El ABC de la guerra ha cambiado, ahora es ABCD

El siglo XX ha sido el escenario del desarrollo de diferentes tipos de armas de destrucción masiva: atómicas, biológicas y químicas —ABC (Atomic, Biological and Chemical, por sus siglas en inglés)—. Pero el siglo XXI ha venido a añadir una letra a este escalofriante abecedario: la D de digital.

El pasado mes de abril de 2016, según un informe desvelado por el diario The New York Times, el Gobierno de Estados Unidos, a través de su Cibercomando, decidió utilizar por primera vez la guerra cibernética contra el ISIS, con el objetivo de cortar y manipular sus sistemas de comunicaciones para intentar estrangular sus sistemas de reclutamiento, de circulación de mensajes y órdenes, así como sus sistemas de pago. Hasta ahora, el Cibercomando de Estados Unidos, brazo militar de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés), estaba concentrado en Rusia, China, Irán y Corea del Norte, los países desde los que, para los expertos norteamericanos, se estaban recibiendo la mayoría de los ataques en Internet.

Este supuso un paso más desde que, hace siete años, el secretario de Defensa del Gobierno Obama anunciara la creación de este grupo porque sabemos que hay gobiernos que están intentando desarrollar su capacidad ofensiva en Internet. Más de un centenar de servicios de inteligencia extranjeros tratan de penetrar ilegalmente en las redes estadounidenses.

También España mostró su preocupación por este asunto y creó, aunque varios años después, en 2013, el Mando Conjunto de Ciberdefensa, un organismo similar en competencias y funciones al Cibercomando estadounidense, del que está al cargo el general de división Carlos Gómez López de Medina, un experto en telecomunicaciones.

El vector digital es, por tanto, posiblemente la mayor preocupación actual de los gobiernos que llegan tarde, aunque con recursos y medios, a este escenario.

Hace ya bastantes años, en 1996, desde el interior del Foro de Davos, el poeta y ensayista John Perry Barlow, vicepresidente de la afamada organización defensora de derechos en el ciberespacio, Electronic Frontier Foundation, advertía: Gobiernos del Mundo Industrial, vosotros, cansados gigantes de carne y acero, vengo del ciberespacio, el nuevo hogar de la Mente. En nombre del futuro, os pido que nos dejéis en paz en el pasado No sois bienvenidos entre nosotros. No ejercéis ninguna soberanía sobre el lugar donde nos reunimos. Los gobiernos, por lo que vemos, tomaron rápida cuenta de la advertencia, pero para ocupar ese territorio que, como bien avisó Barlow, estaba en pleno estallido de prosperidad (e inocencia).

Las revelaciones a la prensa mundial del consultor tecnológico estadounidense y antiguo miembro de la NSA, Edward Snowden, además de conseguir acabar con la inocencia digital de una parte del público occidental, incluso, me atrevo a decir, de muchos gobiernos de nuestro entorno, pusieron de manifiesto la voracidad de control digital de las fuerzas de seguridad, favorecidas por la seguridad en el eje seguridad-libertad. El programa PRISM, que sacó a la luz las filtraciones de Snowden, era una aplicación de técnicas avanzadas de Big Data para analizar millones de comunicaciones de ciudadanos occidentales, incluso de sus gobiernos, aliados de quien los espiaba.

Los ataques terroristas de Nueva York, Boston, Londres, París, Madrid, Bruselas, directos al corazón de Occidente, forman parte de una nueva forma de guerra donde, como mínimo, la comunicación a través de Internet tiene un peso importante. Entre los sistemas que ahora protegen los gobiernos no están solo las instalaciones eléctricas o de comunicaciones, las estaciones de tren y las centrales nucleares, sino que ahora se suman las redes de comunicaciones y, a medida que los avances con el Internet de las Cosas convierten nuestras ciudades y casas en entornos más cómodos y funcionales, también los hacen más atractivos para lanzar a través de ellos ataques o bloqueos, por lo que son objeto de interés tanto para defensores como para atacantes.

