La lucha por el ciberespacio o cómo dejé de temer a la Internet y aprendí a amarla
1. Ciberataques, ciberagresión y cómo conceptualizarlos.
Con pasión desmedida, hemos usado el término "ciberguerra" más de una vez los últimos años; casos relativamente menores como la controversia SOPA y PIPA de enero de 2012 ha recibido ese término por entusiastas comentaristas locales.
Casos anteriores, como Stuxnet o el conflicto entre Rusia y Estonia de 2008, también han sido etiquetados así. Por ello, no está demás tratar de organizar mejor la conversación. El siguiente ensayo, o serie de ensayos, buscará ordenar los conceptos y trazar una ruta para la conversación más allá del impacto inmediato de las situaciones.
El método es simple: partiendo del concepto básico de ciberataque, veremos las situaciones en las que estos ocurren y discutiremos si son guerras, agresiones, terrorismo, crimen o activismo, para así tener un panorama lo más completo posible de una nueva forma de entender los conflictos, propia de sociedades altamente conectadas.
Un ciberataque es el uso de tecnologías de información y comunicación (TIC) para producir efectos deseados por el atacante en detrimento del atacado, sin el consentimiento del último.
Puede ser la obtención de información, como la deshabilitación de parte o toda la infraestructura de un área de la economía de un país; o la deshabilitación de parte o toda la estructura de información de un país u organización; o en casos extremos pero no conocidos, la pérdida de vidas o daños personales.
Siguiendo esta definición, un ciberataque puede ser conducido por distintos tipos de agentes: individuales, grupales al interior de un estado nación, o estatales; pueden ser ejecutado por algunos de los niveles mencionados bajo la conducción de otros, en la forma de grupos de hackers actuando a pedido de un estado nación; y pueden ser dirigidos a individuos, a grupos, o a estados nación.
Una tercera entrada, siguiendo a Taipale, es la que refiere al tipo de ataque por los efectos que busca: físico (altera el acceso a los recursos); sintáctico (interfiere la función de los sistemas); o semántico (cambia los productos finales de los sistemas que están siendo atacados).
Usando estas variantes, queda claro que ciertos actos de ataque mediante TIC están en el dominio más modestos del crimen, puesto que buscan obtener beneficios monetarios; otros están en el nivel político, pero no son estrictamente guerras porque no involucran conflictos con características bélicas, pues pueden ser políticos, pero no tienen simetría entre los fines políticos, ni entre los métodos a ser usados, ni mucho menos entre las consecuencias de terminar el conflicto con uno u otro bando victorioso. En ciertos casos, es posible hablar de guerras, pero son relativamente precisos y requieren además entender conceptos flexibles de guerra, siempre partiendo que una guerra es un conflicto entre estados.
El término ciberagresión será usado para los ataques que responden a una estrategia concreta, y que por lo tanto son más complejos que un acto individual. Esta distinción es importante porque un ataque puede ser un acto de oportunidad, pero cuando se coordinan varios ataques tenemos una intención sistemática en busca de efectos mucho más complejos.
Descartemos los extremos: no estamos en un mundo en el que algo como Die Hard 4.0 sea posible, no solo porque la economía no tiene el nivel de interconexión necesario para una situación como la que esa película propone, sino porque la escala necesaria para realizar esos ataques está fuera del alcance de actores privados.
Pero que todos, incluyendo los ciudadanos del Perú, pueden ver afectados por un ciberataque, qué duda cabe. Desde la captura de los datos de una tarjeta bancaria hasta la posibilidad de destrucción de infraestructura por medios digitales, la existencia de los ciberataques implica la necesidad de defenderse de ellos.
¿Tiene el Perú una estrategia al respecto? A nivel de crímenes, existe la División de Investigaciones de Delitos de Alta Tecnología (DIVINDAT), pero para cuestiones relacionadas con la defensa o seguridad nacional, no parece haber información pública. Casos como Comunicore muestran también la frágil frontera entre el uso estatal de las TIC para espionaje y el crimen.
2. Cibercrimen
En su forma básica, el cibercrimen es sencillo: consiste en robar información mediante dispositivos tecnológicos. Es la premisa de una película algo oscura de fines de los noventa, Office Space, en que los protagonistas sacan menos de un centavo de las grandes transacciones electrónicas bancarias, lo que debería llevar tras varios meses a cantidades significativas de dinero.
