02.03.2025 - 21:40
|
Actualització: 03.03.2025 - 07:31
Netflix ha incorporat al seu catàleg Zero Day, una sèrie nova i inquietant protagonitzada per Robert De Niro, en què l’aclamat actor dóna vida a un ex-president dels Estats Units que es veu obligat a encapçalar una investigació sobre un ciberatac massiu devastador. La producció presenta una situació que fa reflexionar: en només seixanta segons, un país sencer pot quedar paralitzat del tot quan les seves infrastructures crítiques són compromeses a causa d’un atac informàtic conegut per “zero day”.
La sèrie, que s’endinsa en el terreny del thriller polític i tecnològic, arriba en un moment en què la ciberseguretat ha deixat de ser un assumpte merament tècnic per a convertir-se en una qüestió de seguretat nacional en tots els estats del món. L’elecció de De Niro com a protagonista aporta el pes dramàtic necessari per a una trama que, lluny de ser ciència-ficció, reflecteix algunes de les preocupacions més urgents de les agències d’intel·ligència i seguretat globals.
Zero Day posa de manifest un temor creixent en les societats digitals contemporànies: la nostra extrema vulnerabilitat davant amenaces invisibles que poden atacar des de qualsevol punt del planeta, sense necessitat d’exèrcits convencionals ni armament físic, només amb coneixements avançats d’informàtica i connexió a internet.
Què és un atac zero day?
Un zero day (o dia zero) és una vulnerabilitat de seguretat informàtica que el fabricant del programari no sap i, per tant, no té solució disponible en el moment de ser explotada. Rep aquest nom perquè els desenvolupadors disposen de “zero dies” per a solucionar-la abans no pugui ser aprofitada per actors maliciosos. Aquestes vulnerabilitats són molt temibles perquè permeten que els ciberdelinqüents accedeixin a sistemes per als quals no hi ha defensa prevista.
A diferència d’unes altres menes d’atacs informàtics, en què s’exploten vulnerabilitats ja sabudes i, per tant, corregibles mitjançant actualitzacions de seguretat, els atacs de tipus zero day operen en un espai d’avantatge per a l’atacant. És com si algú descobrís una porta secreta a l’edifici més protegit del món, una entrada que ni els mateixos arquitectes i responsables de seguretat saben que hi és.
De fet, el mercat negre d’aquestes vulnerabilitats és un dels més lucratius del ciberespai. Una sola vulnerabilitat de dia zero en qualsevol sistema operatiu popular pot vendre’s per centenars de milers d’euros o, fins i tot, milions, segons el seu abast i potencial. Estats, organitzacions criminals i mercenaris digitals competeixen per descobrir-les, adquirir-les i desenvolupar-les, conscients de l’immens valor estratègic que tenen. I ben sovint les guarden per fer-les servir en cas de necessitat. Els atacants que descobreixen aquests forats de seguretat poden explotar-los sense deixar rastre aparent, tot infiltrant-se en sistemes crítics i romandre-hi durant mesos o, fins i tot, anys, extraient-ne informació i preparant-se per llançar atacs més destructius en el moment més oportú.
No és ficció, ja ha passat
Els ciberatacs en massa que retrata la sèrie Zero Day no són pura ficció. La història recent ens ha mostrat episodis alarmants que evidencien la fragilitat dels nostres sistemes interconnectats i com es poden esfondrar de manera dramàtica amb conseqüències que transcendeixen el món digital per afectar directament la vida quotidiana de milions de persones:
· NotPetya: el malware més costós de la història
El juny del 2017, un atac de ransomware devastador es va estendre ràpidament per tot el món. En un primer moment, camuflat com un simple programa de xifratge que demanava un rescat per recuperar l’accés als arxius de l’usuari, NotPetya va resultar ser molt més destructiu. Aquest malware va aprofitar una vulnerabilitat en el sistema operatiu Windows anomenada EternalBlue, prèviament filtrada de l’Agència de Seguretat Nacional dels EUA.
Originalment dirigit contra objectius a Ucraïna, on va afectar bancs, ministeris de governs i, fins i tot, el sistema de monitorització de la central nuclear de Txornòbil, NotPetya va escapar ràpidament dels límits geogràfics prevists per a infectar sistemes de tot el món. La seva capacitat per propagar-se automàticament mitjançant xarxes corporatives el va convertir en un dels malwares més virulents mai creats.
