lunes, 7 de noviembre de 2016

Expertos advierten sobre la ciberseguridad de EE.UU

EE.UU. no está preparado para un ciberataque.
Por Christopher Mims, publicado por The Wall Street Journal.

El reciente ciberataque que noqueó más de 1.200 sitios web fue una advertencia. Los expertos dicen que si un ataque similar, o incluso más grande, fuera lanzado mañana, el país sería impotente para prevenirlo.

AP Photo / Ted S. Warren
Foto de AP Photo por Ted S. Warren
Visto en SPUTNIK. La foto no pertenece a la nota del WSJ
Nadie parece saber quien estuvo detrás del ataque, que fue lanzado por un “botnet” de miles de aparatos conectados a internet. El Departmento de Seguridad Nacional de EE.UU. no cree que el culpable fuera otro país.

Esto parece un alivio, pero en realidad es una noticia aún más terrible: ya no hace falta un gobierno o un hábil hacker para que internet se vuelva inaccesible para millones de personas. Cualquiera puede comprar la capacidad para hacer tal daño por menos de US$1.000.

Las países o los hackers más sofisticados son capaces de hacer cosas peores, según los expertos en cibersecuridad. Y el poder disuasorio de la amenaza de un contraatque cibernético o físico parece no ser suficiente.

Se cree que Estados Unidos empleó armas cibernéticas para paralizar el programa de enriquecimiento de combustible nuclear de Irán y que lanzó un dron para matar a un hacker que se cree que está trabajando con el Estado islámico. Más recientemente, el gobierno de Obama prometió tomar represalias contra Rusia por hackear cuentas de correo electrónico de estadounidenses prominentes.

El Pentágono tiene un cibercomando con capacidades defensivas y cada vez más ofensivas. Pero el almirante retirado James Stavridis, ex comandante supremo aliado de la OTAN, dice que es un equipo de “rejunte” de personal de otras ramas militares.

“Fundamentalmente [lo cibernético] no es diferente de aire, mar o tierra”, dice Stavridis, ahora decano de la Facultad de Derecho y Diplomacia Fletcher de la Universidad Tufts. “Es un lugar. Y allí vamos a tener preocupaciones de seguridad nacional”.

Eso significa que el país debería crear una “fuerza cibernética” y nombrar un director de ciberseguridad, tal como nombró un director de inteligencia nacional luego del 11 de septiembre, dice Stavridis. Tal fuerza sería capaz de responder no sólo a los ataques contra el gobierno y fuerzas armadas de Estados Unidos, sino también contra ciudadanos de ese país, sus empresas e infraestructura.

Un portavoz del Departamento de Defensa dice que las respuestas a los ataques cibernéticos necesitan abarcar “los sectores público y privado en todos los niveles”, como describe en una directiva reciente de la Casa Blanca. En la mayoría de los casos, dice el portavoz, el Pentágono no debería estar involucrado, a menos que un ataque represente un “daño demostrable a la seguridad nacional o intereses fundamentales” de Estados Unidos, como la economía, las relaciones exteriores o la salud pública.

Al mismo tiempo, los organismos estadounidenses de seguridad están a punto de expandir su autoridad para ingresar a computadoras sospechosas de estar involucradas en un ciberataque u otro crimen. Los cambios propuestos a la poco conocida Regla 41 de las Reglas Federales de Procedimiento Penal entrarán en vigencia el 1 de diciembre, a menos que el Congreso las bloquee. Las nuevas reglas permitirán a un juez emitir una orden que permita a los agentes bloquear o inhabilitar cualquier computadora, ya sea un servidor web de una empresa privada o un televisor inteligente en su sala de estar.

Las líneas entre el ejército y los organismos locales de seguridad pueden difuminarse, porque los ataques pueden tomar muchas formas. Consideremos el caso de un ataque contra computadoras estadounidenses lanzado por terroristas que operan en el extranjero.

Si le asusta la idea de cibercomandos financiados por el Pentágono que empleen armas desarrolladas por la NSA, o agentes del FBI infiltrándose y atacando computadoras, usted no está solo. El jueves, un grupo bipartidista de legisladores escribió a la Fiscal General Loretta Lynch para expresar su preocupación por el cambio a la Regla 41.

Los expertos en seguridad con los que hablé sugirieron varias alternativas para mejorar las ciberdefensas de Estados Unidos.

