La carrera armamentística de la ciberguerra

Recientemente los medios se han hecho eco de que el Cibercomando Estadounidense de Fort Meade (Maryland) ampliará su plantilla desde 900 a 4.900 empleados para la defensa y ofensiva en el ciberespacio. Sin embargo, incluso tal ampliación de plantilla no refleja adecuadamente cómo se está incrementando el gasto en ciberseguridad.

El Cibercomando (USCYBERCOM) es un mando estratégico unificado del que dependen otras unidades como la Brigada 780 de Inteligencia Militar, el Ala 67 de Guerra en Red de la Fuerza Aérea o el Cibercomando de los Marines que cuentan con sus propios recursos. Además de los medios de la NSA que inaguró en 2012 un complejo de 268 millones de dólares en Georgia e inagurará en 2013 otro centro en Utah con un coste de 2.000 millones de dólares.

En medio de una política de austeridad y recortes, el presupuesto de la administración Obama destinado a ciberseguridad ha seguido una tendencia contínua de crecimiento. El gobierno norteamericano gastó en 2012 548 millones de dólares en I+D y educación sobre ciberseguridad (PDF) un 35% más que en 2011. Además de otros 936 millones destinados al Departamento de Seguridad Nacional (+30% sobre 2010), 3.200 millones de dólares para el Departamento de Defensa. 391 millones para el Equipo de Respuesta a Emergencias Computacionales. Más otros 500 millones para que el Cibercomando investigue nuevas tecnologías centradas en cloud computing, virtualización y procesamiento encriptado.

El resto de paises intentan no quedarse atrás. En 2011 el gobierno Israelí creó el Departamento de Ciberdefensa dependiente de las Fuerzas de Defensa Israelíes. El caso de Israel es especial porque además de la iniciativa gubernativa cuenta con un potente sector privado especializado en ciberseguridad hasta el punto de que existen incubadoras especializadas en startups de seguridad. En el Reino Unido el primer ministro David Cameron anunció la asignación de 650 millones de libras esterlinas durante un periodo de cuatro años para la inversión en ciberseguridad. El gobierno alemán inaguró también a mediados de 2011 un centro de ciberseguridad en Boon. La Unión Europea, por su parte, incrementó un 14% su presupuesto para investigación ciberseguridad para 2013.

En España se acaba de crear el Mando Conjunto de Ciberdefensa de las Fuerzas Armadas coordinado por el CNI. Aunque a pesar de que en seis meses de 2012 se produjesen tantos ciberataques como casi en todo 2011 (más de 200 de riesgo crítico), el presupuesto del propio CNI, del cual depende también el CCN, se redujo en 2012 un 3,1% respecto de 2011 hasta 221,2 millones de euros y en 2013 se redujo otro 7,9% hasta 203,69 millones. El presupuesto general del Ministerio de Defensa también se redujo un 8,8% en 2012 respecto de 2011 y un 6% en 2013 hasta 5.937 millones de euros en total. Todo esto probablemente fruto de esa peculiaridad del pensamiento estratégico español por la cual es innecesario que exista relación alguna entre los objetivos y los medios.

Bien, ahora viene la pregunta clave: ¿por qué se necesita incrementar la inversión en ciberseguridad?.

Según un estudio realizado por el Instituto Ponemon el número de ciberataques en EE.UU. se ha duplicado en los últimos tres años. En otro estudio a 56 empresas Ponemon estima que el coste medio de un ciberataque exitoso ronda los 8,9 millones de dólares. En EE.UU. se producen 10 millones de ciberataques al día. En 2010 McAffe identificó 20 millones de nuevas piezas de malware. Algunos hablan del próximo Pearl Harbor y no cualquier persona, la secretaria de seguridad nacional estadounidense Janet Napolitano dijo a principios de enero que en cualquier momento puede producirse un ataque cibernético cuyo impacto podría ser comparable a los atentados terroristas del 11-S.

Pero ¿Por qué la ciberseguridad es tan difícil y costosa?

