Por David H. Friedman, de Newsweek
En la mañana del 11 de enero pasado, la Administración Federal de Aviación detuvo todos los despegues de las aerolíneas en los EEUU debido a una falla en un sistema de software crítico para la seguridad de los vuelos. “No hay evidencia de un ciberataque en este momento”, dijo el secretario de Prensa de la Casa Blanca. Pero, ¿lo sabrían los funcionarios si así fuera? ¿Y lo revelarían al público? Esas son preguntas justas, dado que en 2015 la FAA tardó dos meses en revelar que los piratas informáticos habían colocado malware en una de sus redes informáticas. El Gobierno federal mantiene un estricto secreto sobre lo que sabe acerca de las amenazas a las empresas y las personas estadounidenses.
Si los piratas informáticos realmente atacaron a la FAA, sería algo habitual en el mundo de la ciberseguridad. El mismo día, según la empresa de investigación Cybersecurity Ventures, los piratas informáticos publicaron más de 120.000 registros robados del Departamento de Policía del sistema de tránsito del Área de la Bahía de San Francisco; derribaron los sitios web de ocho importantes bancos daneses, incluido el Banco Central; y entraron en el ejército y las agencias gubernamentales en varios países del Sudeste Asiático y Europa. También secuestraron las plataformas de computación en la nube de Microsoft y Salesforce, y se llevaron millones de dólares en criptomonedas imposibles de rastrear.
Y eso fue solo el 11 de enero. Todos los días del año, los piratas informáticos desatan una serie de grandes ataques contra agencias gubernamentales, empresas e individuos. El año pasado, desmantelaron los servicios de emergencia, amenazaron las redes eléctricas regionales, interrumpieron la atención de los pacientes en los principales hospitales, detuvieron los trenes, se apoderaron de las estaciones de radio para sembrar el pánico entre los oyentes con una crisis falsa, activaron alertas de ataques aéreos y atacaron a los científicos nucleares de los EEUU. En lo que va del año, los piratas informáticos irrumpieron en la empresa de comunicaciones Slack y robaron las direcciones de correo electrónico de más de 200 millones de usuarios de Twitter.
Más de 70 millones de estadounidenses se ven afectados por delitos cibernéticos cada año, según la firma de investigación de seguridad informática Purplesec, lo que a menudo deja a las personas estafadas, espiadas o humilladas públicamente al publicar fotos privadas y otra información en línea. Más de dos tercios de las pequeñas empresas han sido víctimas de piratas informáticos al menos una vez. Algunos expertos creen que casi todas las grandes organizaciones y agencias gubernamentales han sido violadas. Así de enormes y constantes se han vuelto los ciberataques. El año pasado, 22.000 millones de registros personales y comerciales quedaron expuestos en ataques a empresas estadounidenses, según un estudio de la consultora de seguridad Flashpoint, y eso no incluye las infracciones que no se identificaron ni denunciaron, que podrían representar la mayoría de los ataques.
Aunque hasta ahora esto ha sido malo, la situación está empeorando. Según las empresas de seguridad que rastrean los ataques, la cantidad de infracciones, que había estado creciendo un 15% por año, aumentó un 38% en 2022.
(Foto: Steve Pfots/Getty)
Hay muchas razones por las que los hackers parecen tener la ventaja. Por un lado, se han institucionalizado, con patrocinadores como Rusia, China y otras naciones que brindan refugio y financiamiento a masivas filas de piratas informáticos. Los objetivos también son cada vez más numerosos, ya que miles de millones de personas conectan decenas de miles de millones de nuevos dispositivos a Internet, cada uno de los cuales proporciona un punto de entrada a las redes informáticas. Y nuevos y poderosos trucos y herramientas de hackers —algunos de ellos impulsados por inteligencia artificial— surgen casi a diario en el mercado negro.
Como resultado, los piratas informáticos ahora tienen la capacidad de inundar las computadoras en todas partes con un flujo interminable de potentes ataques. “Estamos hablando de billones de eventos”, dice Mark Ostrowski, quien dirige el área de ingeniería del importante proveedor de seguridad informática Check Point Software Technologies.