Dave Aitel, director ejecutivo de la empresa de seguridad cibernética Immunity Inc. y asesor técnico del Departamento de Comercio, dice que los legisladores podrían considerar autorizar a las víctimas a “hackear” a los atacantes. Pero esto presentaría sus propios desafíos, requiriendo cambios al derecho internacional y nuevos acuerdos entre países, para que la retribución de una empresa privada contra un atacante en cualquier parte del mundo no sea interpretada como un acto de guerra.

Para abordar los problemas planteados por el reciente ataque de botnet, algunas personas han sugerido nuevas reglas para los dispositivos conectados a internet.

Las agencias reguladoras federales tienen una autoridad limitada en este ámbito. La Comisión Federal de Comercio en general responde sólo después de un incidente, aunque puede exigir a las empresas que hagan un llamado a reparación de sus productos y contraten auditores externos. El senador Mark Warner sugirió que la Comisión Federal de Comunicaciones examine la seguridad de los productos conectados a internet antes de que sean puestos a la venta. Incluso si se adoptan, eso no afectaría a los dispositivos fabricados y utilizados fuera de Estados Unidos. Tampoco las nuevas normas remediarían los millones de dispositivos vulnerables conectados a internet que ya están en uso.

Jeremiah Grossman, jefe de estrategia de seguridad de Sentinel One Inc., dice que los fabricantes de dispositivos deberían tener responsabilidad legal por los daños causados por dispositivos inseguros. Eso permitiría a Netflix Inc., por ejemplo, demandar a Hangzhou Xiongmai Technology Co., fabricante de muchas de las cámaras conectadas a Internet usadas en el reciente ataque que interrumpió el servicio de Netflix.

Al fin de cuentas, todas las propuestas para un internet mejor defendido parecen inadecuadas. Se prestan para una extralimitación de funciones del gobierno, el ciber-vigilantismo o la ineficacia.

Sin embargo, tal vez no tengamos elección. Los expertos en seguridad consideran que un “ciber-9/11” es inevitable. Al igual que con los atentados del 11 de septiembre, algunos expertos piensan que se necesitará una calamidad así de grande para que las agencias gubernamentales y el sector privado cooperen hacia una respuesta eficaz.

Solo podemos suponer cómo sería ese ciber 9/11. Los expertos están especialmente preocupados por los sistemas de control industrial, muchos diseñados hace décadas y luego conectados a internet. El Departamento de Justicia en marzo acusó a siete iraníes de presuntamente hackear los controles de una represa cerca de la ciudad de Nueva York, entre otros crímenes.

Le pregunté a Jim Gillespie, cuya firma Grey Matter Systems asegura sistemas de control industrial, qué parte de la infraestructura de Estados Unidos le preocupa más. “Personalmente, estoy más preocupado por la industria del agua”, dijo. / Por Christopher Mims, publicado por The Wall Street Journal.--

Nota relacionada:

Se advierte que el próximo presidente de Estados Unidos se enfrentará a un panorama cibernético de complejidad sin precedentes con poco tiempo o flexibilidad para ponerlo bajo control:
Post relacionados:

___________________
Nota: Las cookies de este sitio se usan para personalizar el contenido y los anuncios, para ofrecer funciones de medios sociales y para analizar el tráfico. Además, compartimos información sobre el uso que haga del sitio web con nuestros partners de medios sociales, de publicidad y de análisis web. Ver detalles.

No hay comentarios.:

Publicar un comentario

Bienvenido al blog y muchas gracias por su visita. Espero que el contenido sea de utilidad, interés y agrado.
Los comentarios están moderados. Antes de colocar un comentario lea bien las condiciones, tenga en cuenta que no se permitirán comentarios que:
- sean anónimos y/o posean sólo un nickname.
- no estén vinculados a una cuenta.
- posean links promocionando páginas y/o sitios.
- no se admite propaganda de ningún tipo
- puedan resultar ofensivos o injuriosos
- incluyan insultos, alusiones sexuales innecesarias y
palabras soeces o vulgares
- apoyen la pedofilia, el terrorismo o la xenofobia.

Este Blog ni su autor tiene responsabilidad alguna sobre comentarios de terceros, los mismos son de exclusiva responsabilidad del que los emite. De todas maneras, por responsabilidad editorial me reservo el derecho de eliminar aquellos comentarios que considere inadecuados, abusivos, injuriantes, discriminadores y/o contrarios a las leyes de la República Argentina.