El espionaje del siglo XXI

Director de Seguridad. S2 Grupo

Cuando oímos hablar de espionaje a todos nos viene a la cabeza alguna película en la que, siempre al límite, el James Bond de turno se juega la vida a diario para proteger los intereses nacionales, siempre al servicio de Su Majestad. ¡Cuánto daño ha hecho el cine!

Desde luego, las situaciones bondianas –permítanme la expresión- no creo que sean las más habituales en este ámbito; dejando a un lado la gran o pequeña pantalla, la mayor parte del espionaje real que presuntamente estamos sufriendo hoy en día es menos romántico de lo que nos han hecho creer y, por supuesto, mucho más mundano.

Estas acciones de espionaje buscan, simple y llanamente, el beneficio económico del atacante. Tan sencillo como eso. No sólo se espía a posibles enemigos militares o políticos –que también-, sino que se busca, principalmente, la información tecnológica, comercial, económica, política, etc., de países (o de empresas de esos países), que en muchos casos son incluso aliados.

Pensémoslo. Si un país negocia con otro la compraventa de, pongamos, miles de barriles de petróleo, sería muy interesante para el comprador conocer de antemano la estrategia del vendedor y viceversa. Por ejemplo, los márgenes con los que ambos están dispuestos a jugar. Obvio, ¿verdad? Tan obvio como que si, a título personal, queremos comprar un piso, nos interesa saber hasta cuánto está dispuesto a rebajar el vendedor, si tiene más ofertas, si el piso tiene algún defecto que no nos quieran decir, etc.

La principal diferencia entre la transacción económica nacional y nuestra compra personal del piso, aparte del alcance y de la cantidad de dinero en juego, es la capacidad de maniobra que tienen los actores: un país puede tener capacidades para conocer la situación del otro o, al menos, para intentarlo, mientras que para nosotros, pobres mortales, será casi imposible obtener la información que maneja nuestro hipotético vendedor, con lo que negociaremos en muchos casos por simple instinto.

Por supuesto, en este tipo de acciones entra en juego el espionaje que, simplificando mucho, podemos entender como el robo de la información que nos interesa para su utilización en beneficio propio.

Robo de información

¿Cómo puede un país, una gran empresa o un grupo organizado adquirir esa información tan valiosa? Por supuesto, puede emplear a personas, enviar a alguien a ese país con el que estamos negociando, infiltrarlo en los círculos correspondientes y mantenerlo en ellos hasta obtener la información requerida o más; ya que está infiltrado, amorticémoslo.

De la misma forma, y seguramente más barato no sólo económicamente sino también en términos de riesgo, puede conseguir que una persona con acceso legítimo a la información que nos interesa, nos la proporcione, por ejemplo a cambio de dinero, de reputación, etc. Estas actividades, casi seguro en la mente de todos cuando hablamos de espionaje, es lo que técnicamente podemos llamar humint (INTeligencia HUMana).

Pero hay un método mucho más beneficioso para el atacante: el uso de las TIC para la obtención de información. No nos engañemos: casi todos los datos que nos interesen estarán en sistemas informáticos, mejor o peor protegidos. Sistemas informáticos desde los que, de alguna forma, podemos extraer la información remotamente y enviarla de manera discreta, sin levantar sospechas, a diferentes sistemas a través de Internet, hasta que llegue a nuestras manos. Es lo que se ha llamado Computer Network Exploitation (CNE) y que ahora, con algunas consideraciones sobre el planteamiento CNE, estamos llamando Advanced Persistent Threat (APT).

Robo rentable

Y es que el espionaje mediante tecnología es rentable. Aunque una operación compleja puede suponer una inversión de cientos de miles de euros, dicha inversión será casi siempre menor a la que supondría la adquisición mediante fuentes humanas. Pero como antes indicábamos, además de más ventajosa desde un punto de vista económico, implica mucho menos riesgo para el atacante.

Nuestro objetivo no podrá interceptar a una persona que trabaja en nuestro beneficio, identificarla, detenerla, crear un conflicto diplomático entre países, etc. Sencillamente, porque esa persona no existe, sino que la información es robada mediante un código dañino completamente aséptico que, además, imposibilita la atribución a ciencia cierta.

En el caso de que nos detecten, ya de por sí difícil, la víctima no podrá garantizar de forma alguna que el origen del ataque hemos sido nosotros. Un buen panorama para el robo de información, ¿verdad?

Tan buen panorama es que las principales potencias lo aprovechan, siempre presuntamente (recordemos que la atribución es casi imposible), en beneficio propio. Países como China, Francia, Rusia, Canadá, Israel, Reino Unido, etc., y por supuesto Estados Unidos, han desarrollado capacidades ciber para el robo de información.

Y no sólo contra objetivos como Irán o Corea del Norte, sino contra ese país amigo que quiere comprar gas a un tercero o contra esa UTE de empresas españolas que compite por la adjudicación de un concurso, en el que empresas estadounidenses o francesas también están interesadas.

El robo de información técnica, comercial o económica mediante ataques tecnológicos (a veces le llamamos a esto ciberespionaje), está a la orden del día. Favorecer el desarrollo de cualquier país, fortaleciendo y beneficiando a empresas nacionales mediante información relevante para ellas e, igualmente, protegiendo a éstas de robos similares por parte de terceros, es interesante para cualquier Estado.

Barato, sin riesgo e, incluso en ocasiones, fácil. ¿Qué más se puede pedir? Siempre, recordemos, presuntamente.