UNA SEMANA ANTES de que el reciente ataque masivo cortara el acceso a Twitter, PayPal, Airbnb y decenas de sitios web importantes, asistí a una conferencia “no oficial” donde los líderes de algunas de las compañías más grandes de Estados Unidos hablaron de las amenazas cibernéticas. Como soldados a bordo de una de las naves de desembarco del Día D, aquellos primeros ejecutivos parecían resignados a su triste destino. Era inevitable que algunos, si no todos, sufrieran un ataque destructivo. Así que imperaba un ambiente de autocompasión y mutua condolencia.
Pero la mayoría ni siquiera imagina lo mal que van a ponerse las cosas. Ginni Rometty, presidenta de IBM, ha dicho que el crimen cibernético es la mayor amenaza actual para las empresas globales (aparentemente lo antepone a una guerra nuclear, el cambio climático o una invasión extraterrestre).
Vivimos en una era en que las maravillas tecnológicas están cambiando al mundo: automóviles autoconducidos, inteligencia artificial, moneda digital, realidad virtual, un reconocimiento de voz más preciso que los humanos. Metemos chips y software en todo y conectamos todo con una red global, creando una colmena gigante de personas, lugares y cosas. Estos adelantos pueden hacer que la vida sea más fácil, más segura y más próspera para la mayoría de las personas. Pero la tecnología no tiene moral, y hay gente mala con malas intenciones que puede secuestrar cualquier invención. ¿Qué tal tu nuevo inodoro conectado electrónicamente? Solo espera a que un pirata cibernético lo vuelva en tu contra.
Conforme el mundo se digitaliza cada vez más, el hackeotambién se vuelve más y más rentable, más y más destructivo. No obstante, nadie sabe cómo detener el hackeo cada vez más sofisticado. Ningún laboratorio de investigación está a punto de hacer un gran descubrimiento. Ninguna compañía de seguridad produce un software impenetrable. Y, entre tanto, el crimen cibernético se convierte en una industria floreciente. Emprendedores malnacidos incluso han creado el “hackeo como servicio”, así que casi cualquiera que tenga una tarjeta de crédito y un arranque de ira puede conectarse en línea y configurar herramientas para atacar cualquier entidad. “Hoy vives realmente con una sensación de paranoia, hora por hora”, dijo a principios de año Mike Campbell, presidente de International Decision Systems, compañía de software financiero.
El ataque del 21 de octubre contra DynDNS nos dio a todos una probadita de un escenario de “día del juicio”. Un ciberpirata lanzó pequeños fragmentos de un software llamado “bots Mirai” para localizar millones de dispositivos vulnerables conectados a internet, incluyendo cámaras web, monitores para bebés y DVR. Entonces el software secuestró los dispositivos y ordenó que se conectaran incesantemente con los servidores de Dyn, los cuales actúan como una especie de conmutador para muchos sitios web populares. Al sobrecargar el conmutador, el hacker, esencialmente, cerró el acceso a los sitios que servía Dyn.
A partir de las 7:10 a. m., la mayor parte de la costa este de Estados Unidos no pudo usar PayPal, Amazon.com, Reddit, GitHub, New York Times,Twitter, Netflix, Spotify y una larga lista de sitios que se han vuelto parte integral de nuestras vidas. Otras dos oleadas del ataque inutilizaron la mayoría de los sitios hasta las últimas horas de la tarde.
Fue una sensación extraña encontrarme en el extremo receptor de los ataques de aquel día. Esa mañana me di cuenta de que algo andaba mal cuando traté de entrar en PayPal para enviar dinero que debía a un amigo y solo obtuve una pantalla en blanco. Luego, traté de abrir Twitter y obtuve la misma pantalla en blanco. Ingresé a otro par de sitios, y respondieron. Pero cuando hice clic en Spotify para reproducir música de fondo, se congeló, aislado de sus servidores en la nube. Hace años que dejé de comprar música para descarga, así que, si no podía usar streaming, ¿cómo iba a escuchar la canción de Fitz and the Tantrums que no podía sacarme de la cabeza? En un instante, comprendí cuánto dependía de esos servicios web. Fue muy fácil imaginar el pánico que sentiría si, por ejemplo, los rusos estuvieran en desacuerdo con el resultado electoral en Estados Unidos y lanzaran un ataque gigantesco que derribara toda la web durante días. Igual que otros millones de personas, me quedaría aislado del trabajo y mis juegos. Si eso pasara, creo que me tiraría en el suelo en posición fetal y me pondría a observar cómo duerme mi gato.