El mayor problema de la ciberseguridad es que se trata de un campo de batalla en el cual atacar es muchísimo más barato que defenderse. Esto es debido a varios factores:

1º) Internet, por diseño, es un servicio descentralizado para usuarios anónimos. Mueve información en paquetes indiferenciados que pueden ser encriptados para ocultar su origen. Esto hace que sea muy difícil atribuir los ataques a alguien que sepa ocultarse adecuadamente. Esta característica han intentado, por cierto, cambiarla (sin éxito) muy recientemente. El anonimato en Internet es irrenunciable porque es lo que protege a los disidentes de los dictadores y es mucho más probable acabar bajo el yugo de un dictador que el de un terrorista.

2º) Para cometer un ataque, cualquier ataque, se necesitan tres cosas: conocimientos, medios y voluntad. Es difícil obtener los conocimientos necesarios para fabricar una bomba atómica sin llamar la atención sobre uno mismo. Y no digamos ya obtener los medios, lo cual es imposible sin que alguien se entere. Pero para un hacker malicioso es relativamente fácil aprender lo que necesita por su cuenta sin que nadie repare en él. Y los medios son también relativamente sencillos de obtener. Hay bots y herramientas de malware que se pueden encontrar simplemente buscando en Google.

Countries ranked for cyber-readiness3º) Hay muchísimos puntos potencialmente vulnerables. La ciberdefensa no sólo cubre el ámbito militar sino que también es crítico proteger las instalaciones civiles: agua, producción y distribución de alimentos, banca, sector químico, comunicaciones, manufacturas críticas, tecnología base militar, servicios de emergencia, sanidad pública, energía, reactores nucleares, comunicaciones y correos, etc.

4º) Cada vez hay más dispositivos susceptibles de ser atacados. En particular, Android es una plataforma muy atractiva para el malware lo cual puede convertirse en un auténtico dolor de cabeza para Google.

5º) Los ciberataques no están condicionados por limitaciones geográficas o estacionales como los ataques militares convencionales.

6º) El control del ciberespacio es un verdadero desafío porque la verificación (la piedra angular del equilibrio estratégico) es virtualmente imposible debido al problema de atribución del punto primero. Se puede verificar, en principio, quien tiene armas de destrucción masiva, pero no se puede verificar quién tiene, o no, armas de ciberataque de peligrosidad crítica.

7º) En el ciberespacio no existen unas reglas del enfrentamiento tan claras como las que se siguen en la guerra convencional desde hace décadas. No está claro cuales son los límites de daños colaterales que se pueden causar a civiles inocentes en un ataque o contraataque. Por poner sólo un ejemplo, Stuxnet un sofisticado gusano específicamente diseñado para atacar los sistemas SCADA de las plantas nucleares iraníes acabó infectando más de 100.000 equipos en 155 paises.

8º) Las aplicaciones empresariales de código cerrado, como Oracle, SAP y SCADA son especialmente vulnerables y estas aplicaciones contienen datos de negocio críticos muy valiosos para los intrusos.

9º) Los usuarios carecen de formación sobre cómo proteger sus equipos. Lo cual hace que la inmensa mayoría de ellos tengan una configuración que les hace muy vulnerables.

Artículos relacionados:
Los ciberataques ya son la segunda amenaza para las empresas (Miriam Castellanos)
Shopping for Spy Gear: Catalog Advertises NSA Toolbox (Jacob Appelbaum, Judith Horchert and Christian Stöcker)

Documento relacionado: America’s Cyber Future: Security and Prosperity in the Information Age

Panda Labs Annual Report 2012

Compartir:
  • Twitter
  • Meneame
  • Facebook
  • Google Buzz
Esta entrada fue publicada en Tecnologías Emergentes, ¿Dónde estamos? ¿Hacia dónde vamos?. Guarda el enlace permanente.

Una respuesta a La carrera armamentística de la ciberguerra

  1. Pingback: » La carrera armamentística de la ciberguerra

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos necesarios están marcados *