2004: Virus Horribilis

Paul Wolfowitz y sus amigos neoconservadores pueden creer que con Sadam Hussein en la cárcel la humanidad se siente más segura. También celebrarían un eventual apresamiento de Osama Bin Laden, presentándolo como el fin de los instigadores del terrorismo internacional. Sin duda, un análisis de esta naturaleza sería visceral, y descansaría sobre postulados hardware, y no intelectual, lo que exigiría ser completado con una visión software.

Veinte años después de que Fred Cohen introdujese el término "virus" en el lenguaje de los ordenadores, todavía no hemos aprendido que un país puede paralizarse sin que le disparen un solo tiro, simplemente compartiendo información. Recientes estudios calculan que este tipo de virus provocan daños anuales a la economía de EE UU de 60 billones de dólares. La propagación a través de Internet de enfermedades digitales como Sobig, Slammer, Blaster o MyDoom no ha tenido, desgraciadamente, un combate universal equivalente al que Nelson Mandela lidera en la lucha contra el sida.

En los inicios, los contaminadores eran investigadores universitarios que gozaban de encontrar vulnerabilidades a los sistemas informáticos. Con posterioridad se unieron jóvenes socialmente inadaptados que evidenciaban su rebeldía haciendo valer su inteligencia y, hoy día, pueden ser editores de spam, defraudadores financieros o agentes de marketing directo. Pero también pueden ser terroristas que ponen en riesgo a gran parte de la humanidad sin autoinmolarse con un ataque suicida. El ciber-terrorismo es menos heróico que el bélico, pero puede ser tan letal. El planeta dispone de líderes conocidos en la lucha contra el terrorismo hardware, pero carece de cruzados políticos contra el terrorismo software. En EE UU el Department of Homeland Security es el responsable de velar por la National Strategy to Secure Cyberspace, cuyos objetivos son la prevención de ciberataques contra infraestructuras críticas del país, reducir la vulnerabilidad nacional ante la eventualidad de dichos ataques, minimizar el daño producido y acelerar los tiempos de recuperación de los elementos afectados. Desgraciadamente, esta estrategia descansa en la cooperación voluntaria entre los sectores público y privado, aspecto no materializado hasta el momento más allá de las declaraciones de buenas intenciones sobre la ciberhigiene.

Sin legislación que señale los estándares de seguridad que deben seguir los bancos, las compañías eléctricas y de agua, los hospitales, centros de emergencia, los operadores de comunicaciones, fabricantes de equipos informáticos, los desarrolladores de aplicaciones etc., los hackers continuarán aprovechando las grietas de los programas o las inadecuadas precauciones de los propietarios de equipos informáticos. Lo grave es que los tiempos entre el descubrimiento de la vulnerabilidad de un sistema y su explotación criminal se está acortando aceleradamente. En ausencia de una regulación coercitiva en este dominio, no es de extrañar que las inversiones de las empresas estadounidenses en sistemas de seguridad hayan crecido a tasas inferiores al 5%, aun desde los ataques del 11 de septiembre. Si las empresas no están obligadas a informar, o a ser auditadas, sobre sus sistemas de seguridad digital, el peligro de trasgresión siempre será patente. Si las empresas informáticas gastan ingentes cantidades en campañas de publicidad ponderando las excelencias de sus productos en términos de rapidez, capacidad, economía... y no invierten suficientemente en materia de su seguridad, estarán administrando cloroformo mediático. Los fraudes cometidos por directivos de Enron, WorldCom, Tyco y otros, originaron la conocida ley Sarbanes-Oxley por la que se responsabiliza a los ejecutivos de las empresas que cotizan en Bolsa sobre la preparación y aprobación de sus informes financieros. Algo equivalente debería ser concebido en materia de sistemas de seguridad informática.

La fragilidad de los sistemas informáticos del sector privado no devienen más robustos cuando consideramos el sector público, ni siquiera en los EE UU, que dispone de la Federal Information Security Management Act y la supervisión de la Office of Magement and Budget. En efecto, la Federal Computer Security Score Card califica al conjunto de los sistemas de seguridad del gobierno federal con una discretísima "D", lo cual significa que la mayoría de las agencias federales suspenden en esta disciplina. Curioso resulta que el Department of Homeland Security y el Department of Interior and Justice (encargado de perseguir el cibercrimen) sean suspendidos con una "F". Panorama desalentador cuando los ataques informáticos han sufrido un incremento del 40% en el último año, según el CERT.

La alarma que provoca esta depauperada situación no es exagerada. Las simulaciones de ataques terroristas sobre los sistemas informáticos de la Administración en sus diversos estamentos, bancos, compañías de gas, agua, electricidad..., combinados con ataques físicos de naturaleza virtual, mediante ejercicios del tipo Livewire, evidencian lagunas importantes en el flujo de información entre las organizaciones afectadas. Dudas como a quién había que evacuar consultas urgentes en medio del ataque, qué tipo de información debe ser transferida de un centro a otro, la calificación de hecho relevante..., en suma, caos en los campos de la gobernabilidad en caso de contingencias y ausencia de procedimientos efectivos de comunicación institucional.

En el plano internacional, la seguridad digital no parece ser la preocupación prioritaria de Naciones Unidas. Cuando la mayoría de la humanidad no utiliza Internet, Naciones Unidas emplea sus energías en crear grupos de trabajo que estudien una democratización de la gobernación de la red. En otras palabras, lo que importa es el código de circulación, aunque no haya, ni vaya a haber en un tiempo razonable, coches en la calle. Pretender cercenar los trabajos de ICANN (la organización sin ánimo de lucro con base en California que gestiona el sistema de direcciones electrónicas) simplemente porque los países del tercer mundo no están representados en sus órganos de gobierno, es mucho más que surrealista. A modo de mera ilustración, Luxemburgo tiene mayor capacidad de Internet que los 760 millones de habitantes de África.

Las armas que la industria informática ha presentado para librar la batalla de la seguridad son insuficientes. El sistema de parches de seguridad, las actualizaciones de sofware anti-virus, los antispyware, los firewalls... son manifiestamente insuficientes, al tiempo que son difíciles de gestionar por representar un número incesante de versiones. Además, cuando una compañía controla el 90% de los sistemas operativos instalados en los ordenadores personales del mundo, parece obvio que se convierta en el campo de batalla preferido de los hackers, incluso, en entornos como los cajeros automáticos o teléfonos móviles, especialmente los que utilizan tecnología 3G; en suma, los virus son más dañinos cuando se opera en una monocultura. La falta de formación sobre seguridad en la red que muestran muchos usuarios es un factor de complejidad, unido al hecho de que la responsabilidad de los fabricantes de software sobre su seguridad queda mitigada por su fórmula contractual de "venta de licencias para utilizar su software" en lugar de "venta de su software". Seamos prudentes. La nueva pandemia universal puede llamarse inseguridad electrónica y Al-Qaeda, quizás, se esté frotando las manos.

José Emilio Cervera es economista.jecervera@mixmail.com