las defensas en ambas canastas y en el que
la victoria no se alcanza en base a la inmunidad – si bien una buena defensa es
imprescindible – sino a una mayor producción relativa. Al final, el requisito
fundamental que demandaremos a nuestros sistemas no será tanto el de ser
capaces de resistir siempre y todo sino el de minimizar los riesgos y
recuperarse de las agresiones con el menor coste posible y en el mínimo plazo
de tiempo.
Hemos
extraído una serie de lecciones pero, ¿las hemos aprendido? y, lo que es más
importante, ¿qué vamos a hacer al respecto?.
Tal
y como señala el CyberSpace Policy Review[28], el objetivo es
alcanzar sistemas resilientes[29],
capaces de resistir los ataques en buena medida pero también de recuperarse de
los daños sufridos de aquellos que no puedan contrarrestarse con las menos
secuelas a largo plazo. En esos sistemas es fundamental incorporar el factor
humano como la vulnerabilidad más importante del mismo. La “parte blanda” de
cualquier sistema es su usuario al que tenemos que proporcionar no sólo el
entrenamiento requerido para explotar el potencial que le ofrece la tecnología
sino también educarle en la etiqueta que rige en el Ciberespacio.
Estas
palabras pretenden ser una humilde contribución a esa educación.
El ciberespacio como escenario de conflicto. Identificación de las amenazas.
El ciberespacio como entorno social y de conflicto.
Información y poder
El ciberespacio, factor trasversal en los Global Commons
El uso estratégico del ciberespacio
[1]
KISSINGER, Henry, citado por Charles Kegley y Eugene Wittkopf en World Politics: Trends and Transformation
y recogido en Cyber Security in East
Asia: Governing Anarchy de Nicholas Thomas en el vol. 5, núm 1 de Asian Security de 2.009
[2] EastWest Institute, “Protecting the Digital
Economy”, http://www.ewi.info/protecting-digital-economy
En la misma línea y en el mismo Foro, Scott Charney, uno de los Vicepresidentes
de Microsoft subraya que “Los países deberán decidir qué constituye la
Ciberguerra y que reglas son de aplicación. Esto sólo puede conseguirse a
través del diálogo internacional”
[3] FOJON CHAMORRO, Enrique y SANZ VILLALBA, Ángel
F., “Ciberseguridad en España: una propuesta para su gestión”, Real Instituto
Elcano, ARI 101/2010, 18 Junio de 2.010,
[4] TOFFLER, Alvin y Heidi, “El shock del
futuro”, “…tiene que haber un equilibrio no sólo entre los grados de cambio de
los diferentes sectores, sino también entre la velocidad de cambio del medio y
la rapidez limitada de la reacción humana. Pues el «shock» del futuro nace de
la creciente diferencia entre las dos”
[5]
“The internet is fast, whereas criminal law systems are slow and formal.
The internet offers anonymity, whereas criminal law systems require
identification of perpetrators… The internet is global, whereas criminal law
systems are generally limited to a specific territory. Effective prosecution
with national remedies is all but impossible in a global space.” SIEBER,
Ulrich, Director del Max Planck for
Foreign and Criminal Law Institute en “Europe
looks to fight cyber-crime”, The South China Morning Post, 16 de septiembre
de 2.004
[6] Resulta muy interesante la lectura de la
entrevista con Sherry Turkle, del MIT, publicada en el Harvard Business Review
y titulada “Technology and Human
Vulnerability”
[7] DE LA CORTE Ibáñez, Luis, “La lógica del
terrorismo”, Alianza Editorial, 2.006
[8]
SAGEMAN, Marc, “Leaderless Yihad”,
University of Pennsylvania Press, 2.008
[9]
“Staying ahead of the mutating cyber threat”, Opinión. Jane’s
Defence Weekly. 4 febrero de 2.011
[10] EMM, David, “Patching human vulnerabilities”, http://www.securelist.com/en/analysis/204792104/Patching_human_vulnerabilities
[11] CyberSpace Policy Review, http://www.whitehouse.gov/assets/documents/Cyberspace_Policy_Review_final.pdf
[12] BBC Mundo, 15 Noviembre 2.010, http://www.bbc.co.uk/mundo/noticias/2010/11/101115_1017_tecnologia_seguridad_informatica_amenazas_2011_dc.shtml
[13] “Anualmente, una cantidad de propiedad
intelectual mucho más grande que toda la propiedad intelectual contenida en la
Biblioteca del Congreso es robada de redes mantenidas por negocios,
universidades y agencias gubernamentales estadounidenses”. LYNN, William J.,
Secretario Adjunto de Defensa de los Estados Unidos, “Defendiendo un Nuevo
Ámbito. La Ciberestrategia del Pentágono”, Foreign Affairs Magazine,
Septiembre/Octubre 2.010 según aparece citado en la página australiana http://www.au.af.mil/au/cadre/aspj/apjinternational/apj-s/2010/2010-4/2010_4_02_lynn_s.pdf
[14] Para una descripción detallada del concepto
de Cloud Computing o Computación en
la Nube se puede consultar el número 4 de GEOECONOMÍA “Cloud Computing: la nueva
frontera de servicios tecnológicos” editado por CHOISEUL ESPAÑA en el verano de
2.010. Fundamentalmente se trata de basar las aplicaciones en servicios
alojados de forma externa en la red. Nacen de ahí conceptos como Web OS, el
sistema operativo ubicado en la red, Web 4.0,…
[16]
LEWIS, James A., “Cyber War and Cyber Defense: We Dependo n the Kindness
of Strangers”, The Ambassadors Review, Otoño 2.010
[17] CARR, Jeffrey, “China’s Silent Cyber Takeover?”, The Diplomat.com 17 Abril de
2.011, disponible en http://the-diplomat.com/flashpoints-blog/2011/04/17/chinas-silent-cyber-takeover/
[20] Tom Ridge, Presidente y CEO de Ridge Global
LLC y Consejero de Deloitte LLP en el Foro del EastWest Institute ya citado.
[21] G. DE ÁGREDA, Ángel, “Eurociberataques”,
Revista Atenea Digital, 12 de Abril de 2.011, disponible en http://www.revistatenea.es/RevistaAtenea/REVISTA/articulos/GestionNoticias_4453_ESP.asp
[22] Siguiendo la popular nomenclatura de los
digital y dada la penetración de las tecnologías de información y
comunicaciones, el país es conocido como E-Stonia.
[23] https://www.cybercom.mil/
[24] La importancia que se atribuye Wael Ghonim,
directivo de Google convertido en “héroe de la Revolución” (http://www.elpais.com/articulo/tecnologia/heroe/revolucion/Egipto/deja/Google/crear/
ONG/elpeputec/20110425elpeputec_1/Tes) e incluido por la revista Time (http://www.time.com/
time/specials/packages/article/0,28804,2066367_2066369_2066437,00.html) en
la lista de las 100 personas más influyentes de 2.011, en las revueltas
cairotas puede demostrar tanto dicha importancia como la capacidad de los
mismos medios para construir mitos y establecer tendencias.
[25] Aparte de lo reseñado en la nota anterior,
esta capacidad es aún mayor cuando no existe información oficial sobre los
acontecimientos que trata o ésta se ve acallada por algún motivo. Un caso
reciente muy notable es el de las revueltas sirias (http://www.elpais.com/articulo/internacional/activistas/imponen/
Internet/version/revuelta/Siria/elpepuint/20110425elpepuint_1/Tes)
[26] Nota de prensa de la Shingetsu News Agency
del 20 de abril de 2.011.
[27] Michael Dell en el Foro del EastWest Institute ya mencionado.
[29] TRIVEDI, Kishor S., KIM, Dong
Seong, GHOSH, Raul, “Resilience in
Computer Systems and Networks”, http://people.ee.duke.edu/~rg51/iccad09_final.pdf
EL CIBERESPACIO, NUEVO ESCENARIO DE CONFRONTACIÓN
(Publicado en el número 126 de las Monografías del CESEDEN. Obra completa disponible en http://www.defensa.gob.es/ceseden/Galerias/destacados/publicaciones/monografias/ficheros/126_EL_CIBERESPACIO_NUEVO_ESCENARIO_DE_CONFRONTACION.pdf)
EL CIBERESPACIO COMO ENTORNO SOCIAL Y DE CONFLICTO
(Publicado por el Instituto Español de Estudios Estratégicos en http://www.ieee.es/Galerias/fichero/docs_opinion/2012/DIEEEO17_CiberespacioConflicto_Agreda.pdf)
Resumen:
Entre el 24 y el 27 de enero
tuvo lugar en Londres el Sexto Seminario de Ciberdefensa y Seguridad de Redes[1].
Buena parte de los asuntos tratados en este trabajo formaron parte de las
discusiones que tuvieron lugar allí. El Ciberespacio ha revolucionado la forma
de vivir y de organizase en las últimas décadas. Su ritmo de evolución no ha
dejado de crecer. De forma paralela a las posibilidades que ofrece, se han
incrementado también los riesgos y amenazas que supone. Pero el entorno
cibernético es, no obstante, mucho más que un escenario de conflicto, es un
nuevo hábitat para la parte de la Humanidad que vive en el Mundo Conectado.
Abstract:
The Sixth Cyberdefence and
Network Security Seminar took place in London from the 24th to 27th
of January. Most of the topics dealt with in this work were also discussed
during the Seminar. Cyberspace has revolutionized the way we live and organize
ourselves during the last few decades. Its evolutionary rythm has not ceased to
increase. Parallel to the chances it offers, risks and threats have grown too.
But the cyber domain is, nonetheless, much more that the scenary of a conflict,
it is a new habitat for the part of Mankind who lives in the Connected World.
Palabras clave:
Ciberespacio, redes, informática, comunicaciones, orgánica,
defensa, seguridad, internet.
Keywords:
Cyberspace, networks,
informatics, communications, organization, defence, security, internet.
“El Ciberespacio es el
conjunto de un dominio global dentro del entorno de la información cuyo
carácter único y distintivo viene dado por el uso de la electrónica y el
espectro electromagnético para crear, almacenar, modificar, intercambiar y
explotar información a través de redes interdependientes e interconectadas
utilizando las tecnologías de información y comunicaciones”[2].