La mayoría de las personas son vagamente conscientes de que los delitos informáticos abundan, pero no tienen idea de cuán grave se ha vuelto el problema y cuán rápido se está expandiendo. Muchos ataques se mantienen en secreto, manteniendo los problemas fuera de la vista. Incluso los directores ejecutivos de las principales empresas a veces carecen de una idea clara de a qué se enfrentan sus industrias. El año pasado, la recién creada Oficina del Director Nacional Cibernético de los EEUU celebró un foro para dar a los directores ejecutivos información clasificada sobre amenazas cibernéticas. ¿Cuál fue la reacción de los directores ejecutivos? «Conmoción total», relata el subdirector nacional cibernético principal, Kemba Walden.
El Gobierno de EEUU, con toda su destreza en la guerra cibernética, no ha logrado proteger a sus propios ciudadanos y empresas, para quienes la perspectiva de alivio no está a la vista. “Es una pandemia cibernética”, dice Ostrowski, “y va a empeorar antes de mejorar”.
AMENAZAS MORTALES
No se suponía que fuera así. Hace dos décadas, los expertos descartaron la piratería como dolores de crecimiento temporales de la naciente Internet. Los profesionales de la seguridad estaban controlando la piratería de forma lenta pero segura con herramientas y prácticas mejoradas. “La gran mayoría de los piratas informáticos no tienen las habilidades y los conocimientos necesarios” para causar mucho daño, aseguraba un informe de 2004 del Instituto de la Paz de EEUU, un think tank bipartidista federal, y “los que lo hacen, generalmente no buscan causar estragos”.
¿A dónde nos han llevado estas afirmaciones? “Tenemos un dicho en la industria”, indica Marc Rivero, investigador sénior de seguridad de la firma de software de ciberseguridad Kaspersky Labs. “El 95% de las organizaciones han sido violadas, y el otro 5% simplemente no lo sabe”. La conclusión, según la mayoría de los expertos, es que ninguna computadora, o dispositivo, o máquina con un chip de computadora, puede considerarse hoy en día completamente segura.
Los profesionales de la seguridad, siempre tratando de ponerse al día, parecen impotentes para controlar el problema. “Los delincuentes están dos pasos por delante de nosotros”, dice David Maimon, director del Grupo de Investigación de Seguridad Cibernética basada en Evidencia de la Universidad Estatal de Georgia, así como investigador de la Universidad Hebrea de Jerusalén. “Si quieren entrar, estarán dentro”.
El evento que mejor ejemplifica el poder que los piratas informáticos tienen para manejar este asunto fue el ataque de 2020 a SolarWinds, una empresa de software. Los piratas informáticos violaron las redes informáticas de la empresa y colocaron malware (software que hace cosas malas) en sus productos de software. Cuando los clientes descargaron las actualizaciones de productos de SolarWind, también recibieron el malware. “Cuando se lanzó el software, todas las computadoras que lo usaban se vieron comprometidas de inmediato”, cuenta Rivero, de Kaspersky.
El ataque de SolarWinds dio a los piratas informáticos acceso a las computadoras de tantas empresas e incluso agencias gubernamentales que muchos expertos consideran que el ataque fue el más dañino de la historia. (Por supuesto, puede haber otros ataques dañinos que nunca se hicieron públicos).
A los expertos en seguridad les preocupa que infiltrarse en las empresas de software como una forma de llegar a sus clientes sea una nueva estrategia que generará delitos por imitación. “Ese va a ser un objetivo clave para los delincuentes en 2023, sin dudas”, dice Rivero. El incidente de SolarWinds generalmente se atribuye a piratas informáticos respaldados por agencias de inteligencia rusas. Rusia se ha convertido en un bullicioso centro de piratería, en parte porque el Gobierno ruso utiliza ampliamente la piratería con fines bélicos. Ese ha sido el caso en su invasión a Ucrania, así como sus esfuerzos por espiar y dañar a los EEUU y otros países que considera hostiles. También se sabe que China y Corea del Norte (y en menor medida Irán) tienen amplias capacidades de piratería respaldadas por el Estado para interrumpir a los enemigos, al igual que EEUU.
