Recordaremos 2020 no sólo como el año del coronavirus, sino también como el año de la intensificación en la ciberguerra entre Israel e Irán. En otras palabras, la ciberguerra está sobre el tablero. Es otra de las maneras comunes de conflicto", afirma Arik Brabbing, exjefe de la Ciberdivisión de la Agencia de Seguridad Israelí. 

Brabbing, cita al diario Washington Post, para no confirmar ni desmentir personalmente que, tras un reciente ciberataque de Irán a la infraestructura de aguas israelí, hubo una represalia "atacando el sistema de supervisión de un importante puerto iraní, interrumpiendo las actividades en el puerto y sus alrededores durante muchas semanas". Del ataque al sistema de aguas sí da suficiente confirmación al señalar que "es parte de la infraestructra estratégica del Estado de Israel, controlada por el Ciberdirectorio Nacional israelí (INCD)", añadiendo que lo peor del asunto,"«es que no fue identificado con suficiente inmediatez, exponiendo la debilidad de las ciberdefensas".

Estos comentarios de Brabbing ocurrieron en un reciente seminario sobre ciberseguridad e inteligencia (en el sentido militar, policial y de seguridad de los Estados) de la organización israelí Cybertech. Un largo seminario online en el que quedó de manifiesto el vínculo en el ámbito de la ciberseguridad entre asuntos como las guerras virtuales, el terrorismo, la delincuencia y la situación de caos extremo que puede crear una crisis sanitaria como la del Covid-19. Elementos con posibles efectos catastróficos, que en gran medida se combaten con el mismo tipo de herramientas y por las mismas organizaciones.    

"Ahora, hasta el 50% de los delitos se comete online" señala el director de la unidad de cibercrimen de Interpol, Craig Jones, que enumera cuatro grandes objetivos: tratar de abarcar el panorama completo de las ciberamenazas; recolectar información; utilizar esa información, para ponerla en valor; y distribuirla en los 194 países miembros de la organización.

"No sólo tenemos que trabajar con las policías, también hemos de asociarnos con entes privados, porque las amenazas pueden dirigirse a sectores muy concretos, como el financiero. Tenemos que filtrar la información y convertirla en inteligencia eficaz", subraya Jones, bajo el mantra de la colaboración internacional.

Los objetivos se resumen en "averiguar dónde están las infraestructuras, dónde los delincuentes y dónde se produce el beneficio financiero" de sus acciones. Y, con ese conocimiento, ver "cómo podemos intervenir, llevar la acción de la Justicia, ayudar a identificar y detener a los criminales y sus cómplices e interrumpir sus modelos de negocio".

El actual jefe ejecutivo de la unidad tecnológica del INCD, Hudi Zack, toma una historia bíblica sobre el valor de la información. Es la historia de los 12 espías enviados por los judíos que habían salido de Egipto para conocer "la tierra prometida". 

Los espías regresaron hablando de su exuberancia, donde "manaba leche y miel", pero 10 de ellos aseguraron que los habitantes eran muy poderosos para luchar contra ellos. Josué y Caleb dijeron que sí era posible derrotarlos, pero creyeron a los otros y eso les costó 40 años en el desierto, hasta que, tras la muerte de Moisés, el propio Josué guio la conquista.

La moraleja es que se puede recolectar mucha información, pero lo más importante es saber analizarla y determinar qué acciones adoptar. "En muchas investigaciones retrospectivas se descubre que había muchos indicios de ataque, pistas sobre los autores y sus objetivos, pero en la mayoría esos datos son ignorados. Hay que unir los puntos, para ver el dibujo y responder de manera adecuada, inmediatamente". Subraya que no es sólo tener una potente plataforma de detección, sino un sistema de análisis en tiempo real que advierta de inmediato de lo que puedan suponer "serias amenazas para las vidas humanas, la defensa, las estructuras críticas, o que puedan provocar pérdidas masivas para las organizaciones y los ciudadanos". 

Coronavirus

Al hilo de la Covid-19, analizado como si fuera un ciberataque, Zack plantea la duda de cómo responder y alertar a la población de manera suficientemente rápida. Su conclusión es que, "ante escenarios catastróficos, sólo la organización gubernamental a nivel nacional tiene la relevancia, competencia y autoridad para prever, analizar las consecuencias y adoptar las decisiones". Atribuye a ese proceder el éxito de Israel, al menos en la primera oleada de infecciones, frente al coronavirus.

