Ads-728

Ads-728

Psicología

Astrofísica

Genética

Neurociencia

» » » Seguridad informática: ¿Comienza la guerra cibernética? (2)


Probables secuelas

Entonces, ¿quién? Nunca se va a descubrir. La investigación activa de Stuxnet llegó a su fin en febrero de 2011, cuando Symantec publicó una actualización final para su informe definitivo sobre el virus, con información clave sobre su ejecución, líneas de ataque y su propagación en el tiempo. Microsoft hacía tiempo que había parcheado los agujeros de seguridad que explotó Stuxnet, y todas las compañías antivirus han actualizado a sus clientes de un sistema inmune digital con la capacidad de reconocer y cerrar el sistema a Stuxnet. Las nuevas infecciones son poco comunes, aunque se seguirán produciendo, y tendrán que pasar varios años antes de que todas los ordenadores con acceso a los controladores de Siemens sean parcheados.

Ahora Stuxnet se ha dejado de ser una amenaza grave, sin embargo, los expertos en seguridad cibernética siguen preocupados por las vulnerabilidades tan grandes que se han expuesto. Básicamente, Stuxnet estableció un modelo para futuros atacantes para aprender e incluso mejorar, comentan muchos de los investigadores que lo han estudiado. "En cierta forma, se abrió la caja de Pandora con el lanzamiento de este ataque", añade Langner, con sus sospechas acerca de Estados Unidos. "Y ya no es posible dar marcha atrás."

Los expertos en seguridad cibernética están mal preparados para dicha amenaza, en parte porque carecen de vínculos con la gente que entiende los sistemas de control industrial. "Tenemos realmente dos mundos muy distintos que tradicionalmente no se han comunicado", dice Eric Byres, co-fundador y director de tecnología de Seguridad Industrial Tofino en Lantzville, Canadá. Él aplaude a Symantec, a Langner y los demás por haber llegado a esa brecha. Pero el esfuerzo requerido para hacer esas conexiones retrasó considerablemente la investigación.

Esta brecha se extiende a los departamentos universitarios de informática, apunta Byres. Los investigadores tienden a mirar el control de seguridad industrial como un problema técnico, en lugar de un problema que requiere atención científica seria. Así que, cuando los estudiantes de postgrado expresan su interés por el estudio de, por ejemplo, criptografía y controles industriales, se les dice que el tema no es un desafío lo suficientemente difícil para un proyecto de tesis.

"No estoy al tanto de si la inversión en investigadores académicos ha sido significativa en el estudio de Stuxnet", acuerda Andrew Ginter, director de seguridad industrial para el North American group of Waterfall Security Solutions, con sede en Tel Aviv, Israel. Prácticamente, los investigadores sólo hacen este tipo de trabajo en entornos industriales o gubernamentales, entre ellos el equipo del Laboratorio Nacional de Idaho, trabajando en un sistema de próxima generación llamada Sophia, que trata de proteger los sistemas de control industrial frente a las amenazas de Stuxnet, así como la detección de anomalías en la red.

Una barrera para los académicos que trabajan en seguridad cibernética es el acceso al malware del que deben proteger. Eso no fue ningún problema para el mismo Stuxnet, ya que su código fue publicado en la web poco después de que fuera identificado por primera vez. Pero, en general, las garantías que Symantec y otras empresas ponen en práctica en sus laboratorios de seguridad, para proteger la fuga de malware, también puede, inadvertidamente, ser una barrera para los investigadores que necesitan de su estudio. "Si se está haciendo una investigación sobre agentes biológicos, son grupos reducidos los que los tienen y que estén dispuestos a compartirlo, pues lo mismo pasa con el malware", observa Anup Ghosh, científico jefe en el Centro de Seguridad de Sistemas de Información en la Universidad George Mason en Fairfax, Virginia. "Para avanzar en este campo, los investigadores necesitan tener acceso a conjuntos de datos de buena calidad", añade Ghosh, que fue director del programa Defense Advanced Research Projects Agency de EE.UU., y ahora trabaja en un detector de malware diseñado para identificar virus basándose en su comportamiento, y no en los patrones específicos en su código, conocidos como firmas.

A los investigadores académicos también les inhiben una cierta aprensión sobre las armas digitales, según Herb Lin, jefe científico de Informática y de Telecomunicaciones de US National Research Council en Washington DC. Entender cómo protegerse contra ataques cibernéticos, puede ayudar a saber cómo los cometen. No obstante, enseñar a los estudiantes de posgrado a escribir malware es "muy controvertido", aduce. "La gente suele objetar, '¿Qué quieres decir: ¿formar a los hackers?'

