Home Opinión Un ciberataque podría causar una destrucción comparable a la de un arma...

Un ciberataque podría causar una destrucción comparable a la de un arma nuclear

Por Jeremy Straub*

Como alguien que estudia la ciberseguridad y la guerra de la información, me preocupa que un ciberataque con un impacto generalizado, una intrusión en un área que se propaga a otros o una combinación de muchos ataques más pequeños, pueda causar daños significativos, incluyendo lesiones masivas y muertes que rivalizan con el número de muertes de un arma nuclear.

A diferencia de un arma nuclear, que vaporizaría a la gente a menos de 100 pies y mataría a casi todos en un radio de media milla, el número de víctimas de la mayoría de los ciberataques sería más lento. La gente puede morir por falta de comida, electricidad o gas para calefacción o por accidentes automovilísticos resultantes de un sistema de semáforos corrupto. Esto podría ocurrir en una zona muy extensa, con el resultado de lesiones masivas e incluso muertes.

Esto puede sonar alarmista, pero mira lo que ha estado sucediendo en los últimos años, en Estados Unidos y en todo el mundo.

A principios de 2016, los ciberdelincuentes tomaron el control de una planta de tratamiento de agua potable en Estados Unidos y cambiaron la mezcla química utilizada para purificar el agua. Si se hubieran hecho cambios – y hubieran pasado desapercibidos – esto podría haber conducido a envenenamientos, a un suministro de agua inutilizable y a una falta de agua.

En 2016 y 2017, los piratas informáticos cerraron importantes secciones de la red eléctrica de Ucrania. Este ataque fue más leve de lo que podría haber sido, ya que no se destruyó ningún equipo durante el mismo, a pesar de la capacidad de hacerlo. Los oficiales creen que fue diseñado para enviar un mensaje. En 2018, los ciberdelincuentes desconocidos obtuvieron acceso en todo el sistema eléctrico del Reino Unido; en 2019, una incursión similar podría haber penetrado en la red de Estados Unidos.

En agosto de 2017, una planta petroquímica de Arabia Saudita fue atacada por hackers que trataron de volar equipos tomando el control de los mismos tipos de electrónica utilizados en instalaciones industriales de todo tipo en todo el mundo. Apenas unos meses después, los hackers cerraron los sistemas de monitoreo de los oleoductos y gasoductos a través de los EE.UU. Esto causó principalmente problemas logísticos – pero mostró cómo los sistemas de un contratista inseguro podrían causar problemas a los primarios.

El FBI incluso ha advertido que los ataques a instalaciones nucleares, son cada vez más frecuentes. Una instalación nuclear comprometida podría dar lugar a la descarga de material radiactivo, productos químicos o incluso a la fusión de un reactor. Un ciberataque podría causar un evento similar al incidente de Chernobyl. Esa explosión, causada por un error involuntario, causó 50 muertes y la evacuación de 120.000 personas y ha dejado partes de la región inhabitables durante miles de años en el futuro.

Mi preocupación no es minimizar los efectos devastadores e inmediatos de un ataque nuclear. Más bien, es para señalar que algunas de las protecciones internacionales contra los conflictos nucleares no existen para los ciberataques. Por ejemplo, la idea de “destrucción mutua asegurada” sugiere que ningún país debe lanzar un arma nuclear contra otro país con armas nucleares: El lanzamiento probablemente sería detectado, y la nación objetivo lanzaría sus propias armas en respuesta, destruyendo ambas naciones.

Los atacantes cibernéticos tienen menos inhibiciones. Por un lado, es mucho más fácil disfrazar la fuente de una incursión digital que esconderse donde se encuentra una misión.

Los atacantes cibernéticos tienen menos inhibiciones. Por un lado, es mucho más fácil disfrazar el origen de una incursión digital que ocultar el lugar desde donde se disparó un misil. Además, la guerra cibernética puede empezar de a poco, apuntando incluso a un solo teléfono o portátil. Los ataques de mayor envergadura podrían dirigirse contra empresas, como bancos u hoteles, o contra una agencia gubernamental. Pero eso no es suficiente para escalar un conflicto a la escala nuclear.

Existen tres escenarios básicos sobre cómo podría desarrollarse un ciberataque de grado nuclear. Podría comenzar modestamente, con el servicio de inteligencia de un país robando, borrando o comprometiendo los datos militares de otra nación. Las sucesivas rondas de represalias podrían ampliar el alcance de los ataques y la gravedad de los daños a la vida civil.

En otra situación, una nación o una organización terrorista podría desencadenar un ciberataque masivo y destructivo, dirigido contra varias empresas de electricidad, instalaciones de tratamiento de agua o plantas industriales a la vez, o en combinación entre sí para agravar el daño.

Quizá, la posibilidad más preocupante, sin embargo, es que pueda ocurrir por error. En varias ocasiones, los errores humanos y mecánicos casi destruyen el mundo durante la Guerra Fría; algo análogo podría ocurrir en el software y el hardware del reino digital.

Un ciberataque no se lanzaría desde la consola de un operador nuclear, como el que se muestra aquí desde el sitio clausurado de Oscar Zero, sino a través del ciberespacio. Un humano podría no ser necesario.

Así como no hay manera de protegerse completamente contra un ataque nuclear, sólo hay maneras de hacer que los ciberataques devastadores sean menos probables.

La primera es que los gobiernos, las empresas y las personas comunes necesitan proteger sus sistemas para evitar que los intrusos externos encuentren su camino y luego exploten sus conexiones y acceso para bucear más profundamente.

Los sistemas críticos, como los de los servicios públicos, las compañías de transporte y las empresas que utilizan productos químicos peligrosos, deben ser mucho más seguros. Un análisis encontró que sólo una quinta parte de las compañías que usan computadoras para controlar maquinaria industrial en los EE.UU. incluso monitorean sus equipos para detectar posibles ataques – y que en el 40% de los ataques que sí atraparon, el intruso había estado accediendo al sistema durante más de un año. Otra encuesta reveló que casi las tres cuartas partes de las empresas de energía habían experimentado algún tipo de intrusión en la red el año anterior.

Pero todos esos sistemas no pueden protegerse sin personal experto en ciberseguridad que se encargue del trabajo. En la actualidad, casi una cuarta parte de todos los puestos de trabajo de ciberseguridad en Estados Unidos están vacantes, con más puestos vacantes de los que hay personas para cubrirlos. Un reclutador ha expresado su preocupación por el hecho de que incluso algunos de los puestos que se cubren son ocupados por personas que no están cualificadas para hacerlo. La solución es más capacitación y educación, para enseñar a la gente las habilidades que necesitan para hacer trabajo de ciberseguridad, y para mantener a los trabajadores existentes al día sobre las últimas amenazas y estrategias de defensa.

Si el mundo quiere frenar los grandes ciberataques -incluidos algunos que pueden ser tan perjudiciales como un ataque nuclear-, cada persona, cada empresa, cada organismo gubernamental deberá trabajar por su cuenta y de forma conjunta para asegurar los sistemas vitales de los que depende la vida de las personas.


* Profesor Asistente de Ciencias de la Computación, Universidad Estatal de Dakota del Norte.

Las opiniones expresadas en este artículo son exclusiva responsabilidad de su autor y no reflejan necesariamente las opiniones de Ciberseguridad LATAM.