Dr Martin Libicki

El autor cita las actividades policiales como un área primaria en la cual se puede mejorar la seguridad de información mundial. Propone "la armonización de las leyes nacionales contra los ataques cibernéticos, cooperación multinacional para rastrear ataques a través de las fronteras nacionales, tratados internacionales de extradición de atacantes, y disposición a imponer sanciones a quienes protejan a los atacantes". Cree que la disposición a compartir información sobre investigación y desarrollo acerca de indicaciones y advertencias de ataques, y sobre incidentes y respuestas a ataques, "también puede mejorar la eficacia de las medidas de protección de cada nación".


Nadie que esté buscando un nuevo motivo de preocupación necesita ir muy lejos. En todas partes, las computadoras y los artefactos digitales se han instalado en nuestras vidas. Lo que antes era manual, ahora es automático; lo que era analógico ahora es digital; y lo que antes estaba solo ahora está conectado a todo lo demás. De modo creciente, no tenemos otro remedio que confiar en ellos. Si fallan, nos hundimos.

La confianza engendrada por la dependencia se justificaría si esos artefactos sólo hiciera lo que se suponen que deben hacer. Algunos fallan por sí solos, y seguimos adelante. Pero también existe la perspectiva de que puedan fallar porque han caído bajo el control de gente con intenciones malignas. En esas circunstancias, no sólo podrían fallar, sino también revelar secretos que se les han confiado, o producir información corrupta, algunas veces de maneras que no se perciben hasta que es demasiado tarde para revertir las acciones que ya se han puesto en marcha.

¿Por qué la vulnerabilidad? Los artefactos digitales son rápidos, baratos, precisos y raramente olvidan lo que se les dice. Pero también son terriblemente literales y generalmente carecen del discernimiento para comprender las implicaciones de lo que se les pide que hagan o la integridad de quienes les piden que lo hagan.

Las consecuencias potenciales de inducir deliberadamente fallas o corrupción de sistemas son vastas. Al tomar el control de sistemas clave que sostienen la estructura de la sociedad, los atacantes de computadora pueden, en teoría, oír llamadas telefónicas, desviar conexiones y paralizar completamente el servicio telefónico; cortar el suministro de energía eléctrica; infiltrarse en la manera en que literalmente millones de millones de dólares cambian de manos cada semana; obstaculizar los servicios de emergencia; impedir que las fuerzas armadas estadounidenses respondan rápidamente a crisis en el exterior; revelar secretos médicos personales; trastornar los sistemas de transporte y poner en peligro a los viajeros, y mucho más. La vida como la conocemos podría paralizarse.

Los ataques computarizados, si se los efectúa de manera suficientemente sistemática, podrían ser guerra por otros medios, y de allí viene el concepto amplio de "guerra de información". Pero la guerra de información comprendida en términos amplios -- atacar los procesos de información y de decisión de un adversario-- es tan antigua como la guerra misma. Esas tácticas abarcan operaciones psicológicas, ataques contra el aparato de comando del enemigo, espionaje y contraespionaje, y operaciones contra las infraestructuras y sistemas de vigilancia adversarios. Durante la guerra civil estadounidense (1861-1865) hubo incidentes de operaciones de propaganda, francotiradores que atacaban a generales del bando contrario y observadores en globos aerostáticos, incursores que desmantelaban líneas de telégrafo, piquetes de caballería y manifestaciones contra la caballería, todo ello parte de la guerra de información. Durante la segunda guerra mundial ocurrió el advenimiento de la guerra electrónica mediante el radar, el engaño electrónico, la interferencia de frecuencias de radio, la codificación de mensajes y el descifrado de códigos con ayuda de computadoras.

Los ataques computarizados se incorporan sin dificultad a este continuo de la guerra. Si uno puede destruir cuarteles generales enemigos con bombas y cañonazos, ¿qué está mal en usar medios menos violentos para penetrar y destruir los sistemas de computadoras que manejan las batallas del futuro? Las nociones de guerra estratégica de 1920 sostenían que el uso del poder aéreo contra blancos civiles reduciría la crueldad de la guerra de trincheras. La guerra de información estratégica es todavía mejor.

