El 1986, un llibre que duia per títol Softwar afirmava que els països del pacte de Varsòvia podien incapacitar el món occidental llençant atacs contra els ordinadors militars i financers dels Estats Units i de l’OTAN[1]. El 1989 es va donar per acabada l’etapa de la guerra freda, però el perill d’un atac electrònic ja estava incorporat als discursos oficials: si ja no existia un enemic que pogués inutilitzar les instal·lacions militars, calia crear un nou motiu d’inseguretat i es va trobar en els possibles atacs contra la infrastructura civil del país. I la primera acció preventiva fou la creació, per part del govern dels Estats Units, de The Critical Technologies Institute (1991), organisme que va elaborar un seguit de recomanacions dividides en accions immediates, accions a curt termini i accions a mitjà termini, entre les quals hi figurava la creació de mecanismes d’alerta i d’un organisme de coordinació, i el 1996, l’ex director d’Intel·ligència Central John Deutch, en el seu testimoni davant d’un comitè del Congrés, afirmava: “Hackers criminals varen estar venent els seus serveis a estats-delinqüents (rogue states) (...) estan utilitzant diversos esquemes per agredir els interessos vitals dels Estats Units a través d’intrusions il·legals en els ordinadors”[2]. Pel juliol del mateix any, Clinton anunciava la formació de la Comissió Presidencial per a la Protecció de la Infrastructura Crítica, coneguda amb les sigles PCCIP, amb l’objectiu d’estudiar les infrastructures que constitueixen el suport de la vida quotidiana dels Estats Units, determinar les seves vulnerabilitats davant d’una àmplia gamma d’amenaces i proposar una estratègia per a protegir-les en el futur. Foren identificades vuit tipus d’infrastructures: telecomunicacions, bancs i finances, energia elèctrica, emmagatzematge i distribució de gas i petroli, proveïment d’aigua potable, transports, serveis d’emergència i serveis governamentals. L’informe elaborat arribava a la conclusió que les amenaces eren reals i que les àrees analitzades eren vulnerables en diferents aspectes. “L’explotació intencional d’aquestes vulnerabilitats podria tenir serioses conseqüències per a la nostra economia, la nostra seguretat i el nostre estil de vida (...) Però quasi tots els grups consultats varen parlar amb preocupació de les noves amenaces cibernètiques, i posaren l’èmfasi en la importància de desenvolupar enfocaments que ens serveixin per a protegir la nostra infrastructura contra elles abans que es materialitzin i ens produeixin un dany més gran en els sistemes”.[3] La PCCIP indicava que la possibilitat d’un atac cibernètic implicava un canvi qualitatiu en relació a tots els conceptes coneguts de seguretat. “En el passat hem estat protegits d’atacs hostils contra la nostra infrastructura per grans oceans i veïns amics. Però en el ciberespai, les fronteres nacionals ja no són rellevants. Els electrons no es paren a ensenyar el passaport. Ciberatacs potencialment seriosos podrien ser concebuts i planejats sense una preparació logística detectable. A més, podrien assajar-se de manera invisible i muntats en qüestió de minuts o fins i tot de segons sense revelar la identitat ni la ubicació de l’atacant”[4]. La comissió va afirmar que diversos operadors qualificats d’ordinadors varen demostrar la seva habilitat per a penetrar en xarxes sense autorització. “Sigui quina sigui la seva motivació, el seu grau d’èxit a ingressar a les xarxes per alterar dades, extreure’n informació financera propietària o introduir-hi virus, demostra que (...)  en el futur, algun grup interessat a provocar seriosos danys als Estats Units podria fer-ho utilitzant aquests mateixos mitjans.”[5] 

