Bombas informáticas contra Irak
La guerra contra Irak podría darse prácticamente por iniciada. Al menos, en su versión cibernética. Según distintas fuentes, Washington habría hecho uso de piratas informáticos para tomar el control de los servidores informáticos iraquíes. De confirmarse, representaría un primer paso para inutilizar los servicios de inteligencia de Irak, algo así como la primera derivada de una directiva aprobada el pasado mes de julio por George W. Bush.
Las intenciones del ejecutivo estadounidense fueron desveladas la pasada semana por The Washington Post. Según el rotativo de la capital norteamericana, Bush aprobó en julio de 2002 una directiva sobre guerra electrónica que preveía cumplir un doble objetivo: por una parte, incrementar las capacidades de los sistemas informáticos propios ante la eventualidad de una intrusión enemiga y, por la otra, poner en marcha un dispositivo de potencia suficiente como para interferir e inutilizar, llegado el caso, la red iraquí.
La iniciativa responde al nombre de Estrategia Nacional para la Seguridad del Ciberespacio. Oficialmente, pretende desarrollar un "protocolo de actuaciones" para los estamentos gubernamentales y militares para proteger de un ciberataque a los "sistemas de información críticos" del país. Entre otros aspectos, la directiva firmada por Bush el pasado verano y ratificado hace unos pocos días, cita la vulnerabilidad de los sistemas informáticos ante nuevos virus supuestamente más dañinos que los actuales y su probable incidencia en servicios bancarios y tráfico aéreo, además de sobre los sistemas de información e inteligencia. La propuesta empezó a diseñarse poco tiempo después de los atentados del 11 de septiembre y ratificada definitivamente tras la entrada en escena del gusano "Saphire".
UN CENTRO DE SALUD PARA INTERNET
La estrategia de ciberseguridad de Washington pasa, entre otros caminos, por la creación de un centro capaz de monitorizar en tiempo real la salud de la red en Estados Unidos. El centro, según desvelaba el diario de la capital, operará bajo el sistema GEWIS (Global Early Warning Information System) desarrollado por National Communications System (NCS), una agencia de seguridad fundada en 1962 con el objetivo de asegurar el acceso del gobierno a los sistemas de comunicación básicos durante emergencias nacionales. La filosofía de esta agencia, que entronca con la que alimentó el nacimiento de ARPAnet en los años sesenta (la red de la que emergería poco después la incipiente Internet para usos civiles), se complementa con el programa Total Information Awareness (TIA) del Departamento de Defensa (DOE), una iniciativa pensada para extraer información de interés relativa a grupos terroristas y "otras amenazas" de bases de datos de todo el mundo. La puesta en marcha de GEWIS ha supuesto una inversión de cinco millones de dólares sólo para 2002.
Ambos esfuerzos, comprensibles desde el interés gubernamental de tener un mayor control sobre Internet, van a topar necesariamente con un derecho a la privacidad que ahora mismo es puesto en duda desde múltiples sectores. En primer lugar, desde las empresas dedicadas a proveer servicios de información, pero también desde los proveedores de herramientas de comercio electrónico que basan su potencial en la seguridad de sus bases de datos y de las transacciones económicas que vehiculan. Todo ello redunda en una tercera pata, la de unos consumidores-usuarios que se resisten mayoritariamente, sobre todo en Europa, a facilitar datos personales a la red. Datos, por otra parte, que resultan imprescindibles para cualquier operación económica.
Otro aspecto, finalmente, socava la confianza en los sistemas de seguridad pergeñados por la Casa Blanca. La gestión del "centro de salud", de GEWIS, de TIA y de CWIN (Cyber Warning Information Network), una iniciativa paralela sobre el estado de la red de carácter civil pensada para prevenir ataques informáticos, recae en manos de compañías privadas en franca conexión con el gobierno, un aspecto que puede llegar a ser comprensible en una sociedad como la norteamericana pero que genera enormes recelos en otras partes del mundo.
DE LA DEFENSA AL ATAQUE
Los planes en materia de seguridad, a pesar de la espectacularidad que sugieren las acciones llevadas a cabo hasta la fecha, parecen no ser suficientes. De acuerdo con distintas publicaciones especializadas norteamericanas, el llamado "zar de la seguridad", Richard Clarke, está meditando su marcha de la Casa Blanca como máximo responsable de la materia. Clarke, que se erigió en el principal estandarte de la seguridad informática durante el mandato de Bill Clinton, entiende que los esfuerzos realizados hasta la fecha suponen sólo un pequeño paso respecto de lo que debería hacerse. Sus argumentos principales son que sólo se han acelerado los programas de defensa informática tras los ataques del 11-S y que, a pesar del tiempo transcurrido, los servidores clave del sistema estadounidense continúan siendo vulnerables al ataque de cualquier virus o gusano de nueva generación. El experto sostiene que ni las empresas ni el gobierno han actuado con la suficiente diligencia. Como si no creyeran en su proyecto.
En lo que sí parecen creer es en la posibilidad de lanzar un ataque cibernético contra los sistemas de Irak, algo nunca hecho hasta ahora contra ningún país y que, según algunos indicios, está empezando a ponerse en práctica. Curiosamente, es el propio Clarke el encargado de coordinar las acciones hostiles.
En declaraciones a la agencia Reuters, Clarke señalaba hace unos días: "Tenemos la capacidad y la organización [para atacar los sistemas iraquíes]; no tenemos aún una estrategia elaborada, ni doctrina ni protocolos". Pese a estas declaraciones, todo indica que la decisión está tomada y que los principales servidores iraquíes están ya bajo control, aunque no interferidos. Del mismo modo, han trascendido algunas medidas específicas que van desde la posibilidad de inundar los buzones electrónicos con propaganda bélica abogando por la rendición de Saddam y la existencia de algo así como una bomba informática que podría hacerse efectiva de un modo inmediato.
El uso de esta bomba informática, cuyo alcance y características permanece en secreto, ha desatado críticas entre los expertos. Entre otras razones porque, al parecer, no actuaría de un modo selectivo sino que su capacidad de destrucción sería masiva e indiscriminada sobre la red actualmente en funcionamiento en Irak. Ello implica que no sólo se destruirían objetivos informáticos militares o gubernamentales sino también civiles. Entre ellos, los que gestionan servicios hospitalarios, redes de distribución energética, el control del tráfico aéreo de la zona o incluso el funcionamiento de los pozos petrolíferos. Los daños colaterales de un ataque de este estilo podrían ser excesivos.
Por otra parte, los sectores críticos advierten que lanzar un ataque cibernético abriría las puertas a una contraofensiva en la que participarían hackers de medio mundo en busca de venganza. Una acción así mostraría las vulnerabilidades propias a ojos ajenos, y éstas son al parecer demasiadas como para no ser tenidas en cuenta. En definitiva, que abrir otro frente podría ser demasiado arriesgado. Pese a ello, Bush ya ha tomado la decisión. Queda por ver su alcance y si el riesgo es tan grande como se presume.