Cuando la información estaba en la mente de las personas, para obtenerla sólo había que buscar una confesión. El entramado de acciones necesarias para ello, desde secuestrar al conocedor de esos datos hasta sobornar, torturar o sonsacar, lo convertía en un proceso lento, tedioso e indiscreto. En el momento en que la informática se hace con la información, obtener datos se convierte en una actividad que sólo necesita más informática y un punto de visión estratégica: una vez detectados fallos, vulnerabilidades o costumbres, el resto es prácticamente pan comido. Máxime cuando se dispone de grandes cantidades de dinero, el tiempo necesario y profesionales capaces de elaborar códigos informáticos que exploten los errores del sistema. Es entonces cuando surgen las Amenazas Persistentes Avanzadas (APT), algo de lo que casi nadie habrá oído hablar, pero que podría obligar a cerrar un aeropuerto, cancelar operaciones programadas en un hospital, cesar las emisiones de un canal de televisión o incluso hacer que quiebre una empresa en cuestión de minutos. Como poco.
"Las APTs son la forma que tienen los Estados y grupos organizados de introducirse en los sistemas de su objetivo para adueñarse de información con intereses económicos, geopolíticos o de defensa, entre otros", explica Miguel A. Juan, socio director de S2 Grupo, empresa especializada en servicios de ciberseguridad. Las Amenazas Persistentes Avanzadas no son un simple virus informático, sino que tienen un objetivo estratégico que consiste, básicamente, en robar información. "En ellas nada es casual, todo está planificado al milímetro. Orquestar un ataque de este tipo puede costar miles o millones de euros y, evidentemente, no se lanza contra víctimas aleatorias, como puede suceder en el caso del phising bancario", añade.
Guerra cibernética
Las APT son las herramientas que utilizan algunos Estados para espiar a otros países con el objetivo de lograr ventaja en negociaciones políticas, comerciales o geoestratégicas. Por eso involucran a los más sensibles órganos de cada Estado y a las principales empresas de los sectores relacionados con la información disputada. "La mayor parte del ciberespionaje actual es principalmente movido por cuestiones económicas, incluso entre países 'amigos'", destaca Antonio Villalón, director de seguridad de S2 Grupo y autor del libro 'Amenazas Persistentes Avanzadas'.
En el libro, editado por Nau Llibres, se explica en lenguaje sencillo y sin tecnicismos qué son las APT y por qué suponen un riesgo para las potenciales víctimas de estos procesos: quienes las ponen en marcha disponen de gran cantidad de recursos económicos y humanos para ello, actúan de forma sigilosa (tal vez pasan meses o años hasta descubrir el problema) y permiten robar información de gran valor o sabotear a la víctima. La complejidad de la amenaza requiere una defensa igualmente compleja. "El malware se erradica, las necesidades de información de la amenaza no, por lo que debemos tener claro que el atacante volverá y debemos estar preparados para esa vuelta", explica Villalón. "La APT no es un código dañino, sino una capacidad".
¿Quién ha sido?
Uno de los grandes problemas a la hora de enfocar la protección es la dificultad para conocer la procedencia de estos ataques. Oficialmente ningún país reconoce utilizar este sistema contra otros países, pero lo cierto es que casi todos los Estados desarrollados disponen de divisiones especializadas en este campo. Esto provoca el llamado 'problema de la atribución', desconocer quién está detrás de un ataque, lo que influye de manera directa en la prevención de futuras acciones. "En la mayoría de ocasiones no hay ninguna prueba concluyente que permita decir que medios de terceros han robado información", reconoce Villalón.
Una de las mayores potencias en este sector es Rusia, acusada a menudo de orquestar ciberataques contra otros Estados. "Hay campañas que han impactado en España y que tienen su origen en Rusia", explica Villalón. Pero de nada sirve saber que un servidor de aquel país está involucrado. "Podemos creer que un ciberataque se produce desde Rusia porque vemos código en cirílico o aparece un servidor detectado allí, pero que esto no sea más que una artimaña de manipulación y que el verdadero origen esté en cualquier otro país", resume José Rosell, socio director de S2 Grupo.
La complejidad para conocer la procedencia de los ataques será aún peor en los próximos años, ya que quienes orquestan estas maniobras contarán con la inestimable ayuda de los dispositivos del Internet de las Cosas (IoT). Ya se han producido ataques que utilizan estos aparatos conectados para convertirlos en zombis fácilmente controlables: pasan a ser nodos que participan en un ataque, dificultando su rastreo e imposibilitando esclarecer la identidad de los autores. "El IoT no cumple unos mínimos de seguridad exigibles", alerta Villalón. Un riesgo en sí mismo, dado que el miedo a ser atacados puede terminar por perjudicar al propio desarrollo de las nuevas tecnologías, como se ha demostrado en las Elecciones neerlandesas. "Esto puede ser la barrera al progreso tecnológico", ha advertido Miguel A. Juan. Nada alentador.