El febrer de 1998, com a resposta al citat informe de la PCCIP, el Departament de Justícia i el FBI varen crear el Centre Nacional de Protecció d’Infrastuctures (NIPC)[6] per a coordinar les ciberdefenses nacionals, i Clinton va emetre la Presidential Decision Directive –PDD- 63[7] mitjançant la qual s’adoptaren un seguit de mesures, com la creació del càrrec de Coordinador Nacional de Seguretat, Protecció de la Infrastructura i Contraterrorisme, que va recaure en Richard Clarke[8], o la creació de la Critical Infrastructure Assurance Office, CIAO, amb Jeffrey Hunker[9] com a director, o el National Infrastructure Assurance Council, NIAC, encarregat de coordinar i intercanviar dades sobre vulnerabilitats, ciberatacs i penetracions a sistemes. Paral·lelament, el Departament de Defensa va crear la seva pròpia xarxa de seguretat, la Joint Task Force-Computers Network Defense. També el 1998, Clinton va començar a plantejar el tema dels ordinadors davant del canvi del mil·lenni i va fixar el març de 1999 per a què els organismes federals solucionessin el problema. El que es va anomenar The Millenium Bug era el problema derivat del fet que la majoria d’ordinadors no podien enregistrar dates de quatre dígits (els anys només duien les darreres dues xifres) i això va fer témer la paralització o mal funcionament d’empreses, serveis bàsics i hospitals en començar l’any 2000. El cap del NIPC, Michael Vatis, va advertir sobre una eventual presència d’”estrangers infiltrats” entre els tècnics que serien necessaris per a solucionar el Millenium Bug, de possibles terroristes cibernètics que podrien introduir virus i codis en els sistemes computacionals, de manera que la infrastructura dels Estats Units podia estar en perill.[10] 

Seguint amb el tema de la prevenció dels atacs cibernètics, pel gener del 1999 Clinton va proposar el pla Cyber Corps[11], que contemplava iniciatives específiques com ara la creació de xarxes de detecció amb l’objectiu d’alertar el personal adequat davant la invasió d’un sistema computacional crític, la creació de centres d’informació en el sector privat per a treballar conjuntament amb el govern davant les ciberamenaces, i el finançament per a millorar la formació dels especialistes capaços de prevenir i respondre als problemes generats pels ordinadors. El gener del 2000, la CIAO va posar en funcionament el National Plan for Information Systems Protection amb l’objectiu de coordinar les diferents agències per abordar les qüestions vinculades amb la infrastructura crítica del govern federal. 

Tot aquest discurs sobre les ciberamenaces i el ciberterrorisme, està fonamentat? Són tan vulnerables els sistemes informàtics?[12] Barry Collin, investigador de l’Institute for Security and Intelligence, va elaborar un seguit d’hipòtesis sobre possibles actes ciberterroristes, que foren i són àmpliament utilitzades pels periodistes, els polítics i els funcionaris dels organismes de seguretat, i que han acabat configurant un determinat imaginari col·lectiu entre la població dels Estats Units sobre les possibles conseqüències d’un atemptat terrorista informàtic. Segons Barry Collin un ciberterrorista podria accedir als sistemes de control de processament d’una planta elaboradora de cereals, canviar els nivells de suplementació de ferro i provocar malalties entre els nens americans; també podria interferir les transaccions financeres de diners i els centres borsaris, amb el que els ciutadans perdrien la confiança en el sistema econòmic. “Gosaria un ciberterrorista intentar ingressar físicament en l’edifici de la Reserva Federal, o un altre de similar? Difícilment, ja que seria immediatament arrestat. És més, un camió gran aparcat prop de l’edifici seria detectat automàticament. Tanmateix, en el cas d’un ciberterrorista, l’individu podria estar assegut en un altre continent mentre que els sistemes econòmics de la nació es col·lapsen, assolint una situació de desestabilització”.[13] També podria atacar el tràfic aeri i fer que dos gran avions civils topessin; maniobres similars podria fer en les línies del ferrocarril; podria alterar les fórmules  dels productes farmacèutics o canviar la pressió dels gasoductes i desencadenar un seguit d’explosions i incendis. “De la mateixa manera, la xarxa elèctrica esdevé cada dia més vulnerable”.[14] En resum, un ciberterrorista podrà fer que la població d’un país no pugui menjar, beure, viatjar ni viure: “Les persones encarregades de vetllar per la seguretat de la Nació no estaran advertides ni podran anul·lar al ciberterrorista, que probablement es trobarà a l’altra banda del món. Lamentablement aquests exemples no són de ciència-ficció. Tots aquests escenaris poden donar-se avui. Com molts saben, alguns d’aquests incidents ja han esdevingut en diverses nacions. Molts d’aquests actes tindran lloc demà.”[15] 

