Suena como una película de Hollywood sobre una catástrofe. Un grupo de hackers usan una ciberarma robada para tratar de extorsionar a personas de todo el mundo. El ataque afecta hospitales causando la cancelación de operaciones y la desviación de ambulancias. Entonces un solitario investigador de seguridad se topa con una forma de detener el avance de la falla.
Sin embargo, eso es exactamente lo que pasó hace unos días cuando un ransomware llamado WannaCry, que infecta computadoras que están ejecutando versiones obsoletas del sistema operativo Windows de Microsoft, afectó no solo al Servicio Nacional de Salud (NHS) de Gran Bretaña, sino al Ministerio del Interior de Rusia, varias universidades chinas, el servicio estatal de trenes de Alemania y mucho más.
Pudo haber sido mucho peor. WannaCry no parece haber sido un ataque deliberado a los hospitales, sino un plan criminal para ganar dinero en el que el NHS fue un daño colateral. De hecho, a medida que avanzan los programas maliciosos, WannaCry ni siquiera está en las ligas mayores: aunque tiene una carga desagradable, solo comprometió 300,000 computadoras y recaudó unos US$ 80,000 hasta el cierre de la última edición impresa de The Economist.
Los virus anteriores, como Conficker y SoBig, infectaron millones de máquinas. Aun así, el incidente reveló dos desagradables verdades sobre el mundo computarizado.
La primera es que la velocidad, escalabilidad y eficiencia de las computadoras son una maldición, así como una bendición. Los datos digitales son ligeros, fáciles de replicar y pueden enviarse a todo el mundo en milisegundos. Eso es bien recibido si los datos son útiles, pero no si son maliciosos.
Un software moderno puede contener millones de líneas de código. Asegurarse de que ninguna falla se cuele es casi imposible. Una sola vulnerabilidad puede afectar a miles o millones de máquinas, y el Internet le da a un solo individuo el poder de comprometerlas todas a la vez.
En comparación, los archivos de papel son pesados, engorrosos y difíciles para usar. Pero al menos un par de ladrones a miles de kilómetros de distancia no pueden hacer que todos desaparezcan simultáneamente. Si WannaCry puede causar tanto daño al azar, imagínese lo que podría hacerse si los hospitales fueran atacados deliberadamente.
La segunda verdad desagradable es que las oportunidades para hacer daño solo irán en ascenso. Más cosas se convertirán en vulnerables en tanto las computadoras se abren paso en todo desde automóviles y marcapasos hasta refrigeradores y redes eléctricas.
El ransomware del mañana podría dejarlo sin acceso a su auto en lugar de sus archivos. Los ataques cibernéticos como WannaCry pueden parecer riesgos de baja probabilidad y alto impacto. Pero el lamentable estado de la seguridad informática y la informatización del mundo ponen en riesgo de convertir tales ataques en eventos de alta probabilidad y alto impacto.
Afortunadamente, hay formas de minimizar el peligro. La regulación de los productos puede obligar a los fabricantes de aparatos conectados a Internet a incluir sencillas funciones de seguridad, como la capacidad de actualizar sus programas con parches si se presenta una vulnerabilidad.
Los fabricantes de software normalmente renuncian a la responsabilidad por defectos en sus productos. Cambiar eso no eliminaría completamente las fallas, pero alentaría a las empresas de software a hacer un mayor esfuerzo.
También les animaría a proporcionar un mejor apoyo a sus clientes (aunque llegará un momento en el que no será razonable esperar que Microsoft y demás sigan manteniendo programas antiguos).
La industria de seguros también puede presionar a los usuarios de computadoras: así como las pólizas de seguro para casas no pagarán si un ladrón entra por una puerta abierta, por lo que las personas deben ser responsables si no siguen los cuidados digitales básicos, como mantener su software actualizado.
¿WannaCry o WannaSpy?
Los gobiernos también se enfrentan a preguntas difíciles. El método que WannaCry utiliza para difundirse fue descubierto hace años por la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés), el equipo de espionaje electrónico de Estados Unidos.
Junto con varias otras armas cibernéticas, la técnica fue robada, luego filtrada a internet en marzo. Solo después del robo la NSA informó a Microsoft de la falla, llevando a la firma a apresurar un parche. Microsoft ha acusado a la NSA de perder el control del equivalente digital de un misil crucero, y exigió que, en el futuro, los espías divulguen cualquier falla apenas las encuentren, para que las empresas de software puedan arreglarlas y mantener a todos a salvo.
Este es otro ejemplo de la naturaleza de doble filo de la informática. Dado el aumento de los costos de las computadoras inseguras, existe un fuerte argumento para que los espías compartan las vulnerabilidades con las empresas de software cuando las encuentren.
Algunos sostienen que arreglar fallas en los programas hará que sea más difícil para los servicios de inteligencia espiar a los criminales organizados y terroristas. Pero tienen otros medios para infiltrarse en redes hostiles y monitorear dispositivos además de explotar fallas en un software ampliamente utilizado. Cuando las computadoras son ubicuas, la seguridad es demasiado importante para no repararla.