PorEnrique Amestoy (Desde Uruguay)
“Si un gobierno llega a la conclusión de que debe realizar ciberataques por intereses nacionales o por seguridad podría decirse que es una opción civilizada” señalaba hace algunos meses el ex ministro de estado para las Fuerzas Armadas británico Nick Harvey. Sin balas, ni ejércitos convencionales los nuevos formatos de guerra son potencialmente más devastadoras que las tradicionales.
El siglo XXI al igual que toda la historia de la humanidad ha sido signado por conflictos bélicos de mayor o menor envergadura. Afganistán, Irak, Chiapas, la insurgencia en el Magreb, la guerra civil Siria o la invasión a Libia son apenas un puñado de ejemplos donde las guerras convencionales se han desarrollado. Sangre derramada, territorios conquistados, espacios de poder económicos y políticos ganados o perdidos en diferentes escenarios. Mucho hemos leído sobre todos y cada uno de estos acontecimientos. Quizá menos conocidos son los nuevos modelos de guerras “sin balas”. El 3 de junio de 2012 concluyó en Singapur la Conferencia Asiática de Seguridad con una advertencia sobre la creciente amenaza de la «ciberguerra» y la necesidad de reforzar la protección marítima en momentos en que la región toma cada vez mayor importancia a nivel mundial. Los ejemplos utilizados como motivos fueron los ataques de EEUU a Irán y los regulares ataques a sistemas de vigilancia entre Corea del Norte y Corea del Sur. «El control y dominio del ciberespacio es hoy primordial antes y durante cualquier despliegue militar», señaló el ministro malayo de Defensa, Ahmad Zahih Hamidi.
Mientras tanto Nick Harvey indicó en su intervención que los ciberataques con carácter preventivo para neutralizar supuestas amenazas contra la seguridad nacional son un recurso a tener en cuenta. «Diré que, si un Gobierno llega a la conclusión de que precisa hacerlo por intereses nacionales o por seguridad, enviar un efecto contra un adversario podría decirse que es una opción civilizada», señaló Harvey, miembro del panel que abordó los nuevos escenarios bélicos que surgen en el siglo XXI. «Es necesario una cerrada cooperación entre el Estado y el sector privado en este escenario, y además un esmerado trabajo de los servicios de Inteligencia», señalaba Peter Gordon Mackay, Ministro de Asuntos Exteriores de Canadá. Por su parte, el ministro malasio de Defensa dijo a sus homólogos y expertos que se dieron cita en la conferencia, denominada Diálogo de Shangri-La, que, aunque la ciberguerra ha empezado, la mayoría de los Estados están escasamente preparados para ella, sobre todo en materia de inteligencia. En el mes de junio del 2011 la policía española anunciaba haber desarticulado a la “cúpula” de “hacktivistas” de Anonymous que operaba en España. La prensa y portales web indicaban que las investigaciones permitirán concluir si también incurrieron en revelación de secretos. En las requisas practicadas se intervinieron un gran número de programas para crear malware e infectar computadoras de terceros. «Esta investigación supone la primera operación policial en España contra Anonymous y cuenta con precedentes similares únicamente en EEUU y Reino Unido, debido a las complejas medidas de seguridad que toman sus miembros para salvaguardar su anonimato», señalaba la Policía española. Mucho se ironizó en internet sobre el concepto de “cúpula” de una organización de ciber activistas o ciber atacantes.