En algunos casos, estos países están trabajando con ciberdelincuentes sofisticados y cultivando sus propios ejércitos de piratas informáticos. Rusia ha sido especialmente tolerante con sus prósperas filas de ciberdelincuentes, siempre que se concentren en objetivos en otros países. “No creo que haya evidencia de que Putin ordene a los delincuentes que cometan ataques de ransomware, pero no ha habido mucho interés en entregar a los delincuentes que lo hacen”, dice Troy Hunt, un consultor de seguridad que fundó el destacado sitio web de seguimiento de violación de datos personales “Have I Been Pwned?” («¿Fui engañado?»).
Estos desarrollos están generando preocupaciones sobre posibles ataques a las redes eléctricas, los sistemas de control del tráfico aéreo y las cadenas de suministro de alimentos, entre otros objetivos, que podrían tener graves consecuencias. “Los objetivos incluyen plantas de energía nuclear, dispositivos médicos, vehículos autónomos y sistemas de control industrial”, dice Mordechai Guri, quien dirige el área de investigación y desarrollo en el Centro de Investigación de Seguridad Cibernética de la Universidad Ben Gurion, en Israel. “En casos extremos, podrían causar la muerte. Puedes imaginar el efecto de un ciberataque en vehículos autónomos…”.
Guri se refiere a los autos sin conductor que ya se están probando en varias ciudades y estados de EEUU y otros lugares. Muchos dispositivos médicos, desde marcapasos hasta potentes máquinas de resonancia magnética, tienen algún tipo de conectividad de red, al igual que algunos semáforos, ascensores y muchos otros dispositivos y máquinas que, en teoría, podrían ser intervenidos con efectos letales. Las interrupciones en la red de energía infligidas por piratas informáticos podrían matar a miles si ocurrieran durante períodos de frío o calor extremos.
De hecho, los ataques informáticos ya han comenzado a resultar mortales. En 2020, los piratas informáticos cerraron los sistemas informáticos del Hospital Universitario de Düsseldorf, en Alemania, interrumpiendo la atención de emergencia, entre otras funciones. En el caos que siguió, un paciente gravemente enfermo murió antes de que el hospital pudiera organizar el traslado.
Muchas otras instituciones han estado cerca después de ser atacadas por piratas informáticos, incluido el Hospital for Sick Children de Toronto, el hospital pediátrico más grande de Canadá, que el año pasado perdió su capacidad para acceder a pruebas médicas e imágenes o usar sus teléfonos en un ataque de piratas informáticos. Cuando las oficinas gubernamentales del condado de Suffolk en Long Island fueron atacadas, el sistema automatizado 911 dejó de funcionar, lo que obligó al personal de emergencia a anotar la información a mano y no pudo rastrear la ubicación de las personas que llamaron.
Foto: Gentileza Newsweek / SUBOFICIAL DE SEGUNDA CLASE WILLIAM SYKES / OLIVER ELIJAH WOOD / MARINA DE LOS EE. UU.
En los últimos dos años se ha producido una larga lista de ataques con consecuencias potencialmente mortales. Las sirenas de ataque aéreo sonaron en Israel el año pasado cuando los piratas informáticos violaron el sistema de defensa pública de esa nación. Un mes después, los piratas informáticos se apoderaron de las estaciones de radio ucranianas para informar falsamente que el presidente Volodímir Zelenski estaba mortalmente herido. En 2021, los piratas informáticos se apoderaron de las computadoras en una planta de tratamiento de agua en Florida y contaminaron el suministro de agua, un ataque potencialmente mortal que apenas se descubrió a tiempo para evitar el desastre. Unos meses más tarde, los piratas informáticos forzaron el cierre del oleoducto más grande de los EEUU durante una semana hasta que el operador pagó a los piratas informáticos US$ 4,4 millones para que dieran marcha atrás. El año pasado se lanzaron más de 100 ataques contra varios elementos de la red eléctrica estadounidense.
