Cómo la ficción ayuda a estar más preparados frente a los ciberataques. He aquí una visita al mayor y más avanzado juego de ciberguerra del mundo.
Cuando el único aeropuerto internacional del pequeño país de Berylia empieza a sufrir ciberataques, su equipo de respuesta rápida se activa enseguida. Pero el número y la intensidad de las acciones son apabullantes y la ciberofensiva consigue dejar el aeropuerto sin electricidad, por lo que no pueden despegar ni aterrizar aviones y Berylia, el miembro más reciente de la OTAN, queda aislado.
No hay pruebas definitivas pero todo apunta a que los ataques provienen de Crimsonia, el país vecino y rival. En esta situación, ¿debería Berylia invocar el Artículo 5 y llevar a la OTAN a la guerra contra Crimsonia?
Berylia y Crimsonia son países ficticios pero este guión es muy realista y todo forma parte de Locked Shields, el mayor y más avanzado juego de ciberguerra del mundo, que organiza desde 2010 en Tallín el Centro de Excelencia en Ciberdefensa Cooperativa de la OTAN (CCDCOE, en sus siglas en inglés).
Este año, a finales de abril, más de 300 hackers y expertos en ciberseguridad se reunieron en un hotel de cinco estrellas de Tallín para poner a prueba a 19 equipos azules, que compiten cada uno en el papel del equipo de respuesta rápida de Berylia. Todos son formaciones nacionales que participan desde sus países, excepto una formada por el Centro de Respuesta a Incidentes Informáticos de la OTAN (NCIRC, en inglés).
España estuvo presente como observadora en la primera edición de Locked Shields y luego había participado con un equipo azul coordinado por el Estado Mayor de la Defensa (EMAD) cada año hasta éste, cuando la coincidencia “con otras actividades de mayor prioridad” llevó al EMAD a no enviar un equipo.
En Tallín, casi todos los presentes pueden describirse como hombres de entre veintipico y cuarenta y pico años, algunos más mayores, algunos de evidente perfil militar. En total, unas 900 personas de 25 países participaron este año en Locked Shields desde este hotel y otras 19 ubicaciones repartidas por Europa.
Igual que los ejércitos realizan simulaciones para entrenar, jugar a la ciberguerra sirve para formar a expertos en ciberdefensa. “Locked Shields tiene varios objetivos pero claramente el número uno es entrenar a los equipos azules para que trabajen juntos en una situación de estrés y de ciberataques”, explica Rain Ottis, profesor universitario de Ciberseguridad y responsable de Locked Shields desde la primera edición.
El encargado de atacar es el equipo rojo, que desde Tallín representa a los hackers de Crimsonia. “Los ciberatacantes suelen ir un paso por delante, así que a menudo los defensores sólo pueden esperar y responder”, describe Mehis Hakkaja, líder del equipo rojo y presidente de una empresa de ciberseguridad en Estonia.
Atacar es más fácil que defender en Locked Shields y en el mundo real porque, ya sea un juguete conectado, un teléfono móvil o la red eléctrica de un aeropuerto, los hackers necesitan un solo punto de entrada para acceder al sistema mientras que los defensores deben proteger todas las posibilidades.
“Internet es muy vulnerable a la manipulación si los agresores son profesionales, y especialmente si se trata de Estados”, que pueden utilizar su burocracia civil y militar para organizar ciberataques, señala Kenneth Geers, investigador en la Iniciativa de Cibergobernanza del Atlantic Council y embajador del CCDCOE.
En 2014, la ofensiva rusa en el este de Ucrania y la anexión de Crimea incluyeron, como este año Locked Shields, ciberataques contra redes eléctricas y un aeropuerto. También la campaña rusa en Georgia en 2008 fue precedida por acciones contra sitios web georgianos. Y el año anterior la víctima fue precisamente Estonia, que tras una disputa diplomática con Rusia sufrió tres oleadas de ataques que bloquearon páginas web del Gobierno, de bancos, de medios de comunicación y de empresas de telecomunicaciones.
Aunque todos estos ciberataques apuntan a Rusia, en ningún caso se han llegado a hacer públicas pruebas definitivas que impliquen al Kremlin. Pero no es sólo Moscú: el quizá más famoso ciberataque de la historia, el programa maligno Stuxnet, que consiguió dañar la industria de la energía nuclear en Irán, se atribuye a Estados Unidos e Israel.
