Seguridad informática y mercados desregulados: el ciberataque contra SolarWinds

¿Por qué SolarWinds era tan vulnerable a un ataque?

A principios de 2020 unos atacantes del ciberespacio, aparentemente trabajando para el gobierno ruso, comprometieron un software de administración de redes muy extendido, desarrollado por una empresa llamada SolarWinds. El hackeo les dio acceso a la red informática de unos 18.000 clientes de SolarWinds, incluidos organismos gubernamentales estadounidenses como el Departamento de Seguridad Nacional y el Departamento de Estado, laboratorios de investigación en armas nucleares, contratistas del gobierno, empresas IT y otras organizaciones no gubernamentales de todo el planeta.

El ataque fue descomunal, trayendo implicaciones de primer orden para la seguridad pública de Estados Unidos. La Comisión de Inteligencia del Senado ha agendado una audiencia pública para el martes[1]. ¿De quién es la culpa?

Al gobierno de Estados Unidos le corresponde buena parte de la responsabilidad, por supuesto, por su inadecuada ciberdefensa. Pero reducir el problema a una mera deficiencia técnica nos hace perder la visión global del asunto. La actual economía de mercado, que recompensa a las compañías por buscar beneficios a corto plazo y reducir agresivamente los costes, es también parte del problema: la estructura de incentivos no asegura otra cosa que las compañías acaben vendiendo productos y servicios inseguros.

Como todas las organizaciones lucrativas, Solarwinds pretende aumentar el valor de sus acciones minimizando costes y maximizando beneficios. La propiedad de la compañía es mayoritariamente de Silver Lake y Thoma Bravo, empresas de capital de inversión conocidas por reducir extremadamente los costes.

Ciertamente parece que Solarwinds ha gastado menos de lo que debía en seguridad. La compañía subcontrató buena parte de su ingeniería de software a programadores de otros continentes, a pesar de que eso suele aumentar el riesgo de que aparezcan vulnerabilidades en seguridad. Durante un tiempo, en 2019, la contraseña para actualizar el servidor de su software de administración de redes fue "solarwinds123", según se ha informado. Los hackers rusos pudieron penetrar en su sistema de correo electrónico y fisgonearlo durante meses. Parece que hackers chinos aprovecharon otra vulnerabilidad en los productos de la compañía para entrar en ordenadores del gobierno. Un asesor en ciberseguridad de la compañía dijo que había renunciado a su puesto tras ver ignoradas sus recomendaciones para fortalecer la seguridad.

No hay otra razón para gastar menos en seguridad que ahorrar dinero, especialmente cuando entre tus clientes hay organismos estatales de todo el mundo y cuando los expertos en tecnología, a los que pagas para que te asesoren, te están diciendo que hagas algo más al respecto.

Como ha sugerido Matt Stoller, autor sobre cuestiones económicas, la ciberseguridad es un espacio natural para que una empresa tecnológica recorte en gastos porque sus clientes no van a notarlo salvo que sean atacados, y si son atacados ya habrán pagado por el producto. En otras palabras, el riesgo de un ciberataque puede transferirse a los clientes. ¿No pone en peligro esta estrategia la posibilidad de repetir con los mismos clientes a largo plazo? Por supuesto, hay ahí un peligro, pero los inversores están tan focalizados en las ganancias a corto plazo que demasiado a menudo están dispuestos a correr ese riesgo.

A los mercados les encanta recompensar por asumir riesgos cuando en buena parte los cubren otros, los contribuyentes, pagando sus impuestos. Es el ya conocido "privatizar los beneficios y socializar las pérdidas". Entre los típicos ejemplos se incluyen compañías "demasiado grandes para caer", lo que significa que la sociedad en conjunto paga por la mala suerte o las pobres decisiones en sus negocios. Algo semejante está ocurriendo cuando la seguridad pública se ve comprometida por compañías tecnológicas de alto nivel que transfieren riesgos de ciberseguridad a sus clientes.

Hay otros incentivos viciados que afectan tu ciberseguridad cotidiana. Tu teléfono móvil es vulnerable a algo llamado SIM-swap, un fraude de suplantación de la tarjeta SIM, porque las compañías telefónicas quieren que te sea fácil cambiar frecuentemente de dispositivo por otro más nuevo. Y saben que los costes del fraude corren mayoritariamente a cuenta de los clientes. Los brokers de datos y las agencias de crédito que colectan, usan y venden tus datos personales no gastan mucho dinero en protegerte, porque si alguien te los hackea y te los roba es tu problema. Las empresas de redes sociales permiten el florecimiento de discursos de odio y desinformación en sus plataformas porque es caro y complicado evitarlo, y no sufren los costes inmediatos. En efecto, se lucran con la implicación activa de los usuarios, sea de la naturaleza que sea.

Hay dos problemas a resolver. El primero es la asimetría de la información: los compradores no pueden juzgar adecuadamente la seguridad de los productos de software ni las prácticas de las empresas. El segundo es un perverso incentivo estructural: el mercado alienta a las compañías a tomar decisiones en su interés privado, incluso si eso pone en peligro intereses más generales de la sociedad. Conjuntamente, estos problemas resultan en que las compañías ahorren dinero por medio de correr mayores riesgos y que luego pasen ese riesgo al resto de nosotros, como individuos y como país.

La única manera de forzar a las compañías a proveer seguridad para clientes y usuarios es la intervención pública. Las compañías deben pagar los costes reales de sus inseguridades mediante una combinación de leyes, regulaciones y responsabilidades legales.  Los estados legislan habitualmente en materia de salud pública, por ejemplo, sobre índices de contaminación, ponerse el cinturón de seguridad en vehículos, la gasolina sin plomo, regulaciones alimentarias, etc. Necesitamos hacer lo mismo con la ciberseguridad: un estado debería establecer unos estándares mínimos de seguridad para el software y el desarrollo de software.

En los mercados desregulados de hoy día es demasiado fácil para las empresas informáticas como SolarWinds ahorrar dinero escatimando en seguridad y esperar que todo salga bien. Es una decisión racional del mundo del mercado libre actual, y la única manera de cambiarlo es cambiando los incentivos económicos.