Durante la nacionalización de hidrocarburos en Venezuela, en el año 2003, la derecha organizó un paro petrolero que durante varios meses paralizó la economía del país. El PIB registró una caída de 15,8% durante el cuarto trimestre de 2002, y de 24,9%, durante el primer trimestre de 2003. En el sector petrolero la caída del PIB fue de 25,9% y 39,3% respectivamente. El estado trató de recuperar el control de su industria pero la “cabeza” de PDVSA estaba controlada por empresas privadas de software privativo que impedían la recuperación del control de la industria. Todo un país sometido y bloqueado a través del control del software. En febrero de 2010 la Cámara de Representantes de los EEUU aprobaba por mayoría un presupuesto cercano a los 400 millones de dólares destinado a mejorar y reclutar nuevos elementos para su “ejercito virtual”. El pasado 26 de abril de 2012 la cámara baja norteamericana aprobó «Cyber Intelligence Sharing and Protection Act» (CISPA o HR-3523), proyecto que permite el intercambio de información de tráfico por “seguridad”. Empresas como Microsoft, Facebook, Intel, AT&T o Verizone han apoyado decididamente esta enmienda a la Ley de Seguridad Nacional. Tanto SOPA como PIPA se encuentran latentes y su aprobación significaría legitimar el control de la red y un enorme ataque a las libertades individuales tras la excusa de la lucha contra la piratería o la Seguridad Nacional.
El Ejército de defensa de Israel, Tsahal, aporta una contribución decisiva a la seguridad de la información a través de sus centros de investigación organizados en espacios cooperativos. La tecnología nace y se desarrolla en el seno de sus unidades especiales y secretas: Mamram o unidad 8200. Estos centros militares son el semillero de varias centenas de expertos que luego se distribuyen en el Silicon Valley (nombre asociado con el territorio en los EEUU donde históricamente se instalan la mayoría de las empresas informáticas) israelí guardando un contacto permanente con el ejército gracias a los períodos militares obligatorios. La selección de los futuros genios es realizada bien temprano en el ciclo escolar israelí puesto que desde los 10 años, algunos alumnos ya son seleccionados y orientados hacia los liceos tecnológicos que los convertirán en «animales informáticos». Los jóvenes postulantes son detectados por institutores y guiados desde muy jóvenes por la universidad antes de ser movilizados en esas unidas militares especiales.
En junio de 2010 Stuxnet tomaba estado público como el gusano o virus informático espía responsable del ataque al programa nuclear iraní. Fueron muchos los comentarios en la prensa y absoluto el silencio por parte de los gobiernos de Israel y EEUU. “The New York Times” apuntaba sin embargo a la responsabilidad de ambos países en la creación y propagación del virus. Se indicaba que en una central nuclear al sur de Israel se ensayaba con el virus con el objetivo de sabotear centrales nucleares en Irán. Mahmud Alyaee, secretario general de los servidores informáticos industriales de Irán, incluidos los que sirven para el control de las instalaciones nucleares, confirmó el 25 de setiembre de 2010 que 30.000 computadoras instaladas en complejos industriales fueron infectadas con el virus al punto de volverlas inoperantes. Sin embargo Stuxnet no está solo: se lo menciona como integrante de una familia de al menos cinco armas cibernéticas donde Duqu, Flame, descubierto hace un par de meses o Gauss, descubierto hace pocos días en Oriente Medio como un voraz virus capaz de espiar transacciones bancarias e incluso atacar infraestructura crítica, parecen ser de las más complejas. El 11 de agosto de 2012 el portal elmundo.es indicaba que “El experto en guerra cibernética, director de una pequeña empresa de seguridad (Taia Mundial), Jeffrey Carr, señaló que el gobierno de EE. UU. siempre ha monitoreado los bancos libaneses. La idea era buscar pistas sobre las actividades de grupos militantes y cárteles de la droga. Carr indicó que, probablemente, Gauss fuese una adaptación de la tecnología desplegada en Flame.”
El escenario de la ciberguerra se hace mucho más complejo cuando el espionaje y ataque no solamente es realizado desde los gobiernos: es imposible calcular cuántos son los ciber-mercenarios o “locos sueltos” que juegan a la guerra, a vulnerar sistemas informáticos o a bloquear computadoras en el mundo entero; en muchos casos sin responder a un Estado, organización o estrategia de guerra alguna. Es claro, sin embargo, que los Estados deben tomar muy en serio las nuevas amenazas para poder diseñar estrategias de Defensa Nacional capaces de desarticular estos ataques no tradicionales. En la web del Centro de Estudios de Software Libre del Uruguay (CESoL) se señala que “El Estado tiene la responsabilidad y la obligación de velar por los derechos de los ciudadanos. La forma de adquisición y desarrollo de software en el Estado no escapa a esta obligación. En tal sentido entendemos que dichos derechos se pueden analizar en el entorno de 3 grandes ejes: la generación de conocimiento, la mejora de la gestión y la reducción de costos.” Los países miembros del MERCOSUR, en diferentes estadios de desarrollo, han legislado e implementado Software Libre en el Estado. La defensa de la Soberanía Nacional es tema central en el desarrollo de políticas de Estado. Integrantes de CESoL señalan la “importancia geopolítica” de que el Uruguay tome el tema del Software Público como política de Estado.
