Esther Paniagua es una periodista española, nacida en Madrid, que se ha especializado en tecnología, innovación y ciencia. A lo largo del último año ha estado presentando su libro/ensayo Error 404 – ¿Preparados para un mundo sin Internet?, en el que nos muestra todos los riesgos que implica para la humanidad el hecho de depender casi absolutamente de la red de redes. Esther nos muestra las debilidades de diversos sistemas y las grandes amenazas técnicas o humanas que podríamos afrontar, además de llevarnos a una reflexión sobre las catastróficas consecuencias que traería un colapso de Internet.
Lo absurdo de todo esto es que la red podría colapsar justamente porque hemos puesto “en sus manos” casi todos los aspectos de nuestras vidas; el transporte (desde Uber hasta la torre de control de un aeropuerto), los alimentos, la energía, la salud (desde el inventario de una farmacia hasta los sistemas de imágenes diagnósticas y un marcapasos), la educación, la economía en general… prácticamente todo está allí, a merced de una tormenta solar, de un ciberataque, de un gobierno radicalizado, de un conflicto bélico, o simplemente de un gracioso con el conocimiento adecuado. Podemos pensar en esa red desde otra perspectiva, no como miles de conexiones digitales, sino como la red de protección que usan los artistas de un circo, pero le hemos puesto todos los elefantes encima.
Esther Paniagua ha sido escogida por Forbes como una de las 100 personas más creativas en el mundo de los negocios, y como una de las mujeres líderes en su país, entre muchos otros reconocimientos por su trabajo en periodismo científico y tecnológico. Hace poco estuvo invitada al Hay Festival que se llevó a cabo en Cartagena, en el Caribe colombiano.
En este momento, con un mundo que sigue en medio de guerras, con la amenaza de una recesión y la constante agitación política que nos sacude, su libro no es precisamente un oasis de tranquilidad, pero nos hace una advertencia muy necesaria; el mundo virtual en el que nos movemos la mayor parte del tiempo actual, depende de unos cuantos servidores, de un montón de cables y computadores supremamente vulnerables, y de catorce personas que los cuidan. Aunque no lo creas.
Este es un fragmento del tercer capítulo de Error 404:
Crimen
“En el ciberespacio, la ofensiva tiene la ventaja”
William J. Lynn III, ex subsecretario de Defensa de Estados Unidos
Hasta un niño podría hacerlo. Literalmente. Un ciberataque épico contra Twitter, el mayor de todos los tiempos, lo cometió un menor de edad el 15 de julio de 2020. El estadounidense Graham Ivan Clark logró hacerse con el control de las cuentas de ciento treinta personas en la red social. En concreto, de celebridades o de figuras reconocidas, como Barack Obama, Joe Biden, Bill Gates, Elon Musk, Kanye West o Kim Kardashian. A cambio, recibió ciento veintiún mil dólares procedentes de más de cuatrocientos pagos a tres direcciones Bitcoin diferentes. Clark no lo hizo solo. Al cerebro de la operación le ayudaron al menos otras tres personas. Entre ellas, el británico Joseph O’Connor, detenido en Estepona en julio de 2021. Los otros tres habían sido arrestados un año antes, tan solo dos semanas después del ciberataque.
Su juventud causó sorpresa, a pesar de que no es nuevo para la policía encontrarse con jóvenes ciberpiratas extremadamente sofisticados. Adolescentes que, como Clark, han pasado su infancia sumergidos en las profundidades de Internet, buceando en sus tinieblas. Muchos de esos menores, como Clark, son jugadores de Minecraft, el videojuego más vendido de la historia. Según sus seguidores, Minecraft es altamente adictivo. Lo que en un principio engancha son sus infinitas posibilidades de construcción y exploración de mundos, la perfecta fantasía infantil. Sin embargo, los jugadores no se quedan por eso; o no solo por eso. Lo que ofrece Minecraft, además de un espacio de juego, es una comunidad, un lugar donde encontrar a sus mejores amigos.
Esta combinación ideal ofrece una realidad alternativa a los usuarios, que a menudo se refugian en el videojuego como vía de escape a los problemas familiares, a una dura infancia o a una adolescencia infeliz. A veces, el juego traspasa las fronteras de lo virtual a lo real. Un grupo de estudiantes enganchados al juego protagonizó la historia de ciberpirateo más sonada de 2016. Lo hicieron a través de la creación de Mirai: una inédita botnet. Una botnet es una gran red de ordenadores conectados y coordinados para realizar una tarea. En este caso, una con malas intenciones que acabó afectando a servicios clave de Internet en todo el mundo. Es el ejemplo clásico de cómo usar una buena tecnología para hacer el mal.
La estrategia usada fue un ataque de denegación de servicio distribuido (DDoS).* El objetivo de estos ataques es degradar tanto la calidad del servicio de un sistema que este quede inhabilitado. Una de las empresas atacadas fue DynDNS, un pilar clave de la red de redes. ¿Recuerdan que en el capítulo 1 hablábamos de cómo Internet podría caer a través de un ataque a los DNS, a los nombres de Internet? ¡Equilicuá! El asalto supuso la práctica paralización de Internet en casi todo el este de Estados Unidos. Fue la mayor ofensiva de ese tipo realizada hasta el momento.
