En agosto de 2010, cuando Política exterior publicó un artículo citando investigaciones creíbles y advirtiendo directamente a las compañías petroleras de todo el mundo que sus plataformas petrolíferas en alta mar eran muy vulnerables a la piratería, pocas personas se dieron cuenta.
"Los comandos informáticos pueden descarrilar un tren o provocar la explosión de un gasoducto", advirtió el ex jefe antiterrorista de la administración Bush, Richard Clarke, en Guerra cibernética, su libro sobre el tema. Sin embargo, hasta hace poco estos escenarios parecían más argumentos cinematográficos que preocupaciones de política exterior, y la amenaza parecía más interna que externa.
A principios de 2009, por ejemplo, un contratista de 28 años de California fue acusado ante un tribunal federal de casi inutilizar una plataforma marina. Los fiscales dijeron que el culpable, supuestamente enojado por no haber sido contratado a tiempo completo, pirateó la red informática de una plataforma petrolera frente a la costa, específicamente los controles que detectan fugas. Provocó daños, pero afortunadamente no una fuga.
Después del desastre de la perforación petrolera de Deepwater Horizon en el Golfo de México, la Christian Science Monitor informó que al menos tres compañías petroleras estadounidenses habían sido blanco de una serie de ataques cibernéticos. Lo más probable es que el culpable fuera alguien o algún grupo en China, y los incidentes, en gran parte no reportados durante varios años, involucraron a Marathon Oil, ExxonMobil y ConocoPhillips. Pero aparentemente las empresas no se dieron cuenta de la gravedad del problema hasta que el FBI las alertó.
En ese momento, los funcionarios federales dijeron que la información patentada (contraseñas de correo electrónico, mensajes e información vinculada a ejecutivos) había estado fluyendo hacia computadoras en el extranjero. No se pudo confirmar la participación del gobierno chino, pero algunos datos terminaron en una computadora en China. Un miembro del personal de seguridad de una compañía petrolera acuñó en privado el término “virus de China”.
En general, las empresas prefirieron no hacer comentarios, ni siquiera admitir que los ataques habían ocurrido. Pero el Monitorear persistió, entrevistó a personas internas, funcionarios y expertos en ciberataques, y finalmente confirmó los detalles. Su conclusión general fue que los ciberladrones, que utilizan software espía casi indetectable, representan una amenaza grave y potencialmente peligrosa para la industria privada.
Según Clarke, muchos países llevan a cabo espionaje en Internet y, a veces, incluso ataques cibernéticos. China ha sido uno de los más agresivos, pero Rusia y Corea del Norte también están entre los participantes. El espionaje a agencias de defensa y diplomáticos ha sido un foco importante, pero también se han atacado empresas estratégicamente importantes e incluso otros países.
En 2011, Google afirmó que tenía pruebas de que al menos 20 empresas se habían infiltrado desde China. Según un informe en el Wall Street Journal, se estaban infiltrando bombas lógicas en la red eléctrica de Estados Unidos. De ser así, podrían funcionar como bombas de tiempo.
En las plataformas petroleras, la llegada de plataformas controladas por robots ha hecho posible un ciberataque con una PC en cualquier parte del mundo. El control de una plataforma podría lograrse pirateando las "operaciones integradas" que vinculan las redes informáticas terrestres con las marítimas. Pocos expertos especularán que esto ya pudo haber sucedido. Pero hay confirmación de que los virus informáticos causan lesiones personales y pérdidas de producción en las plataformas del Mar del Norte.
Un problema es que, aunque las plataformas más nuevas cuentan con tecnología robótica de vanguardia, el software que controla sus funciones básicas puede ser de la vieja escuela. La mayoría depende del software de control de supervisión y adquisición de datos (SCADA), que se creó en una era en la que el "código abierto" era más importante que la seguridad.
"Se subestima lo vulnerables que son algunos de estos sistemas", dijo Jeff Vail, ex analista de contraterrorismo e inteligencia del Departamento del Interior de Estados Unidos que habló con Greg Grant, autor del informe Política exterior artículo. "Es posible, si realmente se entiende, causar daños catastróficos al provocar que fallen los sistemas de seguridad".
El título del artículo, por cierto, era “La nueva amenaza al suministro de petróleo: los piratas informáticos”. Suena muy parecido a “Bin Laden decidido a atacar dentro de Estados Unidos”.
Para ser justos, el fracaso del gobierno estadounidense a la hora de abordar la vulnerabilidad del sector privado a los ciberataques se remonta a décadas atrás. Sin embargo, hasta hace poco la administración Obama dudaba en cuestionar el status quo. Dada la vulnerabilidad de infraestructuras cruciales y de gran parte del sector privado, sorprendentemente se hizo poco para prepararse para lo que parece inevitable.
El Comando Cibernético de EE. UU. intenta proteger la infraestructura federal, mientras que varias ramas del ejército han desarrollado sus propias capacidades ofensivas. Pero ni siquiera el Departamento de Seguridad Nacional es oficialmente responsable de proteger al sector privado. Según la secretaria del DHS, Janet Napolitano, las cuestiones legales y de privacidad impiden que el gobierno supervise Internet o las operaciones comerciales en busca de pruebas de posibles ataques cibernéticos. Como era de esperar, los intereses empresariales desconfían de las regulaciones que podrían acompañar a la ayuda gubernamental.
Aunque es evidente que se han producido ciberataques, muchos de ellos no dejan rastro evidente. Como explica Clarke, las corporaciones tienden a creer que los "millones de dólares que han gastado en sistemas de seguridad informática significan que han protegido con éxito los secretos de su empresa". Lamentablemente, están equivocados. Los sistemas de detección y prevención de intrusiones a veces fallan.
Tal como están las cosas, ninguna agencia federal es responsable de defender el sistema bancario, las redes eléctricas o las plataformas petroleras de los ataques. La lógica predominante es que las empresas deberían encargarse de su propia seguridad. Sin embargo, sus expertos admiten fácilmente que no sabrían qué hacer si un ataque viniera de otra nación, y suponen que la defensa en tal caso sería tarea del gobierno.
En 2011, un proyecto de ley del Senado de Estados Unidos patrocinado por el demócrata Jay Rockefeller y la republicana Olympia Snowe intentó cambiar eso, pero se convirtió en otra víctima del estancamiento de DC. Habría requerido que el presidente trabajara con el sector privado en una estrategia nacional integral de ciberseguridad, hubiera creado una junta asesora conjunta público-privada y hubiera conducido a un puesto de asesor de seguridad nacional confirmado por el Senado. Rockefeller dijo que el objetivo era "un intercambio de información sin precedentes entre el gobierno y el sector privado".
James Fallows sostiene que Estados Unidos sufre “una conspiración de secretismo sobre la escala del riesgo cibernético”. Su punto es que muchas empresas simplemente no admiten con qué facilidad pueden ser infiltradas. Como resultado, no se discuten seriamente los cambios en la ley, el entorno regulatorio o los hábitos personales que podrían aumentar la seguridad. Sin embargo, tarde o temprano, “el equivalente cibernético del 9 de septiembre ocurrirá y, si el 11 de septiembre real es un modelo, reaccionaremos de manera comprensible, pero destructiva, exagerada”.
ZNetwork se financia únicamente gracias a la generosidad de sus lectores.
Donar