CIBERSEGURIDAD

Interrogantes jurídicos sobre el ejército de ciber-reservistas propuesto por el Gobierno en un escenario de guerra informática

Tribuna
Javier-Rubio-Alamillo_EDEIMA20160224_0005_1.jpg

La “guerra informática” es un concepto más actual que nunca. Está ocurriendo aquí y ahora. El año pasado, el Presidente Donald Trump ganó, contra todo pronóstico, las elecciones a la Presidencia de los Estados Unidos. Numerosos medios de comunicación, apoyados en informes de diversas agencias de seguridad norteamericanas, publicaron (y aún continúan publicando), que los servidores del Partido Demócrata habrían sido vulnerados (presumiblemente, por piratas informáticos rusos), revelándose información confidencial, contenida en correos electrónicos intercambiados por los miembros del equipo de la otra contendiente electoral, Hillary Clinton, gran favorita para ganar los comicios. A la postre, los contenidos de dichos correos revelados, habrían ayudado al votante norteamericano a decantarse mayoritariamente por Donald Trump.

Hace pocas semanas, el mundo fue testigo de uno de los mayores ciberataques de la Historia de Internet. De hecho, este perito informático fue entrevistado para el Telediario de Televisión Española, al objeto de explicar y aportar un poco de luz a lo que estaba ocurriendo, en los primeros compases del ataque. Varias empresas españolas, grandes y pequeñas, fueron infectadas por un virus de tipo ransomware, del cual este profesional ya habló largo y tendido, también en El Derecho, en un extenso artículo. Asimismo, varias organizaciones de todo el mundo (de más de ciento cincuenta países), también fueron infectadas.

El peligro radicaba en que, además del ya consabido secuestro (cifrado) y petición de rescate en moneda criptográfica de los archivos del equipo, el virus se propagaba en forma de gusano por la red local del equipo infectado, aprovechando una vulnerabilidad en Microsoft Windows, contagiando todos los equipos de la red y cifrando los archivos de aquellos equipos en los que aún no se hubiera instalado el parche que Microsoft publicó, en marzo de 2017, para resolver la vulnerabilidad. Se añadía, por tanto, el efecto de propagación a un virus de tipo ransomware, algo que no se había visto hasta la fecha, puesto que, hasta el momento, esta tipología de virus únicamente afectaba a la máquina infectada y a aquellas carpetas de otros ordenadores de la red mapeadas en la misma, pero no se propagaba por la red local.

La cosa tenía miga, porque la vulnerabilidad explotada (en el Service Message Block de Windows), fue aprovechada durante años por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos (mediante un exploit conocido como EternalBlue), hasta que el grupo de hackers The Shadow Brokers, publicó el exploit a mediados de abril de 2017. Los piratas informáticos remozaron el exploit en poco más de dos semanas y lo incluyeron en la ejecución del ransomware, provocando el pánico  a nivel global. Finalmente, un experto inglés en seguridad informática, descubrió en el código fuente del virus una comprobación que detenía la ejecución del mismo si un determinado dominio de Internet estaba registrado, procediendo al registro del dominio y deteniendo el virus.

Los piratas informáticos no fueron muy hábiles a la hora de monetizar el ataque ya que, en lugar de incluir en la programación del virus una rutina informática capaz de crear un monedero de Bitcoin para cada infección, usaron únicamente un conjunto predeterminado de monederos de la conocida criptomoneda, lo cual puso de manifiesto que, para los piratas informáticos, sería imposible determinar quién había pagado el rescate y quién no, lo que evidenciaba que no estaban dispuestos a entregar las claves para liberar la información. La base del éxito de cualquier ataque de ransomware es la confianza en que se recuperará la información si se abona el rescate y, en este caso, estaba claro, desde el principio, que la liberación de la información no se produciría, tal y como se explicó en el artículo sobre ransomware arriba mencionado, escrito también por este profesional. Así pues, nunca, bajo ningún concepto, se debe abonar el rescate, sino ponerse en manos de un perito informático que recupere la información (no descifrando los ficheros cifrados, lo cual es imposible sin la clave, sino recuperando los originales borrados).

El ciberataque generó un gran impacto mediático en España, ya que afectó a varias empresas cotizadas, provocando que al Gobierno se le haya ocurrido la feliz idea de crear un “Ejército de Ciber-reservistas”, para defender los intereses de España frente a posibles ciberataques terroristas que pudieran afectar a infraestructuras fundamentales para el correcto funcionamiento de la sociedad en nuestro país o, incluso, del Estado mismo.

