“Estados Unidos, Rusia o China presentan ventajas para el cibercrimen”

Captura de pantalla 2016-07-07 a las 1.18.44

“En el ámbito ciber, España ha empezado a desarrollar capacidades defensivas, no de inteligencia u ofensivas

“No existe legislación internacional sobre el cibercrimen y por ello han aparecido paraísos del cibercrimen”

“Daesh aún no tiene capacidad para lanzar ciberataques complejos, pero probablemente la tendrá”

“Identificar cuentas en redes sociales y cerrarlas no es suficiente; hablamos de una hidra”

El terrorismo convencional, tal y como lo hemos conocido hasta ahora, ya no existe. Ha evolucionado de la mano de las herramientas que brinda un nuevo entorno. Así lo expondrá la OTAN mañana, cuando reconocerá en Varsovia de forma oficial que el ciberespacio se convierte en el quinto espacio operativo tras tierra, mar, aire y espacio. Lo adelanta Adolfo Hernández, hacker, cofundador del think thank Thiber y asesor de ciberseguridad de Telefónica/ElevenPaths. Hernández aborda los retos que plantea un escenario en permanente cambio que hoy trae de cabeza a verdaderos colosos de la lucha contra el terrorismo y el crimen organizado.

¿Que diferencia a un hacker de un cibercriminal o de un ciberterrorista?

La motivación, fundamentalmente. Muchas de las técnicas que emplean son comunes, la finalidad de sus acciones, no. Se emplea mal el término hacker. El hacker es una persona tecnológicamente inquieta que quiere probar los límites de la tecnología y de su propio conocimiento, pero sin una motivación económica o de dolo. Este tipo de conocimiento no se aprende en las escuelas ni en las universidades generalmente. Es formación extraacadémica en la gran mayoría de las ocasiones. Es gente con mucho talento y capacidad autodidacta que se pone a prueba. Hasta ahí. Quien cruza la línea…

¿Podemos clasificar a los cibercriminales?

Se les puede clasificar en función de su motivación. Del 100% de actividades ilegítimas que se realizan en el espacio, un 70% aproximadamente tiene una motivación económica, siendo una vertiente criminal más: extorsión, robo de información, denegación de servicios… Luego hay un porcentaje reducido orientado al activismo. Aquí quedarían englobados grupos terroristas como Daesh e incluso a grupos hacktivistas como el colectivo Anonymous. No tienen motivación económica, sino la ejecución de una reivindicación social, política o religiosa. Finalmente existe un porcentaje más reducido: la orientada al ciberespionaje. El ciberespacio tiene nuevos actores, nuevas armas y nueva formas de conflicto. Estados que realizan acciones contra empresas de otros países o contra otros Estado, etcétera. No todas las acciones buscan un lucro directo.

En el ciberespacio nos encontramos con pequeños grupos capaces de poner en jaque a verdaderos colosos. ¿En consiste el concepto de asimetría?

A diferencia de lo que suele suceder en los entorno tradicionales, en tierra mar y aire, en el ciberespacio se desarrolla el concepto de asimetría. Grupos o personas con muy pocos recursos materiales pueden causar grandes acciones desestabilizadoras utilizando el ciberespacio como un factor amplificador. Hace más de dos décadas un joven consiguió entrar en los sistemas del Pentágono. Una sola persona con recursos escasos. Ese es el concepto de la asimetría. Existen pequeños grupos de presión capaces de causar alteraciones en el ciberespacio de calado. Esto, sobre todo en el entorno militar, ha desdibujado el mapa de poder tradicional.

El año pasado alcanzamos la cifra de cinco mil millones de dispositivos conectados entre sí. ¿Hasta qué punto el ciberespacio debe ser un ámbito prioritario para las políticas públicas de seguridad y defensa?

En el ámbito civil europeo ha pasado ya la primera ronda de votación la directiva NIS, una directiva europea en la que se reconoce la importancia de contar con un ciberespacio seguro y resiliente como habilitador de una economía digital estable. Por otra parte, en el plano militar va a tener lugar la cumbre de la OTAN en Varsovia, en la que se prevé la aprobación formal del reconocimiento y la importancia del ciberespacio como quinto entorno operativo. Después de tierra, mar, aire y espacio. La gente habla del ciberespacio como un nuevo entorno, como algo físico. Pero es complicado. Cuando salimos de tierra, mar y aire, ¿en qué entramos? ¿Quién regula? ¿Quién legisla en torno a algo cuyas fronteras territoriales son difusas?

