EL 15 DE AGOSTO DE 2012, un misterioso virus autorreplicante atacó a Saudi Aramco, la más grande compañía petrolera del mundo. El ataque cibernético arrasó con toda pieza de software y toda línea de código en tantas como 30 000 computadoras de la compañía, junto con terabytes de información. Cuatro meses después, otro virus sin identificar atacó el Banco de América, Wells Fargo y otra docena de bancos importantes en Estados Unidos, cerrando repetidas veces sus servicios en línea. Los expertos dijeron que la sofisticación técnica de los dos ataques sugería fuertemente la obra de un gobierno extranjero. Pero sin un remitente obvio, el presidente Barack Obama no respondió, y dejó que el sector privado lidiara con el daño.
Sin embargo, en secreto, Obama y sus principales asesores sabían quién lo hizo y por qué. Fue Irán, concluyeron ellos, en represalia por una ofensiva cibernética encubierta de Estados Unidos e Israel que usó el ahora tristemente célebre virus Stuxnet para destruir más de mil centrifugadoras en Natanz, por entonces el centro del programa nuclear de Irán. “Los funcionarios de la Casa Blanca sabían que los iraníes les habían mandado un mensaje que decía: ‘Dejen de atacarnos en el ciberespacio como lo hicieron en Natanz con Stuxnet’”,dice Richard Clarke, asesor de la Casa Blanca en seguridad cibernética por entonces. “También podemos hacerlo”.
Este intercambio sin precedentes está en el centro de Zero Days, el nuevo y perturbador documental thrillerde Alex Gibney sobre la primera vez que un país, o grupo de naciones, usó un arma cibernética para propósitos ofensivos. Un cineasta ganador del Emmy y el Óscar, los documentales previos de Gibney investigaron el abuso sexual en la Iglesia católica, la tortura de la CIA y la iglesia de la cienciología. Esta vez, él se enfoca en el desarrollo de una categoría totalmente nueva de armas de destrucción masiva. La película toma su título del término computacional para el peor tipo de vulnerabilidad que puede tener una red, una que no da tiempo de reparar antes de que un hacker pueda explotarla. Gibney muestra cómo estas poderosas armas cibernéticas pueden destruir rápidamente la red eléctrica de un país, el abasto de agua, el tránsito aéreo, las instituciones financieras y las comunicaciones civiles y militares, todo sin dejar rastros de la identidad del atacante. También argumenta que el secreto oficial alrededor de las armas cibernéticas en Estados Unidos y demás partes ha obstaculizado un debate muy necesario sobre su poder destructivo. La ausencia de este debate, afirma el cineasta, está evitando la creación de un proceso efectivo de control de armas cibernéticas para limitar su uso.
Zero Days comienza con una dramatización de un evento que sucedió en 2010: dos hombres en una motocicleta, sus rostros ocultos bajo los cascos, se paran junto a un auto en el centro de Teherán. Dentro hay dos científicos nucleares iraníes. Los motociclistas colocan una mina magnética en la puerta del auto y se alejan a toda velocidad. Segundos después, la mina explota y mata a los científicos. Estos eran los días cuando se creía ampliamente que Israel empleaba tales operaciones, junto con amenazas públicas de ataques aéreos, para detener el programa nuclear iraní. La película de Gibney detalla el lado encubierto de esa lucha, y dice cómo agentes estadounidenses e israelíes desplegaron lo que dijeron que era un virus a prueba de tontos que destruiría anónimamente la capacidad de Irán de producir combustible nuclear de grado para bombas. Lo que hicieron más bien fue empezar una nueva era de guerra cibernética.
En su libro de 2012, Confront and Conceal, David Sanger, de The New York Times, dio la noticia de esa operación conjunta de Estados Unidos e Israel, con el nombre en clave “Juegos Olímpicos”. Por más de dos años —alrededor de 2008 y 2009— el virus cifró las velocidades de las centrifugadoras en la instalación iraní de enriquecimiento nuclear en Natanz, provocando que giraran fuera de control y explotaran. Pero en 2010, la noticia de Stuxnet se hizo pública a causa de un error de programación en una versión más agresiva del virus que le permitió escapar de Natanz y distribuirse en línea por todo el mundo.
Cuando Gibney retoma la historia, no puede lograr que ningún funcionario de Estados Unidos o Israel discuta el Stuxnet, que se mantiene clasificado. Incluso expertos rusos y alemanes en seguridad cibernética no lo tocarían. Entonces, el cineasta usa otros expertos en seguridad cibernética para explicar cómo funcionaba el virus. Ellos especulan que un espía utilizó una memoria portátil para introducir el virus en la red de computadoras de Natanz, la cual no estaba conectada a internet. Tan pronto como el virus empezó a interferir con las centrifugadoras, los expertos dicen que evitó su detección al reproducir una grabación de sus señales normales a los operadores de la instalación. Cuando las centrifugadoras explotaron, los iraníes no tenían idea de por qué y culparon a su propia incompetencia.
