El Gobierno de Estados Unidos está desarrollando nuevas armas informáticas e impulsando un mercado negro de vulnerabilidades de 'día cero'. El resultado podría ser una Web más peligrosa para todos.
Cada verano, expertos en seguridad informática se reúnen en Las Vegas para asistir a Black Hat y DEFCON, unas conferencias conocidas por las presentaciones en las que se hacen demostraciones de agujeros de seguridad críticos descubiertos en software de uso generalizado. A unque las conferencias siguen atrayendo a un público muy numeroso, los asistentes habituales afirman que los virus revelados en los últimos años no han sido tan dramáticos.
Uno de los motivos es que una debilidad recién descubierta en un software popular, lo que en el negocio se denomina vulnerabilidad de "día cero" -porque los responsables del software aún no han tenido tiempo de arreglar el problema-, puede ser mucho más rentable que la fama de haberla descubierto y algunas copas gratis . Para las empresas de defensa, agencias de seguridad y los gobiernos, la información sobre estos fallos puede llegar a valer cientos de miles de dólares.
Este comercio de vulnerabilidades de día cero no está muy bien documentado, pero probablemente sea la parte más visible de una industria que, a lo largo de los próximos años se llevará una cantidad cada vez mayor del
presupuesto de defensa de Estados Unidos, cambie las relaciones internacionales y quizá haga que la Web sea menos segura para todos.
Las vulnerabilidades de día cero son valiosas porque se pueden usar para introducir software en un sistema informático a escondidas sin que las medidas de seguridad convencionales como los paquetes antivirus o los cortafuegos lo detecten. Los criminales pueden hacerlo para interceptar números de tarjetas de crédito. Una agencia de inteligencia o fuerza militar podría robar comunicaciones diplomáticas o incluso apagar una planta eléctrica.
En 2010 quedó claro que este tipo de ataque iba a definir una nueva era en la historia de la guerra, cuando investigadores en seguridad descubrieron un trozo de software malicioso, o malware, conocido por el nombre de Stuxnet. Casi todo el mundo está convencido de que era un proyecto de las fuerzas de inteligencia de Estados Unidos e Israel (los oficiales estadounidenses aún tienen que reconocer públicamente su papel, aunque ya lo han hecho de forma anónima en el New York Times y la radio pública), y Stuxnet se diseñó con mucho cuidado para infectar múltiples sistemas necesarios para acceder y controlar el equipamiento industrial usado en el programa nuclear iraní. Esta carga explosiva era claramente obra de un grupo con acceso a recursos e información a escala nacional, pero fue posible gracias a cuatro vulnerabilidades de día cero de Windows que permitieron que infectara silenciosamente los ordenadores seleccionados. Que se usaran tantos valiosos días cero de una era solo una de las sorprendentes características de Stuxnet.
Desde entonces se ha revelado más malware con las características de Stuxnet que requerían técnicas aún más complejas (ver "La era antivirus toca a su fin"). Es probable que haya aún más desplegados, que no se hayan detectado públicamente. Mientras tanto, los gobiernos y las empresas de Estados Unidos y de todo el mundo han empezado a pagar cada vez más por las vulnerabilidades necesarias para que este tipo de armas funcionen, según Christopher Soghoian, tecnólogo principal de la Unión Americana por las Libertades Civiles.
"Por una parte el gobierno está preocupadísimo por el tema de la ciberseguridad, pero por otra, Estados Unidos participa en el mercado global de las vulnerabilidades, haciendo que suban los precios", explica Soghoian, quien afirma haber hablado con personas vinculadas al negocio y sostiene que los precios van desde los miles de dólares hasta los cientos de miles. Incluso las agencias de seguridad civiles pagan por días cero, afirma Soghoian, para poder colocar software espía en los ordenadores o teléfonos inteligentes de los sospechosos.