Esta definición es tan
buena como otras muchas que hay del nuevo espacio conformado por la combinación
de la capacidad de computación de la informática y la de transmisión de datos
de las nuevas tecnologías de comunicaciones. Igual que la mayoría de ellas, sin
embargo, peca de un exceso de peso tecnológico en su planteamiento. Nos cuenta
de forma clara y concreta en qué consiste el espacio cibernético y enumera sus
posibles usos, pero se queda muy lejos de introducirnos en las implicaciones que
tiene su mera existencia.
El Ciberespacio es
mucho más que el conjunto de máquinas que nos permiten la explotación del
espectro electromagnético para comunicarnos; incluso más que la información que
se mueve por él. Lo que hemos construido va incluso más allá de un nuevo
espacio de confrontación donde es posible hacer más y mejores negocios, legales
e ilegales. En el espacio virtual estamos forjando nuevas personalidades,
nuevas identidades y nuevas formas de relación que replican –como si fuera un
universo paralelo –las actividades que llevamos a cabo en el mundo físico.
No entender que las
relaciones que establecemos a través de las redes sociales son tan reales como
las de “barra de bar” equivale a pensar que los pagos con tarjeta de crédito
nos van a costar menos que sus equivalentes en dinero contante y sonante. El
Ciberespacio no es equivalente a los ámbitos terrestre, naval, aéreo y espacial
como muchos afirman, es una réplica de un mundo físico completo en la cual
siguen existiendo las mismas necesidades y vulnerabilidades pero donde las
reglas de funcionamiento son básicamente distintas. Las redes sociales no son
un entretenimiento de adolescentes, sino una nueva forma de socializar y de
entender el mundo donde el grupo deja de ser determinante en la personalidad de
sus miembros para que éstos pasen a construir tantos grupos como intereses
distintos tengan.
Martin C. Libicki[3]
dividía el Ciberespacio en las tres capas clásicas: la física, que está formada
por el hardware de todo tipo que
empleamos para albergar e interactuar con la información; la semántica,
constituida por esos mismos datos; y la sintáctica, que está conformada por los
programas y protocolos que nos permiten gestionar estos últimos.
Con frecuencia
olvidamos que las tres son fuente de vulnerabilidades de importancia
equivalente que deben ser atendidas correspondientemente. Tendemos a ver el hardware como aquello que tenemos al
alcance de la mano y que accionamos directamente: el ratón, la CPU, la
impresora, el monitor,… incluso, en el mejor de los casos, los cables y
enrutadores que nos conectan con el exterior de nuestro hogar u oficina. Sin
embargo, como en otros ámbitos, hay cosas más grandes y más pequeñas que las
que tenemos a la vista y que también forman parte del mundo y suponen
vulnerabilidades.
No tenemos ningún –o
escaso –control sobre los cables submarinos que conforman nuestras redes de
datos, ni sobre los servidores que albergan los datos que manejamos en “la
nube”, ese concepto que alude al almacenamiento remoto de información y
programas. Tampoco prestamos, en multitud de ocasiones, suficiente atención a
los detalles pequeños. Los componentes individuales en que se divide nuestro
equipo ofrecen, cada uno de ellos, sus propias puertas de acceso, peligros y
posibilidades. En ninguno de esos casos solemos tener el menor control sobre el
proceso de su fabricación o sobre su gestión.
Ponemos, eso sí, mucha
más atención en la fortaleza de nuestro sistema en lo que se refiere a la capa
sintáctica y a la semántica. Protegemos nuestros equipos con antivirus y
cortafuegos e invertimos tiempo y dedicación en la generación de complicados
sistemas de acceso restringido en un esfuerzo asimétrico que no tiene en cuenta
el principio de que toda cadena se rompe por el eslabón más débil.
La proliferación de
dispositivos móviles que aprovechan la tecnología inalámbrica para llevar la
información al último rincón y que tanto nos facilitan nuestro trabajo y
nuestro ocio diario, añade una nueva brecha a la muralla de nuestra seguridad
informática. No nos engañemos, esos pequeños dispositivos con los que recibimos
nuestro correo electrónico mientras vamos en el Metro o en el autobús forman
parte del Ciberespacio tanto como los potentes ordenadores que utilizan las
empresas o la Administración. Las vulnerabilidades que se introduzcan a través
de ellos en un sistema pueden ser tan peligrosas como cualquier otra y el hecho
de que no exista conexión física entre los terminales, no supone protección
alguna.
Sin embargo, los
ataques procedentes de hackers aficionados
en busca de notoriedad, emociones o diversión, y que son la causa principal de
preocupación para la mayor parte de la población, apenas si siguen teniendo
lugar. El amateurismo ha desaparecido prácticamente del Ciberespacio para dar
paso a la profesionalización de las intrusiones. Cuando una vulnerabilidad
descubierta en un programa o proceso se paga en el mercado negro a decenas de
miles de dólares, o puede proporcionar beneficios a su explotador de cantidades
aún mayores, queda poco sitio para la mera gamberrada casual. Internet se ha
poblado de organizaciones especializadas en cada uno de los escalones del
delito informático, desde el descubrimiento de las vulnerabilidades hasta el
blanqueo de los fondos obtenidos con su explotación, pasando por la utilización
de redes de miles de ordenadores para la comisión de delitos o de denegaciones
de servicio equivalentes a la destrucción temporal de los equipos.
Las agresiones que
tienen lugar en la actualidad proceden de este tipo de grupos o de Estados
nacionales que emplean el Ciberespacio como un entorno más en el que llevar a
cabo una “competencia sin restricciones” en todos los terrenos: económico,
financiero, diplomático, comercial, militar,… La guerra en el siglo XXI se ha
sustituido por un continuo tensar la cuerda de las relaciones procurando
obtener el mayor beneficio del desequilibrio del adversario.
Por eso, cuando
hablamos de las vulnerabilidades de la capa física tenemos que hacer referencia
a hechos como el desvío de tráfico de datos a servidores asiáticos durante
dieciocho minutos en 2010 y que constituyó una prueba de la capacidad de los
Estados para acceder a los datos que circulan por la red y, potencialmente,
apropiárselos. No podemos olvidarnos de otros como la seguridad de los cables
submarinos y, muy en particular, de los nodos principales, ni de la
vulnerabilidad que supone la inclusión de procesadores y otros componentes de
procedencia no controlada en nuestros equipos. La fabricación de componentes en
terceros países es una puerta abierta a la inclusión de códigos maliciosos en
los mismos que permitan la apertura de accesos a nuestros sistemas sin tener
siquiera necesidad de contactar con nuestros equipos. En este sentido, el desarrollo
de una industria capaz de llevar a cabo las investigaciones y el desarrollo de
tecnologías punteras y de proveer a nuestro propio mercado de los componentes
necesarios sería la opción más deseable. De no ser viable esta posibilidad,
nuestros expertos deberán ser capaces de certificar la limpieza de los
componentes instalados en aquellos equipos que vayan a formar parte de nuestras
redes más sensibles.
Es precisamente en la
capa humana, que falta en el esquema de Livicki, donde reside la mayor amenaza
para la seguridad de nuestras redes. “No hay parches para la estupidez humana”.
La frase se ha convertido ya en un clásico; sobre todo después de la
constatación empírica que supuso la filtración que dio origen a la publicación
en la página de Wikileaks de cientos
de miles de documentos que habían sido extraídos de una red interna por un
usuario autorizado, un insider.
Si hacía falta alguna
prueba de que los muros que nos proporcionen seguridad tienen que elevarse a un
nivel similar en todo el perímetro, esta fuga de información puso de relieve la
necesidad de una política informativa adecuada respecto de los riesgos que
acechan en el Ciberespacio que llegue a todos los usuarios, sea cual sea su
nivel de acceso. Nada parece indicar que la adopción de medidas en función de
su mayor o menor atractivo o visibilidad, en lugar de un estudio sistemático de
los riesgos a afrontar, vaya a dar mejores resultados en el entorno cibernético
que la pobre protección que proporciona en el mundo físico.
Se ha hablado y escrito
mucho sobre los riesgos de intrusión en nuestros sistemas informáticos. El
espionaje y el robo de datos y de identidades se ven facilitados por el alcance
universal que obtienen los atacantes y la falta de concienciación sobre los
riesgos del público general. Sin duda, ésta es la actividad más frecuente de
las que tienen lugar en la actualidad. Hasta el punto que la obtención de
información e inteligencia en la red, de meramente económica, ha pasado a
convertirse en un arma política; como lo demuestran los recientes ataques
mutuos entre hackers saudíes e
israelíes en los que el robo de datos sobre tarjetas de crédito particulares
adoptaba justificaciones e intencionalidad política en el contexto del
conflicto árabe-israelí[4].
No obstante, esa visión
de las acciones en el Ciberespacio no es reconocida universalmente. Siendo
bastante representativa de la visión occidental y china de las operaciones en
el espectro electromagnético, es radicalmente distinta de la aproximación que
hace la Federación Rusa en su doctrina[5].
Para Moscú, el espectro electromagnético es una forma más de acercarse al
control de la información para la configuración de las percepciones y la
difusión de narrativas. Esta visión del Ciberespacio quedó evidenciada durante
las operaciones en la guerra ruso-georgiana de 2008 en la que los efectos de
los ataques de denegación de servicio distribuidos se sintieron más en la moral
de la población y en su capacidad de resistencia y confianza en sus
instituciones que en el campo operacional. Mucho más que la influencia en las
redes de Mando y Control o que los problemas de índole económica y financiera
causados, fue el aislamiento y la sensación de impotencia lo que influyó más
negativamente en la voluntad de lucha de los georgianos.
Visiones tan distintas
del papel del Ciberespacio entre distintos Estados y sensibilidades tan
diferentes entre las distintas generaciones convierten en una labor
extremadamente difícil el hecho de llegar a un acuerdo sobre unas normas de
comportamiento cívico para el espacio virtual equivalentes a las que rigen
nuestra convivencia física. Lejano el objetivo de conseguir unos acuerdos
internacionales equivalentes a los convenios
que rigen los conflictos o, por poner un caso más cercano, la Convención
de las Naciones Unidas sobre la Ley del Mar, será necesario fijar, cuanto
menos, un código de conducta que evite que internet se convierta en un entorno
inhabitable[6].