Las compañías afectadas por el ataque de Dyn debieron perder millones de dólares en negocios. Todavía no encuentro una cifra oficial, pero los ciberataques cuestan a las empresas 400 000 millones de dólares anuales, según cálculos de la aseguradora Lloyd’s of London; y eso ni siquiera contempla el daño inherente a la pérdida de confianza de los clientes ni los costos disparados para las compañías, que ahora están enzarzadas en una carrera armamentista para proteger sus sistemas contra los piratas cibernéticos.
Ataques como el de Dyn no son, en modo alguno, el único tipo de actividad de los villanos cibernéticos. Cuando los piratas invadieron Yahoo, robaron nombres, contraseñas, fechas de nacimiento y demás información personal de 200 millones de usuarios, y supuestamente la vendieron a ladrones de identidad. Target, Home Depot y P. F. Chang sufrieron invasiones de sus sistemas para robar números de tarjetas de crédito. Hackers norcoreanos —sin el menor sentido de la ironía- irrumpieron en Sony y publicaron correos electrónicos de los ejecutivos para extorsionar a la compañía, todo con objeto de que no liberara La entrevista, porque la película retrata al dictador de ese país, Kim Jong Un, como un tipo bobalicón e incompetente.
Corea del Norte, Rusia y China están a la vanguardia del pirateo patrocinado por el Estado. Los rusos irrumpieron en las computadoras de la campaña de Hillary Clinton con la intención de influir en las elecciones. John McAfee, el excéntrico pionero de seguridad, opina que la creciente andanada de ataques DNS es una estrategia de los grupos de piratas extranjeros para investigar las deficiencias de la internet en Estados Unidos, con la expectativa de encontrar la manera de derribarla completamente y de un solo golpe. “Analizarán este ataque y volverán después con un ataque más grave”, dijo a Newsweek. “Puedes tener la seguridad de que los explotarán en grande”.
La tendencia de hackeomás reciente y amenazadora podría ser el incremento del ransomware. Un pirata inserta un código en el sistema de una empresa y secuestra todos los datos de la empresa. Entonces dice a la compañía que, si no paga un rescate, destruirá los datos. Según información del FBI, los hackerscobraron más de 1000 millones de dólares en ransomware el año pasado.
Con todo, secuestrar datos muy pronto parecerá una travesura. Cuantos más dispositivos críticos, maquinaria y robots conectemos a internet, más peligroso será el ransomware.
Durante la conferencia compartí una mesa con ejecutivos de una de las grandes empresas de alquiler de autos de Estados Unidos. De pronto, alguien planteó el tema de que, en unos seis años, la mayoría de los vehículos de su flotilla estarían conectados y, en ese caso, se volverían vulnerables a hackeosque, como se ha demostrado, podrían tomar el control de un automóvil. ¿Qué pasaría si un grupo de piratas sofisticados tomara el mando de todos los autos de alquiler de una compañía —muchos de ellos en algún punto de la carretera en ese momento— y exigieran 1000 millones de dólares o, de lo contrario, harían que todos chocaran? Mis vecinos ejecutivos se quedaron pasmados. No habían pensado en eso.
NO ES SU ESTILO: Una bomba oculta en una laptop resulta anticuada comparada con lo que los piratas informáticos pueden hacer hoy con unos cuantos golpes del teclado.
En el último año, Johnson & Johnson advirtió que sus bombas de insulina eran susceptibles de hackeo, y una compañía de ciberseguridad determinó que un marcapasos St. Jude Medical también era vulnerable. Si un actor malintencionado encontrara la manera de sembrar bombas de tiempo de software en un gran número de estos dispositivos, simultáneamente podría exigir rescate amenazando con matar a muchas personas.