Soghoian explica que las vulnerabilidades de los sistemas operativos móviles son especialmente valiosas, porque al contrario que los ordenadores de sobremesa, los sistemas móviles rara vez se actualizan. Apple envía actualizaciones al software de los iPhones un par de veces al año, lo que significa que un fallo podría explotarse durante mucho tiempo. A veces el descubridor de una vulnerabilidad día cero recibe un pago mensual mientras el fallo no se detecte. "Siempre que Apple o Microsoft no lo arreglen, te pagan", afirma Soghoian.
No existe una ley que regule directamente la venta de días cero, ni en Estados Unidos ni en ningún otro lugar, así que algunos actores se dedican a ello bastante abiertamente. Un investigador en seguridad de Bangkok (Tailandia) conocido como The Grugq, tuitea sobre su trabajo como intermediario y ha hablado con la prensa sobre negociaciones de acuerdos por valor de cientos de miles de dólares con compradores de los gobiernos de Estados Unidos y de países de Europa Occidental. En una discusión en Twitter el mes pasado, negó que su negocio sea equiparable al tráfico de armas, como señalan los críticos dentro y fuera de la comunidad de la seguridad informática. "Una vulnerabilidad es un componente de una cadena de herramientas", tuiteó. "El equipo que produce y mantiene la cadena de herramientas es el arma".
Algunas empresas pequeñas también se manifiestan abiertamente sobre su participación en el negocio. La empresa francesa de seguridad VUPEN afirma en su página web que "proporciona vulnerabilidades de nivel gubernamental diseñadas específicamente para la comunidad de inteligencia y las agencias de seguridad nacionales para ayudarles a lograr sus misiones ofensivas de ciberseguridad y de interceptado legales". El año pasado, empleados de la empresa hicieron una demostración pública de un fallo día cero que comprometía el navegador Chrome de Google, pero rechazaron la oferta de Google de una recompensa de 60.000 dólares (unos euros) si compartían su funcionamiento. No se sabe qué pasó con la vulnerabilidad.
Ninguna agencia del gobierno de Estados Unidos ha afirmado públicamente que compre días cero, pero las agencias y empresas de defensa de EE.UU. han empezado a reconocer públicamente que pretenden lanzar ciberataques aparte de defenderse de ellos, una postura para la que harán falta nuevas formas de penetrar en los ordenadores enemigos.
El general Keith Alexander, director de la Agencia Nacional de Seguridad y comandante del Cibermando de Estados Unidos afirmó en un simposio celebrado en Washington el mes de octubre pasado que Estados Unidos está preparado para hacer algo más que limitarse a bloquear los ataques informáticos. "Parte de nuestra defensa tiene que tener en cuenta medidas de ataque", afirmó, convirtiéndose así en uno de los oficiales de mayor rango en admitir que el gobierno hará uso de malware. En 2012 las Fuerzas Aéreas de Estados Unidos hicieron un llamamiento para recibir propuestas para desarrollar "capacidades de Bélicas de Ataque en el Ciberespacio", capaces de "destruir, anular, degradar, interrumpir, engañar, corromper o usurpar la capacidad de los adversarios para usar el dominio del ciberespacio en su favor". Y en noviembre, Regina Dugan, directora de la Agencia de Proyectos Avanzados de Investigación en Defensa lanzó otra señal clara sobre hacia dónde se dirige la tecnología de defensa de Estados Unidos. "A lo largo de los próximos años centraremos una parte cada vez mayor de nuestra ciberinvestigación en investigar capacidades ofensivas para cubrir necesidades específicamente militares", afirmó, anunciando que la agencia esperaba ampliar la financiación de investigación en ciberseguridad del 8 al 12 por ciento de su presupuesto.
Los analistas de defensa afirman que una de las razones que han promovido este cambio es que hablar de ataques introduce un elemento de disuasión, una estrategia consolidada en los conflictos convencionales y los nucleares. Hasta ahora los políticos estadounidenses y jefes de defensa han hablado sobre todo de la vulnerabilidad del país ante los ataques digitales. En el otoño pasado, por ejemplo, el secretario de defensa Leon Panetta avisó con franqueza de que la infraestructura de Estados Unidos era objetivo de atacantes extranjeros y que podría tener lugar un "Pearl Harbor digital" (ver "Redes eléctricas y plantas de agua, próximo objetivo hacker").
