Adentrémonos en un panorama inquietante pero esencial: el complejo y cada vez más amenazante mundo de la ciberseguridad. En Así es como me dicen que acabará el mundo, Nicole Perlroth nos sumerge en un análisis profundo de los peligros latentes en el ciberespacio. Desde ataques cibernéticos a gran escala hasta vulnerabilidades individuales, el libro arroja luz sobre las sombras que acechan en la era digital. Un viaje inquietante pero esclarecedor a través de los rincones más oscuros de Internet, donde cada clic puede tener consecuencias devastadoras.
Principales ideas Así es como me dicen que acabará el mundo de Nicole Perlroth
- Zona cero-días
- La primera regla del mercado de día cero
- La moral en el mercado de Día Cero
- Hacerlo Público
- Una misión imposible
- Una reserva en auge
- Instalar ahora!
- Diplomacia de armas cibernéticas
- Desenmarañando el caos digital
Zona cero-días
La autora comenzó a cubrir el tema de la ciberseguridad para el New York Times en 2010. Para 2013, ya estaba sintiendo los efectos secundarios del trabajo. Había descubierto historias de piratas informáticos chinos que se infiltraban en todo, desde impresoras hasta termostatos, y trataban de robar propiedad intelectual que iba desde aviones militares hasta la fórmula de Coca-Cola. Los piratas informáticos iraníes ya habían derribado la red de la compañía petrolera saudita Aramco, borrado sus datos y destruido 30.000 computadoras mientras dejaban una imagen de una bandera estadounidense en llamas en cada pantalla.
Entonces, después de solo unos años informando sobre el tema, cualquier cosa con un enchufe comenzaba a parecer sospechosa. Como un escape muy necesario de Internet, el autor reservó un recorrido de una semana por Kenia. Pero sus vacaciones africanas se vieron interrumpidas cuando Edward Snowden decidió darle al mundo un vistazo a los oscuros rincones de la Agencia de Seguridad Nacional de Estados Unidos, o NSA.
En su puesto como contratista de la NSA, Snowden filtró miles de documentos de la NSA altamente clasificados. Estos documentos revelaron que la principal agencia de espionaje de Estados Unidos era, sorpresa, bastante buena para espiar. De hecho, sus herramientas y capacidades eran mejores que la mayoría.
La mayor sorpresa fue que muchas personas creían que el cifrado digital todavía mantenía seguras las redes y la información. La filtración de Snowden abrió de par en par esa línea de pensamiento. Estaba claro que la NSA había encontrado una miríada de formas de piratear el cifrado.
En algunos casos, la NSA estaba pagando a las empresas para que le dieran acceso de puerta trasera a sus datos, pero, en otros casos, las puertas traseras procedían de lo que se conoce como días cero. Ahora, un día cero es esencialmente una falla en una pieza de hardware o software que, cuando se explota, permite que alguien acceda sin ser detectado. Esto significa que la falla no se ha hecho pública, por lo que no ha habido días para que la empresa presente un parche. Por ejemplo, si navega por la web con Microsoft Explorer, una falla de día cero para ese navegador web podría permitir que alguien piratee su navegador de manera invisible, robe sus contraseñas, información de tarjetas de crédito o correos electrónicos, e incluso descargue sus datos o registre sus pulsaciones de teclas
Las filtraciones de Snowden mostraron que la NSA había acumulado una buena cantidad de días cero que les dieron acceso a todas las aplicaciones, plataformas de redes sociales, teléfonos, computadoras y sistemas operativos más utilizados. Cuando salió esta noticia, algunas personas asumieron que compañías como Apple y Microsoft estaban confabuladas con la NSA. Pero este no fue el caso. Estas empresas se pusieron furiosas cuando se enteraron de que la NSA sabía acerca de estos días cero y no les permitió corregir las fallas.
Quizás aún más preocupante es el hecho de que la NSA no siempre encontró y desarrolló estos días cero por sí misma. Los compró, con dinero de los contribuyentes, a piratas informáticos de todo el mundo. Como veremos en el próximo parpadeo, el mercado de los días cero es una zona gris moralmente dudosa que solo se ha oscurecido en los últimos años.
La primera regla del mercado de día cero
Las filtraciones de Snowden proporcionaron un vistazo a las capacidades de los días cero, aunque en la comunidad de ciberseguridad y hackers ya se sabía. El autor se adentró en el oscuro mundo del comercio de zero-days y exploits, intrigado por sus compradores. En una convención de hackers en South Beach, Florida, se encontró con Ralph Langner, experto en seguridad alemán, y dos hackers italianos.