Los estudiantes que orquestaron tal asalto no tenían, al parecer, la intención de derribar Internet. Simplemente trataban de obtener puntos extra en Minecraft perpetrando ataques DDoS contra sus rivales. “No se dieron cuenta del poder que estaban desatando”, dijo un agente del FBI que había investigado el caso en su momento. Como el proyecto Manhattan, que resultó en la creación de la bomba atómica, comenzó como un reto y se les acabó yendo de las manos (salvando las distancias, claro está).
El peligro de las botnets se popularizó gracias a otro joven, un canadiense conocido como MafiaBoy. En el año 2000, este quinceañero llamado Michael Calce atacó sitios web como Amazon, CNN, Dell, eBay o Yahoo (que, por aquel entonces, era el mayor motor de búsqueda del mundo). La estrategia: sobrecargar sus redes para hacerlas colapsar. Fue uno de los primeros ataques DDoS registrados. La travesura puso de manifiesto la amenaza que este tipo de ofensiva supone para la integridad y estabilidad de Internet. Incluso sin intención, incluso viniendo de unos niños.
Como dice el criptógrafo Bruce Schneier, en el mundo online el ataque es más fácil que la defensa. La complejidad de los sistemas informatizados se traduce en una menor seguridad: más personas e interacciones implicadas, más errores en el proceso de diseño y desarrollo. Los atacantes tienen la ventaja del primer movimiento, no suelen preocuparse por las leyes o la ética convencionales, y normalmente tienen más recursos para acceder a las tecnologías más punteras. Eso, junto con la difícil atribución de los delitos online y la persecución de los ciberdelincuentes, añadido a los problemas jurisdiccionales que acarrea el carácter internacional de la red de redes.
Hemos pasado de vivir en un mundo intrínsecamente seguro a uno intrínsecamente inseguro. Tuvieron que transcurrir cientos de años entre la invención de la armadura y la creación, mucho después, de la ballesta capaz de penetrarla. Ahora, entre las medidas y contramedidas de seguridad, se tardan minutos o días o, como mucho, escasas semanas. No es posible contar con una garantía de protección absoluta, y los ataques no cesan. Uno de los estudios más citados sobre la frecuencia de los delitos online dice que hay un ciberataque cada treinta y nueve segundos. El estudio es de 2007. Imagínense cuántos ataques por minuto hay hoy, más de catorce años después y con todo un nuevo arsenal de herramientas disponibles para multiplicar el cibercrimen.
Las posibilidades de crimen o delito online se multiplican también debido a la hiperconectividad. Ya lo decíamos antes: prácticamente todo está conectado a Internet, y lo que aún no lo está va camino de estarlo. Los frigoríficos analógicos, las cafeteras o cualquier tipo de electrodoméstico corren el peligro de quedar desfasados por no estar online. Que tenga sentido o no, no parece importar mucho. Estamos en la era de los objetos inteligentes: móviles, altavoces, zapatillas, relojes, camisetas, pulseras, anillos, juguetitos sexuales y hasta peceras. ¡Peceras! De hecho, una pecera conectada a Internet permitió a un ciberdelincuente de Finlandia robar datos del casino donde estaba instalada.
Esa anécdota, que sucedió en 2016 en Estados Unidos, ilustra cómo en el IoT (Internet of Things), el Internet de los objetos conectados, hasta los más anodinos y supuestamente tontos aparatos pueden servir como puerta de entrada a ciberdelincuentes que podrían causar importantes daños. Ya hay, y habrá cada vez más, objetos de todo tipo conectados a Internet, casi hasta donde alcance la imaginación.
Hace poco más de una década, una radio o un camión no eran susceptibles de sufrir un ataque informático. Ahora sí, porque todo se está convirtiendo en un ordenador: objetos (dinero incluido), infraestructuras, fábricas… También las personas nos hemos vuelto entes conectados, a través de marcapasos y otros implantes, bombas de insulina o incluso microchips que los autodenominados “ciborgs” se implantan voluntariamente. El genio y figura de Elon Musk (entre muchos otros) quiere conectar hasta nuestro cerebro.
A la Internet a palo seco se suman la Internet de las cosas y la Internet de los humanos; una Internet aumentada en el que incluso las cosas que no interactúan directamente se influyen las unas a las otras. Las interconexiones dificultan entender qué sistema está fallando. Incluso puede ser que ninguno funcione mal y que la causa sea una interacción insegura de dos sistemas que, por separado, son seguros. Cien sistemas que interactúan entre sí suponen cinco mil interacciones y, por tanto, cinco mil puntos débiles. Si mil sistemas interactúan, hablamos de medio millón de interacciones. Y así sucesivamente. La creciente conectividad de todas las cosas y sus interacciones tienen otra consecuencia: el campo que hoy denominamos “seguridad informática” acabará siendo —como dice Schneier— la seguridad de todo. Esto abre dos posibilidades. Una: que todo pueda usarse contra nosotros. Dos: que pueda atacarse la infraestructura crítica global. Ambas pueden conducir a escenarios aterradores, como ya hemos visto.
* Un ataque de denegación de servicio distribuido o DDoS (Distributed Denial of Service) es lo que sus siglas en inglés indican: un ataque dirigido a «denegar» el servicio (o colapsar, o inhabilitar) de un servidor o de una infraestructura. Es “distribuido” porque se realiza desde múltiples fuentes que envían un número tan alto de solicitudes al sistema objetivo que este se sobrecarga.