La naviliera danesa Maersk, responsable del 20% del transport marítim mundial, va ser una de les víctimes més afectades. En qüestió d’hores, els seus sistemes informàtics es van col·lapsar completament. L’empresa va haver de reconstruir la seva infrastructura informàtica, que incloïa 4.000 servidors i 45.000 ordinadors. Durant deu dies, la gestió del trànsit de contenidors va haver de fer-se manualment, amb paper i bolígraf, cosa que va paralitzar ports sencers arreu del món.
També el gegant farmacèutic Merck va perdre més de 870 milions de dòlars a causa de l’atac, i la companyia de missatgeria FedEx va reportar pèrdues de 400 milions. A diferència d’uns altres atacants de ransomware, els creadors de NotPetya no semblaven interessats principalment en el rescat econòmic, sinó en causar el màxim dany possible. Les pèrdues globals d’aquest atac es van estimar en més de 10.000 milions de dòlars, i el van convertint en el ciberatac més costós de la història.
· Colonial Pipeline: quan l’energia s’atura
El maig del 2021, un sol contrasenyal compromès va causar un dels incidents de ciberseguretat amb més impacte en infrastructures crítiques dels Estats Units. El grup de cibercriminals DarkSide va aconseguir l’accés als sistemes informàtics de Colonial Pipeline, l’operador del principal oleoducte de la costa est americana, que transporta gairebé la meitat del combustible que consumeixen estats com ara Nova York, Nova Jersey i Pensilvània.
L’atac va començar amb la infiltració a la xarxa corporativa de l’empresa, però ràpidament va amenaçar els sistemes que controlaven el flux físic de combustible. Per a contenir l’atac, l’empresa es va veure obligada a tancar totes les operacions durant sis dies, la qual cosa va causar escassetat de combustible, cues a les benzineres i pujades de preus en uns quants estats. La situació va ser tan greu que unes quantes aerolínies van haver de modificar les rutes per garantir el subministrament de combustible, i uns quants estats van declarar l’estat d’emergència.
Tot i que Colonial Pipeline va pagar un rescat de 4,4 milions de dòlars en bitcoin (més tard l’FBI en va recuperar una part), l’incident va posar en evidència com un sol punt vulnerable pot afectar directament la vida de milions de persones. També va demostrar que fins i tot empreses amb recursos considerables poden tenir dificultats per a protegir adequadament les seves infrastructures crítiques.
La resposta del govern americà no es va fer esperar. L’incident va impulsar noves regulacions de ciberseguretat per a operadors d’infrastructures crítiques i va accelerar iniciatives per a combatre el ransomware a escala global. El president Joe Biden va emetre una ordre executiva per millorar la ciberseguretat nacional, incloent-hi nous requisits per als contractistes federals i esforços per a estandarditzar la resposta a incidents.
· Ucraïna 2015: el primer blackout digital
El desembre del 2015, els habitants d’unes quantes regions d’Ucraïna van experimentar una cosa sense precedents: una apagada massiva causada per un ciberatac. Els atacants, presumptament vinculats a Rússia, van penetrar en els sistemes de control d’unes quantes companyies elèctriques ucraïneses i van desconnectar subestacions senceres.
L’operació va començar mesos abans, amb campanyes de phishing dirigides a empleats de les companyies elèctriques. Una volta els atacants van aconseguir-ne l’accés, van dedicar setmanes a estudiar els sistemes SCADA (Supervisory Control and Data Acquisition) que controlaven la xarxa elèctrica. El 23 de desembre van executar l’atac: van prendre control remot dels sistemes, van desconnectar subestacions i, fins i tot, van sobreescriure el firmware d’uns quants dispositius per inutilitzar-los permanentment.
L’atac va deixar sense electricitat més de 230.000 persones durant vora sis hores, en ple hivern ucraïnès, amb temperatures sota zero. El més alarmant va ser la sofisticació de l’operació: els atacants no tan sols van desconnectar l’electricitat, sinó que també van blocar els centres de trucades de les empreses elèctriques perquè els clients no poguessin reportar les incidències i van fer malbé components físics que van requerir setmanes per a ser reparats.
Aquest incident representa el primer cas documentat d’un ciberatac que aconseguia afectar directament una xarxa elèctrica civil. Per als experts en seguretat, va ser una prova de concepte preocupant que demostrava com els ciberatacs poden transcendir el món digital per a afectar infrastructures físiques essencials. Un any després, el desembre del 2016, Ucraïna va rebre un segon atac similar, encara més sofisticat, que va afectar la subestació elèctrica Pivnichna a Kíiv, i va deixar part de la capital ucraïnesa sense electricitat.
