“El riesgo es tratar de controlar algo sobre lo que no tienes poder”. Eric Clapton
Hemos sabido esta semana que Pegasus, el programa de NSO, se ha empleado más allá de los límites que debería imponer la ética. En origen, Pegasus no es más (ni menos) que un spyware o software espía que se aloja en el terminal del usuario y monitoriza toda su actividad; se desarrolló aprovechando una vulnerabilidad de WhatsApp, la aplicación de mensajería electrónica más importante del mundo, y con el objetivo explícito de controlar las comunicaciones de terroristas. Así, sólo se ofrecía a gobiernos que pudiesen necesitarlo. Sin embargo, parece que la supuesta amenaza terrorista ha ido mucho más allá, y personalidades y jefes de estado de todo el mundo habrían sido controlados gracias a este software. Recordemos que un programa espía de este tipo sólo necesita una de estas dos condiciones para trabajar: recuperar físicamente el terminal del sujeto y modificarlo, o instalar de forma remota el caballo de Troya. Para ello, es imprescindible la colaboración, siquiera involuntaria, del afectado, que debe necesariamente pinchar algún vínculo recibido por WhatsApp. Como quiera que la primera opción es prácticamente imposible, lo normal es que Macron o Jeff Bezos cayeran en la trampa del link malicioso. A partir de ese mismo momento, toda la información del dispositivo, y no importa cuál sea el sistema operativo, queda a merced de los espías.
Esta es sólo la punta de lanza mediática de lo que, ahora mismo, supone la tercera amenaza global, de acuerdo la encuesta que la aseguradora AXA viene realizando desde hace ocho años entre directivos de todo el mundo. Ya en 2015, el entonces presidente y director ejecutivo de IBM declaró que "la delincuencia cibernética es la mayor amenaza para todas las empresas del mundo". Warren Buffet fue un poco más allá, al decir que los ataques cibernéticos son el problema número uno con la humanidad, incluso mayor que las armas nucleares. Durante el primer trimestre de 2021, los ciberataques se multiplicaron, amplificados por el alza de muchas criptomonedas en el mercado, la moneda en la que se suelen cobrar los rescates. Es curioso cómo la evolución del Bitcoin está asociada a la de lo ataques de denegación de servicio; así, una caída de la cotización de la cripto de referencia va seguida de un incremento inmediato de estos ciberataques, mientras que su disparo al alza en febrero y marzo pasados llevó aparejada una disminución muy importante de los mismos.
Evolución del número de ataques DDoS (arriba) y del precio del BTC contra el USD (abajo)
La modalidad de los ataques de secuestro de equipos adquirió fama internacional en mayo de 2017 con el ransomware Wanna Cry, que afectó a unos 250.000 equipos de todo el mundo en sólo veinticuatro horas. “Vaya, sus archivos importantes están cifrados” era el mensaje que miles de trabajadores de Telefónica, Renault o el Servicio de Salud británico recibían en sus terminales. El gusano se extendía a una endiablada velocidad, contagiando a unos 10.000 terminales cada hora. Cientos de cirugías tuvieron que ser aplazadas en el Reino Unido, por ejemplo. De nuevo, el virus explotaba una debilidad del sistema, en este caso una antigua falla de seguridad de Windows para la que existía solución (el parche) pero que, por esa mezcla de pereza y descuido, y la fe en el pensamiento mágico de que los malos no me atacarán a mí, provocó la mayor caída de sistemas de la historia, con daños valorados en unos 4.000 millones de dólares. En la memoria de todos está también la caída del Servicio Público de Empleo Estatal, el SEPE, el pasado mes de febrero durante más de dos semanas y que se repitió en el Ministerio de Trabajo tres meses después. El ransomware ruso Ryuk llega adjunto en un correo electrónico y, tras infectar al primer huésped, salta por todos los ordenadores enganchados a la misma red, infectándolos uno por uno.
Cada vez más dispositivos están enganchados a Internet. Hemos pasado de 6.900 millones de personas y 12.500 millones aparatos conectados a la red en 2010 a unos 7.800 millones y 26.300 millones, respectivamente, en 2021. Los riesgos se multiplican con los beneficios de la conexión. El mercado de la ciberseguridad sigue creciendo, tratando de dar respuesta a un incremento en la ciberdelincuencia. Los ataques a AXA, la aseguradora especializada en ciberriesgos, al gasoducto de Colonial en los EEUU (que pagó el rescate de 75 BTC a las pocas horas para recuperar el control), o a JBS Foods, el mayor proveedor de carne del mundo, nos recuerdan que nadie estamos a salvo. Como en el caso del coronavirus, nuestra actitud es la primera barrera contra su propagación.