Los gobiernos suspiran no solo por controlar las comunicaciones del enemigo, sino incluso por poder realizar intrusiones en sus sistemas digitales sabiendo que eso es como atacar el sistema nervioso central de un ser humano. Un disparo directo al hipotálamo sin necesidad de descuartizar manos y piernas; esa es la metáfora aplicada al enemigo con la que sueñan los ejércitos cibernéticos. Se trata de una guerra en la que, por fuerte que sea el contrario, si conseguimos afectar a su médula espinal, la fuerza no servirá de nada.

Y podemos ir más allá, en un tirabuzón y doble salto mortal, cuando, además de lo que sería un aséptico asalto a los centros de datos de un país o la toma de control de una central eléctrica, nos enfrentemos también a la amenaza de que puedan controlarse los algoritmos, la inteligencia artificial y, por extensión, los robots militares autónomos.

No nos referimos solo a los drones y vehículos semiautomáticos, y no es ciencia-ficción. En 2015, más de un millar de científicos, entre los que se encuentran el físico Stephen Hawking, Steve Wozniak, uno de los fundadores de Apple, y Elon Musk, el dueño de Tesla Motors, firmaron un manifiesto contra robots militares autónomos que puedan funcionar sin que seres humanos los manejen. Las ventajas que tienen esas nuevas armas dotadas de inteligencia artificial las convierten en un nuevo y deseado objeto, por lo que, advierten los firmantes, solo es cuestión de tiempo que esta tecnología se venda en el mercado negro y pase a manos de terroristas, dictadores y señores de la guerra. Y si no consiguen controlar los robots inteligentes, todos los terroristas y gobiernos sueñan con lograr asestar, en el país o en las filas enemigas, un imponente golpe: un ataque de día cero. ¿Qué es el ataque de día cero? La autora del libro, Yolanda Quintana, lo explica mucho mejor de lo que pueda hacerlo yo en las siguientes páginas.

Quizás esa nueva D que eleva este nuevo tipo de armas a la categoría de destrucción masiva no sea la D de digital y sea la D de día cero.

Mario Tascón

Introducción

Día Ø: comienza la ciberguerra

Estamos en guerra. Y me pareció que lo más honesto era contarle en qué consiste.

La guerra en red, Manuel Castells

El término ciberguerra no es nuevo. Fue acuñado por el Centro de Estudios de Defensa norteamericano Rand Corporation a principios de los años noventa del siglo pasado para referirse a un tipo de conflicto no conocido hasta entonces en el que las tecnologías de la comunicación serían la principal arma —a la vez que campo de batalla— y en el que las estructuras en red —como grupos terroristas o de delincuencia organizada distribuidos— iban a contar con ventaja.

Desde entonces, las tecnologías —sistemas, dispositivos y herramientas— han multiplicado su presencia y su capacidad de intervención —son cada vez más rápidas, ubicuas y sencillas— y han aparecido nuevas amenazas, como el terrorismo integrista islámico, que se adaptan a estas nuevas formas de conflicto más fácilmente que sus oponentes.

La propaganda en redes sociales para el reclutamiento y adoctrinamiento, nuevos ejércitos que en lugar de por soldados están integrados por robots y ataques cibernéticos como el borrado o manipulación de datos o el secuestro de sistemas (ransomware) que pueden comprometer instalaciones estratégicas, son algunas caras de este nuevo fenómeno en el que conviven actores tradicionales (los Estados con sus conflictos bilaterales o las empresas con sus guerras comerciales) y otros que en los últimos años han emergido poniendo en riesgo la seguridad mundial.

Junto a ello, nuevas realidades tecnológicas como el Internet de las Cosas aumenta las capacidades de la guerra y los sistemas de defensa, a la vez que crece el riesgo de captura de piezas a favor del enemigo si este las hackea. Cambia el concepto de asalto de una posición de las guerras tradicionales: ahora se pueden hackear drones o sensores para distorsionar la sensibilidad enemiga o su capacidad de ataque o aprovechar las capacidades de cálculo del enemigo sin que este lo sepa.

Por otro lado, el aspecto económico de la ciberguerra no es baladí. Hay nuevos sistemas de pago de armas mediante bitcoins y la web oculta o web profunda es escenario habitual de estas transacciones.

