Els escenaris macabres d’assassinats cibernètics es remunten a fa dècades. El 1999 el New York Times va plantejar la possibilitat d’un “Pearl Harbour electrònic”. El 2011, Leon Panetta, aleshores secretari de Defensa dels EUA, va suggerir que el “següent Pearl Harbour [...] podia ser perfectament un ciberatac”, potser “tan destructiu com l’atac terrorista de l’11-S”. No tenim constància que hi hagi hagut cap ciberatac tan mortífer a gran escala, però el setembre del 2020 es va produir un atac que va apagar els ordinadors d’un hospital de Düsseldorf, i una dona que necessitava una cirurgia urgent va morir després de ser traslladada a una altra ciutat. És la primera mort coneguda a conseqüència d’un ciberatac, però sembla que va ser accidental: els informàtics volien fer extorsió atacant els ordinadors de la Universitat de Düsseldorf, no l’hospital adherit. Però sí que demostra que, sens dubte, es pot provocar la mort a propòsit d’aquesta manera. Encara no ha passat, però ara que hi ha més aspectes de la vida humana que requereixen la connexió a la xarxa, el 2021 la cosa podria canviar.
Per ferir o matar algú que no depèn de màquines de respiració artificial, el codi maliciós ha d’explotar l’energia cinètica o química d’alguna cosa que controli. Els candidats obvis són els sistemes de control industrial, com els que supervisen les centrals elèctriques i les fàbriques. El 2007, el Departament d’Energia dels EUA va afirmar que, amb 21 línies de codi, es podien obrir i tancar de pressa els tallacircuits d’un generador dièsel i fer que una màquina tragués fum, tremolés i acabés feta miques. Com va assenyalar Ben Buchanan, de la Universitat de Georgetown, al seu llibreThe hacker and the state, “és com la tensió que s’exerceix sobre la transmissió d’un vehicle quan un conductor intenta fer marxa enrere mentre el cotxe avança a tota velocitat”.
Poc després, els EUA i Israel van llançar Stuxnet, un cuc informàtic que va atacar de manera similar les centrifugadores d’urani iranianes i en va avariar més de mil. El 2016, un virus rus, inspirat parcialment en Stuxnet, va atacar la xarxa elèctrica ucraïnesa i va deixar sense energia una cinquena part de Kíev al bell mig d’un hivern glacial. Va atacar els relés de protecció que controlen el corrent i el voltatge, i que apaguen els sistemes elèctrics en condicions anormals. Induir les màquines o els circuits al suïcidi no és l’única manera de fer mal a la gent. L’abril del 2020, un presumpte ciberatac iranià va atacar una planta israeliana de gestió d’aigua i aigües residuals. Pel que sembla, pretenia sabotejar les bombes perquè afegissin un excés de clor al subministrament d’aigua residencial. L’any 2018 Ucraïna va denunciar una intrusió similar a una planta de clor.
No va morir ningú arran d’aquests atacs, però podria haver succeït. Segons Yigal Unna, cap de la Direcció Nacional de Ciberseguretat d’Israel, l’atac frustrat a la planta d’aigües residuals podria haver causat “greus danys a la població civil”. El 2016, a Ucraïna sembla que els atacants es van refrenar, diu Buchanan, i només van atemptar contra una subestació elèctrica a Kíev. Pot ser que aquesta contenció duri ben poc. Els darrers anys, els EUA i Rússia han sondejat les respectives xarxes elèctriques i han deixat darrere seu virus, com si fossin arsenals amagats darrere les línies enemigues. En una crisi greu, els líders podrien optar per utilitzar-les en lloc d’emprendre una via militar més arriscada, amb la qual cosa podrien tallar l’electricitat que s’empra en serveis essencials.Aquests serveis també es podrien atacar més directament a través de codis. El 2017, uns hackers nord-coreans van implementar WannaCry, un programa maliciós de rescat que encriptava dades i exigia un rescat per desbloquejar-les. Passant desapercebut, va colpejar l’NHS del Regne Unit i va afectar dotzenes d’hospitals i gairebé 600 operacions. A diferència del que va ocórrer a Düsseldorf, l’impacte va ser limitat; van baixar els ingressos, però no va augmentar la mortalitat. Tanmateix, és indubtable que els virus dissenyats específicament per trastocar els sistemes de salut podrien posar vides en perill. Hi podria haver maneres més simples de cometre homicidis cibernètics. Els vehicles no són com les centrifugadores o els transformadors. Normalment transporten humans, que són d’allò més fràgils, es mouen a grans velocitats i cada vegada estan més connectats a internet, tot i que amb vincles poc segurs. Els hackers han demostrat repetidament que són capaços de prendre el control de cotxes en moviment; el 2015, una d’aquestes demostracions va provocar que Fiat Chrysler hagués de retirar 1,4 milions de vehicles. Segons ABI, una empresa d’informació de mercat, el 91% dels nous vehicles lleugers i camions venuts als EUA aquest 2020 estan connectats a internet. A velocitats de creuer, no caldria recórrer a Stuxnet per fer mal. A mesura que els atacants es fan més sofisticats i el nombre de possibles víctimes creix, el dubte no és si un ciberatac acabarà essent deliberadament mortal, sinó quan.
Per Shashank Joshi cap de la secció Defensa, The Economist
Traducció d'Arnau Figueras