Los dispositivos inteligentes están por todas partes. Lo más probable es que los tengamos en nuestro lugar de trabajo, en nuestra casa y, tal vez, incluso en la muñeca. Según una estimación de la empresa de investigación Gartner, este año habrá en circulación más de 11 mil millones de dispositivos conectados a internet en todo el mundo (sin contar teléfonos inteligentes y ordenadores), casi el doble que hace un par de años.

Pronto, muchos miles de millones más estarán online. Su conectividad es lo que los hace tan útiles, pero también los convierte en una pesadilla para la ciberseguridad. Los hackers ya han demostrado que pueden poner en peligro todo, desde los automóviles conectados hasta los dispositivos médicos, y se está advirtiendo algo muy imprudente: la prisa por sacar cada vez más productos al mercado está reduciendo su seguridad.

En su nuevo libro llamado Click Here to Kill Everybody (Haga clic aquí para matar a todo el mundo), el autor Bruce Schneier argumenta que los gobiernos deben intervenir ahora para obligar a las empresas que desarrollan dispositivos conectados a hacer de la seguridad una prioridad, en lugar de una idea de última hora. Escritor de un influyente boletín informativo de seguridad y blog, Schneier es miembro del Centro Berkman Klein para Internet y Sociedad en la Universidad de Harvard (EE. UU.) y profesor de política pública en la Harvard Kennedy School. Entre otras funciones, también forma parte de la junta directiva de la Fundación Electronic Frontier y es director de tecnología de IBM Resilient, que ayuda a las empresas a prepararse ante las posibles amenazas cibernéticas.

Schneier habló con MIT Technology Review sobre los riesgos que corremos en un mundo cada vez más conectado y las políticas que cree urgentemente necesarias para abordarlos.

El título de su libro parece deliberadamente alarmista. ¿Es solo un intento para vender más?

Puede sonar como un cebo publicista, pero intento demostrar que ahora internet afecta al mundo de manera física directamente, y eso lo cambia todo. Ya no se trata solo del riesgo para los datos, sino para la vida y la propiedad. El título realmente señala que existe un peligro físico y que las cosas son diferentes de lo que eran hace solo cinco años.

¿Cómo afecta este cambio a nuestra noción de ciberseguridad?

Nuestros coches, nuestros dispositivos médicos y nuestros electrodomésticos son ahora ordenadores con cosas adjuntas a ellos. Su nevera es un ordenador que mantiene las cosas frías y el microondas es un computador que las calienta. Su coche es un ordenador con cuatro ruedas y un motor. Los ordenadores ya no son solo una pantalla que encendemos y miramos, y ese es el gran cambio. Lo que era la seguridad informática, en su propio ámbito por separado, ahora es la seguridad de todo.

Ha creado un nuevo término, "Internet +", para englobar este cambio. Pero ya tenemos la denominación "Internet de las cosas" para describirlo, ¿verdad?

No me gustaba tener que crear otra palabra de moda, porque ya existen demasiadas. Pero "Internet de las cosas" es demasiado limitado. Se refiere a los dispositivos conectados, termostatos y otros gadgets. Eso es solo una parte de lo que estamos hablando. Realmente se trata del término "Internet de las cosas" más los ordenadores, más los servicios, más las grandes bases de datos que se están construyendo, más las compañías de internet, más nosotros. He acortado todo esto en "Internet +".

Centrémonos en la variable "nosotros" de esa ecuación. Usted afirma en el libro que nos estamos convirtiendo en "cíborgs virtuales". ¿Qué quiere decir con eso?

Ya estamos íntimamente ligados a dispositivos como los teléfonos, que consultamos muchas veces al día, y a los buscadores, que son como nuestros cerebros online. Nuestro sistema de energía, nuestra red de transporte, nuestros sistemas de comunicaciones, están todos en internet. Si esto se hunde, la sociedad se detiene de verdad, porque somos muy dependientes de internet a todos los niveles. Los ordenadores aún no están ampliamente integrados en nuestros cuerpos, pero están profundamente incrustados en nuestras vidas.

¿No podemos simplemente desenchufarnos un poco para limitar los riesgos?

Eso es cada vez más difícil de hacer. Intenté comprar un coche que no estaba conectado a internet y no lo conseguí. No es que no hubiera coches disponibles de ese tipo, pero los que estaban en el rango que yo quería tenían una conexión a internet. Incluso si se pudiera apagar, no había garantía de que los hackers no pudieran volver a encenderlo de forma remota.

Los hackers también pueden explotar las vulnerabilidades de seguridad en un tipo de dispositivo para atacar a otros, ¿cierto?

Existen muchos ejemplos de esto. El botnet Mirai explotó vulnerabilidades en dispositivos domésticos como DVR y cámaras web. Los hackers los usaron para lanzar un ataque contra un servidor de nombres de dominio, que luego dejó fuera de servicio a muchas páginas web populares. Los hackers que atacaron los almacenes estadounidenses Target entraron en la red de pagos a través de una vulnerabilidad en los sistemas informáticos de un contratista que trabajaba en algunas de sus tiendas.

Es cierto, pero estos incidentes no condujeron a la pérdida de la vida ni de la integridad física, y no hemos visto muchos casos con posibles daños físicos, ¿o sí?