¿Son vulnerables las sociedades modernas? La mayoría de los sistemas de información tienen mucho menos seguridad de la que podrían tener; muchos de ellos, menos de la que deberían tener. Se han atacado redes y sistemas de muchos tipos: servicios de Internet, servicios telefónicos, algunos servicios de transporte, instituciones financieras y redes empresariales.

Los ataques computarizados, bajo cualquier definición, son un problema grave. En efecto, el Departamento Federal de Investigaciones estimó que le cuestan a la economía estadounidense entre 500 millones y 5.000 millones de dólares por año, cálculo que tiene un margen de error amplio y, de alguna manera, es muy revelador. Nadie sabe verdaderamente cuántos ataques ocurren. Muchas de las pruebas son anecdóticas, y la gente tiene que hacer conjeturas usando preceptos populares como "sólo los aficionados dejan impresiones digitales, los profesionales nunca lo hacen" y "nadie quiere hablar nunca de cuán duro lo han golpeado". De manera que a los ataques computarizados se los compara con témpanos, y supuestamente Estados Unidos desempeña el papel del Titanic.

Esta es la teoría, de cualquier manera. ¿Y cuál es la perspectiva? A diferencia de virtualmente todas las otras formas de guerra, no hay entradas forzadas en el espacio cibernético. Si los intrusos cibernéticos entran en un sistema lo hacen invariablemente a través de caminos instalados en el propio sistema: algunos son pasajes y otros son problemas (es decir, pasajes indocumentados) que nunca se eliminaron. De cualquier manera, viajar por estos caminos está bajo el control completo de quienquiera que opera el sistema. Al ser así, la vigilancia debería ser protección suficiente.

En efecto, la protección existe. Muchos sistemas de información operan con varias capas: estas son maneras de separar los usuarios ilegítimos de los legítimos; cerraduras para impedir que usuarios legítimos tomen control deliberada o inadvertidamente de los sistemas de computadoras, y dispositivos de seguridad para que incluso la usurpación del control no cree un peligro público.

Los intrusos cibernéticos, por su parte, primero deben engañar al sistema haciéndole creer que son usuarios legítimos (robando o adivinando una contraseña), y segundo, adquiriendo privilegios de control (con frecuencia explotando fallas endémicas) negados a la mayoría de los usuarios comunes. Con esos privilegios de "superusuario", los atacantes pueden eliminar archivos claves, escribir disparates en otros, o abrir una puerta oculta para volver a entrar después.

También hay pocas dudas de que las defensas, si hiciera falta, podrían ser mejores que la práctica común de la actualidad.

La mayor parte de los sistemas usan contraseñas para limitar la entrada, pero las contraseñas tienen muchos problemas bien conocidos: demasiadas de ellas son fáciles de adivinar; pueden ser robadas al pasar por las redes, y generalmente se las guarda en lugares esperados de una computadora servidora o anfitriona. Los métodos criptográficos como las firmas digitales eliminan estos problemas (haciendo inservible capturar y repetir los mensajes de acceso). Las firmas digitales incluso ayudan a asegurar que todo cambio en un banco de datos o programa, una vez firmado electrónicamente, pueda ser rastreado a su originador, lo cual también es útil para el caso en que el atacante sea alguien de la propia firma que tiene privilegios de usuario.

Los sistemas operativos de las computadoras y redes son vulnerables a los programas insertados por intrusos cibernéticos, como los virus (programas de computadoras que infectan a otros programas y hacen que a su vez infecten a otros programas más); caballos de Troya (programas de computadoras aparentemente útiles con trampas ocultas) y bombas lógicas (programas que permanecen letárgicos hasta que se los despierta). La protección contra los virus podría dar resultado, pero si la preocupación persiste, ¿por qué no poner todos los archivos críticos en un medio inalterable (como un CD- ROM)? Semejante medio puede también impedir que la información sea borrada o corrompida por los rastros digitales de un atacante potencial. En efecto, dado el bajo costo de esos artefactos, ya no hay más excusas legítimas para perder información.

Los sistemas también pueden ser puestos en peligro desde otros sistemas que ellos consideran de confianza. Se pueden tomar dos precauciones contra este peligro: reducir la lista de sistemas de confianza y limitar la cantidad de mensajes a los que reaccionará el sistema propio. Por ejemplo, los sistemas bancarios hacen esto para proteger a sus computadoras de que las corrompan ATM (cajeros bancarios automáticos) instalados en la calle. La computadora hace caso omiso de todo mensaje de un ATM que no sea una transacción legítima. Ninguna transacción legítima puede destruir la computadora del banco.