La velocidad a que se
producen los acontecimientos en la red hace que las agresiones suelan tener
mayor probabilidad de éxito que las defensas. Esto es cierto tanto respecto de
las acciones delictivas que pretenden el lucro económico como de las
operaciones con un carácter más o menos
bélico. Tan acusada es la diferencia a favor de los ataques que las estrategias
del Ciberespacio no contemplan la posibilidad de establecer un sistema a prueba
de cualquier intento de intrusión. Es por ello que se ha desarrollado el
concepto de resiliencia, que designa
la capacidad de recuperar la operatividad después de un ataque, habiendo
minimizado los daños sufridos. En un caso ideal, el rebote, la recuperación,
supone al mismo tiempo una adaptación a la nueva amenaza y una suerte de
inmunización frente a la misma[7];
un rebote hacia adelante, hacia una posición más ventajosa.
El Ciberespacio
requiere la gestión del riesgo más que la ilusión de su erradicación. Como ha
quedado demostrado en numerosas ocasiones, no hay un sistema que sea totalmente
hermético y a prueba de intrusiones, por lo que deberemos ser capaces de
escalonar las medidas en función de la necesidad de protección de cada recurso.
La posibilidad de que un ataque cibernético resulte incapacitante[8]
nos obliga también a elaborar planes de contingencia que soslayen la utilización
de los medios habituales sin dañar gravemente la eficacia de la organización.
Llegamos así a la
conclusión de que las defensas en el Ciberespacio deben basarse, además de en
los medios tecnológicos, en la formación del personal usuario de base y en su
concienciación de que los riesgos asumidos por él se transfieren a la
organización en su conjunto. Por otro lado, equipos especializados deben de ser
capaces de establecer una estrategia pro-activa frente a las agresiones y de
realizar análisis forenses de las amenazas para determinar su naturaleza y
origen. Esta aproximación dual de información/formación de base y equipos de
expertos no es, sin embargo, una labor que pueda ni deba ser asumida de forma aislada
por la Administración, la empresa y la academia sino que tiene que resultar de
la convergencia de esfuerzos de los tres ámbitos y generar un paraguas común.
Es necesaria una aproximación global del Estado, que incluya a actores públicos
y privados, en lo que se viene llamando “aproximación del conjunto del Estado” (whole of State approach).
Probablemente, la
solución venga de la mano de un paquete modular adaptable a las necesidades de
cada uno y que comparta en su concepción los conocimientos y los requisitos de
todos los usuarios finales. La imposición de unos ciertos niveles de protección
en determinados entornos privados debe ser una responsabilidad del Estado en
tanto que dichos servicios tienen un carácter crítico para la prestación de los
que aquel está obligado a proporcionar.
El Reino Unido ha
creado una Unidad de especialistas dentro de sus Fuerzas Armadas basada en una
mezcla de personal en activo y personal reservista. El personal no fijo de la
estructura, los reservistas, permite escalar las operaciones en función de las
circunstancias, a la vez que incorpora los últimos conocimientos de la
industria y permite interactuar con ella. Al mismo tiempo, la íntima relación
entre unos y otros componentes habilita la posibilidad de una mejor comprensión
de las necesidades de ambos e, incluso, del mismo lenguaje en que se hablan,
muchas veces incomprensible para los profanos en la otra materia.
Este conocimiento y
concienciación debe basarse, no en una mera información teórica de las amenazas
y oportunidades que presenta el Ciberespacio, sino en una convivencia con las
mismas. La inclusión de las operaciones cibernéticas en los ejercicios
habituales de nuestras Fuerzas Armadas y de nuestra Administración en general
son la mejor manera de conseguir este objetivo. Las guerras de los próximos
años no tendrán lugar, con toda probabilidad, exclusivamente en el espectro
electromagnético, pero resulta inimaginable que éste no esté presente en todas
y cada una de ellas en mayor o menor medida.
También serán
necesarios ejercicios específicos para el entrenamiento de las Unidades
especializadas en la defensa de las redes propias. Como se apuntaba más arriba,
las agresiones en el Ciberespacio, además de producirse en combinación con
otras de otros tipos, tienen lugar con carácter continuo. Todos los días se
producen miles de ataques a las webs corporativas de las distintas
administraciones, y no se debe circunscribir la defensa de las mismas a los
momentos de tensión o crisis sino que debe hacerse de forma continuada e ininterrumpida.
Son necesarias soluciones imaginativas. En este sentido, el personal necesario
para dotar a las unidades especializadas debe tener un carácter muy distinto al
clásico del soldado de línea. El pensamiento innovador y crítico, la capacidad
de anticipación, la curiosidad y el aventurismo deben formar parte de su bagaje
para poder hacer frente a los hackers rivales.
Una buena dosis de esta
mentalidad se requerirá también de los legisladores que tienen – más temprano
que tarde – que hacer frente a los retos que supone crear un cuerpo normativo
adaptado a los tiempos. Si el Ciberespacio se ha convertido en un hábitat más
para el hombre, el establecimiento de las normas que regulen la convivencia en
el mismo será tan necesario como en cualquier otro de ellos. Podemos hacernos
eco de las palabras del Vicepresidente de los Estados Unidos en el sentido de
que “los principios de Derecho Internacional no están suspendidos en el
Ciberespacio” pero también tenemos que ser realistas y no olvidar que las
características de este nuevo entorno requieren de una visión mucho más ágil y
dinámica que la sociedad está reclamando.
Los ataques que se
produjeron durante el año pasado a algunas instancias gubernamentales francesas
motivaron al Presidente de la República, el Sr. Sarkozy, a convocar a los
directivos de las principales empresas relacionadas con el Ciberespacio para
estudiar el modo en que se puede regular su utilización. El rechazo frontal de
muchos de ellos – y de buena parte de la sociedad – a una simple extensión de
las normas y convenciones existentes al nuevo entorno quedó patente en el frío
recibimiento que recibieron sus invitaciones y, posteriormente, sus propuestas
mismas.
Para empezar, cualquier
legislación sobre estos temas deberá contar con un amplio grado de consenso
internacional que permita su aplicación sin tener en consideración las
fronteras de los Estados nacionales existentes. La universalidad del acceso a
la información y la fragmentación de los nodos para el mismo implica la
necesidad de que las decisiones que se tomen tengan en cuenta a todos – o, al
menos, a un número significativo de – los países, ya que, en la mayor parte de
los casos, las acciones que tienen lugar en el Ciberespacio no se ven afectadas
por limitaciones a las que sí están sometidas las jurisdicciones estatales.
Es cierto, como
demostró el caso de Egipto en los primeros momentos de las revueltas que
desembocaron en la caída del Presidente Mubarak, que se puede limitar y casi
cercenar completamente el acceso a las redes en un país completo forzando a las
compañías que operan las señales a discontinuar su actividad. Sin embargo, a
las pocas horas de producirse el cierre, algunos grupos ya estaban conectados
de nuevo a nodos internacionales a través de líneas telefónicas convencionales
y al ingenio de unos pocos. Establecido el modo de conexión, la misma
estructura reticular y la mentalidad de los “nativos digitales”, hacen que sea
muy sencilla la expansión del número de sus usuarios.
Quizás por esa razón
dijo el Premier británico, Cameron, en la Conferencia sobre el Ciberespacio de
Londres, que siguió al Seminario sobre Ciberdefensa y Seguridad de Redes de los
días 24 a 27 de este mes de enero, que “no podemos avanzar por la vía de la
mano dura. Si lo hacemos, destruiremos todo lo que de bueno tiene internet”,
para añadir más tarde que “los Gobiernos no pueden utilizar la Ciberseguridad
como excusa para la censura (…) Internet no pertenece a los Gobiernos, los
Gobiernos no dan forma a internet”. Aunque la red de redes nació de una
iniciativa gubernamental, su desarrollo vino de la mano de la libertad y de la
falta de prejuicios, de la confianza y de la voluntad de compartir
conocimientos. Internet se impregnó de un cierto espíritu “hippie” que le
permitió crecer con la rapidez y diversidad que lo ha hecho durante estas pocas
décadas desde su nacimiento. La seguridad nunca fue una prioridad para sus
diseñadores ni sus desarrolladores. Cuando estaba circunscrito al ámbito del
Pentágono, su reducido alcance y difusión y la misma seguridad que
proporcionaba la habilitación de sus usuarios, la convertía en prácticamente
redundante. No serían muchos los que se plantearan la necesidad de añadir una
protección adicional a un sistema cerrado y tan novedoso. Cuando,
posteriormente, se abrió al mundo y se “civilizó”, las ventajas que
proporcionaba su carácter libre superaban, con mucho, a los inconvenientes que
podían suponer los esporádicos ataques que sufrían los sistemas de entonces.
Internet es mucho más
que un entorno en el que trabajar, convivir o pelear. Lleva asociada una
orgánica propia, una estructura en la que los terminales son, de forma simultánea,
nodos de la red que transmiten y retransmiten los datos que les llegan. Esta
relación no es solamente técnica sino que termina siendo cultural y determina
la capacidad de una organización o de un individuo para aprovechar las ventajas
y oportunidades que presenta el Ciberespacio. Las viejas organizaciones
verticales de estructura piramidal se adaptan mal al dinamismo y flexibilidad
que requiere su uso y explotación; y, sin una capacidad notable para explotar
los recursos que nos ofrece la red, no es posible competir en el mundo actual.
El uso de aplicaciones
informáticas en la gestión de procesos y en su operación remota ha abierto la
posibilidad de la utilización del Ciberespacio como medio transmisor de ataques
dirigidos contra las infraestructuras así controladas. Los sistemas SCADA (System Control And Data Acquisition) de
control de sistemas y adquisición de datos se encargan de la operación de
centrales eléctricas, plantas nucleares, sistemas de comunicaciones y otros
procesos que, por su complejidad y necesidad de precisión, requieren de una
monitorización constante. El empleo del virus Stuxnet contra las
centrifugadoras que se encargan del enriquecimiento del uranio en Irán puede
considerarse un gran éxito desde el punto de vista de la utilización de medios
cibernéticos para conseguir un fin. Los técnicos calculan que el retraso que
supuso en la puesta en marcha del programa nuclear iraní puede cifrarse en un
año y medio; probablemente, más de lo que hubiera conseguido un ataque aéreo
contra las mismas instalaciones.
Stuxnet plantea, no
obstante, dos dilemas. En primer lugar, demuestra una vez más la dificultad
para realizar una atribución (de responsabilidades) fundamentada de los ataques
informáticos. Es prácticamente imposible determinar, en tiempo útil, la autoría
de un ataque bien perpetrado; por lo que es igualmente difícil justificar una
respuesta a dicho ataque, incluso si se emplean, como dice la doctrina
americana y pretenden hacer los británicos, medios no necesariamente
informáticos para llevarla a cabo. En segundo lugar, el empleo de armas
cibernéticas capaces de actuar fuera del ámbito del Ciberespacio abre la puerta
a que alteraciones de su código den lugar a herramientas similares que puedan
ser empleadas contra nuestras propias infraestructuras. Otros virus como
Conficker o Duqu señalan la tendencia actual de las amenazas en internet y más
allá.
