Charlie Miller, ex empleado de la NSA (National Security Agency) y hoy consultor del organismo Independent Security Evaluators, ofreció una disertación en la Defcon de Las Vegas que dejó a muchos asustados y con justa razón.
PUBLICIDAD
Básicamente, mostró que costaría sólo USD 100 millones armar un grupo capaz de montar un cyber ataque que echara abajo los sistemas más cruciales de la defensa y economía de los Estados Unidos.
Todos los días hay ataques contra una o más reparticiones estatales de USA. Eso no es novedad y año a año se gastan miles de millones de dólares en seguridad para garantizar que esos ataques no penetren las defensas, boten servicios ni se apoderen de información delicada. Por la contrapartida, con sólo una fracción de ese presupuesto, Miller sostiene que se podría armar un pequeño ejército de especialistas capaces de montar un ataque imparable.
Este plan imaginario ya se había presentado hace aproximadamente un mes -y en privado- a un grupo de la OTAN a petición del Centro de Excelencia de Cyberdefensa Cooperativa de Estonia, por lo que no es el trabajo de un aficionado en una conferencia de computines sino un estudio que alertó a las máximas autoridades militares del pacto del Atlántico Norte. En el escenario planteado por Miller, un enemigo imaginario le encargaba a un experto un ataque cibernético a gran escala contra los Estados Unidos.
Con USD 100 millones se podría armar un equipo que iría desde genios geek a estudiantes universitarios con un mínimo entrenamiento. Esos USD 100 millones cubrirían el sueldo y eventual entrenamiento del equipo durante dos años, pues la clave sería preparar el terreno durante ese lapso infiltrándose lentamente en diversas redes y dejando accesos abiertos listos para usarse en forma coordinada.
Al final de esos dos años están básicamente condenados. Pero, a lo largo del proceso, tendrían la oportunidad de darse cuenta de lo que está pasando y detenerlo antes de que ocurra.
Dado que no se los detuviera, en un momento se llevaría a cabo una acción coordinada contra redes militares, grillas energéticas optimizadas computacionalmente, bancos, bolsas de comercio y más. En pocas horas se vendría abajo la economía, las comunicaciones, el transporte, el suministro energético y los sistemas más modernos de defensa de los Estados Unidos.
En el ejemplo de Miller, el candidato para hacer algo de esta naturaleza es Corea del Norte. Es un país tan aislado, tan tecnológicamente atrasado, que si destruyera la internet como un todo casi no sufriría perjuicios. Tampoco le quedan aliados que pudieran disuadirlos de una medida similar. ¿Puede Corea hacerlo mañana mismo? No necesariamente, pero es sólo un ejemplo.
Algunos países ya deben estar preparados para hacer esto. Podemos limitar nuestra dependencia de Internet (lo que no es realista) o hacer nuestro mejor esfuerzo para detectar las amenazas y adaptar nuestras políticas para prevenirlo.
El punto es que si sumamos todos los cyberatacantes que cada día intentan entrarle a la CIA, el FBI, la NASA o el Pentágono, y le pagamos un dólar a cada uno, no alcanzaría ni de lejos con USD 100 millones para tenerlos en la nómina de pagos. Por la contraparte, si ellos no logran echar abajo los sistemas capitales de Estados Unidos es simplemente porque actúan en forma atomizada y caótica.
Con el planteamiento de Miller, bastaría la supervisión de un simple consultor especializado, más un monto que cualquier organización terrorista puede conseguir, y un «ejército» de unas pocas decenas o centenares de crackers medianamente entrenados. Eso es todo lo que nos separa de retroceder treinta años de un plumazo.
Link: Two years and 100 mln dollars buys winning cyber army (Physorg)