Un dels principals crítics de les hipòtesis de Collin és l’agent del FBI Mark Pollitt, que va escriure, a finals dels 90, un assaig titulat Cyberterrorism: Fact or Fantasy?[16], on analitza les possibilitats reals d’atacs ciberterroristes, i arriba a la conclusió que actualment en la majoria de processos de control encara hi és present  l’ésser humà i, per tant, l’abast del terrorisme no és, ni molt menys, el que descriu Collin. Pel que fa a la contaminació dels cereals infantils, Pollit indica que la quantitat de ferro que caldria per a posar malalt algú és tan gran que els operaris de la fàbrica ho notarien: es quedarien sense ferro en la línia de producció i, a més, el producte tindria un gust molt diferent i gens agradable. I això sense tenir en compte que, periòdicament, es fan anàlisis aleatòries. Pel que fa al control del tràfic aeri, Pollit manté que els pilots i els controladors prendrien les mesures adients, ja que són entrenats en el que s’anomena “situational awareness”: els pilots són conscients de la seva ubicació, direcció i altitud, descobreixen errors dels controladors i dominen el seu espai de vol. Són els errors humans els que deriven en col·lisions aèries. No afirma que els ordinadors siguin segurs i invulnerables, sinó que, tot i les vulnerabilitats, és quasi impossible que un ciberatac pugui tenir conseqüències devastadores. 

William Church, ex-oficial d’intel·ligència de l’exèrcìt nordamericà, va fundar el 1996 el Centre for Infrastructural Warfare Studies (CIWARS)[17] amb l’objectiu de realitzar un informe sobre les vulnerabilitats de la infrastructura dels Estats Units. Aquest informe fou finançat per un grup privat anomenat The Internet Science Education Project i fou utilitzat com a referència per la Presidential Commision On Critical Infrastructure Protection creada per Bill Clinton. Les seves conclusions són molt properes a les de Pollit. En una entrevista del 1998, a la pregunta de si Bin Laden podria fer servir armes cibernètiques o si, pel contrari, l’impacte visual d’un edifici explotant seguia essent prioritari per a aquest tipus de terrorisme, Church va respondre: “Efectivament, ho acaba d’endevinar. Els grups terroristes amb els que lluitem avui són altament proclius a l’impacte visual”.[18] Tres anys després tenia lloc l’atac a les Torres Bessones. “Malgrat que el govern dels Estats Units ha citat alguns grups guerrillers de Sri Lanka com els responsables d’haver utilitzat les primeres armes ciberterroristes, això no té sentit. El que varen fer fou un atac per e-mail. Això és assetjament, no és terrorisme”.[19] En una altra entrevista concedida a la revista argentina CompuMagazine, el febrer de 1998, Church afirmava: “La guerra infrastructural consisteix a fer servir una combinació de mitjans virtuals i físics per tal d’assolir el màxim efecte possible. Però per a això cal una organització i mitjans de magnituds militars, i no un grupet de hackers, com va assegurar fa uns mesos el FBI. (...)  Amb 10 hackers professionals es podria aconseguir una acció única, com ara paralitzar les comunicacions durant un parell d’hores, però mantenir aquesta acció com requereix una guerra fa que calgui una organització molt potent que permeti que els atacs siguin continuats de tal manera que arribin a fer caure la infrastructura d’un país.”[20] 