El Ciberespacio, por lo
tanto, resulta ser un nuevo universo creado por el hombre pero que está muy
lejos de estar hecho a su medida. La Humanidad necesita, curiosamente,
adaptarse a su propia creación. Se trata de algo que trasciende un mero
escenario de conflicto para convertirse también en uno en el que desarrollamos
una parte cada vez más significativa de nuestras vidas, al que confiamos
nuestros datos y nuestros ahorros y que nos ayuda a realizar nuestros sueños.
Por otro lado, el entorno cibernético es, a la vez, uno en el que nos
movemos a diario y un gran desconocido. Hay muchas reticencias a abordar su
tratamiento desde un punto de vista político o estratégico y existe la
tendencia a confiar su gestión a soluciones técnicas que acometen sólo
parcialmente los problemas que plantea. Es necesario dar un paso adelante y
desarrollar una Estrategia Nacional del Ciberespacio al estilo de otros países
de nuestro entorno. Una que vaya más allá del mero entorno de la Defensa y que
agrupe a actores públicos y privados de aquellos sectores trascendentales para
nuestra seguridad y prosperidad.
[2] Dan
Kuehl, “Cyberspace & Cyberpower: Defining the Problem”, Cyberpower &
National Security, 2009
[3] Ph.D.
in economics, M.A. in city and regional planning, University of California,
Berkeley; S.B. in mathematics, Massachusetts Institute of Technology
[4]
Se trata de iniciativas de
particulares que comenzaron con un ataque de un hacker saudí que se hizo con los datos de miles de tarjetas de
crédito de ciudadanos israelíes y los distribuyó con el único fin de perjudicar
al “enemigo sionista”. De forma paralela, ataques organizados por el grupo Anonymous han dejado sin servicio a
varios organismos oficiales israelíes como protesta por la política de
asentamientos en los territorios ocupados.
[5]
“Visión conceptual de la
actividad de las Fuerzas Armadas de la Federación Rusa en el espacio de la
información”, www.mil.ru
[6]
El 23 de noviembre de 2001
se estableció el “Convenio del Consejo de Europa sobre Cibercriminalidad” que,
ni por extensión geográfica, ni por alcance temático se aproxima siquiera a lo
que es necesario.
[7]
Por esta razón, propuse la
traducción de resilience como
“resistencia adaptativa” en “Globalización
y resistencia adaptativa”, Boletín de Información del CESEDEN número 316,
pag. 77-79, año 2010.
[8]
La teoría de la “primera batalla” plantea la falta de profundidad estratégica
del Ciberespacio, donde no existen “frentes” definidos y donde los ataques
pueden alcanzar hasta lo más recóndito de nuestro sistema. Según dicha teoría,
esta falta de profundidad supone que un primer ataque puede resultar
completamente incapacitante y dejar al enemigo sin modo de reacción (al menos
por medios cibernéticos, y muy debilitado en cuanto a su capacidad para
gestionar cualquier otro). Esta circunstancia, unida a la superioridad de los
ataques respecto de las defensas, convierten al Ciberespacio en un entorno donde
estas últimas tienen que ser pro-activas en lugar de reactivas; en previsión de
que no exista esa posibilidad de reacción.
(Publicado originalmente 8/dic/2011)
La información era poder. Ya no lo es. ¿Cuánta información quieres sobre un tema? Cualquiera puede acceder a un buscador de internet y descargarse miles de documentos sobre, virtualmente, cualquier tema. Incluso puede establecer una alerta que le lleve la información hasta su buzón electrónico. Con algo de habilidad y de conocimientos puede incluso diseñar o utilizar una herramienta de web semántica que le relacione ese caudal inabarcable de información disponible. Pero toda esa información no supone más que el principio del camino. Ante alguien que lo sepa todo sobre un tema se abre el panorama desolado del desconocimiento de cómo utilizar esa información. Vuelvo a insistir en la idea de las redes y de las relaciones. Tanto nuestras ideas como internet y, cada vez más, la sociedad misma se estructuran en una forma reticular que implica que cada concepto, cada idea, cada información disponible, necesita relacionarse con multitud de otras ideas para contextualizar esa información y construir el conocimiento. No sabe más el que acumula más información sino el que es capaz de relacionarla entre sí y extraer de esas relaciones las consecuencias lógicas pertinentes en función de la realidad que esté estudiando. La misma información a la luz de los intereses políticos arroja una inteligencia distinta que si se examina desde el punto de vista macroeconómico o desde la perspectiva social. Discutía no hace mucho sobre la capacidad de los flujos financieros para influir en las estrategias. Lo que desde una perspectiva financiera puede verse como algo altamente improbable, es más que evidente desde una perspectiva geopolítica o geoeconómica. De ahí la necesidad de desarrollar análisis de cada una de las realidades desde las distintas ópticas que nos interese. Lo importante no es la información en sí porque, a diferencia de lo que ocurría hasta hace unos años, la mayor parte de la información que se necesita está disponible en fuentes abiertas para aquel que quiera y sepa buscarla. Es evidente que la necesidad de acceder a dicha información sigue estando presente. Por muy fácil que sea su localización, siempre habrá que recopilarla. Mucho más importante pero, hasta cierto punto, susceptible de realizarse mediante un proceso automatizado es la clasificación de dicha información. Aquí es dónde entra en juego la web semántica, sintáctica, etc,... Necesitamos, por un lado, eliminar las redundancias informativas que nos lleguen pero, por otro, también tenemos que tenerlas en cuenta para poder determinar la fiabilidad de las fuentes que recogen la información. Una tontería, por mucho que la repitan mil bocas, seguirá siendo una tontería y, por lo tanto, la mera cuantificación de resultados no es un criterio suficiente para determinar la validez de una información. Recopilada la información, filtrada según un criterio que deberemos establecer en función de su fiabilidad y tamizada para evitar redundancias, los hechos suelen ser bastante simples y directos. Los ríos de tinta que corren sobre cada tema pueden resumirse en píldoras informativas fácilmente digeribles. Para ésto ya no conozco ningún programa informático. Pero, lo verdaderamente importante viene a continuación. La química de la información consiste en mezclar los ingredientes que hemos obtenido después de eliminar el excipiente para obtener conocimiento utilizable. Como siempre, en función de la receta que empleemos, vamos a llegar a resultados distintos. Esa es la belleza de la información, que con los mismos datos puedes llegar a conclusiones incluso opuestas. Y todo eso, sin caer en el mundo de las opiniones. De alguna manera, el proceso es similar a la fabricación de pan desde el trigo en el campo. Hay que extraer la harina y mezclarla adecuadamente para conseguir el producto deseado. Pero, del mismo trigo, también se pueden obtener otros muchos productos que, en muchos casos, ni siquiera se parecen o saben como el pan. Fácil hasta aquí. Ahora se trata de se el primero en obtener la información que se encuentra en esas fuentes abiertas y saber ver las implicaciones que tiene. ¡Qué fabuloso instrumento son, para ésto, la redes sociales! Millones de personas aportando información para que los que estén interesados la tengan accesible al momento. Claro, que es un método poco serio, ¿verdad? Pues no. El mayor problema de las redes sociales no es su falta de fiabilidad ya que esa característica la comparten con una enorme cantidad de otras fuentes; su mayor peligro es la cantidad de "ruido" que añaden a la comunicación. La ventaja de la concisión en los mensajes y el tamiz que son capaces de aplicar para discriminar aquellas informaciones que tratan del tema que nos interesan de aquellas que no lo hacen queda compensada con la necesidad de moverse entre cientos o miles de mensajes reiterativos o no procedentes pero que han sido incorrectamente etiquetados o que caen dentro de la categoría de polisémicos. ¿Quién puede resistir la tentación de dejar oír su voz ante el auditorio mundial cuando es no sólo fácil, sino también virtualmente gratuito? Y, si bien es cierto que todo el mundo tiene algo que decir y que de todo el mundo se puede aprender, también lo es que no siempre lo que se publica es lo mejor que uno tiene para aportar. El siguiente paso sería la obtención de la información de forma distinta a los medios abiertos. Hasta cierto punto, esta opción está al alcance de todos en alguna medida. Igual que antes, sin embargo, los matices son importantes. Los vemos otro día.
EL CIBERESPACIO, FACTOR TRANSVERSAL EN LOS GLOBAL COMMONS
Publicado por el Instituto Universitario Gutiérrez Mellado. 2011.
El
Ciberespacio, igual que el resto de los ámbitos por donde se mueven los bienes
y servicios, se ha convertido en el eje central de las economías de las
sociedades avanzadas. La seguridad de sus ciudadanos y sus posibilidades de
progreso y bienestar se basan en la libre explotación de lo que se han llamado
los Global Commons[1];
su acceso se ha convertido en una prioridad para los gobiernos y la posibilidad
de su interdicción en la opción más barata y eficiente para los posibles
adversarios.
Los
Global Commons son aquellos espacios,
normalmente no sometidos a la soberanía de ningún país, que enlazan las
distintas regiones y por los que transitan bienes, servicios o información. Los
académicos distinguen cuatro dominios: las aguas internacionales, el espacio
aéreo, el espacio exterior y el ciberespacio. Los historiadores refieren el
origen del nombre a los commons del
Derecho medieval inglés; en éste eran propiedades municipales no exclusivas de
ningún vecino sino que se utilizaban en beneficio de la comunidad completa, por
la que eran explotadas[2].
En
otra acepción, los Global Commons se
definen también como aquellos bienes naturales que forman un Patrimonio de la
Humanidad que debe ser protegido para bien de todos. Ésta es la utilización que
del término hacen, por ejemplo, los grupos ecologistas. A nuestros efectos, sin
querer despreciar la importancia de esta última visión, haremos siempre
referencia a la primera descrita.
1.