¿Por qué se indica la necesidad de la utilización de Software Libre en el Estado?
El Software Libre tiene la particularidad de no ser una “caja negra” de lo que solamente conocemos un paquete o un DVD (como es el caso de Windows, Autocad, Office, un juego, el propio antivirus o programas que se utilizan en computadoras de gran parte del país y el mundo) y nada sabemos de cómo funciona: podemos llegar a saber QUE hace pero nunca COMO lo hace. Tampoco tenemos acceso al conocimiento de cómo fue programado ni que cosas hace dicho programa mientras lo estamos utilizando (cualquier programa, un procesador de textos por ejemplo, puede estar revisando todo nuestro disco duro, leyendo archivos o direcciones de correo y eventualmente enviándolos por la red mientras escribimos una carta, sin que logremos percibirlo). El Software Libre incluye, además del binario o programa que ejecutamos (los conocidos archivos .EXE) el código fuente (todo lo que escribieron los programadores para generarlo) y está expresamente permitido leer dicho código, realizar cualquier tipo de investigación o modificación así como compartirlo con o sin las modificaciones, con otros usuarios o instituciones. La creación y utilización por parte del Estado de Software Libre permite saber exactamente y sin ningún lugar a equívocos las funciones que dicho programa ejecuta. Podemos investigar, probar sus vulnerabilidades, modificarlo, corregirlo, compartirlo con otros organismos estatales. ¿Alguien puede imaginar que los sistemas de Defensa Nacional yankies sean manejados por programas creados por terceros a modo de “caja negra”? Toda la maquinaria bélica actual está controlada por computadoras y ellas ejecutando programas: ¿Podemos garantizar la Soberanía Nacional, por ejemplo, en computadoras y programas utilizados por nuestro Ministerio de Defensa, Ministerio del Interior o Banco de la República, si utilizamos programas desarrollados bajo licencias de copyright privativas? ¿Cómo nos defendemos de eventuales ciberataques (sean de “locos sueltos”, de trasnacionales o de ciberejércitos) utilizando programas adquiridos en cajas negras?
El pasado 20 de setiembre el nunca bien ponderado semanario Búsqueda informaba que luego de quince años de no estar presentes en nuestro país (al menos en forma pública), la DEA instala sus oficinas en el Uruguay. La CIA no tiene necesidad de tener oficinas en nuestro país, puede espiarnos y controlarnos a través de internet pero sin embargo pusieron una pata en el país, el argumento: apoyar en el control del tráfico de drogas. De paso cañazo las fuentes citadas por el semanario le dan con un palo a los proyectos de autocultivo de canabis o de cultivo y control por parte del Estado. Es claro que este tema deberá ocupar un capítulo aparte, pero uno se pregunta: ¿Sabemos quiénes y de qué manera nos controlan por internet? ¿Estamos preparados para repeler ciberataques como los sufridos por Irán o Venezuela? ¿Está el tema del control del software desarrollado y utilizado por el Estado en la agenda política? ¿Esperaremos a que sea tarde, como le sucedió a PDVSA o al programa nuclear iraní, para tomar medidas? Es muy claro que vamos lento (por no decir que no estamos moviéndonos) y que estos temas no ocupan la agenda de la mayoría de los tomadores de decisiones. Pareciera ser muy claro también que no deberíamos continuar dejando pasar el tiempo para no tener luego que ir a llorar al cuartito.