Malgrat aquestes declaracions, Clinton insistia el 1999: “Mentre que fins ara els nostres enemics es recolzaren en bombes i bales, terroristes i potències hostils podrien transformar un ordinador portàtil en una arma potent capaç de fer molt mal”[21]. En el mateix context, el conseller de la Casa Blanca Richard Clarke afirmava: “Hi ha un gegantí tsunami que està per impactar contra nosaltres... serà millor respondre-hi abans que tingui lloc un Pearl Harbor electrònic”[22]. A l’abril del 2001, durant la presidència de George Bush (fill), el republicà Newt Gingrich, president de la Cambra de Representants dels Estats Units entre 1995 i 1999 va escriure un article titulat La pregunta no és si hi haurà un ciber Pearl harbor, sinó quan succeirà: “La seguretat dels vols aeris estaria seriosament compromesa si els ordinadors que controlen el tràfic aeri fossin dominats per ciberterroristes (...) Una acció d’aquest tipus podria causar nombroses víctimes. Pensem en el cas que es generaria si un grup terrorista dominés els ordinadors de l’aeroport internacional O’Hare (a Chicago) que controlen el congestionat corredor aeri del mig oest. Des de paralitzar els nostres sistemes de comunicacions fins a bloquejar el nostre sistema financer, passant per la generació d’apagades elèctriques, hi ha una gran quantitat d’interrupcions que podrien perjudicar la nostra economia, disminuir la nostra qualitat de vida i desestabilitzar la Nació.”[23] S’ha fet servir tant l’expressió Pearl Harbor informàtic que el Crypt Newsletter, una publicació virtual sobre seguretat informàtica la defineix de la següent manera: “Electronic Pearl Harbor (EPH): una trivialitat popularitzada per gent de l’estil d’Alvin Toffler, ex generals de la guerra freda, xarlatans empresarials i periodistes, per anomenar-ne uns quants. EPH es fa servir per a designar un nebulós apocalipsi electrònic que plana sobre els ordinadors i les xarxes dels Estats Units. En el món real, és un sinònim de la frase ‘Watch your wallet!’ (Compte amb la  cartera!) perquè els qui la utilitzen generalment ho fan per a convèncer els ciutadans que paguen els seus impostos de finançar projectes ultrasecrets o mal definits que tendeixen a protegir-los.”[24] 

Pel gener del 2000, un alt directiu del FBI afirmava: “El subministrament d’energia elèctrica als Estats Units és vulnerable als hackers”[25]. Un alt executiu del North American Electric Reliability Council desmentia l’afirmació del FBI i comentava a la revista Wired que no tenia notícies que cap mecanisme de control energètic estigués connectat a módems ni a línies telefòniques”.[26] Aquest debat tenia lloc en el moment que l’Electronic Privacy Information Center (EPIC), una organització civil dedicada a vetllar per la protecció de la privacitat dels ciutadans, va denunciar públicament que la iniciativa FIDNET (Federal Intrusion Detection Network)[27] elaborada per l’administració Clinton tenia com objectiu encobert vigilar els ciutadans. És fàcil, doncs, demostrar que les prediccions més apocalíptiques dels atacs ciberterroristes emergeixen quan es produeix un enfrontament entre els organismes de seguretat i les organitzacions civils de defensa de la privacitat al voltant de les comunicacions electròniques; la infowar o la softwar esclata, doncs, quan a la societat de la informació s’enfronten la llibertat amb el control. 

El primer gran conflicte al voltant de la privacitat a l’era de la informació va tenir lloc durant els anys 80. L’eix va ser el xip Clipper, un petit artefacte criptogràfic destinat a protegir les comunicacions privades però deixant oberta la possibilitat que agents governamentals obtinguessin les claus electròniques per a desxifrar les comunicacions després de la corresponent autorització legal. El 1984, el president Ronald Reagan va decretar la National Security Decision Directive 145[28] que va atorgar a l’agència secreta NSA el control sobre tots els sistemes computacionals governamentals que continguessin informació sensible però desclassificada. Com a resposta, el congrés va aprovar el 1987 la Computer Security Act[29] que limitava el paper de la NSA, però aquesta va aconseguir el 1989 que es creés un grup de treball per a desenvolupar el xip Clipper, destinat a l’encriptació de trucades telefòniques. El 1993, Bill Clinton va anunciar públicament la iniciativa del xip Clipper: “Durant massa temps, no hi ha hagut pràcticament diàleg entre el nostre sector privat i els organismes de seguretat per a resoldre la tensió entre la vitalitat econòmica i els vertaders desafiaments que implica la protecció dels ciutadans dels Estats Units. (...)  En lloc de fer servir la tecnologia per a conciliar els interessos de vegades contraposats del creixement econòmic, la privacitat i la seguretat, les polítiques prèvies han enfrontat al govern amb la indústria i als drets a la privacitat amb els organismes d’intel·ligència”.[30] Per a conciliar els interessos citats, la iniciativa del xip Clipper va ser proposada com a obligatòria per als organismes governamentals, però optativa per a les empreses i organismes civils. El govern, amb una autorització legal, podia interceptar les comunicacions. 