LOS
GLOBAL COMMONS
El
commons marítimo ha sido,
tradicionalmente, el utilizado por la mayor parte de los imperios para
consolidar su poder. El hecho de ocupar más de las dos terceras partes de la
superficie terrestre y la capacidad de los barcos para llevar a cabo las
labores logísticas civiles o militares a una fracción del coste de otros medios
lo convirtieron, desde los tiempos clásicos, en una pieza clave. Sin perder en
absoluto su atractivo para el transporte de mercancías en grandes cantidades,
el mar añade a la lista de sus potencialidades la idoneidad para la proyección
de fuerzas, la diplomacia por la presencia – lo que se conoce como “mostrar la
bandera” o “mostrar los colores”[3] –
y otras muchas derivadas de la creciente necesidad del traslado de materias
primas y energéticas en cantidades crecientes desde la Revolución Industrial.
Siendo
la extensión de los mares del planeta tan grande, su carácter bidimensional y
el hecho de estar sus límites definidos por las líneas de costa hacen que el
tránsito entre los distintos cuerpos marinos esté condicionado por “cuellos de
botella” fácilmente controlables e influenciables desde posiciones fijas en la
costa o desde buques de guerra.
Naturalmente,
los humanos apenas si podemos influenciar la configuración del commons y sólo nos queda adaptarnos a
sus circunstancias. No obstante, en casos puntuales, el hombre ha sido capaz de
redefinir ciertos límites y crear nuevos accesos y pasos que han modificado
grandemente la circulación general por los mares. La construcción de los
canales de Suez o de Panamá ha abierto nuevos “cuellos de botella” artificiales
de vital importancia para muchas economías. La apertura del Canal de Kra, en
Tailandia o la capacidad para la utilización de las Rutas Noreste y Noroeste[4] a
lo largo de la costa ártica de la Federación Rusa en un caso y de Canadá y
Estados Unidos en el segundo, también haría que la configuración milenaria del commons se viera alterada de forma muy
sustancial.
Dominando
al anterior completamente, cubriendo toda su extensión, además de la terrestre,
el espacio aéreo sigue incrementando su importancia. Importancia que es, más
aún que en el caso marítimo, doble. Por un lado, por el potencial que
representa de forma intrínseca en cuanto a sus capacidades para alejarse del
constreñimiento de las barreras físicas que limitan a los navíos incrementando
el alcance, la velocidad de desplazamiento y la diversidad de rutas y, por otro
lado, como elemento dominador sobre los ámbitos navales y terrestres sobre los
que ejerce una influencia y control difícilmente contestable[5].
La velocidad y flexibilidad del uso de los medios aéreos les dota de cualidades
cuasi ubicuas respecto de los dominios navales y terrestres.
Resulta
difícil imaginar que puedan alterarse las características naturales del medio
aéreo. La ausencia de limitaciones que impone a su tránsito tampoco proporciona
ninguna excusa para intentarlo. Son los avances tecnológicos en las plataformas
y los convenios internacionales sobre criterios de navegación aérea y, sobre
todo, el condicionante que impone la localización de los aeropuertos y bases
aéreas a muchos de los vectores que lo surcan lo que realmente determina los
flujos del tráfico. En este sentido, la manipulación que puede hacerse de este commons tiene tanto o más que ver con el
Derecho Internacional y el Derecho Aeronáutico que con obras de ingeniería e
incorporación de nuevas tecnologías.
Por
encima del espacio aéreo, ocupando toda su extensión “horizontal” y
expandiéndose literalmente “hasta el infinito… y más allá”, el espacio exterior
se ha convertido en un commons
desmilitarizado por convenio… y por ahora. A pesar de ello, su posición de
“terreno elevado” con respecto a la “colina aérea” y a las “llanuras naval y
terrestre” le confieren un estatuto privilegiado sobre los mismos y su control
supone, en muy buena medida, el de los espacios inferiores.
En
el espacio exterior los condicionantes se dan en forma de la necesidad de
establecerse en determinadas órbitas en función de la utilización que se quiera
hacer del potencial del satélite pero, sobre todo, por la limitada capacidad de
la mayor parte de las naciones para acceder físicamente al mismo. Si
restringido es el club de países con capacidad para mantener un satélite o una
constelación de ellos en órbita, mucho más lo es el de los que tienen los
vectores necesarios para colocarlos allí.
Así
como los tres dominios que hemos visto son naturales, el Ciberespacio es un
ámbito artificial. Además, es un espacio descentralizado que se va construyendo
con las aportaciones de cada cual y que no interfiere con el espacio que ocupan
los otros tres, sino que permea a todos e interacciona con ellos.
El
Ciberespacio tiene una naturaleza dual. Por un lado, es continente de
contenidos virtuales, de bits y bytes y de datos virtuales. En ésta naturaleza,
el espacio cibernético está tan formado por la misma malla que une los datos
como por los datos mismos. Por otro lado, el Ciberespacio es un componente
fundamental de los tres commons
físicos actuando como factor multiplicador de las capacidades de los mismos y
teniendo la capacidad de alterarlos sin perder su carácter inmaterial.
Un
entorno creado por el hombre puede ser modificado en su totalidad a
conveniencia del mismo. Nuestra capacidad para alterar los parámetros de este
espacio virtual es, sobre el papel, ilimitada. Cualquier límite que nos
impongamos, cualquier regulación que se decida, alterará la naturaleza misma
del commons cibernético. Su
definición ha venido marcada por la libertad y apertura de su diseño y tanto
sus ventajas como inconvenientes obedecen a estas circunstancias.
2.
EL
CIBERESPACIO
Tenemos,
de partida, que abandonar la estereotipada idea de que el Ciberespacio está
constituido por la internet y solo por ella. La red es una parte fundamental
del mundo virtual pero no se sostiene sola, necesita de un soporte físico y
lógico para existir.
La
acertada definición de Martin C. Libicki en su trabajo para la RAND Corporation
“Cyberdeterrence and Cyberwar”[6]
define el Ciberespacio como una superposición de una capa física, una
sintáctica y una semántica. Dentro de la primera estarían todos los componentes
necesarios para la gestión y transmisión de los datos; componentes que podemos
tocar y, evidentemente, también destruir físicamente. La capa sintáctica es la
base lógica sobre la que se asientan los contenidos, los protocolos y el
software que los gestionará y sobre la que, desde luego, podemos actuar para
provecho propio modificando su estructura. Los mismos contenidos, los datos,
constituyen la tercera capa, la semántica, que es la que dota de valor al
universo virtual y que será el objeto de la codicia ajena para su obtención,
modificación o destrucción.
Para
gestionar el Ciberespacio[7]
necesitamos de un Sistema de Información que se compone de una infraestructura,
unos sistemas de comunicaciones, una plataforma y unos servicios que son
necesarios para la transmisión de los datos, de la realidad semántica del
sistema. Entroncamos aquí con el concepto de transmisión, de transferencia, de
comunicación que es inherente a todos los commons
tal y como los hemos definido. En los Sistemas de Información del mundo virtual
no se mueve nada físico, pero aquello que se mueve lo hace a la velocidad de la
luz.
La
frontera entre la dimensión electromagnética y la cibernética es muy porosa y
las acciones de guerra que se venían definiendo como de Guerra Electrónica
están muy ligadas – y condicionadas – por la capacidad de los sistemas que se
utilizan en el Ciberespacio. La irrupción de la cibernética en el mundo de las
comunicaciones ha tornado obsoletas las técnicas que se empleaban hace solo
unos pocos años. Las posibilidades se han incrementado exponencialmente al
tiempo que las vulnerabilidades se demuestran mucho más importantes; tanto
mayores cuanto más acusada sea nuestra dependencia de las nuevas tecnologías.
También
encontramos una gran vinculación entre el Ciberespacio y las denominadas
Operaciones de Información, tanto en su versión InfoOps[8]
como en su versión PsyOps. El mundo cibernético domina todo lo que tiene que
ver con la transmisión de información y su utilización, tanto si se trata de
datos de navegación, como de noticias o de información financiera.
Los
fenómenos más significativos de la geopolítica mundial de los últimos meses han
venido, precisamente, marcados por la difusión de los cables de Wikileaks y por
el papel jugado por las Redes Sociales[9] en
los levantamientos ocurridos en muchos países musulmanes durante los primeros
meses del año. No es de extrañar en absoluto que la República Popular China ate
en corto la difusión de información por la red o que el Jefe de los Servicios
Secretos rusos lo considere una grave amenaza. El “agujero negro” informático
que constituye la República Popular de Corea – una de las más férreas
dictaduras actuales – es buena prueba del respeto que los poderes absolutos le
tienen al potencial desestabilizador del Ciberespacio.
Es
realmente significativo el hecho de que un ataque como el que se produjo durante
la Guerra de Georgia sobre el conjunto del dominio .ge destaque sobre todo por
la anulación de la capacidad de los georgianos para informar a e influir en el
mundo respecto de su situación y de conocer la reacción de éste ante los
acontecimientos que se estaban produciendo. Esta desconexión mediática se
valora como más determinante que la afectación de los sistemas de mando y
control o los daños económicos que se produjeron por pérdida de datos o de
oportunidades financieras[10].
3.
CIBERESPACIO
Y SU RELACIÓN CON LOS DEMÁS COMMONS
La información es poder.
El viejo aforismo es más cierto hoy que nunca. El volumen de dinero que
“circula” y “cambia de manos” cada día en transacciones financieras en el mundo
es uno o varios órdenes de magnitud superior al Producto Interior Bruto anual
del mundo entero. La economía globalizada cuelga de los hilos de fibra óptica
que unen los servidores de datos y que permiten que el mismo recurso financiero
sea utilizado una y otra vez viajando a la velocidad de la luz[11].
Es la mayor revolución financiera desde que el hombre dejó de intercambiar
cabras o conejos por pieles y pescados y decidió que una semilla de cacao o una
concha marina tenía un valor de trueque definido.
El
impacto de la información en nuestro mundo es fundamental. No sólo como datos
bancarios sino, como hemos visto en Georgia, como medio de propagación de ideas
y conceptos, de influencia en las decisiones de otros a los que, probablemente,
ni siquiera llegaremos a conocer.