La película es un buen ejemplo de la naturaleza aparentemente sin víctimas del crimen informático, dado que los ladrones saben que ni siquiera serían detectados si todo sale bien.
Claro está, el cibercrimen es mucho más complejo, e incluye una serie de delitos que son propios del entorno digital, como la suplantación de identidad o el robo de datos, y también existe como facilitador de actividades ilegales por fuera de lo digital, como el tráfico de dinero, de personas o de drogas. La clave reside en explotar la combinación de malas defensas unida a la falta de malicia de muchas personas.
Ejemplos básicos: el phishing, la suplantación de identidad del remitente de un mensaje de correo electrónico para engañar al receptor, no solo se basa en contar con los medios para aparentar ser el verdadero remitente, sino que necesita de la ingenuidad del que recibe el mensaje, al que se le tienen que escapar detalles varios como mínimas inconsistencias en el diseño y expresión verbal, o un enlace que dice una cosa pero que apunta a otro sitio; pero sobre todo, requiere que el receptor no se pregunte por qué su banco, que le ha dicho que no va a hacer esto, termina pidiéndole datos por correo.
El cibercrimen es relevante porque, partiendo de los engaños en pequeña escala y llegando hasta los grandes robos digitales, no es solo difícil de rastrear, sino que escapa a los ámbitos nacionales. No se trata de negar que en el Perú puedan haber cibercriminales, sino que no es necesario que los haya para que seamos afectados; es un negocio global, donde es fácil trascender fronteras con el uso de la tecnología y sobre todo, con prácticas que son probadas en otros países primero.
Precisamente, la base para promover el par de leyes llamados SOPA y PIPA, y del tratado ACTA, es la necesidad de controlar el crimen originado fuera de los Estados Unidos, en la forma de sitios que ofrecen versiones "falsificadas" de obras originales bajo protección intelectual.
Se equipara el mover copias digitales con contrabando, y las copias que residen en los discos duros son vistas como falsificaciones. Son analogías discutibles y ciertamente tantos los proyectos de ley como el tratado son exagerados y causan muchos más problemas de los que solucionan, pero el criterio de cruce de fronteras no es despreciable. Es fácil perder de vista que existen usos no solo ilegítimos, sino definitivamente criminales, para todas las redes y servicios anónimos, y que alternativas como RetroShare o el navegador Tor son potencialmente excelentes armas para el crimen.
A lo que apuntan estas varias situaciones es la realidad de la vida digital: es global, y no tiene un correlato institucional similarmente global. El crimen transnacional no es nuevo, pero siempre tuvo un componente fuerte de localismo, puesto que los criminales podían coordinar, aliarse o protegerse, pero igual requerían cruzar fronteras, creando actos criminales en jurisdicciones específicas al hacerlo.
El cibercrimen permite cruzar fronteras virtualmente, sin mediar actos materiales, lo que no es ilegal, y ciertamente no es fácil de detectar. De esta manera, un banda criminal puede optar por usar como base un país con bajas capacidades de detección o de acción anti criminal, pero con aceptable infraestructura y sistema bancario funcional, para realizar sus actividades; algo de corrupción ayuda también, puesto que facilita el trabajo de los criminales que los policías no se preocupen de buscarte.
Es por eso que Rusia es uno de los principales focos de emanación del cibercrimen. Usando malware, es decir software diseñado para realizar acciones clandestinas, se han detectado múltiples casos de robo a personas e instituciones, y se ha calculado que más de dos y medio mil millones de USD han sido robados desde países en donde el ruso es el idioma predominante.
Un país en donde el nihilismo legal se ha convertido en la norma, como el mismo presidente Medvedev sostuvo al inicio de su período de gobierno, pero que cuenta con una población altamente educada y donde solo uno de cada diez profesionales informáticos consiguen trabajo en su campo, es terreno fértil para el crimen digital.
Esto no debe hacernos pensar que todo es lejano y en ruso. Países como el Perú pueden ser espacios para el cibercrimen: basta mirar con cierta generosidad la definición de párrafos arriba para ver que podríamos tener el caldo de cultivo perfecto. Estar alertas es una obligación nacional, especialmente si consideramos que no es muy lejano pasar del cibercrimen a otras formas, más dañinas, de ciberagresión.
Un ensayo en cinco partes, por Eduardo Villanueva Mansilla
Profesor del departamento de Comunicaciones de la PUCP, y estudia desde hace quince años la relación entre tecnología de la información, comunicación social y sociedad.