¿Cuáles son los principales retos a los que se enfrenta la ciberseguridad en torno al terrorismo?

Debemos hablar de tres niveles: ciudadanos, empresas y Gobiernos. Los Gobiernos están focalizando sus esfuerzos en conseguir mayor presencia en el ciberespacio, desarrollando cibercapacidades. Al mismo tiempo, se está tratando de regular lo que algunos interpretan como un global common, o bien común global. La ausencia de una regulación internacional hace que en este entorno las naciones que tienen recursos, desarrollan capacidades, ejerciendo poder. Quienes ha tenido grandes capacidades porque han invertido o porque han promovido su capacidad militar y civil, hoy son potencias en el ciberespacio. A la espera de este ordenamiento jurídico, potencias como Irán, Israel, China, Rusia, Reino Unido o Estados Unidos desarrollan sus capacidades.

¿España qué papel juega en ese mapa?

Nuestro ministro de Asuntos Exteriores, el año pasado, dijo que somos el tercer país más atacado por detrás de Reino Unido y Estados Unidos. Ante esa declaración se plantean dos incógnita. La primera: la información sobre los ciberincidentes no se comparte. Cuando las empresas sufren un ataque no se lo comunican a su Gobierno, órgano regulador, a su sector ni a sus clientes de forma general. No sabemos a ciencia cierta el número de ciberataques que sufre España. Por otra parte, el Gobierno asumió que los datos sobre ciberincidentes dados por otras naciones son correctos. Curiosamente en el ciberespacio las naciones que más ataques reciben son las naciones que más ataques emiten. Con todo esto, cuesta creer que España sea el tercer país más atacado. Si eso fuera así, estaríamos asumiendo que somos uno de los países que más atacan. No obstante, España podría ser considerada como un soft target porque tiene empresas multinacionales con mucha presencia internacional. Como país, puede que seamos un eslabón intermedio para lanzar un ataque a un tercero.

¿Qué entidades con sede en España pueden utilizarse como tapadera de ataques?

En los ataques más sofisticados y más dirigidos, las relacionadas con industrias estratégicas: Gobierno, agencias de inteligencia, banca, farma… Todo lo que tenga acceso a información interesante para una nación extranjera: planos, diseños, propiedad intelectual, industria farmacéutica…

"En cuanto a las medidas técnicas, determinadas plataformas de redes sociales podrían hacer algo más"

En enero del pasado año las webs de cerca de 40 ayuntamientos navarros fueron atacadas. En febrero de 2016, Daesh se hizo con la cuenta de Twitter de Justin Bieber para lanzar un video propagandísticos a los 74 millones de followers del cantante. En marzo, Daesh tomó el control de cerca de 10 mil cuentas de Facebook, en las que colgó imágenes propagandísticas del grupo. ¿Cómo se lucha contra esto?

El medio digital no es fácil de controlar. No podemos militarizar las redes sociales. Es técnicamente inviable. Deberíamos desarrollar una contranarrativa efectiva. Demos información, no bloqueemos la red. No vale con identificar las cuentas en redes sociales y cerrarla porque esto es como luchar contra una hidra. Si los grupos terroristas tienen expertos que gestionan centenares y miles de cuentas, hay que dar con la persona que las gestiona. Además, la apología del terrorismo por medios digitales ya está tipificada en la mayoría de las plazas europeas como un delito penal susceptible de ser perseguido. Antes, no. En cuanto a las medidas técnicas, determinadas plataformas de redes sociales podrían hacer algo más. Cada vez que una activista de Femen aparece haciendo un topless, retiran ese contenido de inmediato con algoritmos automáticos. Sin embargo, hemos encontrado vídeos de decapitaciones del Daesh que llevaban casi un año disponibles en Youtube.

Los expertos señalan que la contranarrativa no está funcionando.

Yo no he visto la contrapropaganda del Estado. Hay algo que está fallando. En el caso de Israel y Palestina, la propaganda de Israel llega a todo el mundo. Curiosamente, Israel utiliza las mismas técnicas que está manejando Estado Islámico. Se hacen con los servicios de expertos en edición digital, en edición de vídeos, social media managers… Tienen de todo. Promueven la profesionalización. Tal vez convendría verificar el grado de profesionalidad y los esfuerzos que se han dedicado a la contranarrativa del terrorismo.

Al margen de objetivos propagandísticos, Al Qaeda ya utilizaba internet para recoger o robar información sobre potenciales objetivos o para analizar deficiencias estructurales de instalaciones. ¿La llegada de Daesh ha supuesto un salto cualitativo del terrorismo en el ámbito de internet?