Frente a ello, es razonable la preocupación sobre si los Estados y las empresas de sectores sensibles (comunicaciones, energéticas, financieras…) están convenientemente preparados y sobre cuál es el precio, en derechos y libertades, que los ciudadanos vamos a pagar en aras de una seguridad que tal vez no sea posible.

En los últimos años hemos visto noticias sobre una central nuclear saboteada por un virus, apagones de luz provocados por ataques informáticos o misiles Patriot dirigidos a distancia por alguien desconocido sin autorización para ello. Estos incidentes reflejan, por si alguien lo dudaba, que las guerras del futuro ya han empezado. Son conflictos donde la infantería ha dado paso a las máquinas, los ataques se ejecutan con líneas de código de programación y el terreno a ganar ya no es físico, sino virtual.

Pero ¿en qué consisten y cómo se desarrollan? ¿Cuál es el alcance real de las nuevas amenazas? ¿Qué papel tiene en todo ello la tecnología y por qué es distinto de los conflictos armados del pasado? ¿Están nuestras leyes preparadas? ¿Qué problemas éticos se abren? ¿Cuál es el impacto en nuestros derechos y libertades?

Este libro pretende explicar, de forma sencilla, todas estas cuestiones y ofrecer las claves de las principales novedades que presenta este nuevo escenario, sorprendente en muchos aspectos. También desmonta mitos y contextualiza episodios que hasta ahora no se habían explicado suficientemente, como el papel de los Estados en gran parte de los ciberataques que se producen. Por último, abre una reflexión sobre los debates, legales y éticos, que plantean estos nuevos conflictos y que, como sociedad, tenemos que resolver.

Capítulo 1

La sorprendente historia de Agent.btz, el espía que inauguró la ciberguerra

La primera víctima de una guerra es la verdad.

Senador Hiram W. Johnson, 1917

La actual ciberguerra quedó oficialmente inaugurada tras la entrada en acción de Agent.btz, un espía que fue capaz de causar lo que se dio a conocer como la peor violación de los equipos militares estadounidenses de la historia. El incidente tuvo tanto impacto que años después se sigue recordando así en libros especializados y en documentos estratégicos del Ejército.

Se cuenta que todo habría empezado cuando alguien dejó tirada una unidad flash USB en el aparcamiento de una instalación de una base militar norteamericana en Oriente Medio en algún momento de 2008. La técnica se conoce como candy drop (tirar un caramelo) y se usa para saltarse una protección básica frente a las intrusiones informáticas: los ordenadores de sistemas críticos, como los de los ejércitos, utilizan un mecanismo de seguridad que se conoce como muro de aire (air gap o air wall), que no es otra cosa que su aislamiento físico de cualquier tipo de red, tanto local como Internet. Con esta precaución se pretende evitar que los equipos sean alcanzados por software malicioso que dé lugar a incidencias que pueden ser de enorme gravedad, como el secuestro del sistema o el acceso a la información que contiene.

Sin embargo, Agent.btz, a quien podemos considerar el primer espía de la ciberguerra moderna, sabía cómo superar esa barrera.

Conviene aclarar que este agente es un programa de software. Agent.btz, igual que ocurre en las películas de es­­pías de carne y hueso, ha tenido varias identidades que se le fueron asignando según fue siendo descubierto. Así, se le co­­noce también como Autorun o, en menor medida, Trojan.Minit. También, como muchos agentes clásicos, supo trans­­­­formarse y, años después, volvería salir a la luz con otras de­­nominaciones.

En 2008, Estados Unidos contaba, según las cifras que el Ejército hizo públicas entonces, con 716 instalaciones mi­­li­­tares fuera del país, aunque aquella documentación omitía datos sobre lugares con operaciones abiertas como Irak o Afganistán (Departamento de Defensa, 2009). Para hacernos una idea del despliegue, en esa fecha estaban destinados en aquellos lugares más de 140.000 soldados en el primer caso y 33.000 en el segundo¹. Todo ello sin contar los civiles o contratistas extranjeros vinculados al ejército.