No es coincidencia que los ataques sean cada vez más numerosos y aterradores. Además de obtener el apoyo de Rusia y otras naciones hostiles, los piratas informáticos de todo el mundo están mejor organizados y equipados, a menudo funcionando más como una industria global interconectada que como bandas dispersas de delincuentes. “Ahora existe una cadena de suministro de piratería elaborada, profunda y sofisticada”, señala Maimon, de la Estatal de Georgia. “Algunos escriben malware, algunos lo distribuyen, algunos lo usan, algunos venden los resultados”.
La mayoría de las transacciones se realizan a través de Darknet, la parte de Internet que está encriptada para ocultar sus sitios web de los motores de búsqueda y de cualquier persona que no tenga las contraseñas correctas. Los grupos de piratas informáticos con nombres como Fancy Bear, Conti y Killnet se anuncian en Darknet para vender sus datos y accesos obtenidos ilícitamente, reclutar a otros piratas informáticos, comprar herramientas e información privilegiada y vender sus servicios como mercenarios cibernéticos. “Algunos piratas informáticos comprarán la afiliación a un grupo por US$50.000 o más, más una parte de los ingresos”, dice Maimon. Las transacciones suelen realizarse a través de Bitcoin, lo que las hace difíciles de rastrear.
La firma de análisis empresarial Thoughtlab informa que la cantidad de infracciones ha aumentado a una tasa anual del 15%, pero los nuevos datos de Check Point indican que la tasa de crecimiento saltó al 38% en 2022. Cada mes se informan alrededor de 200 ataques de ransomware en los EEUU, en promedio, según datos de Secureworks, que vende herramientas de seguridad informática. Entre las víctimas más destacadas de los ataques de ransomware informados solo en diciembre figuran: el Departamento de Finanzas de California; el sistema escolar de Little Rock, Arkansas; el periódico británico The Guardian; y hospitales en Maryland, Texas y Florida. Es probable que muchos otros ataques de este tipo no se denuncien porque las víctimas eligen no hacerlo público.
UNA PLAGA DE CIBERATAQUES
Si bien el espectro de los ataques que pueden matar a las personas y alterar a la sociedad puede hacer que el ciberdelito más común y orientado a las finanzas parezca manso en comparación, el tamaño del problema se está convirtiendo en una pesadilla económica que está comenzando a afectar la vida de las personas en todo el mundo.
Los piratas informáticos, por ejemplo, se están volviendo expertos en interceptar correos electrónicos corporativos y cambiar facturas para que el dinero se envíe a sus propias cuentas. “Esos ataques son una amenaza de rápido crecimiento”, dice Mike McLellan, director de inteligencia de Secureworks. “Le está costando a las empresas miles de millones”.
Y si bien los ataques a las empresas son los más potencialmente lucrativos, los piratas informáticos también están encantados de saquear nuestros bolsillos individuales, uno por uno, generalmente engañándonos para que les demos las contraseñas de nuestro banco, tarjeta de crédito y otras cuentas financieras. Sus rutinas son cada vez más ingeniosas y convincentes, señala Adam Wandt, vicepresidente de tecnología de John Jay College of Criminal Justice. Wandt describe cómo un amigo suyo fue engañado por un programa malicioso para que llamara a un número de atención al cliente falso para el servicio financiero que utiliza; la «ayuda» resultante se llevó los ahorros de su vida. “Incluso las personas sofisticadas se tropiezan todo el tiempo con estos esquemas”, dice Wandt. “Conozco personas con doctorados en fraude criminal que son engañadas”.
En el pasado, los expertos en seguridad informática al menos no tenían que preocuparse de que los piratas informáticos accedieran a algunos de los equipos potencialmente más peligrosos del mundo, incluidas las plantas de energía nuclear y los sistemas de misiles. Esto se debe a que estos sistemas, junto con las computadoras críticas para la defensa nacional, generalmente tienen «brechas de aire», es decir, carecen de cualquier tipo de conexión inalámbrica o por cable con el resto del mundo. Solo alguien que estuviera junto a estas máquinas podría tener acceso a ellas.
