Duele establecer una asociación entre lo ocurrido al BancoEstado y la Inteligencia. Parece lógico. Siempre resulta desagradable admitir vulnerabilidades. Ya lo sabía el monarca de la fábula de Hans Christian Andersen. Todos miraban para el lado, hasta que un niño gritó “el rey va desnudo”.
Y en el caso que nos ocupa, nadie puede negarlo. Las vulnerabilidades informáticas chilenas hablan de un país efectivamente desnudo. Por más que duela, es una falla de la Inteligencia.
La razón es una constatación sencilla. Hoy en día no se conciben Estados modernos que no dispongan de eficientes y efectivas agencias de Inteligencia. Ambas características son fundamentales para operar en un ambiente tan cambiante y con tantas variables como es el ciberespacio. En consecuencia, podría decirse que el nivel de tales agencias refleja el desarrollo institucional de cada país.
En términos generales, un signo de modernidad institucional se advierte justamente cuando un Estado logra darle un cauce ordenado a las situaciones extremas que puedan derivar de dos grandes dudas respecto a sus agencias de Inteligencia (que ocurren tanto en los espacios físicos, como en el ciberespacio). ¿Cómo se mandan?, ¿cuánto abarcan?
Por lo mismo, la literatura especializada -y el sentido común- aconsejan un jefe de Inteligencia cuerdo, cauteloso y conocedor de los entresijos de la actividad, pero, ante todo, situado lo más próximo posible al principal tomador de decisiones de un país; al jefe de Estado y/o Gobierno. Un nexo directo, imprescindible, sea para cautelar por el buen funcionamiento, o bien para responder a los imponderables que encierran las dudas señaladas.
Un caso extremo de desaguisados se observó en un nada lejano 1979 en Corea del sur, cuando el director de la Inteligencia, Kim Jae-gyu desenfundó su arma y terminó con el general, Park Chung-Hee, Presidente de la República. No tenían cercanía y diferían en cuanto a cómo se estaba haciendo frente a los miles de manifestantes saqueando las principales ciudades del país.
También hay otros, más recientes, relacionados con un inapropiado manejo de datos. Aquí la actividad intersecta con la característica básica del mundo de hoy, el datacentrismo. Esto significa que las democracias modernas deben estar en condiciones de posibilitar el trabajo inherente a la Inteligencia, pero, a la vez, ser capaces de cautelar el manejo de esa vital materia prima llamada datos individuales.
Al volverse el mundo irreversiblemente datacéntrico, los Estados no sólo deben atender y cautelar el manejo de datos con elevados estándares de seguridad, sino gestar ecosistemas, que permitan alcanzar el gran objetivo: combinar el marco de funcionamiento con una evaluación integral de nuevas amenazas y riesgos, el monitoreo de lo esencial y la articulación de todos los componentes.
El caso que nos ocupa es muy ilustrativo. La seguridad informática del Banco Estado (y de todas las instituciones del Estado) no se reduce a disponer de buenos técnicos, de cuánto sepa el webmaster o el encargado de las plataformas, ni tampoco de cómo reaccionen las policías. Menos aún -error muy habitual- se trata de un asunto comercial, donde un gerente X deba autorizar la compra del parche A, B o C. Nada de eso. Esto es un asunto de un ecosistema de seguridad, donde la Inteligencia es central.
La lección es sencilla. Ningún país puede insertarse adecuada y exitosamente en un mundo datacéntrico sin las herramientas que éste exige.
¿Qué dice la experiencia comparada sobre ecosistemas de seguridad?
Los Estados más fuertes suelen disponer de tres grandes agencias, una encargada de los asuntos domésticos, otra de los asuntos externos, y otra de la infraestructura crítica electrónica o informática.
A modo de ejemplos, en Alemania existen: BND (Bundesnachrichtendienst, o Servicio Federal de Inteligencia – enfocado hacia la Inteligencia y Contra-Inteligencia en el exterior), BfV (Bundesverfassungschutz, u Oficina Federal para la Protección de la Constitución – que, como su nombre lo indica, asocia la defensa de la Constitución, en tanto garante del sistema democrático) y BSI (Bundesamt für Sicherheit in der Informationstechnik o Servicio Federal de Seguridad Informática – orientado al ecosistema de ciberseguridad). En el caso de Gran Bretaña, existen el MI-5 (para cuestiones domésticas), el MI-6 (para asuntos externos) y el Government Communications Headquarters (Cuartel General para las Comunicaciones del Gobierno). Y así se podría seguir hurgando en las estructuras formadas por otros países señeros en estas materias.