En el aparcamiento de una de esas instalaciones habría aparecido un día una memoria extraíble del tamaño de un cigarrillo electrónico. El experto en robots militares y asesor de Obama para asuntos de Defensa en su primera campaña presidencial, P. W. Singer, se refiere al episodio con esta metáfora en un libro reciente:

En 2008, un soldado estadounidense caminaba por un estacionamiento de una base militar estadounidense de Medio Oriente cuando reparó en una chocolatina sin envolver tirada en el suelo. Sin saber quién la había dejado o cuánto tiempo llevaba allí, decidió llevar la chocolatina a la base y comérsela para el almuerzo. Suena absurdo e incluso un poco desagradable, ¿verdad? Bueno, sustituyan un ‘pen drive’ por esa barra de chocolate y tendrán la historia de cómo comenzó Buckshot Yankee, una de las mayores violaciones cibernéticas en la historia militar de Estados Unidos (Singer y Friedman, 2014).

En aquella memoria que se habría instalado en un puerto USB de un ordenador portátil conectado con el Mando Central de Estados Unidos estaba Agent.btz.

El espía se extendió por sistemas clasificados y no clasificados sin ser detectado. Este software estableció el equivalente digital a una cabeza de puente, desde donde se transfirieron miles de archivos de datos a servidores bajo control extranjero, contaba hace unos años un boletín del Instituto de Estudios Estratégicos del Ejército español (Caro Bejara­­no, 2013).

Cuando Agent.btz fue identificado, se supo que era una variante de lo que en argot informático se denomina gusano, un programa malicioso que, a diferencia de los virus, tiene la propiedad de duplicarse a sí mismo. En concreto, del gusano llamado SillyFDC, descubierto en enero de 2007², aunque existían versiones previas de 2005 e incluso anteriores.

Agent.btz tendría capacidad para examinar datos de los equipos, puertas traseras abiertas, y enviar, a través de esas puertas, documentos e información clasificada, según informaría más tarde el Ejército norteamericano.

La Operación Buckshot Yankee

La primera señal de problemas llegó en octubre de 2008. OPS1 es un edificio cuadrado de baja altura que no llama la atención en el campus de 660 acres de la NSA. En una habitación sin ventanas trabaja un grupo de elite formado por ingenieros, matemáticos y físicos que rastrea la red informática del Ejército en busca de problemas. Se trata del equipo de Operaciones de Redes Avanzadas de la NSA, constituido dos años atrás.

Uno de estos jóvenes analistas descubre una señal misteriosa que emana de las profundidades de la red de ordenadores clasificada de los militares de Estados Unidos. Al igual que un espía humano, una pieza de software encubierta en el sistema supuestamente seguro estaba tratando de enviar mensajes codificados de nuevo a su creador, según contaría años después The Washington Post al reconstruir el incidente a partir de fuentes del Ejército (Nakashima, 2011).

Había comenzado la Operación Buckshot Yankee. El Pentágono iba a tardar casi 14 meses en limpiar Agent.btz de sus redes militares.

Los analistas de la NSA (los mejores guerreros cibernéticos del Gobierno, según los describió el periódico norteamericano de referencia) habían descubierto a Agent.btz en su Internet secreto o SIPRNet (Secret Internet Protocol Router Network), un entorno absolutamente seguro que los departamentos de Defensa y de Estado utilizan para transmitir material clasificado, pero no información sensible. El SIPRNet o NIPRNet (Weinberger, 2010), la versión secreta de Internet que opera el Departamento de Defensa de Estados Unidos, no era conocido hasta las filtraciones por parte de WikiLeaks de los cables diplomáticos que procedían de este canal, y sus siglas quedaban reflejadas en los documentos publicados. Se trata de un sistema de redes de ordenadores interconectados que excede las prestaciones del protocolo básico TCP/IP que usamos normalmente. Según datos del Pentágono, puede contar con entre 400.000 y 500.000 usuarios.

Agent.btz también había infectado el sistema de comunicación del Mando Conjunto de Inteligencia Global, que lleva la información de alto secreto a los funcionarios de Estados Unidos en todo el mundo, una red clasificada, separada del Internet público, que albergaba algunos de los secretos más importantes de los militares, incluyendo los planes de batalla utilizados por los comandantes en Afganistán e