Pronto, muchos miles de millones más estarán online. Su conectividad es lo que los hace tan útiles, pero también los convierte en una pesadilla para la ciberseguridad. Los hackers ya han demostrado que pueden poner en peligro todo, desde los automóviles conectados hasta los dispositivos médicos, y se está advirtiendo algo muy imprudente: la prisa por sacar cada vez más productos al mercado está reduciendo su seguridad.
nEn su nuevo libro llamado Click Here to Kill Everybody (Haga clic aquí para matar a todo el mundo), el autor Bruce Schneier argumenta que los gobie os deben intervenir ahora para obligar a las empresas que desarrollan dispositivos conectados a hacer de la seguridad una prioridad, en lugar de una idea de última hora. Escritor de un influyente boletín informativo de seguridad y blog, Schneier es miembro del Centro Berkman Klein para Inte et y Sociedad en la Universidad de Harvard (EE. UU.) y profesor de política pública en la Harvard Kennedy School. Entre otras funciones, también forma parte de la junta directiva de la Fundación Electronic Frontier y es director de tecnología de IBM Resilient, que ayuda a las empresas a prepararse ante las posibles amenazas cibe éticas.
nSchneier habló con MIT Technology Review sobre los riesgos que corremos en un mundo cada vez más conectado y las políticas que cree urgentemente necesarias para abordarlos.
nEl título de su libro parece deliberadamente alarmista. ¿Es solo un intento para vender más?
nPuede sonar como un cebo publicista, pero intento demostrar que ahora inte et afecta al mundo de manera física directamente, y eso lo cambia todo. Ya no se trata solo del riesgo para los datos, sino para la vida y la propiedad. El título realmente señala que existe un peligro físico y que las cosas son diferentes de lo que eran hace solo cinco años.
n¿Cómo afecta este cambio a nuestra noción de ciberseguridad?
nNuestros coches, nuestros dispositivos médicos y nuestros electrodomésticos son ahora ordenadores con cosas adjuntas a ellos. Su nevera es un ordenador que mantiene las cosas frías y el microondas es un computador que las calienta. Su coche es un ordenador con cuatro ruedas y un motor. Los ordenadores ya no son solo una pantalla que encendemos y miramos, y ese es el gran cambio. Lo que era la seguridad informática, en su propio ámbito por separado, ahora es la seguridad de todo.
n
Ha creado un nuevo término, "Inte et +", para englobar este cambio. Pero ya tenemos la denominación "Inte et de las cosas" para describirlo, ¿verdad?
nNo me gustaba tener que crear otra palabra de moda, porque ya existen demasiadas. Pero "Inte et de las cosas" es demasiado limitado. Se refiere a los dispositivos conectados, termostatos y otros gadgets. Eso es solo una parte de lo que estamos hablando. Realmente se trata del término "Inte et de las cosas" más los ordenadores, más los servicios, más las grandes bases de datos que se están construyendo, más las compañías de inte et, más nosotros. He acortado todo esto en "Inte et +".
nCentrémonos en la variable "nosotros" de esa ecuación. Usted afirma en el libro que nos estamos convirtiendo en "cíborgs virtuales". ¿Qué quiere decir con eso?
nYa estamos íntimamente ligados a dispositivos como los teléfonos, que consultamos muchas veces al día, y a los buscadores, que son como nuestros cerebros online. Nuestro sistema de energía, nuestra red de transporte, nuestros sistemas de comunicaciones, están todos en inte et. Si esto se hunde, la sociedad se detiene de verdad, porque somos muy dependientes de inte et a todos los niveles. Los ordenadores aún no están ampliamente integrados en nuestros cuerpos, pero están profundamente incrustados en nuestras vidas.
n¿No podemos simplemente desenchufa os un poco para limitar los riesgos?
nEso es cada vez más difícil de hacer. Intenté comprar un coche que no estaba conectado a inte et y no lo conseguí. No es que no hubiera coches disponibles de ese tipo, pero los que estaban en el rango que yo quería tenían una conexión a inte et. Incluso si se pudiera apagar, no había garantía de que los hackers no pudieran volver a encenderlo de forma remota.
nLos hackers también pueden explotar las vulnerabilidades de seguridad en un tipo de dispositivo para atacar a otros, ¿cierto?
nExisten muchos ejemplos de esto. El botnet Mirai explotó vulnerabilidades en dispositivos domésticos como DVR y cámaras web. Los hackers los usaron para lanzar un ataque contra un servidor de nombres de dominio, que luego dejó fuera de servicio a muchas páginas web populares. Los hackers que atacaron los almacenes estadounidenses Target entraron en la red de pagos a través de una vulnerabilidad en los sistemas informáticos de un contratista que trabajaba en algunas de sus tiendas.
nEs cierto, pero estos incidentes no condujeron a la pérdida de la vida ni de la integridad física, y no hemos visto muchos casos con posibles daños físicos, ¿o sí?