Sin
embargo, el ciberespacio también interactúa con el mundo físico condicionando
la utilización que hacemos del mismo. No sólo influye en nuestras ideas y
percepciones sino que también condiciona nuestra capacidad para explotar el
resto de los ámbitos en los que nos movemos. El ejemplo más claro de lo dicho
es la utilización del commons espacial
en su conjunto. Lejos de ser una vía de tránsito para mercancías o para
personas, el espacio exterior se ha convertido en la ubicación de una serie de
plataformas diseñadas para optimizar el alcance de la información sobre los dos
ámbitos subyacentes. Dicho de otra manera, se establece como la base física
desde la que hacer uso del ciberespacio de la manera más eficiente. En este
sentido, el espacio exterior sería, en su mayor parte, un commons subordinado al cibernético en apoyo de las acciones que tienen
lugar en el mismo ciberespacio y de las que tienen lugar desde el ciberespacio
sobre mar y aire (y tierra, aunque no esté definida como commons). Por él, a la velocidad de la luz, viajarían las ideas, la
información y los sueños que están en la base de nuestro desarrollo.
La
principal diferencia entre la interacción de los commons físicos entre ellos y la que se produce entre el
Ciberespacio y los ámbitos físicos es que aquellos pueden ejercer una cierta
capacidad de control sobre los demás, generalmente en un sentido vertical
descendente, mientras que el influjo que tiene el mundo virtual sobre el real
es mucho más completo ya que puede determinar la posibilidad de utilización de
los otros o bien actuar como multiplicador de sus capacidades.
La
dependencia del Ciberespacio que muestran muchos países actualmente en la
gestión de sus sistemas de comunicaciones terrestres, marítimas y aéreas no
puede ni debe ser infravalorada. El colapso de las redes informáticas de
comunicaciones supondría, de forma automática e irremediable a corto y medio
plazo, el de todo el tráfico aéreo y buena parte del marítimo y terrestre a
nivel mundial. El principal problema con el que nos enfrentamos en este sentido
es que existen muchos modos de sabotear dichas redes.
No
se está afirmando que sea tarea sencilla el acceso a las centrales de reservas,
a los sistemas de gestión de sobrevuelos, a las cadenas logísticas de
mantenimiento de las líneas aéreas, a las bases de datos de navegación,… sino
que existen muchos elementos distintos que pueden presentar vulnerabilidades y,
potencialmente, muchas de ellas en cada uno. La rentabilidad que se obtiene de
la utilización de redes informáticas para la gestión de todos estos aspectos ha
llevado a las compañías a utilizarlos de forma masiva sin un back-up – curiosamente, un término muy
asociado a la informática – adecuado.
El
Ciberespacio tiene sus vulnerabilidades internas relativas a la información que
contiene y que pueden ser explotadas por sí mismas pero también actúa de forma
muy directa sobre sistemas de control físicos. Cuando hacíamos referencia a los
muchos modos de interferir en el normal funcionamiento de los servicios
asociados al transporte – sobre todo – aéreo no estábamos hablando únicamente
de la posibilidad de atacar la componente lógica del sistema sino también de
afectar gravemente a la componente física del mismo.
Como
ejemplo, el ataque que se produjo el año pasado contra las instalaciones de
enriquecimiento de uranio de la República Islámica de Irán no tenía como
objetivo principal la modificación, eliminación o captura de datos lógicos sino
la destrucción física de las centrifugadoras. El ataque se llevó a cabo
aprovechando las vulnerabilidades del sistema y sobre sistemas de Control de
Supervisión y Adquisición de Datos (SCADA Supervisory
Control And Data Adquisition), que son los que determinan el comportamiento
de los motores y la visualización de los parámetros[12].
Los
sistemas de gestión de los tráficos que surcan los commons físicos no solo necesitan del apoyo lógico de los sistemas
cibernéticos sino que también se pueden ver afectados por la interacción física
de estos sistemas SCADA que controlan su flujo eléctrico o cualquier otra
fuente básica de suministro.
En
muchas ocasiones, cuando hablamos de los peligros que nos aguardan “ahí fuera”,
en el Ciberespacio, nos limitamos a considerar aquellos que afectan
directamente al mismo como si fuera un universo aislado de los demás. Para
nuestra fortuna, no lo está sino que su naturaleza es absolutamente transversal
respecto de los otros commons y se
integra con ellos pasando a formar parte indisoluble de su modus operandi.
Hay
amenazas que se producen en el
Ciberespacio y otras que provienen desde
el Ciberespacio. Ninguna de las dos carece de respuesta por parte de los
equipos encargados de protegernos; equipos multidisciplinares en los que se
integran desde gestores hasta abogados pasando por ingenieros y policías. A
pesar de todas las amenazas que vienen de fuera, la mayor de todas sería dejar
de hacer uso de las posibilidades que nos brindan las no-tan-nuevas
tecnologías.
4.
ALGUNAS
CONCLUSIONES
El
mayor perjuicio que puede derivarse del Ciberespacio es que la inseguridad y
las amenazas nos lleven a limitarnos a nosotros mismos en la explotación de las
innumerables ventajas que puede aportarnos. Igual que no dejamos de viajar en
avión o en barco por el hecho de que conlleve riesgos, no podemos dejar de
explotar las indudables ventajas que nos aporta el mundo virtual por el mero
hecho de que el peligro aceche ahí fuera.
La
internet es parte de un commons
artificial; lo hemos creado nosotros tal y como es y no ha tenido que sufrir
los embates de la selección natural. La red es fruto de su tiempo, alegre,
desenfadada, abierta y confiada. Nació así y en su naturaleza estaba crecer
apoyándose en la libertad de que gozaba. Lo que hoy existe es producto de esa
libertad y de esa apertura que le permite avanzar al ritmo que lo ha hecho.
Ha
llegado el momento de plantearse si la web,
tal y como la conocemos, sigue sirviendo a nuestros propósitos y si nos
proporciona suficiente seguridad como para disfrutar de sus ventajas. Cuando
adoptemos esa decisión tenemos que ser conscientes de cómo hemos llegado hasta
aquí y de aquello a lo que renunciamos incrementando la seguridad. No nos van a
servir las actitudes buenistas ni esconder la cabeza en la arena; ni podemos
renunciar al uso del ciberespacio ni podemos asumir los riesgos que están
comenzando a aparecer en él sin hacer nada al respecto. A diferencia del resto
de los commons, el cibernético puede
ser moldeado para servir a nuestros propósitos, sus vulnerabilidades, sus
cuellos de botella y sus potencialidades las hemos diseñado los humanos y
podemos volver a hacerlo para que sea posible seguir sirviéndonos de él en el futuro.
Los
medios de comunicación marítimos y, mucho después pero en mayor medida si cabe,
aéreos, cambiaron la faz del mundo para siempre y “jibarizaron” el planeta. El
Ciberespacio es el agujero negro que conecta cada punto del mismo con todos los
demás de forma instantánea y que convierte la Tierra en un vecindario en el que
todos habitamos. Las implicaciones que tiene esta afirmación pueden empezar a
vislumbrarse con la difusión que ha alcanzado el idioma inglés – el de
referencia en la red – en los últimos años como lengua vehicular en el mundo
virtual.
Para
vivir en el mundo digital tenemos que cambiar muchas cosas. Entre ellas nuestra
concepción del continuo espacio-tiempo que se relativiza enormemente. El margen
de reacción que para un marino del siglo XIX podía suponer una decisión urgente
a tomar en los siguientes dos o tres días, para un aviador o un astronauta del
siglo XX se traducía en un margen de unos segundos, significa para un sistema
informático del siglo XXI apenas unos nanosegundos.
A
pesar de todo, lo que realmente cambia el Ciberespacio no son los tiempos sino los tempos en que nos movemos. Las noticias, informaciones y datos se
mueven a la velocidad de la luz y, con ellas, las reacciones de las personas a
las que llegan que, por otro lado, son muchas más que las que las recibían hace
unos pocos años por otros medios. El ritmo evolutivo de la opinión pública y de
la investigación se desplaza en consecuencia. Nuestro mundo físico y, sobre
todo, nuestros esquemas mentales y procesos decisorios no están preparados para
hacer frente a semejante ritmo evolutivo y la automatización de procesos tan
solo puede solucionar una parte del problema.
El
Ciberespacio nos pone a las puertas de la aldea global, de la democracia
universal, de la solidaridad entre todos los pueblos basada en el conocimiento
y en la cercanía. La computación en la nube, en la que las capas sintáctica y
semántica – los programas y los datos – se encuentran en servidores ajenos a
nuestro terminal físico y son, por lo tanto, accesibles desde cualquier punto,
adelanta un mundo en el que todo está a nuestro alcance.
Pero
el Ciberespacio también nos pone al borde del abismo del Gran Hermano
orwelliano donde el control de la sociedad se ejerce desde el de la
información. El uso perverso del poder del commons
digital puede arrastrarnos hacia el Mundo Feliz de Huxley tanto como hacia un
mundo realmente feliz.
La
gran ventaja del commons digital
sobre los otros es que, no sólo proporciona de por sí una serie de ventajas y
posibilidades muy superiores a las existentes hasta el momento sino que,
además, potencia las capacidades ya existentes en el mundo físico de una manera
extraordinaria. Los riesgos y las amenazas están ahí, proporcionales, como
siempre, a las posibilidades. Podemos asustarnos y prescindir de éstas por miedo
a aquellos pero no podemos dar marcha atrás. El futuro – pero también el presente
– es digital.
[1] BEDFORD,
Dick, Securing the Global Commons,
RUSI, octubre 2.010.
Dick Bedford es la principal
fuente sobre Global Commons como
directivo del Mando de Transformación de la OTAN encargado del asunto.
[2] GÓMEZ
DE ÁGREDA, Ángel, Global Commons en la
era de la incertidumbre, Boletín de Información del CESEDEN, número 317,
Enero 2.011
[3] En ocasiones mucho más pasando a ser “mostrar
los cañones”
[4] PALACIAN,
Blanca, La creciente importancia del
Ártico, Revista Española de Defensa, Octubre 2.010, pags. 50-53 y BARRANTES
Olías de Lima, Diana y GÓMEZ DE ÁGREDA, Ángel, Duelo al Sol…de medianoche, Boletín de Información del CESEDEN, núm.
317.
[5]
GÓMEZ DE ÁGREDA, Ángel, AirSea Battle concept, Revista de
Aeronáutica y Astronáutica, número 797, octubre 2.010. En la misma revista,
pendiente de publicación en el momento de escribir ésto Poder Aéreo y Global Commons del mismo autor.