Guri y sus colegas, en un artículo publicado en diciembre en ArXiv de la Universidad de Cornell, demostraron cómo los piratas informáticos pueden usar ondas electromagnéticas similares a las señales de radio para alterar la programación de máquinas con espacios de aire. La técnica es muy compleja y requiere acceso físico en algún momento anterior, presumiblemente por parte de un infiltrado sobornado o chantajeado, para implantar malware simplemente insertando brevemente una memoria USB, por ejemplo. Pero esos requisitos no están más allá de las capacidades de los gobiernos hostiles. Y como han señalado los expertos de Kaspersky Labs, los piratas informáticos podrían dirigir pequeños drones lo suficientemente cerca de una máquina objetivo para ayudar a configurar un ataque.
Sin duda, los expertos en seguridad están constantemente desarrollando nuevas herramientas y técnicas para detectar y detener los ataques cibernéticos. Pero estos avances nunca detienen a los piratas informáticos por mucho tiempo. “La gente pregunta si estamos ganando la guerra contra los piratas informáticos, pero es como preguntar si estamos ganando la guerra contra las uñas”, dice el experto en seguridad Hunt. “Puedes reducirlas, pero siguen creciendo”.
Los piratas informáticos tienen fácil acceso a herramientas de software con nombres como Doppelpaymer, CobaltStrike y Ninja que pueden olfatear automáticamente las debilidades de los sistemas informáticos y colarse para plantar «puertas traseras» que permiten a los piratas informáticos hacer el trabajo sucio sin ser detectados. Cuando los expertos en seguridad frustran estas herramientas, los piratas informáticos inmediatamente presentan nuevos tipos de ataque. “No importa cuánta innovación veamos en el lado de la seguridad, los piratas informáticos siempre están compitiendo para encontrar formas de comprometerla”, dice Wandt, de John Jay College. “Seguimos viendo nuevos ataques innovadores que nos toman por sorpresa. Hoy en día no hay una sola pieza de software de seguridad que los piratas informáticos no puedan sortear”.
Maimon, de la Estatal de Georgia, advierte que mientras los ciberdelincuentes están mejorando en sus trucos, los usuarios de computadoras no están mejorando para ver a través de ellos. Maimon realizó un estudio en el que se capacitó a un grupo de usuarios sobre cómo evitar caer en esquemas de phishing, y luego, dos semanas después, les envió a todos una nota de correo electrónico falsa con un enlace sospechoso que podría haber conducido fácilmente a malware. Una cuarta parte de las personas en el estudio hicieron clic en él. Mientras tanto, los piratas informáticos solo necesitan exprimir un clic de una persona para infiltrarse en una organización de miles.
Parte del problema, dice Maimon, es que hay una grave escasez de personas altamente calificadas en el sector de la seguridad. Cybersecurity Ventures informa que la cantidad de puestos de seguridad informática sin cubrir aumentó de 1 millón en 2013 a 3,5 millones en 2021, y se espera que se mantenga alto hasta 2025. Eso deja a los grupos de seguridad con muy poco personal enfrentándose a millones de piratas informáticos en todo el mundo, muchos de los cuales son brillantes. Una de las razones del desequilibrio es la paga. “Los buenos no pueden ganar tanto como los malos”, dice Maimon.
El machine learning, una forma de inteligencia artificial (IA), está comenzando a echar una mano en el lado de la seguridad, señala Ostrowski, de Check Point. “Es nuestra única esperanza de mantenernos al día con los billones de ataques que vemos”, dice.
Solo hay un problema, agrega: los piratas informáticos también están recurriendo a herramientas de machine learning. “Ya estamos viendo una carrera armamentista de IA en la seguridad informática”, afirma. Check Point demostró recientemente cómo es posible que los piratas informáticos ya estén utilizando «ChatGPT», un sistema de IA popular y de acceso público que puede comprender las solicitudes en un lenguaje sencillo para generar de todo, desde ensayos que suenan ingeniosos hasta códigos de softwares completamente funcionales. Los investigadores de Check Point demostraron que el programa también puede crear múltiples tipos de nuevos ataques de piratería, como malware y correos electrónicos de phishing.