En cuanto a las cibercapacidades de Estado Islámico, probablemente no sean ahora mismo una amenaza real. ¿Lo pueden ser a medio plazo? Sí. Del mismo modo que tienen expertos en social media, ¿por qué no podrían tener o contratar expertos capaces de atacar la central potabilizadora de agua de una ciudad y tocar los sistemas para aumentar el nivel de cloro y hacer el agua venenosa? Es más sencillo que mandar a cinco lobos solitarios a la Eurocopa. Por suerte, y aparentemente, aún no tienen esas capacidades. Probablemente tendrán las capacidades en un futuro.

El pasado 5 de abril Daesh anunció la creación del autodenominado Cibercalifato, un grupo de cibercriminales que ya había reivindicado el pasado enero el hackeo de las cuentas de TwitterYoutube Facebook del Mando Central de las Fuerzas Armadas estadounidenses (USCENTCOM)– encargado de planear y conducir las operaciones militares de Estados Unidos en Afganistán, Irak y contra Daesh – y del semanario norteamericano Newsweek. ¿En qué medida el estos grupos están capacitados para desarrollar ataques complejos contra bancos, empresas, gobiernos o medios de comunicación?

Por el momento, y aparentemente, esa posibilidad todavía no es una amenaza real.

Cuando el desarrollador de software Satoshi Nakamoto introdujo Bitcoin en 2008, lo hizo para crear una moneda alternativa e independiente de una autoridad central. La herramienta esquiva a los bancos como intermediarios. No obstante, los expertos señalan que Daesh está utilizando el bitcoins para financiar sus actividades terroristas, ya sea utilizando bitcoins para pagar a mercenarios o para recibir donaciones. ¿Es la falta de regulación lo que provoca estas brechas en el sistema?

La misma pistola que sirve para defendernos del terrorismo es la que los terroristas usan para realizar una ejecución. En este caso concreto, se trata de una divisa que no está sometida a un órgano central. El precio se basa exclusivamente en oferta y demanda. Desde su creación, esta criptomoneda que el vicepresidente de la Comisión Europea y titular de Competencia, Joaquín Almunia, calificó de “peligrosa”, pretende ser una alternativa al sistema monetario actual. Como tal, está diseñada para poder garantizar el anonimato en la transferencia, cosa que ha sido problemática porque ha venido de la mano de la ausencia de organismo regulador. Pero hay un cajero de bitcoins en Serrano, sitios web como Microsoft, Expedia, Dell, Reddit, Mega o destinia también … No es ilegal. El bitcoin es usado por los terroristas, como el dólar. No criminalicemos el medio, porque el problema no es ese.

Aplicaciones como Dark Wallet impiden identificar las transacciones en bitcoins. De hecho, el entorno de Daesh ha promocionado manuales de uso que presentan el monedero oscuro como una opción para “enviar instantáneamente millones de dólares en bitcoins desde Estados Unidos, Reino Unido, Sudáfrica, Ghana, Malasia, Sri Lanka o cualquier otro sitio directamente a los bolsillos de los mujahidin”. ¿Hasta qué punto la tecnología entra en colisión con los legítimos servicios de inteligencia o con la labor de fuerzas policiales?

Con el atentado de las Torres Gemelas todavía presente, el Congreso aprobó en Estados Unidos por unanimidad, algo, la Ley Patriótica. Básicamente, suponía una reununcia a algunos derechos constitucionales para favorecer la lucha contra el terrorismo internacional. Aquí no hay término medio. Un Gobierno puede decir: “No queremos que haya comunicaciones civiles que no podamos romper en caso de necesidad”. Esto no es sencillo. Si falta capacidad técnica, la solución es invertir, no obligar a los ciudadanos a reunciar a sus derechos. Un gran porcentaje de las tecnologías que estamos usando en el ámbito civil provienen del ámbito militar. Pero la falta de capacidad técnica no puede suponer un menoscabo de derechos. Si los malos conducen Ferraris y la Policía Peugeots, la solución no es prohibir los coches de más de 100 caballos, sino equiparar los recursos

Si está prohibido ir a más de 120 kilómetros por hora, ¿qué problema habría en limitar todos los vehículos a 120? Todos, excepto aquellos que por ley puedan hacerlo para velar por nuestra seguridad. Por ejemplo, ambulancias o coches de Policía.

