Acaba de publicarse el libro póstumo de Ulrich Beck, Metamorfosis del mundo (Paidós). En su obra clásica La Sociedad del riesgo, el sociólogo alemán analizaba las contrapartidas de la era posindustrial: la mejora del nivel de vida y el aumento de la productividad, por un lado; los riesgos latentes (y manifiestos) de la obsesión por el crecimiento. Según leo en las reseñas de su testamento intelectual – falleció antes de dar el libro a imprenta – en 2015 Beck se inquietaba por el advenimiento de un mundo digitalizado, en el que las fronteras se han vuelto líquidas y flexibles y en el que emergen amenazas desconocidas e incontrolables.
Sin haber leído Metamorfosis del mundo he recuperado un artículo de su autor, publicado en 2013 en Die Welt: «[…] para los economistas. el homo oeconomicus es sólo una hipótesis que forma parte de un modelo. Pero en el drama real, cuyo desenlace está abierto, en el que todos somos participantes y espectadores, víctimas y cómplices, lo que está en juego es cómo el homunculus oeconomicus —un ciborg, un androide, una figura artificial, a medio camino entre la máquina y el hombre— se ha escapado de los laboratorios frankensteinianos de Wall Street […] La narración dramática extrae su potencia de la brutal sencillez con la que se reacciona a la complejidad extrema del mundo: 1/0, sí/no, conectar/desconectar: los hombres actúan con códigos informáticos de acuerdo con las leyes de los economistas».
Este newsletter empieza de modo inusual, porque a) no sería razonable rehuir la noticia del ciberataque masivo del viernes, b) no obstante, temo no tener nada original que decir, tras lo mucho publicado estos días, y c) la lista de víctimas no añade nada sustantivo porque es impensable que el episodio sea el último de una serie que se remonta a 2005, cuando se supo del primer ransomware.
Vuelvo a citar a Beck: «las respuestas locales no valen para resolver problemas globales, y nuestra mentalidad no está equipada para abordarlos a escala global». El viernes, cada persona con la que hablaba me preguntaba por Telefónica; supongo que en Alemania el tema del día sería el ataque a Deutsche Bahn, en Francia Renault… y así de seguido.
De hecho, cada organismo nacional a cargo de la ciberseguridad ha hecho su propio balance – tirando a complaciente – de los daños provocados por Wanna Crypt (o Wanna Cry) en su respectiva jurisdicción. Toda empresa que vende productos y servicios de seguridad ha publicado su respectiva nota de prensa, que no se diga que estaban durmiendo. Pero ni unos ni otras han dicho por qué no supieron prever la posibilidad de que una práctica tan corriente, pudiera multiplicarse como amenaza global simultánea.
Los estudios disponibles sostienen que los atacantes innovan más en infraestructura que los defensores, y que estos se resignan o, como mucho, adoptan una mentalidad de actuarios, calculan una fórmula de coste/beneficio. Porque si hay puede decirse con un 100% de seguridad es que la seguridad al 100% no existe. También dicen los estudios que la superficie de ataque aumenta exponencialmente con la aparición de nuevas categorías [IoT, coche conectado,…] en el mercado. O se anticipan. .
En realidad, el ciberataque del viernes no ha sido muy sofisticado. Las mejores descripciones se las debemos a Cisco, vía su servicio de ciberinteligencia Talos y al blog de Kaspersky Lab.
Talos identifica la ´puerta trasera´ usada para explotar una vulnerabilidad desvelada en marzo por Microsoft. En el caso de Kaspersky, su analista Anton Ivanov advertìa en abril que «el coste de desarrollar un programa ransom es muy bajo comparado con otros tipos de software malicioso; estos programas están vinculados a un modelo de monetización eficaz, y el número de víctimas potenciales es de una amplitud sin precedentes» .
Causa gracia, o más bien bochorno, que quien consiguió bloquear las consecuencias económicas de WannaCry fuera un joven británico de 22 años, que resultó ser más sagaz que todos los organismos y empresas especializadas. No insistiré en la anécdota, pero cuesta entender que una organización criminal no registrara el dominio del falso sitio web usado como cebo para su fechoría. Quizá su intención se limitara, esta vez, a lanzar un aviso al mundo acerca de su omnipotencia. En todo caso, ellos sí tienen esa «visión global» de la que, pensaba Beck, carecemos el resto de los mortales.
Quiero decir que pudo ser mucho peor y que todavía puede ser mucho peor. Destacaré dos componentes. Los ignotos ciberdelincuentes habrían robado una herramienta creada por la NSA con la que esta agencia de ciberespionaje aprovechaba una vulnerabilidad en Windows XP. Si ha funcionado, es porque las empresas y organismos afectados no habían sustituído el obsoleto sistema operativo, que todavía está instalado en el 7% del parque mundial de PC. Pese a que Microsoft dejó de soportarlo en 2014. En vista del desastre, Microsoft ha distribuído de inmediato un parche que arregla esa vulnerabilidad. Algo no me cuadra: ¿las empresas atacadas, que no son pymes ingenuas, siguen usando XP?
Queda por comentar la exigencia de que el rescate se pagase en bitcoins. Saben los lectores habituales que no comparto el entusiasmo por las criptomonedas [perdonen la petulancia, pero cursé Económicas, no uno de esos MOOCS que se llevan ahora]. Pedir un rescate de 300 bitcoins [570.000 dólares el viernes] por recuperar el control de un sistema crítico es en sí mismo un modelo de monetización.
Al hilo de esto, los diarios del fin de semana traían explicaciones e infografías de cómo funciona el bitcoin; algunos colegas se detenían admirativamente en su naturaleza descentralizada, en que se trata de una moneda libre y alternativa, fuera del alcance de las autoridades. Mi primer pensamiento – una ocurrencia – ha sido que la segunda derivada del ciberataque ha sido una legitimación del bitcoin ante la opinión pública.