La mayoría de los contratistas de defensa son menos francos sobre su papel a la hora de crear software para atacar a los enemigos del gobierno de Estados Unidos, pero evidentemente se están dando prisa por aprovechar la oportunidad que presenta. "Es un campo en crecimiento en el negocio de la defensa, en un momento en el que el resto del negocio se está encogiendo", afirma Peter Singer, director de la Iniciativa Defensa del Siglo XXI en el Instituto Brookings, un think-tank con sede en Washington. "Han identificado dos áreas de crecimiento: los vehículos aéreos no tripulados y lo cibernético".
Los contratistas grandes ya están contratando a mucha gente con conocimientos de seguridad informática, y las ofertas para algunos puestos dejan claro que existen oportunidades para jugar a algo más que a la defensa. El año pasado Northrop Grumman publicó anuncios buscando a gente para "planificar, ejecutar y evaluar una misión de Operación Ofensiva en el Ciberespacio" y muchos de los puestos disponibles actualmente en Northrop piden "experiencia de primera mano en operaciones cibernéticas ofensivas". Raytheon empieza sus anuncios de puestos de trabajo relacionados con la seguridad con un lenguaje diseñado para atraer al hacker informático arquetípico: "Tablas de surf, banderas pirata e insignias negras de DEFCON decoran nuestras oficinas y nuestra colección de pistolas Nerf deja en pañales a la mayoría de las tiendas de juguetes. Nuestros proyectos de investigación y desarrollo cubren todo el espectro de las tecnologías de seguridad, ofensivas y defensivas".
Este nuevo enfoque perseguido por los contratistas militares y de defensa estadounidenses quizá preocupe a algunos contribuyentes. Con más dinero público gastándose en investigar nuevas formas de atacar los sistemas informáticos, parte de ese dinero acabará en manos de personas como The Grugq para descubrir nuevas vulnerabilidades día cero. Y la escalada de un ciclo de competencia entre Estados Unidos y las agencias gubernamentales extranjeras y contratistas, podrían hacer que el mundo fuera más peligroso para los usuarios informáticos de todo el mundo.
"Todos los países fabrican armas: desgraciadamente, el ciberespacio también es así", afirma Sujeet Shenoi, director del programa Cyber Corps subvencionado por el gobierno en la Universidad de Tulsa (EE.UU.) Su programa entrena a los alumnos para trabajos gubernamentales de defensa de los ataques, pero teme que los contratistas de defensa, que también tienen interés por contratar a estos estudiantes, estén llevando la idea de la ofensiva demasiado lejos. Desarrollar un malware potente introduce la peligrosa tentación de usarlo, afirma Shenoi, que teme las consecuencias de ataques activos contra infraestructura. "Creo que quizá los tribunales civiles deberían reunirse para prohibir este tipo de ataques", sostiene.
Además, según señala Shenoi, la facilidad con que se pueden cubrir las huellas de los atacantes también aumenta el riesgo de que se usen este tipo de armas. Aún peor, incluso si un ataque usando malware no tiene éxito, existe una gran probabilidad de que una copia quede en el sistema de la víctima -por accidente o a propósito- o de que encuentre el camino hasta sistemas informáticos que no eran el objetivo inicial, como sucedió con Stuxnet. Algunas empresas de seguridad ya han identificado malware criminal que usa métodos observados por primera vez en Stuxnet (ver "Los delincuentes informáticos copian los trucos de Stuxnet").
"El paralelismo sería soltar la bomba junto con unos folletos explicando cómo se construye", afirma Singer. Calcula que alrededor de 100 países ya tienen unidades de ciberguerra de algún tipo y alrededor de 20 tienen una capacidad formidable: "Hay mucha gente jugando a este juego".