Aquests incidents es consideren part d’una campanya més àmplia de guerra híbrida contra Ucraïna, on els ciberatacs complementen unes altres formes d’agressió. Van servir d’advertiment per a la resta de països sobre la necessitat d’enfortir la seguretat de les infrastructures crítiques davant aquesta nova forma de guerra.
· SolarWinds: l’espionatge invisible
Però potser l’exemple més clar d’un veritable atac dia zero és l’incident de SolarWinds, descobert a final del 2020 però actiu des del març d’aquell mateix any. Els atacants, presumptament vinculats també al govern rus, van aconseguir d’introduir codi maliciós en les actualitzacions del software Orion, un programa de gestió de xarxes desenvolupat per l’empresa SolarWinds i utilitzat per més de 33.000 clients de tot el món.
La genialitat maliciosa de l’operació radicava en el seu mètode d’infecció. En compte d’atacar directament els objectius, els hackers van comprometre la cadena de subministrament del software. Van aconseguir accés als servidors de construcció de SolarWinds, en què el codi font es compila abans de ser distribuït als clients. Allà van inserir el seu codi maliciós, que més tard va ser signat digitalment per SolarWinds mateix, bo i fent-lo aparentment legítim. De manera que cada vegada que una organització actualitzava el seu software legítim, en realitat estava instal·lant, sense saber-ho, una porta del darrere que permetia els atacants d’accedir als seus sistemes.
Entre les víctimes hi havia unes quantes agències governamentals dels Estats Units, com ara els departaments del Tresor, de Justícia, d’Estat i d’Energia, i empreses capdavanteres del sector tecnològic, com ara Microsoft, Intel i Cisco.
La infiltració va permetre els atacants de romandre als sistemes durant mesos sense ser detectats, mentre recopilaven informació sensible, credencials d’accés i secrets comercials. Es calcula que vora 18.000 organitzacions van instal·lar les actualitzacions malicioses, tot i que els atacants només van perseguir activament un subconjunt d’aquests objectius, probablement els de més valor estratègic.
El més inquietant de SolarWinds va ser la durada: gairebé nou mesos d’activitat sense ser detectats, un període extraordinàriament llarg per a un atac d’aquesta magnitud. Finalment, va ser descobert per l’empresa de ciberseguretat FireEye, que va detectar activitat sospitosa a la seva xarxa.
Aquest atac va demostrar com una sola escletxa de seguretat en un proveïdor de confiança pot causar un impacte sistèmic en cadena i va esdevenir un punt d’inflexió en la manera d’entendre la seguretat de la cadena de subministrament de software.
Els ciberatacs més temuts
Si bé els exemples anteriors mostren la realitat dels ciberatacs d’alt impacte, els experts en seguretat continuen preocupats per casos encara més greus que encara no s’han produït, però que poden materialitzar-se en el futur. En destaquen els següents:
· Atacs coordinats a infrastructures múltiples. En compte d’atacar un sol sector, com ara l’energètic o el financer, un atac simultani a unes quantes infrastructures crítiques pot causar efectes sinèrgics devastadors. Imaginem, com passa en la sèrie, una situació en què fallin simultàniament la xarxa elèctrica, les telecomunicacions i els sistemes bancaris.
· Atacs a sistemes de control industrial. Els sistemes SCADA i ICS (Industrial Control Systems) controlen infrastructures físiques, com ara plantes de tractament d’aigua, refineries, fàbriques i centrals elèctriques. Un atac sofisticat pot causar danys físics greus, com va demostrar Stuxnet, el malware que va sabotejar el programa nuclear iranià el 2010 i en va fer malbé les centrifugadores d’enriquiment d’urani.
· Compromís de serveis en el núvol. A mesura que més organitzacions migren les seves operacions al núvol, un atac a un gran proveïdor de serveis en el núvol pot afectar milers d’empreses simultàniament. L’efecte multiplicador seria immens, sobretot si l’atac compromet la integritat o disponibilitat de les dades emmagatzemades.
· Atacs a xarxes de telecomunicacions 5G. Les noves xarxes 5G formaran la columna vertebral de la pròxima generació d’infrastructures connectades, incloses les ciutats intel·ligents i els vehicles autònoms. Una vulnerabilitat en aquests sistemes pot tenir implicacions de gran abast.