Els debats sobre els límits a la invasió governamental de la privacitat en relació amb els ordinadors s’accentuaren durant el govern de Bill Clinton (1993-2001), degut en part a tres grans fets: l’expansió massiva d’Internet, la democratització del hacking i el Millenium Bug. A mitjan 1999, a través de la Cyberspace Electronic Security Act[31], el Departament de Justícia va proposar modificar la legislació de manera que, sota algunes circumstàncies, es postergués per 30 dies l’avís de notificació als sospitosos les cases o llocs de treball dels quals havien de ser violats; es tractava de permetre als agents federals que poguessin entrar als habitatges dels sospitosos per a revisar els seus ordinadors, desxifrar els seus codis d’encriptació i posar “forats” per espiar el seu flux d’informació[32]. “El projecte és perillós. Si s’implementés, seria difícil demostrar que les dades utilitzades com a evidència no han estat posades als ordinadors pels mateixos agents federals. Estan proposant alterar arxius d’ordinadors. Això és molt seriós”[33] va comentar Barry Steindardt, director associat de l’American Civil Liberties Union. Finalment, la iniciativa va ser desestimada. Un cas similar va esclatar quan, el juliol del 2000, es va informar de l’existència d’un sistema de monitoreig de comunicacions a través d’Internet del FBI anomenat Carnivore[34]. Segons el FBI, Carnivore filtra el tràfic d’informació i envia als investigadors només aquells paquets de dades que estan legalment utilitzats a obtenir[35]. 

Pel gener de 1998, un detallat informe[36] del parlament Europeu va revelar l’existència d’una xarxa massiva d’espionatge tecnològic manejada pels Estats Units. Es va comprovar que aquesta xarxa duia a terme rutinàriament el monitoreig de comunicacions telefòniques, faxos i e-mails de ciutadans de tot el món, però particularment de la Unió Europea i del Japó. El New York Times va revelar que el sistema nordamericà d’espionatge electrònic era dirigit per la NSA (National Security Agency) i duia el nom clau d’Echelon, que consisteix en una àmplia xarxa d’estacions d’espionatge electrònica en la que hi participen cinc països: Estats Units, Anglaterra, Canadà, Austràlia i Nova Zelanda. Aquests països, agrupats sota un acord secret anomenat UKUSA, espien als ciutadans interceptant diàriament les comunicacions electròniques. Els ordinadors de la NSA s’encarreguen després de revisar aquesta informació, cercant determinades paraules clau, a través dels anomenats “diccionaris Echelon”[37]. La columna  vertebral d’Echelon es troba en els satèl·lits Intelsat i Inmarsat, responsables de la gran majoria de les comunicacions telefòniques entre els països i els continents. Els Estats Units negaren, d’entrada, l’existència d’Echelon, però al final les proves demostraren el contrari[38]. 

