Si esto es una guerra cibernética, ¿dónde están todas las armas cibernéticas?

Al igual que la bomba atómica en los últimos días de la Segunda Guerra Mundial, el virus informático conocido como Stuxnet, descubierto en 2010, pareció marcar el comienzo de una nueva era de guerra. En la era de la guerra cibernética, advirtieron los expertos, los ataques silenciosos basados ​​en software tomarán el lugar de los artefactos explosivos, los tanques y las ametralladoras, o al menos prepararán el escenario para ellos.





O tal vez no. Casi cuatro años después de que se identificara públicamente por primera vez, Stuxnet es una anomalía: la primera y única arma cibernética que se sabe que se ha desplegado. Ahora, algunos expertos en ciberseguridad e infraestructura crítica quieren saber por qué. ¿Hay menos objetivos realistas de los que se sospecha? ¿Son esas armas más difíciles de construir de lo que se cree? ¿O la actual generación de armas cibernéticas está demasiado bien escondida?

Esas preguntas estaban en la mente de los principales expertos del mundo en la seguridad de los sistemas de control industrial la semana pasada en la reunión anual S4 conferencia fuera de Miami. S4 reúne a los principales expertos del mundo en seguridad de reactores nucleares, redes eléctricas y líneas de montaje.

En S4 hubo un amplio acuerdo en que, mucho después de que el nombre de Stuxnet desapareciera de los titulares, los sistemas de control industrial como los controladores lógicos programables de Siemens siguen siendo vulnerables.



Eireann Leverett , investigador de seguridad en la firma IOActive , dijo a los asistentes a la conferencia que las prácticas de seguridad comunes en el mundo de la tecnología de la información empresarial aún son poco comunes entre los proveedores que desarrollan sistemas de control industrial (consulte Proteger las redes eléctricas de los piratas informáticos es un desafío enorme). Leverett señaló que los sistemas de control industrial modernos, que se venden por miles de dólares por unidad, a menudo se envían con software que carece de controles de seguridad básicos como autenticación de usuario, firma de código para evitar actualizaciones de software no autorizadas o registro de eventos para permitir a los clientes rastrear cambios en el dispositivo. .

También está claro que, en los años transcurridos desde que Stuxnet salió a la luz, las naciones desarrolladas y en desarrollo por igual se han aprovechado de las operaciones cibernéticas como una nueva y fructífera vía para la investigación y el desarrollo (ver Bienvenido al Complejo Industrial de Malware). Laura Galante, ex analista de inteligencia del Departamento de Defensa de EE. UU. Que ahora trabaja para la empresa Mandiant , dijo que Estados Unidos no solo está rastreando las actividades de naciones como Rusia y China, sino también el objetivo elegido por Siria y Stuxnet: Irán. Galante dijo que las armas cibernéticas brindan a las naciones más pequeñas y pobres una forma de aprovechar la fuerza asimétrica contra enemigos mucho más grandes.

Aun así, las armas cibernéticas verdaderamente eficaces requieren una experiencia extraordinaria. Ralph Langner , quizás la máxima autoridad mundial en el gusano Stuxnet, sostiene que la mera piratería de sistemas críticos no cuenta como guerra cibernética. Por ejemplo, Stuxnet fue noticia por usar cuatro exploits para agujeros de día cero (o no descubiertos previamente) en el sistema operativo Windows. Pero Langner dijo que la experiencia metalúrgica necesaria para comprender la construcción de las centrifugadoras de Irán era mucho más impresionante. Aquellos que crearon Stuxnet necesitaban saber la cantidad exacta de presión o torque necesario para dañar los rotores de aluminio dentro de ellos, saboteando la operación de enriquecimiento de uranio del país.



Concentrarse en herramientas basadas en software que pueden causar daño físico establece un listón mucho más alto para las discusiones sobre armas cibernéticas, argumenta Langner. Según ese estándar, Stuxnet era una verdadera arma cibernética, pero el ataque Shamoon de 2012 contra el gigante petrolero Saudi Aramco y otras compañías petroleras no lo fue, a pesar de que borró los discos duros de las computadoras que infectó.

Algunos argumentan que las condiciones para el uso de un arma cibernética tan destructiva simplemente no han vuelto a surgir, y es probable que no lo hagan por un tiempo. Operaciones como Stuxnet, proyectos sigilosos diseñados para degradar lentamente la capacidad de enriquecimiento de Irán a lo largo de los años, son la excepción y no la regla, dijo. Thomas Rid del Departamento de Estudios de Guerra del Kings College de Londres. No hay demasiados objetivos que se presten a una campaña encubierta como lo hizo Stuxnet, dijo Rid.

Rid les dijo a los asistentes que la calidad de la inteligencia recopilada sobre un objetivo en particular marca la diferencia entre un arma cibernética efectiva y un fracaso.



También es posible que se hayan utilizado otras armas cibernéticas, pero las circunstancias que rodean su uso son un secreto, encerradas por los gobiernos como información clasificada o protegidas por estrictos acuerdos de no divulgación.

De hecho, Langner, que trabaja con algunas de las principales empresas industriales y gobiernos del mundo, dijo que conoce otro verdadero ciberataque físico, vinculado a un grupo delictivo. Pero él no quiso hablar de eso.

Los académicos y profesionales del control industrial se quejan de que la información necesaria para investigar futuros ataques se mantiene fuera del dominio público. Y las empresas de servicios públicos, las empresas industriales y los propietarios de infraestructura crítica recién ahora se están dando cuenta de que los sistemas que asumieron que estaban aislados de la Internet pública con mucha frecuencia no lo son.



Mientras tanto, la tecnología está impulsando cambios aún más rápidos y transformadores como parte de lo que se llama Internet de las cosas. La conectividad ubicua a Internet combinada con computadoras y sensores pequeños y de bajo costo pronto permitirá que los sistemas autónomos se comuniquen directamente entre sí (consulte Cómo proteger el hogar inteligente, desde tostadoras hasta baños).

Sin las características de seguridad adecuadas integradas en los productos industriales desde el principio, el potencial de ataques y daños físicos aumenta drásticamente. Si seguimos ignorando el problema, nos meteremos en serios problemas, dijo Langner.

esconder