Gibney rastrea el desarrollo de Stuxnet en los últimos años de la administración de George W. Bush. Fue una operación importante, le dicen los participantes, que involucró a la CIA, la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) y el Comando Cibernético de Estados Unidos. En el lado israelí involucró el Mossad, el servicio de inteligencia exterior de Israel, y la Unidad 8200, su división militar de señales de inteligencia. El Cuartel General de Comunicaciones de Gran Bretaña, su cuerpo de señales de inteligencia, también participó. Después de que se escribió el código de Stuxnet, fue probado tanto en Estados Unidos como en Israel en centrifugadoras idénticas a las usadas por los iraníes. Cuando funcionarios de la CIA le mostraron a Bush fragmentos de una centrifugadora que Stuxnet había destruido, el presidente dio el visto bueno para usarlo contra Irán. La era de la guerra cibernética había comenzado oficialmente.
Los participantes que confirmaron los orígenes estadounidenses e israelíes de
Stuxnet lo hicieron anónimamente y fuera de cámara, por miedo a violar las prohibiciones estrictas contra discutir información clasificada. Por ello es que Gibney usó una actriz, con su rostro pixelado para efectos dramáticos, para que dijese, textualmente, lo que los participantes le habían dicho a él. Es a través de este personaje que Gibney da la noticia en la película. “Stuxnet fue sólo una parte de una misión iraní mucho más grande”, dice el personaje. Hubo otro programa de guerra cibernética, con el nombre en clave Nitro Zeus, el cual ella dice que Estados Unidos había planeado lanzar si Israel atacaba a Irán o las conversaciones nucleares con Irán se venían abajo. “Nitro Zeus derribaría las comunicaciones estratégicas de Irán, sus defensas áreas, la red eléctrica, las comunicaciones civiles, el transporte y el sistema financiero”, asegura. “Estábamos dentro [de los sistemas computacionales de Irán], esperando, listos para interrumpir, degradar y destruir esos sistemas con ataques cibernéticos. En comparación, Stuxnet era una operación de callejón. Nitro Zeus era el plan de una guerra cibernética total sin atribuciones”.
Los gobiernos estadounidense, israelí y británico nunca han reconocido que lanzaron Stuxnet. Pero la película argumenta fuertemente que el virus y otros han dado lugar a un cambio de paradigma en la guerra. “Esto tenía el olorcillo de agosto de 1945”, dice Michael Hayden, exdirector tanto de la NSA como de la CIA, a Gibney, refiriéndose al primer uso de la bomba atómica. “Alguien acababa de usar un arma nueva, y esta arma nueva no sería puesta de vuelta en la caja”.
En efecto, desde Stuxnet, dos ataques cibernéticos han provocado daño físico significativo: uno en 2014 en una acería alemana y otro en la red eléctrica de Ucrania en 2015. Los expertos en seguridad cibernética creen que hackers rusos fueron responsables de ambos.
Pero, al contrario de las armas nucleares, cuya difusión provocó un debate público y una serie de tratados para controlar las armas, prácticamente nadie habla de las armas cibernéticas o de tratados para limitarlas. “No podemos tener esa discusión sensible sobre la guerra cibernética y las armas cibernéticas porque todo es secreto”, dice Clarke, el exasesor de Obama en seguridad cibernética, a Gibney.
El secreto que rodea a las armas cibernéticas de Estados Unidos es en gran medida institucional. Las armas son desarrolladas por la NSA y lanzadas por el Comando Cibernético de Estados Unidos bajo las órdenes directas del presidente. Pero están bajo el control de la CIA. Por supuesto, un poco de secreto es necesario, pero demasiado es dañino, dicen los expertos. “El secreto se justifica para proteger fuentes y métodos”, dice Rolf Mowatt-Larssen, un exoficial encargado de casos especiales de la CIA, en la película. “Pero no te escondas detrás del secreto para evitar hablar de algo que el pueblo estadounidense finalmente necesita ver”.
Sin embargo, otros discrepan con la opinión de la película de que ninguna norma internacional gobierna el ciberespacio. El surgimiento de la arquitectura de seguridad cibernética “no [es] tan robusta como el marco de las armas estratégicas”, dice James Lewis, experto cibernético del Centro de Estudios Estratégicos e Internacionales en Washington, a Newsweek, “pero ciertamente está muy adelantado. Se ha hecho muchísimo”, incluidos acuerdos separados de Estados Unidos en seguridad cibernética con Rusia y China, así como dos resoluciones de la Asamblea General de la ONU que insta a las naciones a respetar las leyes de la guerra en el ciberespacio.
Gibney descarta tales afirmaciones, llamándolas exageradas. “No hay nada en absoluto en el sentido de limitaciones a las armas cibernéticas que Estados Unidos esté contemplando seriamente”, dice a Newsweek.
Una razón: las limitaciones a las armas cibernéticas son complicadas. Por ejemplo, ¿cómo podría un experto verificar que una nación esté cumpliendo un tratado de guerra cibernética? ¿Mediante revisar el código de potencialmente millones de laptops? ¿Y cómo se define el uso de la fuerza en el ciberespacio? “Hay un entendimiento tácito entre las grandes potencias de que un ataque cibernético que provoque daño físico o muertes calificaría”, dice Lewis. Pero rápidamente concede: “Nadie quiere ponerlo por escrito porque no quieren perder flexibilidad política”.
Esa admisión parece demostrar el punto de Zero Days.Como dice el coronel Gary Brown, exabogado del Comando Cibernético de Estados Unidos, a Gibney: “Al momento, la norma en el ciberespacio es: ‘Haz cualquier cosa de la que te puedas escapar’”.
—
Publicado en cooperación con Newsweek /Published in cooperation with Newsweek