Se aproxima una gran escasez de gasolina

En Carolina del Norte, sólo un tercio de las gasolineras informan actualmente de que tienen gasolina, y eso después de una cierta mejora en la disponibilidad. Un ataque de ransomware cerró una tubería clave que abastece a estas estaciones, un evento que podría, pero probablemente no lo hará, servir como una llamada de atención, antes de que experimentemos una verdadera catástrofe.

Antes de la pandemia, escribí mucho sobre la seguridad digital, o la falta de ella. Una vez comparé nuestro statu quo de seguridad con «la construcción de favelas de rascacielos en código en zonas de terremotos». No ha cambiado mucho desde entonces, pero estamos empezando a oír más estruendos.

La dinámica de la inseguridad digital, el ransomware y las amenazas relacionadas son inquietantemente similares a la dinámica de la salud pública mundial antes de la pandemia.

Battlestar Galactica ayuda a explicar una similitud clave: Los sistemas en red son vulnerables. La premisa de la serie es que el acorazado Galactica, y sólo Galactica, sobrevivió a un ataque de los cylons (robots humanoides) contra la flota humana, simplemente porque era viejo y acababa de ser retirado del servicio en proceso de convertirse en un museo. Al ser más antigua, nunca se había conectado en red al sistema. La orden de «apagado» enviada por los atacantes nunca llegó a ella, por lo que se salvó.

En términos de pandemia, Galactica era una isla a la que nadie podía viajar.

Nuestra infraestructura de software no está construida pensando en la seguridad. Esto se debe, en parte, a que gran parte de ella depende de capas antiguas, y también a que ha habido pocos incentivos para priorizarla. Se podrían haber construido más sistemas operativos desde el principio con características como el «sandboxing», en el que un programa sólo puede jugar en una zona definida y amurallada llamada «sandbox» a la que no puede acceder nada más. Si ese programa es malicioso, sólo puede hacer daño en su caja de arena. (Esto es análogo a la idea de «air gapping», en la que partes cruciales de una red están desconectadas de la infraestructura de la misma).

Añadir seguridad a posteriori a un sistema digital que no fue construido para ello es muy difícil. Y también estamos rodeados de «deuda técnica», programas que funcionan pero que se escribieron deprisa, a veces hace décadas, y que nunca se pensó que fueran a escalar al grado que lo han hecho. No nos metemos con estas capas desvencijadas, porque sería muy caro y difícil, y podría hacer que todo lo demás se desmoronara. Eso significa que hay mucha cinta adhesiva en nuestro código, que mantiene unidos varios programas y sus partes constituyentes, y muchas partes hacen cosas para las que no fueron diseñadas.

Nuestra red global no está construida para la seguridad digital. Como escribí en 2018, la primera Internet estaba pensada para conectar a personas que ya confiaban unas en otras, como los investigadores académicos y las redes militares. Nunca tuvo la seguridad robusta que la red global de hoy necesita. A medida que Internet pasó de unos pocos miles de usuarios a más de 3.000 millones, los intentos de reforzar la seguridad se vieron obstaculizados por el coste, la falta de visión de futuro y los intereses contrapuestos.

Incluso dejando de lado la seguridad de nuestras redes, nuestros dispositivos ordinarios a veces se envían con contraseñas que se extraen de una lista preexistente que incluye la muy difícil de descifrar «contraseña», «1234» y «por defecto». En 2019, expliqué lo vulnerables que esto nos deja, utilizando el ejemplo de los zombis-monitores interconectados que se emplean para paralizar la infraestructura (como al derribar la infraestructura de comunicación celular en Liberia) o para censurar a los periodistas:

La mayoría de nuestros artilugios emplean hardware genérico, en gran parte producido en China, empleado en productos de consumo en todo el mundo. Para hacer su trabajo, estos dispositivos ejecutan software y tienen perfiles de usuario en los que se puede entrar para configurarlos.

Desgraciadamente, un número considerable de fabricantes ha optado por permitir el acceso al dispositivo con contraseñas sencillas y ya conocidas como «password», «pass», «1234», «admin», «default» o «guest».

En un ataque sencillo pero devastador, alguien reunió una lista de 61 de estas combinaciones de nombre de usuario y contraseña y escribió un programa que escanea Internet en busca de productos que las empleen. Una vez dentro, el software se instala rápidamente y, en un giro retorcido, escanea el dispositivo en busca de otro malware conocido y lo borra, de modo que pueda ser el único parásito.

El programa malicioso, apodado Mirai, encadena entonces millones de estos dispositivos vulnerables en una botnet, una red de ordenadores infectados. Cuando gigantescas hordas de monitores de bebés, impresoras y cámaras zombis hacen ping a su víctima de forma simultánea, el sitio objetivo se ve desbordado y, por tanto, inaccesible a menos que emplee costosas protecciones.

Muchos problemas de este tipo no se solucionan, debido a lo que los economistas llaman «externalidades negativas»: El envío de programas o dispositivos de este tipo es gratuito, y arreglar los problemas que surgen es caro. Tomar la segunda vía, más cara, no ofrece ninguna recompensa inmediata. Es como decir a las fábricas que pueden contaminar todo lo que quieran, vertiendo sus residuos en el aire o en un río cercano, o que pueden optar por instalar costosos sistemas de filtrado, en una configuración en la que la contaminación no es rápidamente visible por el olor o la apariencia. Puedes adivinar lo que ocurre: Las empresas no se preocupan por ello, porque no tienen que hacerlo.