La autora indagó sobre sus prácticas comerciales y posibles compradores, pero obtuvo solo silencio. Descubrió que la venta de un día cero a menudo involucraba acuerdos de confidencialidad, ocultando los detalles. Aunque, a principios de los 2000, los hackers solían publicar sus hazañas en foros, siendo ignorados o incluso demandados por las empresas.
iDefense fue pionero en un nuevo enfoque, pagando a hackers por sus días cero y compartiendo la información con sus clientes. Sin embargo, la entrada de agencias gubernamentales con presupuestos más amplios, como la NSA, cambió el juego. Estas agencias optaron por mantener en secreto las vulnerabilidades, utilizando fondos públicos para mantener las fallas sin parches, una práctica desconcertante para el público.
La moral en el mercado de Día Cero
El mercado de día cero, oculto en sus detalles, plantea dilemas morales. Vendedores y compradores se ven atrapados en la falta de transparencia y la incertidumbre. La confianza se vuelve crucial, pero ¿cómo verificar la autenticidad de un día cero antes de la compra? ¿Qué impide su uso posterior si el trato no se cierra? La opacidad del mercado fomenta un código de silencio similar a la omertà, donde el secreto es la norma. La moralidad se tambalea cuando la información valiosa se convierte en moneda.
La ambigüedad ética se intensifica cuando los corredores del mercado, atraídos por cantidades exorbitantes, desvelan su comercio en la sombra. En este juego, algunos priorizan el beneficio, mientras que otros optan por la conciencia. Las negociaciones, marcadas por la ambición y el riesgo, definen el complicado equilibrio entre el interés propio y la integridad.
Hacerlo Público
Algunos piratas informáticos como Charlie Miller, antiguo trabajador de la NSA, poseen un agudo sentido de la ética. Miller, conocido como Zero-Day Charlie, expuso las deficiencias en la seguridad de Apple al crear una aplicación ficticia para el iPhone.
A pesar de descubrir un valioso día cero para Linux, enfrentó la opacidad e incertidumbre del mercado. Vendió su hallazgo a una agencia gubernamental, pero su experiencia reveló la necesidad de transparencia. Decidió hacer público el mercado de día cero, enfrentando la desaprobación de la NSA.
A pesar de la presión, presentó su investigación en una conferencia en 2007, desencadenando un debate sobre la ética de la ciberseguridad. Sus acciones desencadenaron una campaña por una mayor equidad en la industria, desafiando la percepción convencional de los piratas informáticos y sus contribuciones.
Una misión imposible
Durante mucho tiempo, cada país usaba sistemas informáticos distintos: Rusia, con su propio hardware y software, y EE. UU., igual. Pero esos días han pasado. Ahora, todos compartimos la misma tecnología, todos conectados por la misma red. Esto significa que cualquier arma utilizada contra un adversario puede volverse contra quien la lanzó.
En EE. UU., la reserva de armas de día cero creció enormemente después del 11 de septiembre. Las nuevas leyes de seguridad cibernética permitieron la vigilancia electrónica sin orden judicial, y el presupuesto de inteligencia aumentó a $ 75 mil millones. Mientras más personas se conectaban y digitalizaban su información, más recursos tenían las agencias para desarrollar y comprar zero-days.
El avance estadounidense en el uso de zero-days se ejemplifica en Teherán en 2007. Mientras Irán expandía su programa nuclear, Israel se preparaba para atacar. George W. Bush buscaba opciones. La NSA tenía días cero para cada máquina en las instalaciones nucleares de Irán, material estándar de espionaje que ahora se convertiría en armas para la Operación Juegos Olímpicos.
Un complejo no conectado a Internet fue infectado por una cadena de siete días cero, atacando las centrífugas sin ser detectado. El gusano, conocido como Stuxnet, escapó en 2010, causando estragos en todo el mundo. Ralph Langner desentrañó su código, revelando su objetivo: las centrífugas iraníes. Ahora, el arma se volvía contra su creador.
Una reserva en auge
En 2011, Langner ofreció una reveladora presentación en una conferencia anual de TED. Explicó detalladamente el impacto de Stuxnet, subrayando la posibilidad de dirigir su peligro hacia plantas químicas o redes eléctricas. La ironía no escapó a Langner: EE.UU. había desatado un arma que ahora podía ser utilizada en su contra, en medio de una nueva era de guerra cibernética. Mientras tanto, Irán buscaba venganza.