En la tensa situación geopolítica actual, y viendo cómo en el pasado los ciberagresores se salieron con la suya, ¿por qué las potencias rivales no se lanzan entre ellas ciberataques más dañinos?
Primero, muchas ciberagresiones nunca llegan a ser conocidas, por lo que quizá sí hay ciberofensivas secretas entre diferentes países. Además, “hay evidencia de que las principales potencias [Estados Unidos, la OTAN, Rusia, China…] están unas dentro de los sistemas informáticos de otras”, asegura Fred Kaplan, autor del libro Territorio oscuro: la historia secreta de la ciberguerra. Esto permite a algunos Estados saber quién está ciberatacando a quién, pero al mismo tiempo les impide usar públicamente estas pruebas para no desvelar sus métodos de espionaje en la Red.
Asimismo, que unos países estén dentro de los ordenadores de otros podría posibilitar un contraataque inmediato. “Si de repente alguien hiciera algo a estos sistemas informáticos y se conociera la autoría del ataque, podría ser muy peligroso: podría llevar a la destrucción mutua asegurada”, añade Kaplan.
Es una situación similar a la del armamento nuclear y como si estuviéramos en una especie de ciberguerra fría, en la que el ciberespionaje está tácitamente admitido, pero donde las grandes potencias no se lanzan agresiones muy dañinas en la Red entre ellas por miedo a destruirse mutuamente.
Sin embargo, los ataques de ordenador a ordenador no son las únicas posibilidades de la ciberguerra sino que el objetivo último es muchas veces las mentes y la sociedad del país rival o enemigo. “[Mientras] que en Estados Unidos y en el Reino Unido la comprensión de lo ‘ciber’ es principalmente técnica y se basa en las redes informáticas, (…) Rusia y China usan un enfoque cognitivo basado en el estudio de la psicología de masas y en cómo explotar a las personas. Las implicaciones de entender los ciberataques de un modo u otro –como puramente técnicos o como yendo más allá de lo digital para influir en la opinión pública– para interferir en elecciones y en referéndums son claras”, señala un informe publicado en abril por un comité parlamentario británico, refiriéndose a la votación sobre el brexit y a las elecciones en EE UU en 2016.
Igualmente, desde el EMAD, de quien depende el Mando Conjunto de Ciberdefensa, destacan que la finalidad de los ciberataques que sufre España son “robar información” e “influir en la opinión pública”, además de “bloquear sistemas de comunicación y redes de comunicaciones”.
Esto se refleja en Locked Shields, donde desde Tallín equipos de abogados, periodistas y expertos en políticas de seguridad obligan a los equipos azules a responder a la crisis también desde estos ángulos, tal y como ocurre en el mundo real.
De hecho, este año hubo un juego piloto de estrategia política en el que participan ocho de los 19 equipos azules. En éste, el objetivo era usar la crisis creada por los ciberataques para empujar a los participantes a una situación límite en la que decidir si invocar el Artículo 5 de la OTAN y llevar a la Alianza a la guerra contra Crimsonia. “Y sorprendentemente casi todas las naciones lo invocaron, básicamente todas fueron a la guerra”, cuenta al final Matthijs Veenendaal, organizador de este juego piloto, que añade que probablemente fue una decisión de los equipos azules para llevar el guión lo más lejos posible y aprender así al máximo de la experiencia.
Es difícil juzgar si una situación similar en el mundo real llevaría a algún Estado miembro de la OTAN a invocar el Artículo 5, debido a las enormes diferencias entre los distintos países (Estonia no es Estados Unidos y viceversa) y a que ninguno es tan vulnerable como Berylia, una isla que en el juego depende de un único aeropuerto para sus comunicaciones con el exterior. En el juego político en Locked Shields partían de la hipótesis de que la cuestión clave es el nivel de certeza con el que los ataques pueden o no atribuirse a un supuesto agresor. En el juego, los participantes no tenían pruebas definitivas para acusar a Crimsonia, y Veenendaal cuenta que un país ligó “impacto” y “posibilidad de atribución”. elaboró una lista de los diferentes ciberataques según esta ecuación: de más impacto y una mayor posibilidad de atribución a menos en ambos sentidos. “Y basándonos en estos sucesos decimos si estamos recibiendo un nivel de ataque al que tenemos que responder invocando el Artículo 5, y así es como lo medimos, más impacto y una mayor o menos posibilidad de atribución. Y me pareció una buena forma de hacerlo”.