Lo ocurrido en el Banco Estado recuerda indefectiblemente un ataque similar, sufrido hace escasos años por otro banco del país. Y es que, más allá de los detalles de cada uno, ambos casos dejan en claro que Chile se encuentra bastante desguarnecido en materia de infraestructura crítica informática, al carecer precisamente de ecosistemas. Y si recordamos lo sucedido con los casos Huracán, informes de BigData y otros episodios mantenidos en un plano más discreto, cabe preguntarse, qué tan sostenible es en estos tiempos datacéntricos una falencia de este calibre.
Yendo al fondo del asunto, resulta del todo extraño que se pretenda ignorar la existencia de actores malévolos en los asuntos internacionales. La literatura especializada, y la praxis, entregan suficiente evidencia no sólo de su permanente actividad, sino de sus trasfondos y alcances. Ronda lo incomprensible no entender que el ciberespacio es una suerte de escenario (un nuevo nomos, mas sin límites, en el decir Carl Schmitt), donde intervienen no sólo Estados, actores trasnacionales, actores multilaterales, ONGs, sino también un número creciente de estos actores malévolos. Y que, para enfrentarlos, el arma primordial son las modernas agencias de Inteligencia, dado que en este nomos es muy complejo establecer cordones sanitarios. Mucho más que en los escenarios físicos, por cierto. Por más que se desee, aún no se inventa otro instrumento.
¿Quiénes son estos actores malévolos? A vuelo de pájaro, se observa una enorme variedad. En algunos casos se trata de profesionales del ciberdelito, o bien de hacktivistas, o grupos terroristas, o scriddies, o especialistas informáticos mercenarios al servicio de empresas o de otros Estados (no necesariamente rivales o enemigos históricos), ciberinvestigadores, o simplemente privados.
Puesto algo más detalladamente, los profesionales del ciberdelito buscan por lo general beneficio económico directo o indirecto; los hacktivistas son aquellos que utilizan ilegalmente herramientas digitales con fines políticos; los grupos terroristas infunden terror o buscan influir en decisiones políticas a través del ciberespacio; los cibervándalos o scriddies son personas sin mayores conocimientos pero que se fascinan con las posibilidades de intrusividad que ofrecen algunos softwares y se plantean desafíos personales o grupales sin importar los efectos nocivos; los llamados ciberinvestigadores son individuos que buscan debilidades de perfiles con finalidades diversas, mientras que muchos privados pretenden obtener información valiosa para transarla entre interesados. Tal es el abanico.
Muchos se preguntan acerca de las motivaciones de este vasto zoológico de actores malévolos. Estas son también muy diversas, metamórficas y numerosas. Por ejemplo:
- la sustracción de datos e información relevante para el espionaje industrial o comercial o militar o para conocer el engranaje político.
- el uso, y desde luego abuso o reventa, de información de clientes o individuos indemnes.
- la interrupción mediante la toma de control de sistemas vitales para el funcionamiento de una institución determinada con propósitos letales.
- la sustracción de datos e información sensible para extorsión o venta posterior o simplemente como información de Inteligencia para conocer más de un blanco.
- la manipulación de datos específicos o grupales (muchas veces con fines de simple diversión, como los defacements).
- el ciberespionaje focalizado (para causar daño específico) y un largo etcétera.
Hay casos muy notables y de alto impacto. Por ejemplo, así fueron los ataques masivos en contra de todas las plataformas estatales en Estonia en 2007 y el famoso Stuxnet, el gusano que atacó las instalaciones nucleares en Irán.
En el primero de ellos, se trató de un ataque botnet que paralizó el país por varios días a partir del 27 de abril de aquel año, fecha en que los websites del gobierno, FFAA, parlamento, medios de comunicación, universidades, bancos y otros órganos del Estado, fueron atacados digitalmente, sin que pudiera jamás establecerse de manera fehaciente que el gobierno ruso, o hackers rusos, fuesen los causantes. Sin embargo, en el período previo se había registrado una grave agudización de la ya larga fricción ruso-estoniana, producto de una serie de medidas tomadas por el gobierno estonio, incluyendo algunas de carácter simbólico y que estaban directamente relacionadas con la superación del pasado en que el país estuvo ocupado por Rusia y formó parte de la Unión Soviética. Se trató el primer ataque registrado (tipificado por las autoridades judiciales del país como sabotaje computacional), en contra de todas las infraestructuras críticas informáticas de un país. La respuesta más visible fue la instalación en su capital, Tallín, del primer Centro de CiberDefensa de la OTAN. De paso, Estonia se convirtió en una de las capitales mundiales de ciberseguridad. Más aún, podría decirse con toda tranquilidad que el país entero se convirtió en un ecosistema.