En realidad, es sorprendente que los hackeos digitales y los ataques de ransomware no se produzcan más, dado lo extendidos que están estos problemas. Ha habido un hackeo tras otro, robos de datos rentables (como en el hackeo de Equifax), y dispositivos encadenados para ataques de denegación de servicio, y poca o ninguna responsabilidad. Y al igual que en el caso de la pandemia, nuestra vulnerabilidad digital tiene su origen en una red conectada con vulnerabilidades acopladas: Al igual que los virus biológicos que viajan cuando nosotros lo hacemos, el malware y los virus de software pueden viajar a través de redes interconectadas (que ahora están en todas partes, ya que el software se come el mundo). Y en un sistema acoplado, cuando una cosa va mal, suele acabar arrastrando a otras cosas con ella. Los sistemas estrechamente acoplados son propensos a los fallos en cascada, en los que un fallo desencadena esencialmente una avalancha.

Antes del bitcoin, no había una forma obvia de monetizar todas estas fechorías digitales. A pesar de su apariencia libre, el sector financiero mundial está bastante regulado. La gente puede ser engañada por la facilidad con la que se puede transferir dinero aquí o allá dentro del sistema, pero blanquear grandes cantidades de ganancias ilícitas desde fuera del sistema en el tipo de dinero que se puede gastar libremente en los mercados legales no es tan fácil si las sumas son lo suficientemente grandes y los reguladores en algunos puntos de estrangulamiento están totalmente en contra.

Por supuesto, este tipo de blanqueo se realiza constantemente, por ejemplo, por parte de los grandes cárteles de la droga, pero se trata de operaciones grandes y profesionales y no es fácil ni siquiera para ellos. Estos puntos de estrangulamiento incluyen los sistemas de transferencia de dinero SWIFT, el Tesoro de Estados Unidos y el programa de la Oficina de Control de Activos Extranjeros, y el fiscal del Distrito Sur de Nueva York, donde se encuentra Wall Street.

Por supuesto, el bitcoin cambia este cálculo, al menos la tentación de intentarlo. Todavía no es tan fácil como la gente podría pensar emplear el bitcoin para mover cantidades realmente grandes de dinero fuera del sistema, para comprar cosas con él o convertirlo en efectivo. Pequeñas cantidades, claro. ¿El tipo de cantidades que harían atractivo el fraude a gran escala? Eso sería mucho más difícil sin ser rastreado. Sin embargo, el bitcoin hace que sea más tentador intentarlo, incluso para pequeñas sumas. Muchos ataques de ransomware no son por sumas enormes, lo que significa que bitcoin y la ecología de las criptomonedas han dado al ransomware un modelo de negocio escalable, al menos en la mente de sus «empresarios».

Este es un problema muy costoso de solucionar. Una solución requeriría que nuestro gobierno cambiara sus prioridades. Y necesitaríamos un entorno normativo que fomentara y forzara prácticas diferentes, que dedicara recursos al asunto. Los programas tendrían que ser más fiables, las funciones cruciales tendrían que estar aisladas y las auditorías externas tendrían que ser habituales.

Algunos de los pasos que podríamos dar en el aspecto financiero, como la focalización en las formas en que la gente puede blanquear el dinero de las criptomonedas que han adquirido a través de esas actividades ilícitas, pueden ser prácticamente fáciles, pero también plantean muchas cuestiones espinosas. ¿Significaría esto que por fin se estudie la regulación de las criptodivisas? Eso sacaría a relucir cómo se han convertido también en herramientas especulativas, y eso plantea una cuestión aún más fundamental: cómo la economía mundial sigue produciendo burbujas de activos y olas masivas de especulación, como la que condujo a la crisis financiera de 2008. Y ese problema está relacionado con la naturaleza concentrada de la riqueza mundial que persigue rendimientos, y la falta de una fuerte supervisión de algunas de las implicaciones de esta persecución. Todo esto quiere decir que, al igual que en el caso de la deuda técnica, la solución a la crisis inmediata con cinta adhesiva no aborda los problemas fundamentales.

Abordar la inseguridad digital también implicaría proporcionar una mejor regulación hacia arriba y hacia abajo de la pila técnica, de modo que las externalidades negativas se conviertan, en cambio, en cuestiones internas para las empresas y éstas sean responsables de resolver los problemas que crean.

Lo más probable es que se tomen medidas en el ámbito financiero (dificultando el blanqueo de grandes cantidades de criptomonedas en el sistema financiero habitual) y en el sector estatal (se puede desincentivar a otro gobierno para que piratee tu infraestructura, pero hacerlo con actores independientes es mucho más difícil).

También puede haber esfuerzos por «dar un ejemplo» de algunos intentos de ransomware de alto perfil: localizar a los autores y dictar sentencias masivas. Esto no es tan difícil como parece, pero requiere recursos.

Si los intentos de ransomware proliferan, el castigo no será tan eficaz como elemento disuasorio, porque la mayoría de la gente no será atrapada, dado que hay tantos intentos. Esto supondría una lotería catastrófica para los responsables del ransomware: La mayoría de ellos probablemente no serán atrapados, pero los pocos que lo hagan serán aplastados.

De nuevo, me recuerda a nuestra época pre-pandémica: Sabíamos que una gran amenaza estaba en marcha y que nuestra infraestructura era deficiente. Tuvimos la crisis del ébola entre 2014 y 2016, en la que nos preocupamos más por los riesgos leves para nosotros mismos que por reforzar nuestra respuesta global; tuvimos el SARS en 2003, que apenas se evitó que se convirtiera en una pandemia; y tuvimos la catástrofe del VIH/SIDA a partir de los años 80, que también sufrió un retraso inexcusable en el acceso a medicamentos asequibles a nivel mundial. ¿Nos movimos para arreglar de verdad las cosas que se revelaron como deficientes a partir de esas experiencias? No lo hicimos. Mientras tanto, mi Honda Civic tiene medio tanque de gasolina, así que estaré bien por ahora, pero no estoy tan seguro del futuro del mundo en red.

Fte. The Atlantic