Preparando el próximo ataque

El año pasado, un estudio realizado por el grupo JASON, que asesora al gobierno de EE.UU. en materia de ciencia y tecnología, y en defensa, plantearon los grandes desafíos para la seguridad cibernética (JASON Science of Cyber-Security, MITRE Corporation, 2010). Quizá lo más importante fue la conclusión del "poco desarrollo en informar de los resultados experimentales, y por consiguiente, en la capacidad de utilizarlos".

Roy Maxion, un informático de Carnegie Mellon University en Pittsburgh, Pennsylvania, quien instruyó a JASON, va más allá, al decir que la ciberseguridad carece de rigor científico. Los profesionales médicos de los últimos 200 años, se han transformado ellos mismos, desde proveedores de sanguijuelas a científicos modernos, basándose en una medicina centrada en las evidencias, señala. "En informática y, concretamente, en seguridad informática, ese tren aún no está a la vista."

La informática se ha desarrollado en gran medida como una colección de lo que Maxion denomina "trucos elegantes de salón". Por ejemplo, en una conferencia, se mostraba cómo los investigadores podían leer la pantalla del ordenador mirando los reflejos de las ventanas y de otros objetos. "Desde el punto de vista práctico, cualquier persona puesta en el asunto diría, ¡puf!", continuó. "En los sitios donde ellos no quieren que tú sepas algo, no hay ventanas... pero, bueno, esa era la moda ese año."

Maxion ve una necesidad urgente de que la informática y la seguridad incluyan cursos sobre métodos de investigación tradicionales, como el diseño experimental y las estadísticas, ninguno de los cuales se exige actualmente. "¿Por qué importa esto?", se pregunta. "Porque no tenemos una base científica par investigar fenómenos del calibre de Stuxnet, o del tipo de defensa que pueda ser eficaz contra ello."

También es preocupante la mediocre respuesta dada por el gobierno de EE.UU. para el virus (suponiendo que no fuera su autor). Stuxnet representa una nueva generación de arma cibernética que podría volverse en contra de los objetivos de EE.UU., pero no hay evidencia de que el gobierno está haciendo los preparativos necesarios para este tipo de ataque, pongamos por ejemplo, la planificación de una respuesta coordinada que aúne los recursos de universidades, institutos de investigación y empresas privadas.

Otros países parecen estar tomándose más en serio esta amenaza. Algunas universidades de China y colegios profesionales, habrían forjado fuertes vínculos con los militares para trabajar en seguridad cibernética. Israel también parece estar explotando sus conocimientos en computación para la seguridad nacional. Pocos meses antes del descubrimiento de Stuxnet, Yuval Elovici, informático científico y director de laboratorios Deutsche Telekom, en la Universidad Ben Gurion del Negev en Beersheba, Israel, declaró que estaba trabajando en estrecha colaboración con el Ministerio de Defensa en materia de ciberseguridad. Él, proféticamente, advirtió que la próxima ola de ataques cibernéticos se dirigirían a las infraestructuras físicas. "¿Qué pasaría si hubiera una inyección de código en un SCADA? ¿Qué pasa si alguien lo activara de repente?" preguntaba Elovici. Él y otros expertos han venido advirtiendo, desde hace varios años, que un ataque así a los sistemas SCADA de control de la red eléctrica, podría provocar apagones en todo el país, o que los sistemas de seguridad de las centrales puedan ser anulados, causando paradas o accidentes graves. Interrupciones similares podrían llegar a los sistemas de agua y alcantarillado, incluso en las plantas de procesamiento de alimentos.

Este tipo de ataques, advirtió Elovici, son algo muy real, y a la vez, muy subestimados. Asked how bad one would be, Elovici was unequivocal. Al preguntarle cómo de malo sería, la respuesta de Elovici fue inequívoca. "Creo, dijo, que su impacto sería más fuerte que el poner varias bombas atómicas sobre las ciudades más importantes." 

- Esta es la Segunda parte del artículo | Ir a la Primera parte -


,

«
Next
Entrada más reciente
»
Previous
Entrada antigua
Editor del blog Pedro Donaire

Filosofía

Educación

Deporte

Tecnología

Materiales