Y una precaución final es desenchufarla. Como último recurso, muchos sistemas (como las plantas generadoras de energía nuclear) funcionan casi tan bien aunque no estén conectadas al mundo exterior.

¿Hasta dónde han de tomar medidas los que tienen computadoras? Puede que hoy día baste un garantizador de seguridad de costo relativamente bajo (v.g., cortafuegos y detectores de intrusos). Después de todo, es muy probable que no valga la pena invertir grandes cantidades de dinero en un sistema de oficina sólo para protegerlo ya que, por ejemplo, en caso de ataque, el servicio sólo se interrumpiría temporalmente. Hay muchas compañías que no se percatan del peligro y actúan en consecuencia. Puede que tengan razón... pero, ¿y si están equivocadas? A medida que aumente el peligro, los propietarios de los sistemas computarizados pueden añadir medidas de seguridad -- incluso a corto plazo (v.g, pueden evitar que los usuarios accedan al sistema desde sus casas, o hacer que pulsen ciertos códigos para acceder al sistema).

Desde luego, es precisamente la falta de buenos dispositivos de seguridad en toda la infraestructura nacional de información de hoy, la que tiende en cierta medida a hacernos confiar en que, si fuera necesario, se podría garantizar la seguridad de los sistemas informáticos. (En contraste, una buena defensa en caso de una guerra nuclear fue durante décadas, algo imposible de lograr desde el punto de vista tecnológico y, aunque hoy sea posible, es sumamente costoso). Incluso aunque muchos sistemas computarizados queden inservibles temporalmente, es otra cuestión el mantenerlos inutilizados durante bastante tiempo mientras que los administradores de sistemas trabajan arduamente para restaurar los servicios esenciales. Cualquiera que amenace la infraestructura de información de Estados Unidos debe darse cuenta de que la mera amenaza -- si se toma en serio -- empieza a tener su efecto negativo tan sólo al poco tiempo de saberse publicamente, ya que la gente reacciona.

¿Cuál debe ser la función del gobierno? ¿Están capacitados los que protegen a la nación por tierra, mar y aire y en el espacio, para hacerlo también en el espacio cibernético? ¿Deberían hacerlo?

El gobierno puede ayudar, pero hay mucho que el gobierno no puede ni debe hacer. Por supuesto que la electricidad es esencial, pero proteger el suministro de electricidad del ataque de los intrusos cibernéticos depende casi totalmente de cómo las compañías electricas administran sus sistemas computarizados: con esto se entiende los programas que las compañías compran para la red y el sistema operativo, el número de programas que configuran para sus sistemas, cómo otorgan y protegen los privilegios de acceso y cómo los diferentes mecanismos de control manual y de funcionamiento se incluyen en todos los sistemas de generación y distribución de la compañía. Es inconcebible que una compañía eléctrica esté dispuesta a que el gobierno la "proteja" y establezca las directrices para hacer estas cosas. En general, el gobierno no puede montar un cortafuegos alrededor de todo Estados Unidos -- aunque sólo sea por el hecho de que hay tantas redes nacionales que se ramifican por todo el mundo.

El gobierno puede aplicar, y de hecho aplica, leyes que penalizan los ataques a los sistemas computarizados -- y ha tenido bastante éxito si se tiene en cuenta el anonimato (y distancia) de que gozan los intrusos. Hasta la fecha, casi todos los más famosos ataques de intrusos detectados han sido obra de aficinados y no de profesionales.

¿Debería el gobierno intentar impedir la guerra informática y tomar medidas de represalia contra los malhechores? Supóngase que se pueda identificar quiénes son los autores. El gobierno de Estados Unidos tiene la capacidad de tomar represalias, pero hay muchos estados brutales que carecen sistemas comparables (v.g., Corea del Norte no tiene un mercado de valores que pueda ser inhabilitado). En el mismo orden de cosas, es un problema responder de modo violento contra un ataque informático que ha ocasionado pérdidas de tiempo y dinero, pero que no ha herido a nadie.