Con Stuxnet en los titulares, el mercado de los días cero creció exponencialmente. Cada país con una agencia de seguridad deseaba su propio arsenal cibernético. La competencia era feroz: empleados de la NSA eran reclutados por empresas extranjeras como CyberPoint, ofreciendo salarios más altos y menos restricciones éticas. David Evenden se marchó cuando se dio cuenta de que sus esfuerzos no se dirigían principalmente contra terroristas, sino contra activistas y disidentes políticos.
El número de intermediarios vendiendo tecnología de vigilancia se duplicó en EE.UU. de 2013 a 2016. Vupen, una empresa francesa dirigida por Chaouki Bekrar, vio cómo sus ventas se disparaban. Israel, Rusia, India: todos estaban invirtiendo en armas cibernéticas. En 2015, se filtraron correos electrónicos de Hacking Team, revelando su indiferencia hacia los derechos humanos al vender días cero a gobiernos con historiales cuestionables.
Al igual que en la Guerra Fría, algunos países no buscaban usar armas cibernéticas diariamente, pero preferían tenerlas a no tenerlas. La proliferación de días cero aumentaba rápidamente, alimentada por libros como The Shellcoder’s Handbook, que ofrecía a los nuevos hackers una ventaja en el negocio. Pero lo que vendría después eclipsaría todo.
¡Instalar ahora!
A mediados de diciembre de 2009, el equipo de seguridad de la información de Google detectó anomalías en su red. Las alarmas resonaron, indicando una actividad sospechosa. Esta vez, no era un caso típico de malware proveniente de un clic descuidado en un sitio de apuestas en línea. Este intruso estaba realizando un barrido agresivo en busca de algo específico.
Requirió semanas de esfuerzo constante por parte de un equipo de alrededor de 250 personas, pero finalmente lograron expulsar al intruso, identificado como de origen chino. China, a través de Legion Yankee, uno de sus grupos de piratería élite contratados por el gobierno, había penetrado la red de Google y robado su código fuente. Esta incursión no se limitó a simples datos; abarcó información crucial sobre tecnología satelital, misiles y otras áreas sensibles. Ahora, el gobierno chino tenía acceso potencial a la infraestructura crítica de Google, posiblemente para vigilar las cuentas de Gmail de disidentes políticos.
Este evento transformó la forma en que Google abordaba los «días cero». La lección fue clara: no podían permitir que algo así volviera a ocurrir. ¿La solución? Comenzar a pagar a los piratas informáticos por revelar vulnerabilidades. A partir de 2010, aquellos que informaran sobre fallas verificadas en productos de Google podrían obtener recompensas de hasta $31,337, una cifra que resonaba con la élite de los hackers. Aunque menor que las ofertas internacionales, esta iniciativa venía con ventajas: los hackers podían presumir de sus logros sin temor a colaborar con gobiernos opresores.
Empresas como Microsoft y Facebook siguieron el ejemplo, ofreciendo recompensas en lugar de perseguir legalmente a los piratas informáticos. Sin embargo, algunos como Chaouki Bekrar de Vulpen rechazaron estas ofertas. En 2012, Bekrar irrumpió en el nuevo navegador Chrome en tres horas y se negó a compartir su descubrimiento con Google, diciendo: «No lo compartiríamos ni por un millón de dólares. Queremos mantenerlo para nuestros clientes».
Esta resistencia desafió a las empresas tecnológicas, fortaleciendo su compromiso con la seguridad. Microsoft, por ejemplo, enfrentaba más de 200,000 vulnerabilidades anuales, cada una potencialmente explotable. Ante esta realidad, instalar cada actualización verificada se volvía una necesidad imperiosa.
Diplomacia de armas cibernéticas
Durante la era de Obama, la digitalización era imparable. Los teléfonos inteligentes se convirtieron en una extensión de nosotros mismos. Con la proliferación de redes sociales y el almacenamiento en la nube, nuestras vidas se volcaron en línea. Sin embargo, esta era digital también trajo consigo tres grandes amenazas para la seguridad cibernética de Estados Unidos: Irán, China y Rusia.
En 2015, Obama buscó neutralizar dos de estas amenazas. Primero, logró un acuerdo nuclear con Irán, que pareció surtir efecto al reducir significativamente los ataques procedentes de ese país. Luego, la atención se centró en Beijing. Durante años, los piratas informáticos chinos habían sido incansables, saqueando propiedad intelectual de manera constante. Desde las fórmulas de pintura de Benjamin Moore hasta los diseños de los aviones de combate F-35, nada estaba a salvo de sus incursiones.
Para 2015, incluso se les encontró husmeando en la red de la Oficina de Administración de Personal, que almacena información confidencial del gobierno, incluidas las huellas dactilares de los empleados. Este hallazgo puso en alerta a las autoridades, quienes tardaron años en detectar su presencia.