nNo. La mayoría de los ataques aún implican violaciones de datos, privacidad y confidencialidad. Pero estamos entrando en una nueva era. Obviamente me preocupa si alguien roba mis registros médicos, pero ¿qué sucede si cambian mi grupo sanguíneo en la base de datos? No quiero que alguien piratee la conexión Bluetooth de mi coche y escuche mis conversaciones, pero lo que realmente no quiero es que deshabiliten la dirección. Estos ataques a la integridad y a la disponibilidad de los sistemas son por los que de verdad tenemos que preocupa os en el futuro, porque afectan directamente a la vida y a la propiedad.
nEste año en Estados Unidos se ha debatido mucho sobre las amenazas cibe éticas a las infraestructuras críticas, como las redes eléctricas y las presas. ¿Son serias estas amenazas?
nSabemos que, al menos dos veces, los hackers rusos han desconectado la electricidad de partes de la red de Ucrania en el marco de una campaña militar más amplia. Sabemos que los hackers del Estado nación han penetrado en los sistemas de algunas compañías eléctricas de EE. UU. Estos han sido exploratorios y no han causado daños, pero es posible hacerlo. Si hay hostilidades militares contra EE. UU. debemos esperar que se usen estos ataques. Y EE. UU. los usará contra sus adversarios, al igual que usamos ataques cibe éticos para retrasar los programas nucleares en Irán y Corea del Norte.
n¿Qué implicaciones tiene todo esto para nuestro enfoque actual de seguridad informática, como la aplicación de parches y la búsqueda de soluciones para errores de software?
nLos parches ayudan a recuperar la seguridad. Producimos sistemas que no son muy buenos, luego buscamos vulnerabilidades y los arreglamos. Eso funciona muy bien con su teléfono y su ordenador, porque el precio de la inseguridad es relativamente bajo. Pero ¿podremos hacerlo con un coche? ¿Está bien decir de repente que "un automóvil es inseguro, un hacker puede atacarlo, pero no se preocupe porque habrá un parche la próxima semana"? ¿Podemos hacer eso con un marcapasos cardíaco incrustado? Los ordenadores ahora afectan el mundo de una manera directa y física, no podemos permiti os esperar a esos parches.
nPero ya contamos con estándares de seguridad muy estrictos para el software que se usa en dominios ciberfísicos sensibles, como la aviación.
nCorrecto, pero es muy caro. Esos estándares están ahí porque ya hay una fuerte regulación gube amental en esta y otras industrias. En bienes de consumo no existe ese nivel de seguridad, y eso tendrá que cambiar. En este momento, el mercado no recompensa al software por ser seguro. Mientras que usted, como empresa, no gane una cuota de mercado adicional por ofrecer más protección, no va a dedicar mucho tiempo al problema.
nEntonces, ¿qué tenemos que hacer para que la era de Inte et+ sea más segura?
nNo existe ni una sola industria que haya mejorado la seguridad y la protección sin que los gobie os lo plantearan como obligación. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarla en serio. Necesitamos que el Gobie o intensifique una combinación de aspectos dirigidos a las empresas que desarrollan dispositivos conectados a inte et. Debería incluir estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones sean lo suficientemente grandes como para perjudicar seriamente las ganancias de una compañía.
n¿Pero no tienen las leyes de responsabilidad demasiado estrictas un efecto paralizador en la innovación?
nSí, frenarán la innovación, ¡pero eso es lo necesario en este momento! La innovación en el mundo de Inte et+ puede mata os. Ya congelamos la innovación en aspectos como el desarrollo de fármacos, diseño de aviones y fábricas de energía nuclear porque el precio de hacerlo mal es demasiado grande. Hemos cruzado la etapa en la que se discutía a favor o en contra de la regulación para todo lo conectado; ahora tenemos que debatir a favor de una regulación inteligente versus una estúpida.
nHay una tensión fundamental en esto: a los gobie os también les gusta explotar las vulnerabilidades con el objetivo del espionaje, orden público y otras actividades.
nLos gobie os son tanto cazadores furtivos como guardabosques. Creo que, con el tiempo, resolveremos esta tensión de larga duración entre el ataque y la defensa, pero llegar allí va a ser un camino largo y difícil.
nSu libro se centra principalmente en Estados Unidos. ¿Cree que tendrá éxito?
nMe centro en EE. UU. porque es donde se encuentran las principales compañías tecnológicas y es el régimen que mejor conozco, pero también hablo un poco de Europa. La Unión Europea es la superpotencia reguladora del planeta en este momento. Creo que avanzará más rápido que EE. UU. En Estados Unidos analizo más a los estados, específicamente a Massachusetts, Nueva York y Califo ia.
nTambién creo que habrá tratados y normas inte acionales que alejen de los ataques cibe éticos del Estado nación algo de nuestra infraestructura conectada, al menos en tiempos de paz. Necesitamos medidas urgentemente a todos los niveles, desde el local hasta el inte acional. Mi mayor temor es que ocurra un desastre cibe ético y que los gobie os, sin pensarlo mucho, se apresuren a implementar medidas que no resuelvan el problema.
n