"Un ejército sin espías es como un hombre sin ojos y sin oídos"
Chia Lin, citado por el maestro Sun Tzu en "El arte de la guerra"
EE UU legisla para que las empresas puedan intercambiar con el Gobierno los datos de usuarios. La necesidad de defender un país ante la amenaza de los ataques informáticos y garantizar las libertades de los ciudadanos, su privacidad en la Ley de Protección e Intercambio de Inteligencia Cibernética (CISPA, por sus siglas en inglés) fue presentada originalmente por un congresista demócrata y otro republicano, en una muestra del interés de los dos partidos por regular este ámbito. La legislación permite que compañías privadas que operan en la red intercambien información sobre los usuarios con las agencias federales, bajo la justificación de un posible ataque informático. El Gobierno, a cambio, también puede entregar datos significativos a las empresas para que puedan proteger sus sistemas. Los republicanos, por su parte, alegan que CISPA resulta imprescindible para actuar como escudo para evitar un Pearl Harbour informático.
Los defensores de CISPA insisten en que la legislación persigue cinco objetivos muy concretos: garantizar la protección de los sistemas informáticos del país; investigar y perseguir los crímenes cibernéticos; evitar ataques contra la seguridad personal y física de los ciudadanos; prevenir delitos relacionados con la explotación sexual, la pornografía infantil y el secuestro de menores a través de la red, y proteger la seguridad nacional. Las compañías no están obligadas a compartir sus datos si no lo desean, del mismo modo que el Estado, en principio, tampoco puede exigirles que se los cedan.
La CISPA establece además que únicamente se puede transmitir información relacionada con posibles amenazas informáticas o que pueda suponer un riesgo para la seguridad nacional, como datos personales incluidos en correos electrónicos, mensajes de texto o cualquier otra forma de comunicación o intercambio electrónico. Facebook o Twitter podrían intercambiar el contenido de los muros o los mensajes de sus usuarios con las agencias de inteligencia siempre que consideren que su contenido supone un riesgo para la seguridad informática del país. Este apartado ha llevado a los detractores de la legislación a apodarla ley de ‘ciberespionaje’ -en vez de ciberseguridad- ya que, según varias organizaciones, la normativa permite el intercambio de información por encima de las garantías actuales y que impiden, por ejemplo, entregar datos relativos a llamadas telefónicas o historiales médicos.
Ciberguerra
Los principales gobiernos del mundo construyen defensas informáticas ante eventuales ciberataques a sus infraestructuras críticas.
Una guerra tradicional está compuesta por dos o más estados enemigos que se atacan entre sí en un entorno físico. Hoy en día, este entorno no está tan delimitado y, en ocasiones, no se conoce exactamente quién es el enemigo o a qué intereses representa. En el entorno digital, estos ataques se complican todavía más, ya que detrás de una acción puede haber grupos de expertos en seguridad financiados por un gobierno, pero también por un grupo de interés o presión dependiente de una multinacional. Todo indica que las guerras del futuro serán informáticas, pero no solo entre estados, también entre corporaciones.
Primeros ataques masivos
En abril de 2007, una serie de ataques informáticos contra sitios de Internet del Gobierno estonio dejaron fuera de servicio numerosas páginas gubernamentales, de partidos políticos y de algunas de las principales empresas del país, como conglomerados mediáticos y bancos. Este ataque, realizado mediante acciones de denegación de servicio (DDoS), está considerado como uno de los mayores realizados contra un país.
Según el Gobierno de Estonia, el ataque, orquestado en tres oleadas, supuso la intervención de un millón de ordenadores en diferentes botnets. La reacción del Ejecutivo estonio fue acusar del ataque a Rusia, debido a una polémica surgida esos días sobre la reubicación de un monumento soviético en la ciudad de Tallin. A pesar de estas acusaciones, aún no está claro quién realizó las agresiones.
Un año más tarde, nuevos ataques informáticos tumbaron sitios web de información, como cadenas de radio y televisión, en Osetia del Sur, Rusia, Georgia y Azerbaiyán, en el marco del conflicto de Rusia con Osetia del Sur. También se implicó al Gobierno ruso, aunque no está clara su participación. Estos ataques supusieron que los ministros de Defensa de los países de la OTAN tomaran en consideración la importancia de la seguridad informática en ataques militares y civiles.
¿Acciones de guerra?
Desde 2008, la OTAN cuenta en Estonia con un Centro de Excelencia para la Cooperación en Ciberdefensa, con el fin de coordinar proyectos de investigación y desarrollo sobre ciberdefensa en el entorno militar. Por su parte, Estados Unidos estudia catalogar los ataques informáticos como acciones de guerra, lo que plantea que una acción informática contra infraestructuras críticas norteamericanas pueda responderse mediante el uso de armas convencionales.
Sin embargo, no todos los expertos en seguridad informática coinciden en que los sabotajes o ataques informáticos contra estos objetivos puedan considerarse una acción de guerra en el sentido clásico, ya que existen otros fenómenos, como el espionaje industrial o la delincuencia, donde también se utilizan.
Hoy en día, usuarios con conocimientos técnicos y un equipamiento adecuado pueden causar graves daños a infraestructuras informáticas, pero los ataques más sofisticados no son indiscriminados ni utilizan la llamada fuerza bruta, como puede ser el caso de un ataque DDoS. Normalmente, las redes que necesitan una alta seguridad, como pueden ser las que utilizan los bancos o las que controlan el transporte público, no están conectadas a Internet con el objetivo de aumentar su seguridad, fiabilidad y por cuestiones económicas.
El Pentágono usa diferentes redes informáticas propias, desconectadas de Internet, para la transmisión de información. Dos de las más conocidas son NIPRNet, para el tráfico sin clasificar, y SIPRNet, que utiliza un entorno más seguro en las comunicaciones, para los documentos clasificados. Esta red es la que emplean las embajadas de Estados Unidos para el envío de cables diplomáticos y es una de las redes a las que se supone que accedió el sargento Bradley Manning para copiar los cables diplomáticos publicados en 2010 por WikiLeaks. Otra de ellas es JWICS, para transmisión de documentos clasificados como "Top Secret".
Ataques a Irán
En 2010, un gusano informático denominado Stuxnet atacó los ordenadores de los sistemas de monitorización y control industrial de Siemens. Según la empresa, la mayor parte de los aparatos atacados por este virus se encuentran en Irán, por lo que se especula que el objetivo principal del ataque eran centrales y complejos nucleares de este país. Este virus es uno de los más complejos descubiertos hoy en día, debido a la cantidad de vulnerabilidades que explota, algunas de ellas no conocidas anteriormente, así como por el nivel de conocimiento técnico y de los procesos industriales que ataca.
Por tanto, se cree que es un virus desarrollado por un gran número de expertos en seguridad con altos conocimientos en redes, sistemas operativos y procesos industriales. Según algunos medios, este virus fue desarrollado por expertos de Israel y Estados Unidos para atacar el programa nuclear de Irán y es uno de los principales causantes del retraso del plan atómico iraní.
Además, estas guerras informáticas también afectan a otros dispositivos y sistemas gestionados por ordenadores, como los Drones, los aviones no tripulados desarrollados por Estados Unidos y que ya suponen uno de cada tres aviones utilizados en combate por este país. A finales de 2011, un avión de estas características fue capturado por Irán mediante el uso de un virus informático con el que interfirieron sus comunicaciones en un ciberataque (ver: Irán copia el drone espía derribado a EEUU a pesar de que la Casa Blanca negó en su día la capacidad del país islámico para reproducirlo ).