El problema está cuando se dice que sí, que se pueden intervenir comunicaciones con orden judicial, pero que por defecto tus comunicaciones van a ser escuchadas, aunque seas inocente, porque el Estado no tiene capacidad para hacerlo de otro modo. Es posible desarrollar capacidades para hacer las cosas bien, pero el desarrollo de esas capacidades no se prioriza. Si queremos correr más, necesitamos autopistas más seguras.

"Los militares se han dado cuenta de que reciclar personal para el ámbito ciber es complicadísimo"

En la nueva ley de Enjuiciamiento Criminal española aparecen la intervención de las comunicaciones telefónicas y telemáticas o la utilización de claves y troyanos en un ordenador o teléfono móvil sin que el titular tenga conocimiento de que están siendo examinados. ¿Es suficiente?

Sí. Ningún problema. Son las técnicas que usan los malos, pero aplicadas para defender a la ciudadanía o para realizar una investigación.

Hace unas semanas, en una entrevista con este Observatorio, el juez Gómez Bermúdez reclamaba que la legislación blindase la posibilidad de destruir servidores a distancia para favorecer la lucha antiterrorista. ¿Qué le parece la propuesta?

La plataforma más usada para hacer propaganda es Youtube y Vimeo. ¿Qué hacemos? Tenemos otro problema: falta armonización sobre lo que es cibercrimen. No hay una legislación internacional sobre esto. Hay acuerdos bilaterales y unilaterales en los que se habla de armonización penal y procesal, lo que es la evidencia digital. Lo que puede valer procesalmente en España, en Francia quizá no funcione. Como todo está sujeto a acuerdos bilaterales y unilaterales, de repente han aparecido islotes. Como en el blanqueo de capitales. En el blanqueo de capitales se dice que hay que localizar los orígenes de las trasferencias, que se sepan quién la realiza y quién la recibe. Quienes fundamentaron la aproximación en acuerdos bilaterales se dieron cuenta de que había países que no estaban en esos acuerdos, como Liechtenstein, Andorra, Mónaco, Seychelles, Panamá… Del mismo modo, hay paraísos del cibercrimen. Los hackers lo saben y lanzan las operaciones desde allí.

¿Qué países son esos?

Ciertos países asiáticos y latinoamericanos, en los que no existen instrumentos internacionales o regionales en la lucha contra el cibercrimen. Además, curiosamente Estados Unidos, Rusia y China, los tres están en varios acuerdos bilaterales, pero no en el mismo. No hay ninguno en el que esté Rusia y China o China y Rusia o Estados Unidos y Rusia. Ninguno. Es obvio lo que sucede. Europa sí está regulada. En el Convenio de Budapest se especifica que es el cibercrimen, qué es cibercrimen a nivel procesal y penal. Con la pedofilia, por ejemplo, ha pasado durante mucho de tiempo que como en los países del Magreb no es delito, los servidores podían estar públicos en Marruecos.

El pasado 4 de abril la Eurocámara aprobó el Reglamento Europeo de Protección de Datos, que entrará en vigor en 2018. ¿Qué valoración hace de las nuevas reglas aprobadas por el Parlamento Europeo? ¿Qué cambios se introducen con respecto a la normativa comunitaria vigente hasta el momento?

Por una parte, proporcionalidad. Aquí las sanciones eran iguales indistintamente de la empresa que estuviese cometiendo las infracciones. Si se cometía una infracción de nivel alto, de entre 300 mil y 600 mil, daba igual que fueras Panaderías Pérez o una gran plataforma de distribución. Ahora la sanción es en proporción a la facturación. Por otro lado, aparece la figura de la obligatoriedad de reportar las fugas de datos, las brechas de información, los ciberataques que afecten a datos de carácter personal. Esto es importante porque necesitamos saber qué está pasando. Es mejor para el ciudadano. Si el ciudadano sabe que existe un riesgo, exigirá seguridad cibernética por defecto. La seguridad es como la salud: nunca piensas en ella y, según te falla, se convierte en la prioridad número uno.

Este mismo año el vicesecretario de Defensa de Estados Unidos, Robert O. Work, reconoció que por primera vez su unidad de Cibercomando estaba lanzando “ciberbombas”. ¿Deben los Estado trabajar más en promover medidas de seguridad contra ataques informáticos o deben desarrollar ataques informáticos contra organizaciones terroristas?

¿Deben los Ejércitos limitarse a defender o también deberían tener capacidad ofensiva? La doctrina militar, en la parte ciber, habla de tres capacidades: ciberdefensa, ciberinteligencia y capacidades ofensivas.