El Gobierno de EEUU está tratando de intensificar su juego para frustrar a los piratas informáticos, entre otras cosas, mediante la creación de la Oficina del Director Nacional Cibernético en la Casa Blanca, en 2021. Hasta ahora, la principal actividad de la oficina ha sido la celebración de foros ejecutivos, como uno recientemente dirigido a la industria de vehículos eléctricos. El subdirector principal Walden no proporcionó detalles sobre las amenazas, sobre cómo exactamente la agencia ayudará a reforzar las defensas contra ellas o sobre cuánto dinero se gastará en este esfuerzo. Pero anticipó que la agencia emitirá un informe público pronto y planea desarrollar una campaña de información sobre informática segura. “Queremos brindar esa pieza educativa para todos, desde niños en edad preescolar hasta abuelas”, asegura.
SIGUE EL DINERO
Los hackers tienen un enorme incentivo para seguir haciéndolo: la información robada es valiosa. Es por eso que Australia ha sufrido dos importantes ataques de piratería informática desde septiembre, uno relacionado con el robo de datos personales vinculados con la licencia de conducir de la mitad de los conductores del país, y el otro con el robo de los registros de salud del 40% de la población. “Eso significa que los piratas informáticos conocen la dependencia de las drogas y el alcohol, los abortos y las enfermedades de transmisión sexual de millones de personas, entre otra información muy personal”, sostiene Hunt.
Los piratas informáticos no lo hicieron por pura malicia. Lo hicieron porque pueden hacer una enorme fortuna vendiéndola, por ejemplo, a otros delincuentes que pueden usar la información personal para llevar a cabo el robo de identidad, el chantaje y otros delitos. O pueden amenazar con publicarlo como parte de una jugada de ransomware. “La idea básica es obtener los datos primero y luego averiguar cuánto pueden valer”, dice McLellan, de Secureworks.
Aunque el valor de los datos robados depende de una serie de factores, Secureworks ha rastreado los precios vigentes en Darknet para algunos de los datos robados en los últimos meses en todo el mundo: un paquete de 2.000 declaraciones de impuestos de EEUU cuesta US$ 3.000; un lote de datos de tarjetas de crédito cuesta de US$20 a US$ 100 por tarjeta; 487 millones de números de teléfono de WhatsApp obtienen US$ 16.500; y las contraseñas de los sistemas informáticos de una importante empresa estadounidense cuestan US$ 2.000. McLellan agrega que si la información robada incluye detalles técnicos patentados sobre un producto de alta tecnología, es probable que Rusia, China y otros gobiernos nacionales menos escrupulosos sean compradores entusiastas, si no es que patrocinaron el ataque en primer lugar.
Casi cualquier cosa que se guarde en una computadora puede estar disponible para el comprador adecuado. En diciembre, dos hombres en Nueva York fueron arrestados acusados de conspirar con piratas informáticos rusos para ingresar al sistema de despacho de taxis en el aeropuerto Kennedy, lo que les permitió vender acceso de primera línea a los taxistas por US$ 10 cada uno. Recaudaron hasta US$ 10.000 antes de ser atrapados.
EEUU lanzó una nueva estrategia de ciberseguridad para intentar controlar a los piratas informáticos, principalmente de Rusia y China
Mientras tanto, la gama de objetivos pirateables se expande rápidamente a diario, especialmente gracias a la creciente cantidad de dispositivos que se conectan a las redes inalámbricas. A medida que más y más dispositivos cotidianos, desde cerraduras de puertas hasta automóviles y cámaras, se conectan a Internet, pueden usarse como armas para rastrear, robar o causar daños físicos.
“Todos tenemos un promedio de siete dispositivos conectados a Internet, y cada vez son más”, dice Maimon. Cámaras de seguridad para el hogar, relojes inteligentes, sistemas de información de automóviles: todos han sufrido ataques importantes, y es probable que muchos más ataques a estos dispositivos hayan quedado sin descubrir o denunciar.
A medida que crece la cantidad de dispositivos conectados, también lo hará la cantidad de hacks y los tipos de información que se pueden robar. Una nueva vulnerabilidad que salió a la luz en diciembre fue el descubrimiento por parte de un investigador de que los piratas informáticos pueden apoderarse de los parlantes inteligentes de Google Home, no solo para escuchar conversaciones, sino también para obtener acceso remoto a cerraduras de puertas inteligentes y otros dispositivos domésticos que están conectados en red a través de los altavoces. “Si está en línea, es vulnerable”, dice Maiamon. Más dispositivos interconectados generan más datos que deben almacenarse de forma remota en la nube: vastos bosques de servidores informáticos operados por Amazon, Google, Microsoft y otros gigantes tecnológicos. Si bien esas empresas brindan acceso a herramientas de seguridad avanzadas que pueden proteger esos datos, los desarrolladores de software que hacen uso de la nube no siempre las implementan correctamente, lo que deja enormes almacenes de datos agregados que no están completamente protegidos y, en cambio, están listos para los piratas informáticos. “Gracias a la nube, nunca ha sido tan fácil crear aplicaciones rápidamente y arruinarlas para que no sean seguras”, dice Hunt.
Al final, sostiene Hunt, la única información segura hoy en día son los datos que no se guardan en ninguna computadora, en ningún lugar. “Necesitamos comenzar a minimizar nuestras huellas digitales”, dice. “Cada vez que te registras en un servicio, quieren tu número de teléfono y fecha de nacimiento. Tenemos que dejar de dar esa información”.
El público no está alarmado por el alto riesgo de piratería, porque la mayoría de las personas no son conscientes de cuán grandes se han vuelto esos riesgos y qué poco se puede hacer para reducirlos. Los expertos y el Gobierno pueden continuar tapando los nuevos agujeros de seguridad que los piratas informáticos seguirán encontrando, como lo han hecho durante décadas, y tratar de rastrear a los piratas informáticos y llevarlos ante la Justicia. En la mayoría de los casos, esta es una causa perdida. Por un lado, es difícil rastrear los ataques a través de un vasto bosque global de conexiones a Internet. Y los hackers rusos, chinos y millones de otros están bien protegidos de la aplicación de la ley internacional. “Es la naturaleza de Internet que los atacantes pueden estar en cualquier lugar”, dice Hunt. “Las posibilidades de resistencia son nulas”.
Y el Gobierno y los expertos pueden y seguirán diciéndoles a las personas que tengan mejores contraseñas que nunca deben compartir; que tengan más cuidado con los clics que hacen en las notas de correo electrónico; y que usen precauciones adicionales para iniciar sesión, como aquellas que requieren reconocimiento facial o de huellas dactilares o enviar una nota de verificación en su teléfono o una aplicación especial de «autenticador». Pero la mayoría de la gente no quiere las molestias de estas precauciones. Cuando las empresas o las agencias gubernamentales intentan obligar a las personas a tomarlos, las personas a menudo encuentran formas de evitarlos. «Terminas con las famosas ‘TI en las sombras’, como cuando las personas usan su propio Gmail en lugar del correo electrónico de la empresa para evitar los inconvenientes de las protecciones adicionales», dice Ostrowski.
Al final, la ruta hacia la seguridad informática total puede consistir menos en tapar agujeros en nuestras defensas y más en desconectar. Pero si ese es el caso, es probable que la imagen no mejore en el corto plazo. ¿Cuántos de nosotros estamos realmente listos para abandonar el mundo en línea y los dispositivos inteligentes? No muchos, según la firma de análisis Statista, que informa que se espera que la cantidad de dispositivos conectados a Internet -actualmente unos 15.000 millones- se duplique en los próximos ocho años. Por lo tanto, el futuro se ve cada vez más caótico y peligroso.
