¿Quién tiene la culpa de los ciberataques?
Culpamos a los piratas, pero olvidamos exigir seguridad a los fabricantes de software y de dispositivos
Cuando el ser humano aún no había decidido que era divertido e innovador conectar cualquier cosa del mundo físico a Internet, nuestras preocupaciones se centraban en tener un buen pasar, una vida con acomodo y cierta seguridad, más allá de las naturales contingencias de la enfermedad, los accidentes o los actos de un dios. Contábamos con elementos mecánicos, más o menos autónomos, sobre los que teníamos un razonable control y que operábamos tras pasar un examen o, al menos, tras leer las instrucciones. Que una caldera estallara entraba dentro del terreno de la fabricación defectuosa y uno podía esperar que el productor se hiciera responsable y nos pagara por los daños causados. No se nos pasaba por la cabeza que un pirata checheno o un vecino habilidoso pudieran acceder remotamente al control de la bomba de calor con la intención de lanzar un ataque personalizado y matarnos a nosotros o a alguien de nuestro entorno, o que pudieran usar el intercomunicador con el que controlamos la respiración de nuestro recién nacido para tumbar Dyn, uno de los proveedores de DNS más importantes del mundo, dejando sin acceso a buena parte de la costa Este de Estados Unidos y de paso a grandes compañías como Twitter, Spotify, Amazon, Netflix, Paypal o CNN.
Los ciudadanos comunes y corrientes, cualquiera de nosotros, manteníamos una más que prudencial distancia de las ciberguerras y los ciberarmagedones. Pero ya no.
Vivimos en el mundo de la vulnerabilidad, en el que se permite la comercialización de productos sujetos a una normativa anticuada que entiende de mecánica y resistencia de materiales pero no de software mal diseñado o componentes baratos inseguros de uso transversal en millones de productos. No pasa un día sin que tengamos conocimiento del último ataque de denegación de servicio (DDos) a infraestructuras críticas desde redes de bots formada por impresoras caseras, cámaras de seguridad o routers. Como señalaba Wired a cuenta de la última vulnerabilidad detectada en los routers domésticos, los dispositivos conectados se han convertido en las ratas de la peste bubónica de los piratas informáticos: una población fácilmente infectable, no tratada y ubicua con la que se pueden propagar peligrosos ataques digitales.
Dentro de los límites de nuestro salón convivimos con nuestras propias ratas infectadas y, sin saberlo ni desearlo, contribuimos al ejército de zombies que puede poner en jaque la seguridad física de las personas a las que queremos, por si la preocupación sobre la seguridad de terceros o de la humanidad en su conjunto no está en nuestra lista de prioridades.
Y eso ocurre simplemente porque nadie se ha molestado en implantar o exigir unas mínimas medidas de seguridad en sus componentes o en el software gracias al que funcionan. Los fabricantes se envuelven en discursos de innovación cuando lo que subyace es la preocupación por el coste y por el time to market: hay que llegar antes, más barato, aportando usabilidad, cosas que molen por sus funcionalidades generalmente relacionadas con la comodidad del usuario. Las administraciones, por su parte, se pierden en discursos sobre robots inteligentes e inteligencias singulares sin centrarse en el riesgo inmediato, siempre con miedo de sobrerregular, con el complejo de no ser modernos, con la esperanza, al fin y al cabo, de aprovecharse de la candidez de los usuarios y acabar teniendo un acceso orwelliano a sus vidas justificado en un irrebatible principio de defensa del interés general. Las empresas, los prestadores de servicios, los gestores de grandes datos, aún con la resaca de la transformación digital y de los consultores de lo obvio, no son o no quieren ser conscientes del riesgo operativo que la panconexión supone para sus negocios, de la importancia de integrar el análisis del riesgo digital como parte de los riesgos operativos con un alcance más amplio que el de la mera ciberseguridad. No solo se trata de evitar ataques. Lo que el nuevo ecosistema plantea es la necesidad de minimizar el riesgo de causar daño hacia fuera, a clientes y terceros, integrando la seguridad desde el diseño, por defecto y durante todo su ciclo de vida; un “gobierno ético del dato”; ser transparentes con sus modelos matemáticos (trasparencia algorítmica); y dotar a la función de un responsable al más alto nivel corporativo, incluyendo en sus consejeros expertos con capacidad de entender este entorno.
Seguir culpando a los piratas cuando no exigimos a los desarrolladores de software que se tomen la molestia de programar con seguridad desde el diseño, que los fabricantes de dispositivos apliquen medidas de cifrado o de minimización de recogida de datos, es tanto como culpar a los ladrones por entrar en nuestras casas rompiendo puertas de papel.
Estamos aún lejos de que se tomen estas medidas y el panorama no va a mejorar. Muchos contenemos la respiración ante la certeza de que el gran ataque está por venir y poco o nada podremos hacer para pararlo. La complejidad de los sistemas, la hiperconectividad sin sentido, la ausencia de un sistema que penalice al productor o al desarrollador que incorpore software que sabe que es vulnerable o que lo será durante el ciclo de vida del producto al que se incorpora, hace que solo podamos resignarnos ante lo inevitable.
Paloma Llaneza es abogado, CISA y autora de ‘Seguridad y responsabilidad de la IoT’