És factible “petar-se el món” en un minut?
La premissa central de la sèrie Zero Day sobre la possibilitat d’una paràlisi global en seixanta segons conté elements obvis d’exageració dramàtica, propis de la narrativa audiovisual, però no està totalment allunyada de la realitat. Els experts en ciberseguretat coincideixen que un atac coordinat contra múltiples infrastructures crítiques pot causar disrupcions importants en molt poc temps com les que presenta la sèrie.
Però la pregunta clau no és si un atac podria desencadenar-se ràpidament –la resposta és afirmativa–, sinó fins a quin punt els sistemes de redundància i les mesures de contingència podrien mitigar-ne l’impacte.
Els sistemes crítics generalment estan segmentats i protegits per múltiples capes de seguretat, precisament per evitar aquestes situacions. A més, molts països tenen redundàncies i sistemes de resposta d’emergència que continuarien funcionant encara que els sistemes informàtics principals fallessin. Però la interconnexió creixent dels nostres sistemes també crea noves vulnerabilitats. La convergència de les tecnologies operatives (OT), que controlen processos físics, amb les tecnologies de la informació (IT), tradicionalment separades, obre noves vies d’atac.
La veritable amenaça no és tant la velocitat de l’impacte inicial, com els efectes en cascada que podrien produir-se amb el temps: fallades generalitzades dels serveis bàsics, col·lapse de les cadenes de subministrament i pèrdua de confiança en els sistemes financers. Aquests efectes secundaris poden perllongar-se durant setmanes o mesos, amb conseqüències socials i econòmiques difícils de predir.
La carrera armamentística digital
La producció de Netflix arriba en un moment en què la ciberseguretat ha esdevingut una prioritat estratègica per a governs i empreses de tot el món.
És sabut que pràcticament tots els estats han creat infrastructures de defensa informàtica i també que hi ha estats que dediquen recursos creixents al desenvolupament de capacitats ofensives en l’àmbit cibernètic. Països com ara els Estats Units, la Xina, Rússia, Israel i el Regne Unit han establert unitats i comandaments cibernètics específics dins les seves forces armades, tot reconeixent el ciberespai com un nou domini de conflicte, juntament amb la terra, el mar, l’aire i l’espai.
Al mateix temps, organitzacions internacionals com ara l’ONU intenten d’establir normes de comportament responsable en el ciberespai, tot cercant l’equivalent a un “tractat de no proliferació nuclear” per a les ciberarmes. Tanmateix, la naturalesa dual de moltes eines cibernètiques, que poden usar-se tant amb propòsits defensius com ofensius, complica molt aquests esforços.
Davant aquest panorama, els experts en ciberseguretat coincideixen que la millor defensa combina mesures preventives amb el desenvolupament de la resiliència, la capacitat de recuperar-se ràpidament després d’un atac.
Les organitzacions adopten enfocaments de “seguretat per disseny”, tot integrant consideracions de ciberseguretat des de les primeres etapes del desenvolupament de sistemes i aplicacions. També implanten models de zero trust (confiança zero), que parteixen de la premissa que les amenaces poden provenir tant de l’exterior com de l’interior de les xarxes, i requereixen verificació constant de qualsevol intent d’accés.
Un recordatori oportú
En aquest context, la sèrie de Netflix, protagonitzada per un De Niro que torna a la pantalla petita amb un paper de pes, serveix com a recordatori inquietant de la nostra creixent dependència tecnològica i de com, en un món hiperconnectat, la ciberseguretat ha esdevingut un pilar fonamental de la seguretat nacional i global.
Zero Day s’uneix a produccions anteriors que han intentat portar les complexitats del món de la ciberseguretat a audiències més àmplies. I tot i les inevitables llicències dramàtiques, la veritat és que aquestes produccions contribueixen a conscienciar tothom sobre riscs que, tot i ser intangibles, tenen el potencial d’afectar profundament les nostres societats.
Mentre es continua construint un món com més va més interconnectat i dependent de la tecnologia, la pregunta plantejada per Zero Day –quant de temps trigaria a fer fallida tot el sistema?– guanya rellevància més enllà de la ficció. Perquè és una pregunta que ni els experts més qualificats no poden respondre amb certesa, però que mou a la reflexió sobre la fragilitat dels fonaments digitals sobre els quals reposa la societat.
