L’any de la ciberinseguretat

El 8 de desembre passat l’empresa nord-americana FireEye va fer públic que uns intrusos s’havien colat als seus sistemes informàtics i s’havien endut còpies de les seves eines i dades internes. La revelació era força preocupant perquè FireEye es dedica a la ciberseguretat, les eines són les que fa servir per provar la resistència dels sistemes dels seus clients als ciberatacs a la recerca de forats per poder tapar-los abans que ho facin els dolents, i les dades corresponien a la informació acumulada fent ús de les eines citades. Tots els indicis sobre l’origen de l’atac apuntaven cap a Rússia, i més en concret cap a hackers que treballen habitualment per a l’estat rus. Males notícies per a la reputació de FireEye.

Però l’alarma als EUA es va disparar cinc dies més tard, el diumenge 13, quan els mitjans van començar a difondre que almenys sis ministeris del govern Trump -els de Comerç, Tresor, Seguretat Nacional, Energia i Justícia-, diversos organismes oficials com l’Agència de Seguretat Nuclear i multitud de corporacions, fins a un total de 18.000, havien patit el mateix atac. Algunes de les víctimes són del sector TIC, com ara Intel, Cisco i Microsoft. Aquest últim assegura que els intrusos no es van endur cap dada dels usuaris, però reconeix que van poder accedir al codi font d’alguns dels seus productes de programari, l’equivalent digital a la mítica fórmula de la Coca-Cola. El departament de Justícia estima que es va accedir a les bústies de correu electrònic d’un 3% dels seus 115.000 funcionaris, i el diari Wall Street Journal hi afegeix que també es va veure compromès el sistema d’arxiu de documents judicials, molts dels quals de caràcter confidencial.

L’origen de l’atac

L’anàlisi posterior de tots aquests ciberatacs ha determinat que es van portar a terme mitjançant un únic punt feble: una actualització del programari Orion de monitorització de xarxes produït per l’empresa texana SolarWinds, que compta entre els seus clients amb la majoria de grans corporacions i organismes oficials dels EUA, a més de moltes d’altres països. El mes d’octubre del 2019 els hackers russos van penetrar als sistemes de SolarWinds -el nom de la qual ha acabat donant nom a tot l’incident- i van contaminar Orion amb codi maliciós que deixava oberta una porta falsa a les xarxes dels 18.000 clients quan actualitzaven el producte. Actualment s’investiga si la intrusió a SolarWinds es va produir mitjançant TeamCity, un producte de verificació de programari creat per l’empresa JetBrains, amb seu a la República Txeca.

Encara no es coneix la magnitud de la tragèdia. Que un sistema tingui un forat de seguretat no implica que algú l’hagi aprofitat. També hi deu haver llocs on s’hagi entrat per xafardejar sense trobar-hi res d’interès. Però el fet que, per exemple, empreses del sector energètic facin servir Orion per gestionar les seves xarxes de distribució d’electricitat no convida precisament a la calma sabent que els anys 2015 i 2016 Rússia va hackejar diverses subestacions elèctriques d’Ucraïna i va deixar sense corrent centenars de milers de ciutadans durant hores en ple hivern. Es creu que aquells atacs també van servir per perfeccionar tècniques que ara es podrien aplicar contra altres estats i van donar lloc a nous episodis cada cop més destructius d’aquesta tercera guerra mundial que fa anys que està en marxa i en la qual els informàtics i les dades han agafat el lloc dels soldats i les bombes.

Com és natural, Rússia no és l’únic estat que practica la guerra digital. Els mateixos EUA, víctimes en aquesta ocasió, s’hi dediquen també amb gran intensitat. I ja l’any 2012, hackers vinculats al govern xinès van sostreure de l’empresa madrilenya Telvent, filial de la francesa Schneider, documentació sobre els sistemes industrials que controlen oleoductes, gasoductes i xarxes de distribució d’aigua de tot el món.

Les màfies també es digitalitzen

A tots aquests ciberatacs entre estats, que per dir-ho d’alguna manera tenen lloc en el sector públic, cal afegir-hi una intensa activitat privada, en forma d’atacs que busquen obtenir rendiment econòmic. En els últims anys s’ha consolidat com a format més lucratiu l’anomenat ransomware, que consisteix en penetrar als sistemes d’organismes i empreses i xifrar-ne la informació, de manera que només s’hi pugui tornar a accedir fent servir una clau de desxifratge que, naturalment, s’ofereix a canvi del pagament d’un rescat en alguna criptomoneda impossible de rastrejar.

La majoria dels atacs de ransomware es porten a terme incloent-hi enllaços maliciosos en missatges de correu o aplicacions web que semblen inofensives. Inicialment eren força indiscriminats i sovint afectaven fins i tot usuaris particulars, però últimament s’han centrat en víctimes corporatives i institucionals que no es poden permetre una interrupció de l’activitat provocada per la pèrdua de dades. Un exemple són les cinc grans companyies d’assegurances de l’Estat que han estat setmanes o mesos sense poder atendre normalment els clients.

Actualment el sector sanitari és objectiu preferent dels ciberdelinqüents, amb conseqüències que almenys en una ocasió ja han sigut fatals: al setembre, el segrest dels sistemes de l’hospital universitari de Düsseldorf (Alemanya) va obligar a desviar una pacient d’urgències a un altre centre, on va arribar morta per culpa del temps addicional de trasllat. No consta que passés res tan dramàtic en el recent cibersegrest de la xarxa de l’hospital públic Moisès Broggi de Sant Joan Despí (Baix Llobregat), però les autoritats catalanes han declinat donar gaires detalls sobre l’abast d’aquesta intrusió.

En plena pandèmia de coronavirus, els malfactors han vist una potencial mina d’or en la indústria que ha de proporcionar les vacunes. Se sap que empreses farmacèutiques, laboratoris de recerca i empreses de logística, especialment les especialitzades en preservació de la cadena del fred, estan sent atacades amb regularitat, fins i tot des de mesos abans dels primers resultats positius en els assajos clínics. Tot plegat denota un alt nivell de professionalització dels ciberdelinqüents, que potser s’entendrà millor sabent que la majoria dels hackers no són senzillament informàtics emprenedors que van descobrir una manera molt lucrativa de rendibilitzar les seves habilitats, sinó que en realitat solen treballar per a les màfies de tota la vida -russes, italianes, sud-americanes, xineses-, que a partir d’un moment donat van decidir ampliar les seves activitats delictives tradicionals amb línies de negoci digitals, passant de traficar amb persones o substàncies il·legals a fer-ho amb dades alienes, que poden arribar a ser més rendibles.