¿España tiene capacidades ofensivas?

Debemos tener. En el ámbito ciber el único objetivo parece que es prevenir ataques. No sólo es eso.

¿Lo estamos haciendo en el ámbito ciber?

Si tuviésemos que empezar desde cero y no hubiera presupuesto para desarrollar las tres capacidades, ¿por dónde empezaríamos? Por la defensa probablemente. En el caso español se creó el Mando Conjunto de Ciberdefensa en febrero de 2013. Como las capacidades son limitadas, se ha empezado por las capacidades defensivas. Otras nacionanes, como los Estados Unidos, ya han realizado varias iteraciones de su política de ciberdefensa. Tienen capacidades defensivas, de inteligencia y ofensivas. Y van un paso más allá.

The New York Times desgranó que la estrategia de EEUU busca lograr que miembros del Cibercomando se implanten en la red de comunicación del Daesh y se hagan pasar por alguno de sus militantes con el objetivo de obtener información e imitar sus hábitos. Una vez conseguido, el siguiente paso será alterar su mensajes y órdenes para hacerlos vunerables a ataques con drones. ¿Pueden ser efectivas estas prácticas?

Allí tienen otro ámbito competencial. Tienen poco terrorismo local. Esta iniciativa, en el caso español, no creo que la liderase el Ejército. Sí podría hacerlo el CNI. Me parece un planteamiento efectivo. Se hibrida todo. Las operaciones ahora mismo tienen una parte ciber, ataque aéreo, despliegue de fuerzas terrestres… Hablamos de una guerra híbrida. No vamos a acabar con el terrorismo únicamente con fuerzas en un solo entorno operativo.

¿Qué está haciendo el terrorismo en el ámbito de las aplicaciones móviles?

Se anunció a bombo y platillo que el Estado Islámico compartía por Telegram una aplicación para comunicarse de forma cifrada. Sí, era una aplicación que utilizaba el Daesh para comunicarse, pero el grupo no tiene capacidad para cifrar información. Sí está usando canal digital, algo que no es exclusivo de Estado Islámico: (Anwar) Al-Awaki, uno de los cabecillas de 11S, era un imán radical estadounidense de origen yemení que fue el que intentó “digitalizar” Al Qaeda. Sacaban aplicaciones móviles. Había aplicaciones móviles de Anwar Al-Awaki con las que se hacía adoctrinamiento. La aplicación tenía mp3, discursos con llamada a la yihad… Se han usado antes las aplicaciones móviles, no es algo exclusivo del Estado Islámico. Es una forma eficaz de acercarse a la gente.

¿Hay respuesta por parte de las fuerzas de seguridad o por parte de los Estados democráticos en el ámbito de las aplicaciones móviles?

El método más habitual de distribuir una aplicación móvil es a través de los markets oficiales. Apple Store en el caso de Apple y Google Play en el caso de los dispositivos Android. Allí es muy difícil encontrarse aplicaciones de este tipo porque violan los términos y condiciones de uso. ¿Hay medidas? Sí. Pero las aplicaciones se distribuyen a través de canales no oficiales. Una aplicación te la pueden pasar por Telegram e instalártela. Ahí ni Google ni Apple tienen nada que decir. Ese es el punto donde tenemos que estar más atentos. Y es donde todos tenemos que andarnos con cuidado.

¿Qué papel debe jugar el poder civil, los profesionales de determinadas ciencias como pueden ser el marketing, la informática, etcétera, en la lucha contra el terrorismo?

Muchas veces colaboramos de forma desinteresada. Debería ser más sencillo colaborar con Fuerzas y Cuerpos (de Seguridad del Estado) y otras entidades. Muchas veces no lo es. En el ámbito ciber, quienes tienen grandes conocimientos son ese tipo de perfiles que han probado, que han experimentado. Y muchos de ellos a lo mejor tienen un bache en su currículo. Esto ya automáticamente les inhabilita en determinados contextos. En el ámbito ciber los militares se han dado cuenta de que reciclar personal propio es complicadísimo y poco efectivo. Si vienen mal dadas, mal dadas de verdad, yo querría que nos defendiese el mejor francotirador. Si alguien ha aprendido a disparar disparando a ovejas en el pueblo, pero dispara muy bien, bajo unos criterios mínimos y que responda a una cadena de mando, yo le quiero defendiéndome. Pensamos que lo único que atrae la colaboración es el dinero, y creo que nos llevaríamos una sorpresa.