Si echamos la vista atrás, quizás uno de los ataques más dañinos (y mediáticos) que se nos viene a la cabeza, más allá de Sasser y compañía, sea el de Stuxnet.

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Hablé de ello ya hace unos cuantos años, así que no voy a repetirme. Básicamente estamos ante un ataque muy sofisticado para la época que tenía como objetivo conseguir que Irán perdiera la carrera nuclear. Y para ello no se tiró a lo obvio, que hubiera sido crear algún tipo de ransomware que secuestrara los centros de control de las fábricas de uranio iraní, sino que fue diseñado a conciencia para hacer daño real sin ser descubierto:

[Sobre las centrifugadoras de uranio] Hablamos de un sistema físico que tiene que funcionar en un abanico de frecuencias estipulado, ya que en caso contrario, la separación entre los dos isótopos no se haría correctamente, y obtendríamos una pureza inferior. Es así como Stuxnet gestó durante meses su cometido, alterar los ciclos correctos de agitado del uranio en periodos de 27 días, de tal forma que algunas centrifugadoras (no todas, para que sea aún más complicado percatarse), paraban súbitamente hasta los 2 Hz, volviendo instantáneamente a frecuencias superiores a los 1000Hzs. Esta situación durante meses, indetectable, y aparentemente insulsa, que no disparaba ninguna alerta más que el simple hecho de una posible bajada de tensión, que era revisada, y “arreglada”.
Stuxnet no destruía el producto, ni tampoco el programa, o el propio sistema. Stuxnet fue diseñado para destruir la credibilidad de la propia industria, alterando sus valores de tal forma que sea únicamente el cliente quien acabe por percatarse de que la empresa lo está engañando (le está vendiendo un producto con menores prestaciones). Los operarios que trabajaban en la maquinaria fueron incapaces, durante meses, de descubrir que estaban siendo atacados, por el simple hecho de que los algoritmos usados habían sido desarrollados para que el humano, y los sistemas de alerta del programa, no vieran peligro alguno en lo que ocurría.
El éxito de Stuxnet radicaba en que era indetectable por la sencilla razón que toda la defensa que había sido diseñada (tanto humana como logística) era incapaz de sentirse víctima de un ataque en acontecimientos tan aparentemente aleatorios y repartidos en el tiempo. Stuxnet cumplió a la perfección su cometido ya que hoy en día, somos incapaces de relacionar pautas de comportamiento distintas e individuales con un objetivo superior sino ocurren paralelamente.

¿Que por qué hablo otra vez de esto?

Dos noticias recientes me llevan a ello.

El análisis de Patrick Tucker en NextGov (EN) sobre el impacto que tendría que, de pronto, a alguien se le ocurriera la genial idea de utilizar inteligencia artificial para realizar cambios menores en imágenes vía satélite, para luego liberarlas bajo una licencia permisiva para quien quiera utilizarlas en sus desarrollos.

Que con algo tan aparentemente insulso como sería que en Google Maps una calle no fuera realmente esa calle si no otra, o variar ligeramente y de forma arbitraria algunas altitudes y profundidades, podríamos crear un caos mundial, o localizado en un país o región, la mar de “simpático”.

¿Cuántas aplicaciones de uso ciudadano, y sobre todo industrial, hacen uso de información generada mediante economía colaborativa? Información que ya hemos visto puede ser sutilmente manipulada por agentes con el suficiente conocimiento y recursos a su alcance.

¿Quieres otro ejemplo?

La prueba de concepto (el objetivo de estos investigadores israelitas (EN) no era causar daño, sino alertar a la industria de esa vulnerabilidad) que lanzaron recientemente en algunos sistemas de diagnóstico clínico con un malware que en base a las radiografías de los pacientes se encargaba de crear falsos positivos y verdaderos negativos de tumores.

De forma aleatoria, algunos pacientes sanos descubrían que tenían un cuerpo potencialmente dañino en su organismo. Y el malware se encargaba de que otros que en verdad sí lo tenían no mostrasen tal tumor en las radiografías.

Estamos ante ataques creados con el único objetivo de hacer el mal a largo plazo. Un mal muchísimo más dañino que el esperable en la industria del cibercrimen, e incluso la del espionaje gubernamental, normalmente basado en el robo directo de información y/o recursos.

Piezas que bien podrían pasar meses o años operando sin que nadie se de cuenta, ya que su impacto, a corto plazo (la visión que tenemos la mayoría de personas), es tan sutil como invisible.

Y me pregunto cuánto de esto realmente ya están en funcionamiento.

Esas campañas de fake news cada vez más sutiles y organizadas así lo atestiguan, de hecho.

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Artículo publicado también en PabloYglesias.