[6] LIBICKI,
Martin C., Cyberdeterrence and
Cyberwar(2009) (consultado el 10 de abril de 2.011) www.rand.org/pubs/monographs/2009/RAND_MG877.pdf
[7] WELLS II,
Linton, Maneuver in the Global Commons,
www.afcea.org, Signal Blog,
diciembre 2.010
[8]
MURPHY, Col. (r) Dennis M.,
¿Atacar o defender? Manejando la
información y equilibrando los riesgos en el Ciberespacio, Military Review,
Julio-Agosto 2.010
[9] Un buen ejemplo puede encontrarse en http://mwc.sagepub.com/content/3/3/299
, KUNTSMAN, Adi, Webs of hate in diasporic cyberspaces: the Gaza War in the
Russian-language blogosphere,
Media, War and Conflict, 2.010
[10] Tanto
los ataques a Georgia como los que tuvieron lugar en Estonia han determinado la
doctrina de la Alianza, para más información, ver: CARO
Bejarano, María José, Nuevo concepto de
ciberdefensa de la OTAN, Documento Informativo del IEEE 09/2011, marzo
2.011
[11] EASTWEST Institute, Protecting the Digital Economy, 2.011, www.ewi.info
[12]
Sobre otros posibles escenarios de utilización
de virus de este tipo se puede consultar CARR, Jeffrey, Four Stuxnet Targeting Scenarios, https://taiaglobal.com, Noviembre 2.010
EL USO ESTRATÉGICO DEL CIBERESPACIO
Publicado por el Instituto Universitario Gutiérrez Mellado. 2012.
Se habla del
Ciberespacio como uno más de los Global
Commons[1], como un ámbito
que estuviera colocado junto a las aguas internacionales, el espacio aéreo y el
espacio exterior y que sirviera para el tránsito de ideas y datos sin estar
sometido a la soberanía de ningún Estado. Tendemos a utilizar el prefijo
“ciber” asociado a términos como “guerra”, “amenaza”, “terrorismo” y otros con
implicaciones peyorativas que reflejan los peligros que se perciben en un
entorno que no nos resulta del todo familiar y en el que no terminamos de
sentirnos cómodos ni seguros por mucho que lo utilicemos a diario[2].
Sin embargo, ambas
afirmaciones abarcan sólo una parte de la realidad de lo que suponen las redes
informáticas interconectadas por los modernos sistemas de transmisiones. Por
eso, cuando nos preguntamos si el Ciberespacio es un elemento favorecedor o una
amenaza para la seguridad tenemos que abrir un tanto el foco y librarnos de los
prejuicios derivados de los artículos alarmistas y de los temores magnificados
por el desconocimiento y por el acelerado ritmo de evolución de la tecnología.
Internet, el elemento
más visible del Ciberespacio, nació como una derivación de una red, Arpanet,
diseñada a finales de los años sesenta
para ayudar a las Fuerzas Armadas de los Estados Unidos en su tarea de defender
al Estado pero, paradójicamente, lo hizo sin prestar atención a su propia
seguridad. Concebido inicialmente para ser utilizado en un entorno cerrado con
escasos usuarios con acceso al mismo, cuando se abrió al resto del mundo evolucionó
con la misma despreocupación por los aspectos de privacidad, confidencialidad y
accesibilidad restringida.
Fue precisamente esta
apertura lo que permitió la incorporación de innovaciones y desarrollos a un
ritmo vertiginoso. Hoy parece mentira, a la vista de la complejidad y la
difusión que ha alcanzado, que el primer servidor público naciera en 1990, hace
apenas veintidós años. En 2011 se alcanzaron los dos mil millones de usuarios
en todo el mundo.
Con todo, lo más
significativo no es la expansión cuantitativa de Internet sino el impacto que
tiene en las vidas de buena parte de esos miles de millones de personas de
forma directa y en el mundo entero, conozca o no su existencia. Es precisamente
por eso por lo que no se debe considerar que el Ciberespacio sea, simplemente,
un ámbito más dentro del mundo real sino que hay que entenderlo como una
realidad paralela en la que las personas viven una existencia tan cierta como
la física y donde las interacciones, sean sociales, económicas o de cualquier
tipo, tienen repercusiones y consecuencias tan serias como sus equivalentes no
cibernéticos.
No cabe duda de que
el Ciberespacio es tanto un escenario de conflicto en sí mismo como un posible
vector de ataques sobre el mundo material. Los últimos años han visto como
evolucionaban dramáticamente los usos ofensivos de las redes informáticas y
como sus protagonistas pasaban de buscar efectos locales e individuales a tener
consecuencias globales en las que millones de usuarios, personales y estatales,
resultaban afectados.
Los terribles virus
informáticos –como el famoso “I-love-you–
que hace tan solo diez años perseguían proporcionar notoriedad y una
satisfacción narcisista a sus anónimos creadores han desaparecido prácticamente
de las listas de amenazas para dar paso a herramientas similares pero diseñadas
para obtener beneficios económicos o generar efectos sociopolíticos, cuando no
ambos.
Así, en lugar de
pretender la inutilización de equipos o la denegación de acceso a archivos y
ficheros, los modernos hackers tienen
como objetivo introducirse en las bases de datos y el robo de millones de
registros para su explotación. A la publicidad que se buscaba hace una década
le ha sucedido el gusto por el anonimato. No podía ser más significativo el
nombre el principal grupo organizado para operar en el Ciberespacio como un
moderno bandolero romántico, Anonymous[3].
La conciencia de la
relativa impunidad que proporciona la dificultad en la atribución de
responsabilidades por las acciones que se llevan a cabo en las redes ha
propiciado su explotación por particulares, organizaciones más o menos
espontaneas y por poderes estatales para llevar a cabo operaciones a favor de
sus intereses o en contra de los de sus adversarios. En un mundo en constante
reequilibrio, en el que tiene lugar una competición -casi sin restricciones-
entre poderes y entre potencias, el anonimato y el poder equilibrador de
fuerzas que proporciona Internet cambia radicalmente las reglas del juego.
De este modo, un hacker saudí puede hacerse con miles de
datos confidenciales de tarjetas de crédito de los clientes de bancos israelíes
y distribuirlos o utilizarlos personalmente con la doble finalidad de lucrarse
personalmente y de perjudicar al rival geopolítico de su país[4]. Un
actor individual, con medios tremendamente limitados y unos conocimientos al
alcance de casi cualquiera se convierte, de repente y gracias al Ciberespacio,
en un equivalente del poder estatal contra cuyo prestigio atenta. La represalia
que toman un grupo de activistas israelíes sobre datos bancarios de entidades
saudíes en el plazo de unas semanas es prueba tanto de que el mensaje político
había llegado diáfano al destinatario como de que había logrado su objetivo.
Hechos como el
relatado demuestran la necesidad de un mayor desarrollo de lo que se ha dado en
llamar la ciencia forense informática que permita determinar el origen de los
actos hostiles contra un determinado servidor o equipo en un plazo útil para su
neutralización o para la adopción de medidas de atenuación o de represalia, en
su caso. A falta de equipos preparados para llevar a cabo esta labor, seguirá
sin poder determinarse siquiera si acciones como los ataques de Denegación de
Servicio Distribuida a Estonia de 2007 fueron obra de un grupo ad-hoc de hackers indignados por el
traslado de un monumento al soldado soviético o una operación dirigida por los
servicios de seguridad o de inteligencia rusos.
El Ciberespacio
también se entiende como un escenario de conflicto cuando se combina con las
acciones en el mundo físico igual que cualquier otra arma. Se ha afirmado por
numerosos expertos militares que, si bien no es probable que llegue a
producirse una guerra que implique solamente al ámbito cibernético, también es
inconcebible una guerra futura en la que no esté implicado. Sin embargo, la
naturaleza permanentemente cambiante de este entorno no permite extraer muchas
más conclusiones de operaciones en las que, como la guerra entre la Federación
Rusa y la República de Georgia de agosto de 2008, ya se han empleado estas
técnicas.
Las posibilidades de
uso de la informática y las comunicaciones en una campaña bélica son tan
amplias que están dando lugar a verdaderos ejércitos de soldados especializados
dentro de los ejércitos de las principales potencias. El US Army, las fuerzas
terrestre de los Estados Unidos, disponen, tan solo en Europa, de 21.000 efectivos
dedicados en exclusiva a hacer frente a las amenazas cibernéticas y a la
explotación del espectro electromagnético en su relación con la informática[5]. En
el total de las Fuerzas Armadas del país trabajan, al menos, 90.000 hombres y
mujeres en estas labores. Se estima que la República Popular China dedica el
doble de personal al mismo ámbito.
A pesar de que los
objetivos declarados de unos y otros suelen estar más o menos en la misma
línea, las estrategias para su implementación son tantas como ejércitos hay.
Tomando como referencia las mencionadas operaciones en la República de Georgia,
podemos decir que desde los atacantes (supuestamente de los servicios) rusos se
recibieron ataques que iban desde el defacement,
el cambio de apariencia de las páginas web y la introducción de mensajes
contrarios a los que deberían aparecer, hasta denegaciones de servicio tanto de
redes ministeriales como de las de mando y control. Georgia buscó desde el
primer momento –semanas antes de que los primeros carros de combate de
cualquiera de los bandos entraran en Osetia del Sur– contrarrestar estas
acciones y replicar con ataques propios. La diferencia de recursos entre ambos
contendientes minimizó los efectos de este contraataque.
Aún así, puede
decirse que los rusos se abstuvieron de dañar infraestructuras críticas
georgianas que presentaban vulnerabilidades de muy fácil acceso y que se
atuvieron a la doctrina de empleo rusa del Ciberespacio que prima la actuación
sobre la información y las percepciones sobre las acciones destructivas. En
base a la menor dependencia de las redes que tenía Georgia respecto de Estonia,
puede afirmarse que los mayores efectos conseguidos lo fueron sobre la moral y
la voluntad de resistencia de la población georgiana ante la limitada capacidad
de comunicación con el exterior del país y, por lo tanto, de elaborar una
narrativa nacional o de percibir las simpatías que su causa pudiera estar
despertando entre sus aliados.
El Ciberespacio
puede, por lo tanto, atentar contra el normal desarrollo de la vida de otra
nación desde la manipulación o control de la difusión de las percepciones tanto
como desde la posibilidad de limitar la capacidad de acceso de los ciudadanos y
las instituciones a los servicios que proporciona. Todos estos aspectos, no obstante,
tienen lugar dentro del mismo ámbito informático en que se generan. La
actividad delictiva con las tarjetas de crédito israelíes o saudíes, el defacement de las páginas de los
ministerios georgianos o la denegación de acceso a los servicios bancarios estonios,
si bien influyen en la actividad de personas de carne y hueso, no trascienden
el contexto informático en el que se generan los ataques y donde se producen
los efectos.
