“La dependencia creciente de los paísesen el uso de la tecnología de información para manejar y operar infraestructuracrítica, genera un escenario ideal para ataques ciberterroristas”
EAD -Bruce J. Gebhardt, – Special Agent – FBI
Para entender qué es y cómo funciona elciberterrorismo debemos partir desde su origen: el terrorismo. Es necesarioentonces, utilizar la definición del FBI sobre el terrorismo: “son redesoperativas que usan de manera ilegal la fuerza y la violencia contra personasy/o objetivos, para intimidar o presionar a los gobiernos, pueblos y/o sectoresespecíficos en pos de objetivos políticos y sociales que persiguen”.
Nadie puede negar los paulatinos cambiosy la mayor dependencia de estados, organizaciones y personas hacia los sistemasde información. Dicha tecnología tampoco le ha sido ajena a los gruposterroristas, que sin burocracia, corrupción ni licitaciones la adquieren oroban. El ciberterrorismo es la “evolución” que resulta al cambiar las armas,las bombas y los misiles por una computadora para realizar y planificar losataques terroristas.
Existen tres formas de ciberterrorismo:1- los ataques realizados desde computadoras hacia centros tecnológicos, 2- lapropaganda como forma para enviar sus mensajes y para promover el dañoocasionado por sus ataques y 3- la planificación logística de atentadostradicionales, biológicos o tecnológicos.
El ciberterrorismo, como dijimos, es unanefasta evolución del terrorismo convencional mucho más sofisticado, más seguropara los que lo ejecutan, más letal y más eficiente. Pensemos que en losataques del 11 de septiembre del 2001 hacia EE.UU., los terroristas que losefectuaron se inmolaron en los aviones que piloteaban, así fue como nosobrevivieron. El ciberterrorismo, en cambio, casi garantiza la supervivenciade los terroristas involucrados en los ataques. Además ofrece mayor garantíapara el anonimato, brindando un manto mayor con el cual cubrir sus operacionesdelictivas. Si volvemos al caso del 11 de septiembre, más del 60% del plan deoperaciones y logístico fue coordinado por ciberterroristas que desde cibercafés,usando el software de encriptación PGP, realizaban mediante el mouse de lacomputadora rentada la planificación del futuro ataque.
Escenarios de amenazas
En América Latina son pocas lasorganizaciones que se están ocupando de los temas relacionados con elciberterrorismo. En general se consideran estos temas como algo lejano, algofaraónico o algo que nunca nos afectará.
Sin ánimos de ser alarmista o dedespertar inquietudes erróneas, quiero ayudar a la toma de conciencia por partede los lectores de algunos escenarios posibles de ser atacados:
1- Acceder ilegalmente al tablero decontrol de una represa hidroeléctrica, realizando una apertura descontrolada desus compuertas, generando así una inundación en una región.
2- Acceder ilegalmente a una estación deradares, realizar un blinds de radar, generando un bloque del tráficoaéreo por 12 horas.
3- Acceder ilegalmente a un banco ylograr transferir dinero a cuentas bancarias pertenecientes a gruposterroristas.
Todos estos tipos de ataques pueden traerconsecuencias desastrosas para la estabilidad institucional, jurídica yeconómica de un Estado, de una organización y de las personas. Lo pavoroso esque para realizar este tipo de ataques no se requieren de grandes inversioneseconómicas, ni el contar con armas complejas; se requiere tener la tecnologíade información adecuada, que es de libre acceso, un alto grado de capacitaciónen dichas tecnologías y tiempo, sí, mucho tiempo.
El último informe del FBI y el CSI(Computer Security Institute) indica que el 90% de las principales organizacionesencuestadas ha tenido algún tipo de incidente relacionado con la seguridad ensus sistemas de información. Esto evidencia que las organizaciones no están tanbien preparadas como piensan y confirma la infinita inseguridad de laseguridad.
Nuestra experiencia indica que lasmedidas de protección implantadas por las Organizaciones, generalmente, noestán a la altura de las circunstancias. A modo de ejemplo, en un país deAmérica Latina se ha implantado un esquema de firmas digitales para lastransferencias de las partidas presupuestarias – miles de millones de dólaresestadounidenses – adquiriendo un producto de unos mil dólares estadounidenses queno reúne las características necesarias para dicha tarea.
Toma de conciencia
En un discurso reciente el presidenteGeorge W. Bush expresó que “ningún país está a salvo del terrorismo”; la razónes muy simple pues todos los que no somos terroristas somos blancos útiles paraellos. Es cierto que por el momento no se puede anular por completo el riesgode ataques terroristas, ésto recién ocurrirá cuando las distintas células terroristashayan sido derrotadas. Pero en la medida que sigamos pensando que los ataquesson fantasías de películas de Hollywood, no estaremos enfrentado el problemacomo corresponde.
El terrorismo provoca miedo, “el miedo delo indefinido y de lo indeterminado, de lo oculto” dijo Claudio Magris. Lasamenazas pueden llegar de cualquier parte y en cualquier momento, y esasensación de inseguridad es la que genera un estado de intranquilidadconstante. El miedo paraliza el poder de reacción de individuos y Organizaciones.Lo contrario al miedo es la acción.
Recomendaciones finales
Recomiendo que todas las organizacionesextremen las medidas de seguridad, física y lógica, en materia de seguridadinformática. Se deben revisar los procedimientos, realizar las previsiones yasignar los recursos necesarios para reducir la vulnerabilidad de los sistemasde información. Esto no se logra solamente con la adquisición de productos dehardware y/o software. La capacitación del personal relacionado con el manejo yuso de la información es un buen aspecto a considerar.
En caso que sufrieran algún tipo deincidente relacionado con la seguridad de la información, les sugiero querealicen lo siguiente: 1- implantar una estrategia correctiva, 2 – informar alas entidades correspondientes del hecho y 3- definir una estrategia para losmedios, con su consultor de comunicación, para resguardar la imagen de la organización.