No. La mayoría de los ataques aún implican violaciones de datos, privacidad y confidencialidad. Pero estamos entrando en una nueva era. Obviamente me preocupa si alguien roba mis registros médicos, pero ¿qué sucede si cambian mi grupo sanguíneo en la base de datos? No quiero que alguien piratee la conexión Bluetooth de mi coche y escuche mis conversaciones, pero lo que realmente no quiero es que deshabiliten la dirección. Estos ataques a la integridad y a la disponibilidad de los sistemas son por los que de verdad tenemos que preocuparnos en el futuro, porque afectan directamente a la vida y a la propiedad.

Este año en Estados Unidos se ha debatido mucho sobre las amenazas cibernéticas a las infraestructuras críticas, como las redes eléctricas y las presas. ¿Son serias estas amenazas?

Sabemos que, al menos dos veces, los hackers rusos han desconectado la electricidad de partes de la red de Ucrania en el marco de una campaña militar más amplia. Sabemos que los hackers del Estado nación han penetrado en los sistemas de algunas compañías eléctricas de EE. UU. Estos han sido exploratorios y no han causado daños, pero es posible hacerlo. Si hay hostilidades militares contra EE. UU. debemos esperar que se usen estos ataques. Y EE. UU. los usará contra sus adversarios, al igual que usamos ataques cibernéticos para retrasar los programas nucleares en Irán y Corea del Norte.

¿Qué implicaciones tiene todo esto para nuestro enfoque actual de seguridad informática, como la aplicación de parches y la búsqueda de soluciones para errores de software?

Los parches ayudan a recuperar la seguridad. Producimos sistemas que no son muy buenos, luego buscamos vulnerabilidades y los arreglamos. Eso funciona muy bien con su teléfono y su ordenador, porque el precio de la inseguridad es relativamente bajo. Pero ¿podremos hacerlo con un coche? ¿Está bien decir de repente que "un automóvil es inseguro, un hacker puede atacarlo, pero no se preocupe porque habrá un parche la próxima semana"? ¿Podemos hacer eso con un marcapasos cardíaco incrustado? Los ordenadores ahora afectan el mundo de una manera directa y física, no podemos permitirnos esperar a esos parches.

Pero ya contamos con estándares de seguridad muy estrictos para el software que se usa en dominios ciberfísicos sensibles, como la aviación.

Correcto, pero es muy caro. Esos estándares están ahí porque ya hay una fuerte regulación gubernamental en esta y otras industrias. En bienes de consumo no existe ese nivel de seguridad, y eso tendrá que cambiar. En este momento, el mercado no recompensa al software por ser seguro. Mientras que usted, como empresa, no gane una cuota de mercado adicional por ofrecer más protección, no va a dedicar mucho tiempo al problema.

Entonces, ¿qué tenemos que hacer para que la era de Internet+ sea más segura?

No existe ni una sola industria que haya mejorado la seguridad y la protección sin que los gobiernos lo plantearan como obligación. Una y otra vez, las empresas escatiman en seguridad hasta que se ven obligadas a tomarla en serio. Necesitamos que el Gobierno intensifique una combinación de aspectos dirigidos a las empresas que desarrollan dispositivos conectados a internet. Debería incluir estándares flexibles, reglas rígidas y leyes de responsabilidad estrictas cuyas sanciones sean lo suficientemente grandes como para perjudicar seriamente las ganancias de una compañía.

¿Pero no tienen las leyes de responsabilidad demasiado estrictas un efecto paralizador en la innovación?

Sí, frenarán la innovación, ¡pero eso es lo necesario en este momento! La innovación en el mundo de Internet+ puede matarnos. Ya congelamos la innovación en aspectos como el desarrollo de fármacos, diseño de aviones y fábricas de energía nuclear porque el precio de hacerlo mal es demasiado grande. Hemos cruzado la etapa en la que se discutía a favor o en contra de la regulación para todo lo conectado; ahora tenemos que debatir a favor de una regulación inteligente versus una estúpida.

Hay una tensión fundamental en esto: a los gobiernos también les gusta explotar las vulnerabilidades con el objetivo del espionaje, orden público y otras actividades.

Los gobiernos son tanto cazadores furtivos como guardabosques. Creo que, con el tiempo, resolveremos esta tensión de larga duración entre el ataque y la defensa, pero llegar allí va a ser un camino largo y difícil.

Su libro se centra principalmente en Estados Unidos. ¿Cree que tendrá éxito?

Me centro en EE. UU. porque es donde se encuentran las principales compañías tecnológicas y es el régimen que mejor conozco, pero también hablo un poco de Europa. La Unión Europea es la superpotencia reguladora del planeta en este momento. Creo que avanzará más rápido que EE. UU. En Estados Unidos analizo más a los estados, específicamente a Massachusetts, Nueva York y California.

También creo que habrá tratados y normas internacionales que alejen de los ataques cibernéticos del Estado nación algo de nuestra infraestructura conectada, al menos en tiempos de paz. Necesitamos medidas urgentemente a todos los niveles, desde el local hasta el internacional. Mi mayor temor es que ocurra un desastre cibernético y que los gobiernos, sin pensarlo mucho, se apresuren a implementar medidas que no resuelvan el problema.