Y, encima, tenemos la inteligencia artificial (IA): un software capaz de aprender. Uno de los escenarios más espeluznantes que perturba a los expertos en seguridad es la idea de que el hackeo de base de IA pueda aprender a ser como tú. Digamos que un robot de IA consigue meterse en tu correo electrónico, tu calendario, tu historial de búsqueda, tu página de Facebook y tu servicio de música. Podría aprender lo suficiente sobre ti para imitarte; quizá pueda generar un correo electrónico de forma autónoma o hasta iniciar una conversación de chat con tu jefe o tu mamá. Todos estamos al tanto del robo de identidad. Pero esta posibilidad es mucho más personal y aterradora. Porque te roba el “yo”. Una cosa es robar números de tarjetas de crédito y otra es el golpe psicológico, mucho más profundo, de un intruso que amenaza con destruir nuestras relaciones.
Un hackerque robe personalidades podría exigir rescate para no arruinar tu matrimonio. O tal vez podría tratar de suplantar a alguien importante para después buscar un objetivo mayor. Un axioma de la ciberseguridad es que la gente siempre es el eslabón más débil. El software de seguridad puede poner cerrojos y barreras en los sistemas informáticos, suficientes para que el ingreso de los piratas informáticos resulte difícil y costoso. Y eso es algo que disgusta a los hackerssobremanera. Pero si el pirata engatusa a una sola persona para que entregue la contraseña o el código de autenticación, entrará en el sistema como Pedro por su casa. Si un bot de IA logra imitar a una persona, es muy probable que aproveche la oportunidad para engatusar a alguien y hacer que revele las claves de un sistema (“Hola, Mary. La pasé estupendo contigo anoche en la pelea de Ronda Rousey, pero los cinco martinis que tomé después me destruyeron demasiadas células cerebrales y olvidé el código de lanzamiento de misiles. ¿Me echas una mano?”, dijo el bot).
Estos nuevos hackeos hacen que las viejas inquietudes de ciberseguridad —que alguien apague la red eléctrica o abra una presa— resulten pintorescas.
Si bien la creciente sofisticación de los hackersofrece una amenaza a nuestra forma de vida, no significa que estamos condenados inevitablemente. La invención de la bomba nuclear no marcó el fin de la civilización. Empresas y gobiernos gastan alrededor de 150 000 millones de dólares anuales en software y tácticas de seguridad, y hacen todo lo posible para adelantarse a los ciberpiratas o para descubrir a los tipos malos y enjuiciarlos cuando cometen una violación. Los científicos de empresas grandes como IBM y Microsoft, y de empresas pequeñas como Darktrace y Jask, trabajan continuamente en nuevas estrategias para derrotar a los intrusos. La tecnología de seguridad más reciente y genial utiliza IA para aprender sobre la actividad normal de un sistema, a fin de que pueda reconocer, instantáneamente, cualquier cosa extraña y apagarlo. Otra manera como las empresas se protegen es, por ejemplo, jamás almacenando todos sus datos en un solo lugar. Cualquier compañía grande o agencia gubernamental te dirá que sus sistemas reciben miles o incluso millones de ataques de hackersen un solo día, y gracias a las defensas cibernéticas pueden detenerlos casi todos o limitar el daño.
Pero eso no basta. Cualquier robo puede causar daños enormes. Pareciera que los piratas informáticos más peligrosos siempre van un paso por delante de las defensas. Y no se vislumbra una solución definitiva. El ataque de octubre contra Dyn demostró que los hackerssiempre van a encontrar el punto más vulnerable, y lo aprovecharán. Las compañías han gastado miles de millones de dólares para blindar sus gigantescos centros de datos, mas los piratas solo tuvieron que introducir fragmentos de software en dispositivos DVR y monitores para bebés conectados en red para sumir una gran parte de la internet en la oscuridad. Así que, cuantas más cosas conectemos, más vulnerabilidades crearemos.
Odio decir lo obvio: aún no ha pasado lo peor.
Y, en serio, no compres un inodoro conectado.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