En septiembre de 2015, Obama extendió una invitación a Xi Jinping en la Casa Blanca. Se desplegó la alfombra roja y se celebró una ceremonia formal. Sin embargo, tras los honores protocolares, Obama abordó directamente el tema del robo cibernético. No se trataba simplemente de espionaje; ambas partes lo practicaban. Pero el robo de propiedad intelectual debía detenerse o enfrentarían sanciones. Tras intensas discusiones, se acordó poner fin a los robos y los ciberataques durante los tiempos de paz. Durante dos años, los ataques chinos disminuyeron drásticamente.
Sin embargo, ninguna tregua digital sobrevivió a la era Trump. Mientras tanto, Rusia había infiltrado los sistemas de Estados Unidos. Desde 2013, se registraron al menos 198 ataques a la infraestructura estadounidense, con huellas de origen ruso. El arma elegida por Rusia, Sandworm, se centró en sistemas de control críticos, como los utilizados en el suministro de agua y electricidad.
En 2014 y 2015, el mundo fue testigo de la capacidad de Sandworm cuando Rusia cortó el suministro eléctrico en Ucrania en dos ocasiones. La inteligencia estadounidense determinó que Rusia utilizaba estos ataques como advertencia, una forma de mostrar su poderío y enviar un mensaje claro: «Cuidado con cómo responden a nuestras acciones».
A pesar de la gravedad de estos ataques, la respuesta global ha sido continuar conectando más dispositivos e infraestructuras críticas a Internet, lo que aumenta nuestra vulnerabilidad en este nuevo panorama de destrucción mutua asegurada.
Desenmarañando el caos digital
En agosto de 2016, el caos se apoderó de Estados Unidos. Era un año electoral, y los piratas informáticos rusos ya habían infiltrado los servidores del Comité Nacional Demócrata, así como la cuenta de correo electrónico del jefe de campaña de Hillary Clinton, liberando sus botines a través de WikiLeaks. Pero eso no fue todo.
En Twitter, un grupo autodenominado Shadow Brokers afirmó haber hallado un tesoro: una colección de armas cibernéticas de la NSA, ahora disponibles en Internet como un juego gratuito para todos. Como lo expresó un ex empleado de la NSA: «Estas son las llaves del reino». Las cosas estaban tomando un giro sombrío, y la oscuridad prometía extenderse aún más.
Si bien las filtraciones previas de Snowden habían sido reveladoras, las herramientas que reveló eran solo la punta del iceberg. Snowden, un simple contratista de bajo nivel, desconocía lo que el grupo de élite de la NSA, anteriormente conocido como TAO o Operaciones de Acceso Adaptado, tenía a su disposición. Estas herramientas incluían una serie de vulnerabilidades en el protocolo de software de Microsoft. Una de las más peligrosas era EternalBlue, capaz de moverse entre servidores sin dejar rastro. Aunque diseñada para recopilar información, EternalBlue, en manos equivocadas, podía convertirse en un arma letal.
La NSA se estremeció en abril de 2017, cuando Shadow Brokers lanzó EternalBlue junto con otras 20 hazañas de día cero de la NSA. Teóricamente, Microsoft podría parchear las vulnerabilidades ahora expuestas. Sin embargo, eso implicaría que cada computadora con una versión obsoleta o pirata de Windows instalara las actualizaciones correctas. Una tarea prácticamente imposible.
En cuestión de semanas, la cantidad de computadoras infectadas con EternalBlue se disparó. Pero lo más alarmante fue la proliferación del ransomware, una variante popular de la amenaza. Corea del Norte pronto descubrió que el ransomware era una fuente lucrativa de ingresos.
Uno de los ataques más notorios fue WannaCry, lanzado en 2017 y rastreado hasta Corea del Norte. En solo 24 horas, afectó a 150 países. Su éxito se debió en gran medida a su conexión con EternalBlue. Otros ciberataques, como NotPetya, también tienen su origen en EternalBlue.
Los ataques de rescate han generado miles de millones de dólares y se vuelven más comunes. Entre 2019 y 2020, más de 600 ciudades y pueblos estadounidenses fueron víctimas del ransomware.
Todo apunta a un panorama cada vez más oscuro. La autora reflexiona sobre una foto que encontró de un hacker neozelandés, cuya camiseta llevaba un mensaje claro en el pecho: «ALGUIEN DEBE HACER ALGO». La necesidad de una acción decidida se vuelve más urgente que nunca.