En el caso de Stuxnet, se trató de un malware, o gusano informático, altamente sofisticado e introducido en los sistemas Scada que controlaban las centrifugadoras de las instalaciones nucleares de Irán, presumiéndose que fue producto de una colaboración activa entre Israel y EEUU, con la finalidad de ralentizar el desarrollo del programa de enriquecimiento de uranio que estaba ejecutando el gobierno iraní en la localidad de Natanz. Su descubrimiento se produjo en 2010, siendo altamente probable que su introducción haya ocurrido en los años previos. La vastedad del ataque obligó a las autoridades iraníes a admitir que su infraestructura crítica informática había sido víctima de este malware, capaz de reprogramar controladores lógicos programables y de ocultar sus maliciosos cambios.
Aquel ataque logró su objetivo. El programa nuclear iraní se retrasó varios años. Numerosos reportes apuntan a la Unidad 8200 del Mossad como ejecutora de este ataque, que posteriormente tuvo nuevas y exitosas variantes, conocidas como Flame, Triton y Duqu, con otros blancos en la infraestructura crítica informática iraní. Qué mejor ejemplo del alto valor estratégico de la ciberinteligencia.
Ahora bien, muchos de los ataques a entidades bancarias en todo el mundo han sido adjudicados a dos fuentes norcoreanas, la Unidad Lazarus y la APT 38. Aunque evidentemente no son los únicos.
Especialistas estiman, por ejemplo, que Lazarus o la APT 38 es el desarrollador del poderoso virus wannacry, causante del ataque al Banco de Chile en 2018.Ambos son evidentemente actores malévolos, activos y penetrantes, independientemente si opera desde territorio norcoreano o de otros. Las grandes capacidades de Lazarus quedaron de manifiesto al capturar temporalmente en 2014 las plataformas informáticas de Sony Pictures con la finalidad de evitar el estreno de una película sobre la vida de la familia Kim en Corea del Norte. Su fama se acrecentó en 2016 al robar más de 80 millones de dólares del banco central de Bangladesh. Al año siguiente, APT 38 adquirió protagonismo atacando más sistemas informáticos bancarios, empresas automovilísticas y de infraestructura crítica física en muchos países utilizando wannacry. Los servicios de Inteligencia de EEUU, Australia y el Reino Unido estiman en 150 países el número de blancos alcanzados.
En las dos últimas semanas ha cobrado visibilidad un ransomware desarrollado por Netwalker Gang, debido a un letal ataque a la Dirección Nacional de Migraciones en Argentina, DNM (que afectó además a todos los puestos fronterizos del país). Ahí también, diversos informes dan cuenta de graves falencias. Un buen trabajo de ciberinteligencia habría tenido presente que ya en 2018, Netwalker Gang logró extorsionar a una universidad en California, así como a varias ciudades austríacas, obteniendo suculentos rescates. En el caso de la DNM, hay versiones que están exigiendo US$ 76 millones.
En el caso del BancoEstado se trataría del grupo REvil, también conocido como Sodinokibi y que trabajaría en sus extorsiones con una criptomoneda muy poco conocida, llamada Monero. La especialidad de Sodinokibi parecieran ser las subastas globales de datos.
Sintetizando, la lección más relevante de estos últimos casos es la necesidad de ecosistemas. Su inexistencia se agrava por dos consideraciones; una actual y otra histórica.
La actual se remite a la falta de conciencia en las elites del país, que creen posible solucionar esto mediante auditorías (más ese absurdo de las querellas contra quienes resulten responsables), y que la eventual generación de un ecosistema es cosa de dar un par de órdenes.
La consideración histórica tiene que ver con una persistente tendencia a ignorar el pensamiento ecosistémico. Quizás la consecuencia más catastrófica de tan negativa tendencia se aprecia con el destino del salitre. En 1874, Chile y Bolivia firmaron un acuerdo para regular impuestos de empresas chilenas exportadoras de nitrato, lo que aumentó verticalmente los ingresos chilenos y la “satisfacción” por el logro. La euforia local duró hasta la Primera Guerra Mundial. Los aliados bloquearon las exportaciones chilenas de salitres a Alemania, y la empresa BASF junto al gobierno de aquel país desarrollaron el nitrato sintético.
Nadie cruzaba datos, nadie tenía una mirada integral de los problemas y se cumplió la fatal profecía de Woody Allen en su gran cinta Maridos y Esposas: “Sooner or later everything turns to shit”. (lamiradasemanal)
Iván Witker