No se puede obviar que, en el mundo actual, absolutamente todas las infraestructuras y actividades críticas son, de un modo u otro, dependientes de Internet, bien se trate de la distribución de la luz eléctrica, del suministro de agua, de la planificación de los viajes en tren o en avión, de la recaudación de impuestos, de la atención sanitaria, de la educación en los colegios, institutos y universidades, de la distribución alimentaria y de mercancías, del sistema bancario, de la emisión de programas de televisión y de radio, de los pagos de nóminas a empleados en empresas, de los pagos a funcionarios y pensionistas por parte del Estado, etc. Un ciberataque masivo y virulento, efectivamente, podría ocasionar el colapso de una o varias o de estas infraestructuras o actividades, bien de forma directa o, bien indirecta mediante efecto dominó, generando el caos y haciendo peligrar los cimientos de nuestro modo de vida actual. Hace pocas semanas, de hecho, un error informático colapsó los vuelos programados en todo el mundo de una conocida compañía aérea hispano-británica.

En España, la gente ya está acostumbrada a que, los políticos que gobiernan la nación (sean del color que sean), tengan ideas disparatadas para solucionar un problema, siempre después de que el problema o una parte del mismo se hayan manifestado. Tal es el caso de este estrambótico y extravagante “Ejército de Ciber-reservistas”. La idea del Gobierno es un dislate por varias razones, pero sólo se enumerarán, a continuación, las más importantes.

  • En primer lugar, dado el carácter voluntario de la milicia cibernética, parece claro que sus integrantes no serán funcionarios blindados por el Estado como sí lo son, en el ejercicio de sus funciones, los Abogados del Estado, los médicos, los notarios, los jueces, los secretarios judiciales, etc.
  • Igualmente, al tratarse de un cuerpo de voluntarios, se presume que la remuneración dineraria de estos profesionales será inexistente. ¿Cree el Gobierno, que los profesionales mejor formados en materia de seguridad informática del país, no deben cobrar por sus servicios como sí cobra (y mucho, de los Presupuestos Generales), cualquier otro profesional cualificado que trabaja para el Estado?
  • En un eventual y futurible escenario de ciberguerra, en el que el “Ejército de Ciber-reservistas” tuviese que actuar, será absolutamente imposible discernir entre las acciones ejecutadas por los voluntarios en el marco de la respuesta a la ciberguerra, o en el marco de un posible acto de ciberterrorismo, del que podría ser acusado cualquier voluntario, bien por España, bien por otro país.
  • Así pues, cualquier potencia extranjera podría poner a cualquier voluntario de la milicia en busca y captura internacional por ejecutar acciones de ciberterrorismo. En tal caso, ¿extraditará España a este ciudadano, cumpliendo los acuerdos que tiene suscritos nuestro país con sus aliados?
  • Al tratarse de un cuerpo presumiblemente militarizado, ya que su actuación tendría lugar en los primeros compases de una eventual guerra cibernética (que sería una guerra, al fin y al cabo, ya que un ataque informático grave podría afectar a la continuidad de la civilización), ¿qué ocurrirá si un integrante de la milicia, se niega a cumplir una orden que sabe que le puede causar problemas nacional y/o internacionalmente o que, simplemente, va contra su ética personal y/o profesional? ¿Será sometido a un Consejo de Guerra?
  • ¿Quiénes serán los encargados de dirigir la milicia? ¿Militares profesionales o Ingenieros en Informática debidamente preparados en materia de seguridad informática? Personalmente y, con todo el respeto del mundo hacia nuestro estamento militar, que realiza una labor humanitaria inigualable en tierras remotas y peligrosas, a este profesional no le gustaría hallarse, en un eventual escenario de guerra informática, bajo el mando de un militar que no fuese Ingeniero en Informática.
  • En un hospital, los médicos trabajan bajo las órdenes de otros médicos, en un bufete de abogados, los abogados actúan bajo las órdenes de otros abogados, en un estudio de arquitectura, los arquitectos noveles diseñan bajo la dirección de arquitectos experimentados, en cualquier profesión cualificada, se exige que el jefe tenga, como mínimo, la misma titulación que los subordinados, pero esto no sucede así en la informática, debido al intrusismo profesional que sufre, de forma crónica e histórica, el sector, ocasionado por su falta de regulación. Este desmadre genera situaciones realmente hilarantes en empresas y administraciones públicas, debido al enorme desconocimiento de la realidad técnica que poseen innumerables mandos intermedios y superiores, al no haber cursado estudios reglados de informática.

