Els atacs informàtics

Hi ha una paraula que cada cop escoltem més: ciberatac. Fa poc llegíem, segons dades del govern espanyol, que l’any passat es van registrar més de setanta mil atacs per xarxa contra empreses, ciutadans, infraestructures critiques i institucions de l’Estat. Això situa Espanya com a tercer país al món en actes cibernètics hostils, tan sols per darrere dels Estats Units i el regne Unit. Un total de 63 d’aquests actes van ser especialment greus, amb 34 atacs a empreses energètiques i 4 a industries nuclears.

Crec que podríem parlar de tres tipus d’atacs per xarxa o atacs informàtics. En primer lloc tenim els atacs fets per no experts. Un bon exemple serien els missatges virals contra persones concretes fets a travès de les xarxes socials. És clar que no sempre tenen èxit, però quan “funcionen”, poden fer molt mal: la persona concreta queda condemnada a l’ostracisme, és rebutjada, i fins i tot pot tenir problemes per trobar feina. En segon lloc podríem parlar dels atacs generats per experts informàtics que treballen a nivell individual, els anomenats hackers. Les tècniques són molt variades. Tenim els virus i cucs, programes que s’auto-reprodueixen i es propaguen per la xarxa, els troians o cavalls de Troia que s’instal·len al nostre ordinador, capten informació i l’envien al seu amo, la suplantació d’emissors i remitents de missatges, la tramesa massiva de correu no desitjat per a bloquejar l’ordinador receptor, la captura de paraules claus, la suplantació d’identitat i molts d’altres. En aquest cas, l’objectiu pot ser molt divers, des de simplement fer mal a robar diners o informació. Finalment, i això és el que fa més por, tenim les organitzacions, empreses i Estats que han creat departaments plens de hackers especialitzats en dissenyar, preparar i executar atacs extremadament sofisticats.

Un exemple paradigmàtic d’aquest tercer cas és el del virus Stuxnet, considerat la primera arma digital de la història. Amb aquest virus, els hackers de l’estructura militar de l’agència NSA dels Estats Units van poder destruir/inutilitzar el 20% de les centrifugadores que produïen urani enriquit a la central de Natanz a Iran. L’atac va ser l’any 2009, i llavors ningú va entendre el que passava. De fet, durant una visita dels inspectors internacionals el gener del 2010, ni els inspectors ni els tècnics iranians van poder entendre el misteri de les centrifugadores que es trencaven per excés de pressió interna, i fins després de quatre anys no es va saber el que havia passat. El virus Stuxnet va ser el resultat d’un projecte conjunt entre els Estats Units i Israel amb l’objectiu d’afectar els sistemes de control (fets per Siemens) de les centrifugadores. Va aconseguir infectar i controlar els sistemes informàtics d’aquestes màquines, tot i que no estaven connectades a la xarxa. L’atac es va fer en dues fases (la primera va ser d’espionatge i adquisició de dades), infectant els ordinadors d’empreses externes que subministraven equips i serveis a la central de Natanz. Aquests ordinadors infectaven llapis de memòria amb el virus Stuxnet (que era invisible als sistemes anti-virus), pensant que alguns operaris acabarien anant en algun moment a la central tot portant el virus en els seus llapis. En resum, la idea, que va funcionar a la perfecció, és que si es vol atacar un sistema molt protegit, el millor és aconseguir que els actors materials de la infecció siguin els propis operaris que hi tenen accés. Tot un exèrcit de hackers va aconseguir, sense moure’s de davant dels seus ordinadors, destruir la cinquena part de les centrifugadores de Natanz.

Gràcies a Edward Snowden sabem de l’existència del programa Politerain. La noticia la va publicar fa pocs mesos el setmanari Der Spiegel, i és d’on he tret la imatge de dalt. L’atac a les centrifugadores de Iran amb el virus Stuxnet va ser un dels primers resultats d’aquest programa de la famosa agència NSA, actiu des de fa vuit anys. Politerain inclou el grup S321, un grup de franctiradors informàtics que funcionen amb estructura militar i que treballen a la tercera planta d’un dels edificis del Fort Meade, a l’Estat de Maryland. Com diu Snowden, la seva prioritat són els atacs, no la defensa. La seva única missió és la de manipular i destruir ordinadors i instal·lacions “de l’enemic”. Politerain és el viu exemple del terrorisme informàtic d’Estat, una petita mostra del que aviat veurem cada dia. És un futur que realment no tranquil·litza. Segurament no som gaire lluny de saber que hi ha armes digitals que maten gent civil.

Personalment, he de dir que no m’agrada el terme ciberatac, i tampoc trobo massa apropiats els termes ciberseguretat, ciberespai i els seus derivats. La paraula cibernètica ja va ser usada per Plató a La República per parlar de l’art de governar i de “dirigir els homes“, però qui li va donar el seu actual significat actual va ser en Norbert Wiener l’any 1948. La cibernètica tracta sobre sistemes de control i per tant és molt més propera als robots (i per tant als drons o altres ginys automàtics) que a la xarxa d’Internet. En aquest document del CESEDEN, d’un curs de defensa nacional, es parla del ciberespai i es defineix com l’espai virtual mundial que interconnecta sistemes d’informació, dispositius mòbils i sistemes de control industrial. Citen els sistemes de control, però és clar que el ciberespai és l’espai virtual mundial que interconnecta aquests i altres sistemes informàtics. En aquest sentit, tal vegada seria millor parlar d’atacs per internet, atacs informàtics, atacs per xarxa o, si voleu, web-atacs. A pesar del futurisme implícit en el prefix ciber, jo diria que el terme és inadequat.

Els atacs per xarxa no es poden evitar, és un dels peatges que hem de pagar pel fet de tenir una xarxa internet oberta. Crec que és indubtable que tots volem tenir aquesta xarxa oberta i lliure, i ens toca conviure amb virus i troians perquè ja sabem que la seguretat total és un mite. Però el que sí podem fer és ser curosos amb les nostres dades i no exposar-nos als perills de manera imprudent. No és el mateix enviar un correu electrònic a una persona concreta que enviar-li missatges de manera pública a través d’una xarxa social. Fa un parell de dies, en Guillermo Zapata comentava, tot justificant la seva dimissió com a regidor de cultura de l’Ajuntament de Madrid, que els tuits que ara l’han fet dimitir havien estat enviats en el context d’una conversa privada sobre els límits de l’humor. He de dir que la seva frase em va sorprendre. Per què tuitejar converses privades en lloc d’enviar e-mails? Tot plegat em va recordar en Byung Chul Han, quan diu que la peculiaritat del panòptic digital és que les persones col·laboren de manera activa en la seva pròpia vigilància i en la construcció i conservació d’aquest immens panòptic. Diu que ho fan quan s’exhibeixen mentre despullen la seva informació a les xarxes socials.

Per cert, en Jordi Angusto diu que el més probable és que el TTIP acabi sent aprovat un dia o altre i que sigui un monstre de desregulació que ens acabi devorant. Diu que llavors potser encara hi haurà qui dirà que si el mercat ha fallat, el que cal és encara més mercat.

Comenta

*

(*) Camps obligatoris

L'enviament de comentaris implica l'acceptació de les normes d'ús