Sin embargo, las
interacciones del Ciberespacio con el mundo físico son todavía más íntimas en
el caso de determinados procesos industriales que están controlados por equipos
informáticos conectados en redes. Los sistemas SCADA (System Control and Data Analysis – Control de Sistemas y Análisis
de Datos) permiten la regulación de los ciclos y parámetros de funcionamiento
de complejos desarrollos de industrias de alta tecnología y la presentación de
sus resultados para lectura del operador humano. La alteración del
funcionamiento de los procesos informáticos asociados a la actividad puede
resultar en consecuencias desastrosas para la misma.
El accidente sufrido
por la central hidráulica de Sayano-Shushenskoe en 2009 mostró a muchos el
potencial que tienen los ataques contra infraestructuras industriales críticas
por las consecuencias que tuvo para la misma central y para la producción de
aluminio de la región. Un año más tarde, cuando la mitad de los analistas
militares del mundo estaban elucubrando sobre posibles ataques sobre las
centrifugadoras de uranio iraníes, se conoció la existencia del gusano Stuxnet que, infiltrado en los sistemas
de control de las plantas de enriquecimiento, se estima que retrasó el
desarrollo del programa en alrededor de un año y medio.
Esta potencialidad
ofensiva del Ciberespacio ha distorsionado, no obstante, el verdadero potencial
que tiene en cuanto a la seguridad se refiere. Se han visto ejemplos de
utilización de los equipos informáticos en los ámbitos civiles y militares, de
forma aislada o en conjunción con otras herramientas, con objetivos finales
contenidos dentro del mismo entorno cibernético y con otros pertenecientes por
entero al mundo físico convencional. En todos los casos, no obstante, se
trataba de acciones hostiles que perseguían provocar un daño en el adversario.
Hay que reconocer que,
al igual que en el resto de los entornos, rara vez las defensas están
preparadas para hacer frente al último modelo de armamento ofensivo que
aparece. En el mundo de las comunicaciones y la informática, con su rápido
ritmo de evolución, se generan una media de 66.000 nuevas piezas de malware, de programas maliciosos, cada
día con una tendencia a aumentar la cifra exponencialmente. Ante tal avalancha
de nuevos vectores que explotan las vulnerabilidades de nuestros sistemas, no
podemos pretender que estos estén protegidos en todo momento contra cualquier
riesgo de intrusión. La protección total no es posible y su búsqueda es
extremadamente costosa e ineficiente.
Debemos
acostumbrarnos a que nuestros sistemas sean atacados en millares de ocasiones
cada día y a que alguna de esas agresiones consiga penetrar nuestras barreras
defensivas. No es la invulnerabilidad lo que debemos pedirle a nuestros equipos
y redes sino la capacidad de regeneración suficiente como para recuperarse de
los daños sufridos en el menor tiempo posible y con la mínima pérdida de
información. El concepto de resiliencia debe sustituir al de resistencia. La
protección de nuestra información y de nuestros sistemas críticos debe centrar
nuestros esfuerzos, que deben evitar dispersarse con la construcción de
murallas defensivas alrededor de datos y equipos que no lo precisan.
Es cierto que la
información es poder, pero también lo es que el ritmo trepidante al que tienen
lugar los acontecimientos y que nos obliga a la utilización de procesos informáticos
automatizados convierte en obsoletos datos que momentos antes fueron críticos.
La agilidad y flexibilidad en la decisión de qué hay que proteger y en qué
grado no es sólo necesaria para evitar una asignación ineficiente de recursos
sino también para permitirnos una actuación eficaz en la protección de lo que
sea verdaderamente importante.
El mismo poder que
proporciona la información –y su control– nos debe llevar a pensar en unos usos
mucho más constructivos del Ciberespacio que también contribuyan a nuestra
seguridad. Menos llamativos, quizás, que los efectos de Stuxnet, menos agobiantes que los ataques sobre Estonia, menos
espectaculares que la difusión de los mensajes en la página de Wikileaks, la utilización de internet
como herramienta no ofensiva presenta un amplísimo espectro de posibilidades
que se deben explotar tanto o más que las ya mencionadas.
En este sentido, el
control estatal sobre las redes tiene también una vertiente dual en cuanto a la
seguridad. Si bien podría limitar la probabilidad de ocurrencia de filtraciones
y otros usos ilícitos del Ciberespacio, también impediría el acceso de la
población a información independiente. Se puede pensar que lo anterior es sólo
aplicable a regímenes autoritarios en los que la libertad de prensa está
restringida, pero el control de la información se ejerce de muchos modos en
función de la cultura de cada país.
El papel que juega
internet en la llamada “Primavera Árabe” tiene mucho que ver con ese control
estatal indisimulado de los medios por parte de muchos de los gobiernos. La
población con medios, conocimientos e inquietudes suficientes busca referencias
exteriores para contrastar las informaciones que les proporcionan los aparatos
gubernamentales nacionales. El espectacular crecimiento que ha experimentado el
número de usuarios entre los países árabes durante los últimos años refleja la inquietud
por acceder a puntos de vista distintos de los ofrecidos desde instancias
oficiales.
Aprovechando este
interés por el Ciberespacio entre sus conciudadanos, los líderes políticos de
muchos de estos países han hecho de las redes sociales un foro de discusión y,
principalmente, de propaganda electoral. Como ejemplo, la apertura de una
tertulia en Twitter de Saad Hariri,
anterior primer ministro de Líbano, y el éxito en cuanto al número de
seguidores que consiguió propició su imitación por parte del actual jefe del
Gobierno, Nijab Mikati y del presidente del país, Michael Suleimán[6].
Hay otras formas de utilización
constructiva del Ciberespacio por parte de los poderes estatales para mejorar
la seguridad. La iniciativa del Departamento de Estado norteamericano conocida
como 21st Century Statecraft[7]
pretende utilizar las redes sociales y el resto de herramientas que proporciona
internet para mejorar el acceso de su servicio diplomático a los ciudadanos y
viceversa. Las embajadas y embajadores británicos de todo el mundo también
mantienen foros abiertos en la red de redes con el mismo fin así como con el de
difundir –a quién pueda interesar– los puntos de vista del gobierno de Su
Graciosa Majestad respecto a los temas propios de cada país o región.
En este contexto se
entiende mucho mejor la afirmación que se hacía al principio de estas líneas en
el sentido de que el Ciberespacio no es sólo uno de los Global Commons y no podemos limitarnos a contemplarlo como una
parte del mundo físico. Se ha visto como, efectivamente, forma parte del mismo
e influye en él tanto a través de la generación y difusión de información, de
conocimientos y de opiniones como mediante la posibilidad del control del
acceso a los mismos. Stuxnet permitió
vislumbrar una interacción incluso mayor entre el mundo cibernético y el físico
y ejemplifica la utilización de los medios informáticos como vector de ataque
sobre un adversario.
Aún así, es muy
importante tener en cuenta que el Ciberespacio se ha convertido también en un
hábitat propiamente dicho. Más de dos mil millones de personas en todo el mundo
acceden a este mundo virtual regularmente y, muchos millones de entre ellos
–especialmente las generaciones más jóvenes– mantienen vidas paralelas pero muy
reales dentro del mismo. Entender el nuevo escenario que esto presenta
resultará fundamental para poder regularlo y para tomar las medidas necesarias
para que se convierta en un entorno razonablemente seguro, con unas normas de
convivencia que no sólo le afecten a él, sino que tengan influencia también
sobre el mundo físico convencional.
En el mundo virtual
existen siete mil millones de potenciales estados nacionales, tantos como
usuarios posibles. El Ciberespacio es un entorno en el que los medios
materiales tienen una importancia muy relativa y en el que es la atención que
pueda suscitarse sobre un contenido concreto lo que verdaderamente tiene valor.
Es un mundo individualista pero en el que cada cual se relaciona con
multiplicidad de socios en función de intereses concretos y cambiantes. En
internet no existe la nacionalidad o la afiliación política, porque cada
individuo viene definido por la intersección de los enlaces que le vinculan a
los demás. De esta forma, es nuestro círculo de amistades y de conocidos,
nuestro conjunto de intereses y nuestras afiliaciones personales lo que nos
convierte en individuos que no forman ya parte de un único grupo uniforme sino
que pertenecen a docenas de grupos distintos dentro de los cuales sólo se
conoce a una pequeña fracción de sus miembros.
Queda por determinar
si el modelo político westfaliano de estados nacionales responsables y tutores de sus parcelas territoriales y de
sus ciudadanos sobrevivirá a este nuevo modo de relacionarse. Parece difícil,
desde luego, compatibilizar el modo de vida en las redes informáticas con el
que impone la sociedad a las personas físicas.
Las amenazas no
provienen, por lo tanto, del Ciberespacio –aunque pueda ser un vector para
canalizarlas– sino de la falta de regulación de nuestras actuaciones en el
mismo y de la disociación entre los modos de vida que se llevan dentro y fuera
de él.
[1] Más información al respecto en BEDFORD,
Dick y GIARRA, Paul (2010): “Securing The Global Commons”, The RUSI Journal,
155:5, 18-23, disponible en http://www.tandfonline.com/doi/abs/10.1080/03071847.2010.530500
[2] CAVELTY, Dr. Myriam Dunn,
"Cyberwarfare: separating reality from Hype", ISN Zurich, podcast audio. Última consulta el 5 de abril de
2012: http://www.isn.ethz.ch/isn/Current-Affairs/Podcasts/Detail/?id=133142
[3] ELOLA, Joseba, "Las
múltiples caras de la máscara", ELPAIS, 5 febrero de 2012, última consulta
el 5 de abril de 2012: http://elpais.com/diario/2012/02/05/domingo/1328417558_850215.html. También MORCILLO, Cruz y MUÑOZ,
Pablo, ""Anonymous, más allá de la máscara", ABC, 19 de junio de
2011. Última consulta el 5 de abril de 2012: http://www.abc.es/20110619/medios-redes/abci-anonymous-201106182338.html
[5] Más información en la página web
del Mando Cibernético del Ejército de Tierra de los Estados Unidos en Europa.
Última consulta el 5 de abril de 2012: http://www.arcyber.army.mil/index.html
[6] @HaririSaad, @Najib_Mikati y @SleimanMichel respectivamente.
No comments:
Post a Comment