A raíz de casos como el del virus Wannacry, explica Zack, Israel prepara un programa llamado Lighthouse, que analiza la capacidad de defensa del país, en colaboración con los operadores de telecomunicaciones y las principales tecnológicas, para “inyectar vacunas frente a grandes ataques y aplicar ‘cibermedicinas’ a las entidades ya infectadas, lo que puede combinarse con aislamiento para impedir los contagios”. Y aunque pudiera parecer que habla del covid19, se trata de ciberseguridad. 

Seguramente el hecho de vivir en un territorio milenario influye en la querencia a buscar analogías bíblicas. Paul Friedberg, con 25 años de experiencia en el Ministerio de Defensa, es ahora director de desarrollo de cuentas de Cellebrite, una firma dedicada a desarrollos de inteligencia y actividad forense en el mundo digital. Añade su propia referencia a Moisés, "que fue el primero en usar una tableta para descargar información de la nube [en heterodoxa alusión al episodio de la creación de las tablas de la Ley en el monte Sinaí]. Desgraciadamente, no tenía capacidad de ‘localización’, por lo que le costó 40 años encontrar la tierra prometida".

Adonde Friedberg quiere llegar es al desafío de las "masivas cantidades de datos localizados en diferentes sistemas y con diversos formatos… No tenemos suficientes recursos y capacidad humana para tratarlos. Por no hablar del impacto de la Covid-19, que ha trasladado a la red las actividades criminales y terroristas, con dos millones de personas usando la red oscura para vender armas y comunicaciones relacionadas con el terrorismo y el fraude. Además de todo lo que se hace a través de mensajerías como WhatsApp o Viber y redes sociales".

Plantea tres cuestiones: quién tiene los datos, qué se puede hacer con los datos y quién tiene acceso a ellos. "La tecnología actual puede acumular grandes cantidades de lo que llamamos la ‘cascada de datos’. Claro, preferimos tenerlos en un solo emplazamiento, lo que llamamos el ‘lago de datos’, pero sobre todo queremos que los de inteligencia estén accesibles, claros y en formatos bien definidos". Pero la realidad es otra: "Puedo recordar muchas ocasiones en las que yo sabía que un dato estaba ahí, sabía exactamente lo que estaba buscando, pero no podía encontrarlo inmediatamente. Quería algo específico y me salía cualquier otra cosa. Además de no poder combinar distintas fuentes y formatos, ni difundir la información dentro mi organización o a interesados externos. La buena noticia es que tenemos más datos. La mala es que tenemos un montón de datos…".

Su compañía trabaja en una solución digital integrada, capaz de captar información de diversas fuentes, dispositivos y formatos, con una inteligencia artificial que ayuda a establecer el valor de cada pieza. 

Nunzia Ciardi, directora general del servicio italiano de policía postal y de comunicaciones comenta que, con la pandemia, se multiplicaron ataques de ransomware contra hospitales y servicios públicos, junto con ataques de denegación de servicio (DDOS) a las webs, fraudes milmillonarios a empresas que intentaban procurarse mascarillas y suministros médicos para su seguridad y masivas campañas de phising. "El factor humano es el mayor riesgo para la salud pública y la seguridad", asegura.

Detectores de humo

No todas las opiniones vertidas en el seminario se conforman con hablar de defensas, Gil Hazaz, vicepresidente de XM Cyber, una compañía fundada por antiguos ejecutivos de la inteligencia y un exjefe del Mossad, plantea que el 80% de los recursos de ciberseguridad son "como los detectores de humo para prevenir incendios". Y se pregunta qué hacer con el niño que juega con una cerilla en una habitación donde hay una espita de gas abierta. 

Su respuesta es pasar al ataque. O, mejor, hacer de atacantes. Utilizar las herramientas y los métodos de los hackers para lanzar ataques virtuales contra el sistema que se pretende defender, detectar sus vulnerabilidades y verificar "la capa" que queda expuesta por debajo de las defensas, por errores humanos u otros motivos.

Motivos, quizás, como el olvido. Volviendo a Arik Brabbing, no es ocioso recordar que el virus Stuxnet, tras haber sido identificado hace 10 años, ha estado implicado en 50.000 ataques "muy costosos".