La omnipresencia de sistemas informáticos en todos los aspectos de nuestras vidas no significa que vaya a haber guerras puramente ciber sino que cualquier conflicto tendrá una dimensión cibernética cada vez más importante. Aquí el peligro está en el hecho de que responsables políticos y hackers no se entienden mutuamente. “La brecha entre estrategia y táctica es enorme, y estos dos grupos no se conocen muy bien o siquiera hablan el mismo idioma”, comenta Kenneth Geers. “Y muy a menudo los efectos que [los responsables políticos] quieren conseguir son inconsistentes o incoherentes con los [ciber] medios disponibles, que en realidad son bastante limitados y muy específicos”.
Una seguridad perfecta es imposible de obtener, ya sea en el plano individual y casero o en el de los Estados y organizaciones internacionales, y los expertos señalan que hay que defenderse proactivamente porque el riesgo es inevitable. “Si eliges estar conectado a Internet, entonces estás en riesgo; hay un riesgo inherente porque la Red está disponible para todo el mundo para cualquier cosa”, describe Ian West, jefe de ciberseguridad de la OTAN. “Así que lo responsable si te conectas a Internet, si quieres participar en esta era de la información, es asegurarte de que tomas las medidas adecuadas para defenderte en lo que es un entorno bastante hostil”.
Participantes en Locked Shields en Tallín y otros expertos comparten esta visión, y todos aseguran que el sector de la ciberseguridad va a continuar creciendo y no va a dejar de generar empleo próximamente. En esta línea, un informe presentado en febrero por el Centro para la Ciberseguridad y la Educación y por el Foro de Mujeres Ejecutivas augura la creación de 1,8 millones de puestos de trabajo en ciberseguridad entre ahora y 2022, y señala que una mayor incorporación de las mujeres a este mercado laboral es necesaria tanto para responder a la demanda como para aumentar la diversidad de género en este campo.
Además, tecnológicamente la situación va a ser cada vez más compleja a medida que más y más dispositivos se conectan a Internet y, por tanto, más y más dispositivos pueden ser hackeados. Y esto no va a cambiar, según los expertos, a no ser que ocurra algo realmente rompedor, como la generalización de alguna tecnología al estilo de Blockchain que permita el cifrado seguro de los sistemas informáticos y proteja a los usuarios de ciberataques, o como el desarrollo de una inteligencia artificial sobrehumana que podría modificar la naturaleza tanto de los ciberataques como de la defensa.
En Tallín, el juego acaba, la ciberguerra se detiene y todos están exhaustos pero contentos. Más tarde hay una cena en un gran restaurante, algunos de los mejores hackers de los países occidentales están aquí y todos los interrogados dicen que claro que podrían ganar más dinero si trabajaran para el lado oscuro. La posibilidad de ir a la cárcel y la ética son las razones citadas para explicar por qué no lo hacen.
Los cibercriminales pueden ganar un buen dinero y también crear caos, como se vio recientemente con los ataques de ransomware que afectaron a decenas de países en todo el mundo. Pero lo que puede ser realmente destructivo es esa dimensión ciber de una guerra entre Estados. “¿Cómo sería una ciberguerra real total? A veces me da terror pensarlo”, responde Ian West. “Como dependemos tanto de sistemas informáticos en nuestras vidas, en nuestros países, en nuestras organizaciones, la destrucción de estos sistemas podría ser absolutamente catastrófica”,
Al final, la República Checa es el mejor equipo azul este año en Locked Shields, con Estonia y el NCIRC en segundo y tercer lugares. Pero lo importante no es quién gana sino la comunidad que el juego está creando año tras año, asegura Rain Ottis. “Porque si hay algún suceso serio, siempre viene bien saber que tengo un amigo en tal país, en tal organización, [y que sabemos] cómo echarnos una mano mutuamente. Y ésta suele ser la parte decisiva al gestionar cibercrisis importantes, porque al final suelen estar causadas por humanos y tienen que ser resueltas por humanos”.
