Por Marcelo Bezerra
Leader, Systems Engineering
En 2015, el presidente de China, Xi Jinping, y el entonces presidente de Estados Unidos, Barak Obama, firmaron lo que se considera el primer convenio entre naciones para controlar las acciones de ciberataques en la historia. En virtud del acuerdo, ambos países estipularon no patrocinar acciones de espionaje industrial y robo de actividad intelectual. El histórico pacto indudablemente nos lleva a pensar en lo que convencionalmente llamamos ciberguerra. Hacer la guerra a través de Internet ha sido parte de nuestra imaginación durante mucho tiempo, gracias a las películas de Hollywood y a algunos hechos destacables como el famoso caso del virus Stuxnet, creado en 2010 especialmente para atacar los sistemas de control de las centrifugadoras de enriquecimiento de uranio de Irán. Aunque no trata literalmente de la ciberguerra, el acuerdo entre Estados Unidos y China confirmó lo que en 2015 aún no se admitía públicamente: que los países patrocinan acciones ofensivas a través de Internet contra otros países, enemigos o no. Hoy la situación es bastante diferente. No solo sabemos que las acciones existen, sino también que son públicamente parte de la estrategia militar de varios países. En septiembre de 2019, el Departamento de Defensa de Estados Unidos publicó su plan estratégico con el propósito de utilizar armas cibernéticas para promover los intereses y la defensa de Estados Unidos. En el Reino Unido, un general confirmó que el país tiene armas para “degradar, interrumpir y destruir” infraestructura crítica, si fuera necesario en caso de guerra. El tema, sin embargo, no es consensuado. Hay mucha discusión sobre lo que se considera un arma y una guerra cibernética, especialmente si tenemos en cuenta que las armas más sofisticadas de la actualidad incorporan cualquier número de sistemas y componentes electrónicos. Para el ex asesor del gobierno de EE.UU. Richard A. Clarke, autor del bestseller “Cyber War”, (2010), la ciberguerra se define como acciones patrocinadas por un estado nacional para penetrar redes o computadoras de otras naciones con el fin de causar daños o sabotajes. A la luz del mundo interconectado globalmente, la definición no deja dudas de que muchas acciones emprendidas o patrocinadas por un estado podrían considerarse entonces un acto de guerra.
Inteligencia de amenazas para seguir el tema de cerca.
Muy recientemente, dos acciones se han hecho públicas y se han atribuido a países, aunque no fueron admitidas por ellos. La primera fue la invasión a la empresa de seguridad FireEye y el robo de software creado por sus expertos para utilizarlo en sus contratos de consultoría. El hecho de que la empresa informará que no existía ninguna técnica o malware para explotar vulnerabilidades desconocidas entre el material robado no disminuye su importancia. La segunda fue el descubrimiento del compromiso del software de gestión ampliamente utilizado por empresas y organismos estatales del fabricante SolarWinds. Nuevamente asignado a un país y nuevamente no admitido. Dos artículos en el blog de Talos, en n https://blog. talosintelligence.com, ayudan a comprender los ataques y sus efectos potenciales. Talos, actualmente la organización privada más grande de inteligencia sobre amenazas, parte de Cisco Secure, ha estado siguiendo de cerca el problema. El equipo analizó una acción de espionaje contra diplomáticos con sede en Chipre, que identificó una campaña aún más amplia, que llegó a 40 organizaciones diferentes. Los ataques de los países suelen ser muy sofisticados y conllevan una variedad de riesgos si se filtran y atacan computadoras más allá de su objetivo inicial. El grupo también revisa continuamente la seguridad de los sistemas de infraestructura crítica, probablemente el mayor objetivo en caso de una acción de guerra real.
Armas cibernáuticas: con el foco en las vulnerabilidades
La tecnología empleada en la guerra cibernética tiene características únicas. A diferencia de las armas tradicionales, un arma cibernética no tiene potencial destructivo. Su impacto dependerá del sistema atacado. Imagínese un programa de ataque capaz de penetrar en una computadora y permitir que se controle de forma remota. ¿Cuál es el efecto? Si está en nuestras casas, perderemos unos cientos de fotos, pero ¿y si es la computadora que controla el funcionamiento de una industria? ¿Y si se trata de una planta de energía nuclear? El efecto de un ciberataque también se desconoce hasta qué ocurre, sin embargo, es posible que la víctima logre cubrir parte del impacto. Desde ese punto de vista parece un arma ineficaz, pero eso mismo es lo que la hace tan atractiva. Es totalmente fría. No hay explosiones ni muertes aparentes. No hay escenas emocionales ni soldados muertos. Es invisible y puede penetrar búnkeres completamente a prueba de ataques, incluso nucleares, por ejemplo, a través de una simple memoria USB de un empleado desatento. Y, lo que es más importante, se puede negar fácilmente. Es poco probable que una nación pueda tomar represalias basándose únicamente en un ataque a sus sistemas informáticos, ya que los ataques bien hechos son difíciles de rastrear. ¿Cómo tomar represalias si no hay certeza absoluta?
Las armas cibernéticas tampoco se almacenan. En una guerra tradicional, el oponente con mayor cantidad de armas y mayor poder destructivo obtiene una clara ventaja. En la guerra cibernética no hay armas y, como ya se mencionó, su potencial de destrucción depende de su objetivo. Un ciber arsenal también es diferente porque está compuesto de técnicas y conocimientos. Las técnicas son las vulnerabilidades existentes en los sistemas y los programas de intrusión capaces de explotarlos. Cuanto más desconocidas, más valor tienen estas vulnerabilidades, llamadas día cero. Los programas son generalmente porciones de código de programación intercambiable que se pueden usar en diferentes situaciones para explorar vulnerabilidades. También existen programas específicos para evadir los sistemas de defensa digital, como los firewalls. Estas diferentes piezas de código se combinan luego en kits de ataque, sistemas de invasión complejos como en el mencionado caso de Stuxnet. Y para llevarlas a cabo solo es necesario el conocimiento de “genios” en informática, los hackers. Esta herencia intelectual es la base de la “reserva” de la guerra cibernética. Sin
ella no hay ataque ni defensa. En una guerra totalmente científica, se cuentan los cerebros, no las ojivas.
¡Lea aquí Bridge, la revista de ciberseguridad de Cisco!