Els atemptats de l’11 de setembre del 2001 varen provocar una mena de dretanització de l’opinió pública nordamericana[39], que va ser aprofitada pel govern de Bush amb un seguit d’iniciatives que tendien a permetre que les investigacions governamentals vinculades al terrorisme poguessin ometre alguns drets civils. Per exemple, el fiscal general dels Estats Units, John Ashcroft, va declarar que ell, unilateralment, havia instituït l’espionatge de les comunicacions entre advocat i client per als sospitosos sense ciutadania nordamericana, violant, directament, les esmenes quarta i sisena de la Constitució que garanteixen el dret a la representació per un advocat.[40] El 13 de setembre del 2001, el Senat va aprovar la Llei per a combatre el terrorisme del 2001, que va ampliar els poders de la policia per a intervenir les comunicacions i va autoritzar el sistema de vigilància Carnivore del FBI.[41] Segons la nova llei contra el terrorisme, els fiscals poden autoritzar períodes de vigilància de 48 hores de durada com a màxim sense cap ordre judicial. La vigilància es va limitar al començament a les adreces de les seus web que es visiten i els noms i l’adreça de correu electrònic dels usuaris; tampoc feia falta una ordre judicial per als atacs contra la integritat o el funcionament de sistemes de computació protegits: la major part de les activitats de hacking hi quedaven, doncs, incloses. La llei antiterrorista sancionada el 26 d’octubre del 2001 amb el nom d’USA Patriot Act[42] sumava les potestats del FBI i la CIA: l’espionatge electrònic esdevenia, de fet, legal. Segons l’Electronic Frontier Foundation, “les llibertats civils del poble nordamericà varen experimentar un fort cop amb aquesta llei, especialment pel que fa al dret a la privacitat de les nostres activitats i comunicacions en línia. No hi ha cap evidència que les llibertats civils fins ara hagin obstaculitzat la investigació o el judici de grups terroristes”[43] 

Sembla que, de tot plegat, es pugui inferir que estendre entre la població la por al ciberterrorisme és una forma de guanyar suport polític per a la promulgació de lleis que atorguin més flexibilitat als organismes de seguretat per a dur a terme les seves tasques d’espionatge intern; sota el discurs de l’eix del mal ciberterrorista s’hi amaga una clara tendència a envair parcel·les de privacitat, encaminada a tenir més control sobre els ciutadans. Tanmateix, hi ha d’altres factors que ajuden a entendre el per què del sobredimensionament de l’amenaça ciberterrorista: els que més parlen dels possibles escenaris catastròfics són els qui obtenen més beneficis de la por, els executius de les empreses informàtiques de seguretat. Ja el 1997, un informe del Defense Science Board va recomanar la immediata inversió de 580 milions de dòlars en el sector privat per a la investigació i desenvolupament del hardware i el software necessari per a lluitar contra el ciberterrorisme. Un dels principals autors d’aquest informe va ser Duane Andrews, vicepresident executiu de SAIC, una empresa proveïdora de serveis de seguretat informàtica que també ofereix serveis de consultoria. Durant el discurs que va pronunciar pel gener de 1999 a l’Acadèmia Nacional de Ciències en relació al pla Cyber Corps per a combatre el ciberterrorisme, el president Bill Clinton va dir que li demanaria al Congrés la quantitat de 1.460 milions de dòlars en el proper pressupost federal per a finançar el projecte, cosa que representava un increment del 40 % de les despeses esmerçades en aquesta àrea fins el moment.[44] A l’octubre de 1999, el poder executiu va demanar 8,4 milions de dòlars per a posar en marxa el projecte FIDNET, i es va sol·licitar 50 milions per a la implementació de mesures de seguretat necessàries en totes les dependències governamentals, 17 milions per a la capacitació i entrenament en tecnologies de la informació per al personal del govern federal i 7 milions per a investigació i desenvolupament[45] El juny del 2000, superada ja la por al Millenium Bug, la NSA va anunciar la seva intenció de subcontractar parcialment la seva infrastructura tecnològica a empreses privades amb qui signaria un contracte de 5 mil milions de dòlars. Al mateix dia dels atemptats de l’11 de setembre, el govern Bush va destinar 10 milions de dòlars al finançament de la guerra contra el ciberterrorisme. “Pot ser que els polítics no sàpiguen la diferència entre un byte i un nibble [mig byte = 4 bits], però són experts a gastar diner. I després dels atemptats de l’11 de setembre, els legisladors semblen proclius a signar xecs inusualment grans”[46]. Per al pressupost de l’any fiscal 2003, l’administració Bush va demanar la quantitat de 52.000 milions de dòlars per a destinar a l’actualització tecnològica del govern federal[47] Alguns consideren, fins i tot, que les grans quantitats destinades a la seguretat informàtica pel govern federal podrien contribuir a emmascarar casos de corrupció, com el de Compaq del juliol del 2000, però això ja queda lluny del món dels hackers.

Copyright (c) 2003 Joan Campàs Montaner