Los interrogantes que se abren, como se puede comprobar, son infinitos, lo que demuestra, como de costumbre, que el Gobierno (el actual, pero podría haber sido el anterior, o el que venga), no se ha asesorado adecuadamente y está actuando de forma impulsiva. Asimismo, es pertinente recordar, en este momento, que las titulaciones oficiales de Ingeniería e Ingeniería Técnica en Informática (así como sus nuevos equivalentes de Bolonia), constituyen la única profesión de Ingeniería no regulada por el Estado, habiendo sido regulado ya el ejercicio de esta profesión, en varios países de la Unión Europea y en países como los Estados Unidos, Canadá, el Reino Unido, etc., es decir, lo que se considera, desde nuestra atalaya peninsular, el “primer mundo”. El Gobierno quiere crear una milicia de ciber-reservistas, comenzando la casa por el tejado, cuando lo más urgente es regular las actividades profesionales relacionadas con la informática, que se hallan en el limbo jurídico.

Es ciertamente increíble que la palabra “informática” aparezca, literalmente, en el artículo 18.4 de la Constitución Española, dándose cuenta, los ponentes constitucionales, hace casi cuarenta años, de los peligros que podría conllevar un mal uso de la informática, que en aquel momento se hallaba en pañales. Esta clarividencia de los padres constitucionales contrasta, cuarenta años después y con un mundo totalmente interconectado y expuesto a merced de los ciberterroristas, con el hecho de que ninguno de los Gobiernos de turno que han gobernado España desde la aprobación de la Constitución, hayan regulado el ejercicio de una profesión tan vital para un país como es la Ingeniería Informática.

Por otra parte, no se entiende cómo algo tan vital como la ciberseguridad, se piensa dejar en manos de voluntarios en lugar de en manos de profesionales. ¿Y si se apuntan potenciales terroristas a la reserva? Se comprende, por tanto, que los “milicianos” deberán obtener algún tipo de habilitación de seguridad, presumiblemente la Habilitación Personal de Seguridad del CNI, que permite acceder a información clasificada. ¿Alguien en su sano juicio cree que un profesional de la ciberseguridad se va a someter a este tortuoso procedimiento, para luego pasar a formar parte de una reserva militar, sin cobrar ni un euro, pudiendo ser “llamado a filas” en cualquier momento y ante cualquier eventualidad? Antes de que cualquiera pudiera acusar a este profesional de antipatriota, lo cual es absolutamente incierto, es menester recordar que los militares profesionales cobran su sueldo, puntualmente, a final de mes (al igual que cualquier otro profesional que trabaja para el Estado). Y, por tanto, es bueno recordar que a los profesionales informáticos les encanta su trabajo, pero también tienen facturas que pagar y bocas que alimentar. Es decir, no trabajan gratis.

Igualmente, es bien conocido por los profesionales de la seguridad informática, que esta no es una meta, sino un proceso, razón por la cual los profesionales deben estar constantemente actualizándose, al día con las últimas tecnologías, en un proceso formativo sin fin, durante toda su vida. Y huelga decir que la formación en este campo concreto de la informática, es la más costosa económicamente de todas.

Así pues, no se pueden hacer las cosas deprisa y corriendo y sin el debido asesoramiento técnico. Un “Ejército de Ciber-reservistas”, es una idea imposible de llevar a la práctica con este planteamiento y siguiendo este formato (militar en la reserva). En lugar de eso, deberá crearse un Cuerpo de Élite, por supuesto civil y no militar, regido por una regulación muy concreta y específica, en el que deberán integrarse, mediante pruebas adecuadas de nivel, organizadas por entidades externas de reconocido prestigio, como los Colegios Profesionales de Ingeniería Informática, un grupo de no más de veinticinco de los mejores profesionales de seguridad informática del país, al objeto de permanecer alerta ante cualquier evento de seguridad que pudiera darse en Internet, actuando y pasando a la acción en el momento en que dicho evento sea detectado. Asimismo, la pertenencia a este Cuerpo de Élite debe ser compatible con el ejercicio de otra actividad profesional, evidentemente en el campo de la seguridad informática, ya que nunca se sabe cuándo puede ocurrir un evento comprometido de seguridad como el que ocurrió hace algunas semanas, ni qué alcance va a tener.

Por supuesto, el grupo nunca podrá ser monolítico, ya que los conocimientos de sus integrantes deberán ser evaluados cada cierto tiempo, despidiendo a los que no superen las pruebas y admitiendo a aquellos nuevos que sí lo hagan. Y, finalmente, estos profesionales deberán recibir una formación continua de primer nivel, así como una remuneración acorde a las capacidades y conocimientos de este tipo de personal ultra cualificado, los mejores en su ámbito, equivalentes a cualquier abogado o cirujano de primer nivel.


ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación