¿Cuál es el origen de la ciberseguridad? Una historia de respuesta y adaptación

Dependiendo a quién le pregunte, el origen de la ciberseguridad puede variar. Aun así, varios concuerdan en que la primera prueba de penetración se llevó a cabo en 1971. Bob Thomas, un programador en BBN, creó y desplegó un virus en lo que fue el predecesor del Internet: ARPANET (Advanced Research Projects Agency Network).
El virus migró a través de las computadoras centrales PDP-10 de Digital Equipment Corporation (DEC), replicándose en el proceso y corrompiéndolas para que las pantallas conectadas mostraran el mensaje «¡Soy el Creeper! ¡Atrápame si puedes!». Aunque afortunadamente no era malicioso, dejó en evidencia las vulnerabilidades de la red.
Lectura recomendada: La pregunta del millón: ¿por qué es tan importante la ciberseguridad hoy en día?
La respuesta al virus «Creeper» llegó el siguiente año. Se trató de «Reaper», el primer software antivirus. Creado por Ray Tomlinson, colega de Thomas en BBN, el programa operaba de forma similar al virus. No obstante, este se replicaba a lo largo de ARPANET en búsqueda de copias de Creeper. Al encontrarlas, las eliminaba del sistema.
Sin embargo, para bien o mal, los principales avances en materia de ciberseguridad no se han desarrollado en entornos tan controlados. Al contrario, han sido los principales desastres de ciberseguridad los que han enseñado las lecciones más valiosas.
Antes de explorar algunos de estos sucesos, hay que explicar la figura del hacker.
Harckers de sombrero negro y blanco
Por difícil que sea de creer, el hacking no siempre tuvo connotaciones negativas. A finales de los años 60, estudiantes de tecnología utilizaban el término para referirse a múltiples métodos de optimizar máquinas y sistemas para incrementar su eficiencia. No obstante, todo cambió con el auge del computador personal en los años 80 y 90.
Ante la información sensible almacenada en dichos dispositivos, hackers con intenciones menos que puras se pusieron manos a la obra. Kevin Mitnick es reconocido como uno de los primeros «hackers de sombrero negro». Entre 1979 y 1995, accedió a algunas de las redes más protegidas del mundo empleando complejas estrategias de ingeniería social para obtener credenciales. Más de 40 años después, este modus operandi sigue siendo usado por actores de amenazas a lo largo de todo el mundo.
También le puede interesar: La plataforma de seguridad Log360: pensar más allá de los logs
Por supuesto, todo Yin tiene su Yang. En este caso, los «hackers de sombrero blanco».
Si bien la figura del «hacker de sombrero blanco» precede al Internet —basta con leer la historia de Rene Carmille—, el término «hacking ético» fue acuñado por primera vez en 1995 por el entonces vicepresidente en IBM: John Patrick. ¡A estos especialistas les corresponde explorar los sistemas con el fin de identificar brechas de seguridad!
Respuesta y adaptación: la historia de la ciberseguridad
Hoy en día, los expertos en ciberseguridad reiteran la importancia de la proactividad sobre la reactividad. Irónicamente, los crímenes más importantes de la historia han actuado como puntos de inflexión en este campo. Al final del día, actuar ante lo inesperado no es tan sencillo. Aun así, estas brechas espectaculares actúan como una llamada de atención para que los profesionales blinden los puntos débiles de su TI.
Morris Worm
El 2 de noviembre de 1988, Robert Tappan Morris —un estudiante en Cornell University— creó el primer virus de gusano informático malicioso. Aunque Morris explicó que lo hizo para descubrir cuántos dispositivos estaban conectados al Internet, Morris Worm tuvo un costo de entre 10 y 100 millones de dólares en gastos de reparación.
Más allá de los daños provocados por el virus de gusano informático, Morris Worm cambió la percepción de seguridad y disponibilidad del Internet. En particular, este virus expuso el peligro de que toda la red funcionara sobre un solo sistema operativo.
Ataque a Google China
En un acto de ciberespionaje, hackers se adentraron en los servidores de Google y accedieron a las cuentas de activistas de derechos humanos en China. Sin embargo, no fueron las únicas víctimas. El ataque se llevó a cabo durante la segunda mitad de 2009.
No fue hasta el 12 de enero de 2010 que Google hizo un comunicado público al respecto. Dio a conocer que su infraestructura había sido víctima de un sofisticado ciberataque. Este resultó en el robo de propiedad intelectual de Google.
Un par de días después, Microsoft reveló que los atacantes emplearon software que aprovechaba una falla de Internet Explorer. Aún peor, poco después admitió que conocía la vulnerabilidad desde septiembre de 2009. Desafortunadamente, no sería la última vez que la falta de transparencia facilitaría una brecha de seguridad.
WannaCry
El ataque WannaCry puso el ransomware, y el malware en general, en el radar de todo el mundo. Empleando exploits descubiertos por el equipo de hackers Equation Group y hechos públicos por The Shadow Brokers, los atacantes crearon un ransomware capaz de cifrar datos y propagarse rápidamente a lo largo de internet y redes locales.
El ataque comenzó el 12 de mayo de 2017 y afectó a más de 200000 equipos en 150 países. Esto incluyó infraestructura crítica. En algunos hospitales, WannaCry cifró todos los dispositivos médicos. Incluso cifró una película que ni siquiera se había estrenado.
Más allá de los daños, lo más exasperante del ataque fue la forma en la que se propagó. Los atacantes emplearon EternalBlue, un software desarrollado por la Agencia de Seguridad Nacional (NSA) de los Estados Unidos. Dicho programa aprovecha un exploit en Windows para obtener acceso a los dispositivos conectados a una red.
En su momento, figuras como Brad Smith —presidente de Microsoft— comentaron que este ataque demuestra lo problemático que resulta que agencias de inteligencia acumulen exploits con objetivos ofensivos en vez de revelarlos con fines defensivos.
Stuxnet
Una década antes del devastador ataque de ransomware a Colonial Pipeline, Stuxnet puso sobre la mesa el concepto de emplear ciberarmas contra sistemas industriales. A lo largo de 2010, este ataque inhabilitó las centrifugadoras de enriquecimiento de uranio en Iran. Lo anterior ralentizó el programa nuclear del país por varios años.
La gran novedad de este virus es que podía propagarse sin ser detectado a través de dispositivos USB. De esta forma, podía penetrar sistemas que no estuvieran conectados a internet o una red local. Se estima que Stuxnet terminó infectando cientos de miles de computadoras. Curiosamente, no dañó dichos equipos.
El malware había sido creado con un fin muy específico. Solo podía manifestarse en sistemas SCADA operados por controladores programables y software de Siemens.
Mirai
Los botnets han existido desde hace tiempo. Sin embargo, el auge del Internet de las Cosas (IoT) los revitalizó. Dispositivos para los cuales nunca se había considerado la ciberseguridad empezaron a ser infectados a escala masiva. Estos equipos rastreaban a otros del mismo tipo y los infectaban. El malware Mirai fue el culpable.
El 21 de octubre de 2016 el controlador de esta botnet hizo que sus millones de filmadoras digitales, routers, cámaras IP y demás dispositivos inundaran el proveedor de servicios DNS Dyn con solicitudes. Por supuesto, Dyn no resistió el ataque DDoS.
El DNS, al igual que los servicios que dependían de este, quedaron inhabilitados. Estos incluyeron PayPal, Visa, Slack, Netflix, Spotify y PlayStation Network. Dyn se recuperó, pero la escala del ataque hizo que el mundo reconsiderara la seguridad de IoT.
Manteniéndose vigilante en un mundo en constante cambio
Los anteriores ciberataques son algunos de los más importantes de la historia, pero distan de ser los únicos. Al fin y al cabo, el cibercrimen se ha tornado una actividad muy lucrativa en los últimos años. No menos importante, al ser una «disciplina» tan reiterativa y a merced de los avances tecnológicos, su evolución resulta inevitable.
Ante estas amenazas, muchas organizaciones han desarrollado estándares y mejores prácticas sobre cómo establecer un control de seguridad. En general, esto supone un enfoque multifacético y una defensa en profundidad. Las capas de esta estrategia incluyen políticas y procedimientos, conciencia y entrenamiento, segmentación de red, medidas de control de acceso, controles de seguridad físicos y system hardening.
Hoy en día, los expertos en ciberseguridad deben lidiar con ataques potenciados por deepfakes y IA. Para ello, no solo han de emplear técnicas y tecnologías ya probadas (autenticación biométrica). También deben utilizar las nuevas tecnologías, tales como criptografía cuántica y la propia IA, para adaptarse a las últimas amenazas.
¿Cuál es el origen de la ciberseguridad? Más allá del antivirus y el firewall o el diseño de una estrategia peculiar, corresponde al instinto adaptativo que nos permite superar cualquier amenaza. ¿Eso no vuelve a la ciberseguridad algo netamente humano?