Aunque mucho de lo que el gobierno puede hacer para incrementar la seguridad es de modo indirecto, la Comisión Presidencial sobre la Protección de la Infraestructura Crítica y otras entidades han propuesto las siguientes recomendaciones:

-Cerciorarse de que los sistemas que el gobierno posee estén protegidos, porque son importantes para la seguridad nacional y como modelo estandarizador.

-Usar la investigación, el desarrollo y la adquisición primaria para promover el desarrollo rápido de instrumentos de seguridad.

-Divulgar avisos de alerta en casos de ataques evidentes de guerra informática, (si se pueden detectar, lo cual no es fácil).

-Promover un ámbito legal que conduzca al sector privado a proteger sus sistemas al máximo.

-Proveer un centro neutral de intercambio de información que ayude al sector privado a colaborar por medio de un intercambio, a nivel confidencial, de información sobre experiencias y medidas preventivas adoptadas.

Por lo general, tales medidas van progresando.

Por desgracia, las restricciones -- existentes y potenciales -- que el gobierno de Estados Unidos establece en torno al cifrado de alto nivel, han inhabilitado uno de los mejores medios de protección de sistemas y también han debilitado la confianza en las medidas adoptadas por el gobierno en torno a la guerra de información.

Actividades internacionales

Extender la mayoría de estas medidas gubernamentales al extranjero indica una agenda abierta para guiar las actividades internacionales contra la guerra información.

El campo de la aplicación de la ley es muy amplio. La armonización de las leyes nacionales que tienen que ver con la agresión informática, la cooperación multinacional en el rastreo de ataques que sobrepasan las fronteras nacionales, los tratados internacionales sobre la extradición de los intrusos y el estar dispuesto a imponer sanciones a aquellos que protegen a los intrusos, todo ésto puede contribuir a la seguridad de la información en todo el mundo.

El estar dispuesto a compartir información sobre la investigación y desarrollo, sobre señales y avisos de ataques, así como sobre incidentes habidos y respuestas tomadas frente al ataque puede mejorar la eficacia de las medidas de protección de cada país. Sin embargo, estas áreas suelen ser ámbito exclusivo de las agencias de inteligencia, las cuales no se caracterizan por su transparencia en tales asuntos.

Conclusiones y pronósticos

En el mundo posterior a la Guerra Fría hay un aumento de peligros nuevos y no convencionales (v.g, terroristas con armas nucleares) los cuales atemorizan, pero, por el momento, son sólo imaginarios. La guerra de la informática es uno de ellos. Cuantos más sistemas de información permeen la sociedad -- sus defensas, comercio, vida diaria -- más importante será para nosotros que funcionen bien. La posibilidad de graves daños es real, especialmente si los ataques son sistemáticos y los lleva a cabo un adversario bien financiado. Pero lo que también sorprende es el hecho de que aunque la guerra informática es relativamente barata, hasta la fecha casi no ha habido incidentes realmente graves.

Dos son los indicadores que nos pueden dar una idea clara del verdadero riesgo que se corre de sufrir un ataque cibernético. Uno es cómo reacciona la gente ante el problema de las computadoras del año 2000. Dése por supuesto que gran cantidad de los sistemas computarizados del mundo fallarán a medianoche del 31 de diciembre de 1999. ¿Cundirá el pánico y se paralizará todo? o ¿hallará la gente el modo de solucionar el problema y prescindirá de la información durante un tiempo? Si empiezan a proliferar los pleitos, ¿qué precedentes se establecerán que asignen responsabilidad a individuos por el daño ocasionado, si los sistemas fallan?

El otro pronóstico es de origen más reciente. Si uno pudiera imaginar quién sería capaz de llevar a cabo ataques graves de guerra informática, pensaría en alguien que no tuviera nada que perder (v.g., no un país), que tuviera ocultos varios millones de dólares en efectivo, un cierto conocimiento tecnológico, una red internacional de amigos infames, un rencor contra Estados Unidos u otra nación por algo real o imaginado. ¿Les recuerda a algo? Si así es, el próximo año puede que se descubra la existencia de individuos o de grupos poderosos que intentan doblegar a algún país por medio de la guerra informática o, por el contrario, que éstos se concentran en otra cosa.