first
  
last
 
 
start
stop

En construcción

Conclusiones de la Década de Ciberguerra

Cada día se habla más en este país de las ciberguerras y de qué es lo que se debe hacer ante ellas. Como palabra tabú aparece el término “ciberarma” y nadie del gran público sabe muy bien a qué nos estamos refiriendo. Por ello, quizás sea ahora buen momento para ver si podemos trasladar el vetusto arte y legalidad de la guerra a eso que algunos llaman ciberespacio y otros llamamos Internet.

 

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

 

Después de más de una década de ciberguerras puntuales y discontinuas, la mayoría aceptamos que son “guerras” en las que todavía no se han producido bajas humanas. Sin embargo, quizás eso no sea cierto y una excepción pueda ser el caso del bloguero y periodista Magomed Yevloyev, que murió en 2008 cuando “se le disparó” la pistola al policía que le custodiaba 1 y le llevaba a la comisaría de Nazran en la república de Ingusetia (Rusia). Los ataques a Ingushetia.ru y a la web chechena kavkazcenter.com son los primeros ejemplos de ciberataques con motivación política, y se produjeron en 2002.

 

Otro ejemplo también podría ser el de varios blogueros decapitados por el narcotráfico mejicano cuyos restos han aparecido en ciudades fronterizas con los EE.UU., como es el caso del Nuevo Laredo, que colinda con Texas. Es cierto que estos casos son ejemplos de periodistas asesinados por hacer su trabajo, pero el combate y el uso de las tecnologías del ciberespacio también está íntimamente imbricado en ellos.

 

En la última década son muchos los incidentes cibernéticos que están dando forma a lo que se quiere llamar ciberguerra. En diciembre de 2008, Israel lanza la operación “Plomo Fundido” contra los palestinos de Gaza e inmediatamente se inicia una batalla entre hackers árabes e israelís. Este proceder se ha repetido siempre que ha habido otras crisis militares del mismo ese tipo. Algo parecido ha ocurrido durante la segunda guerra ruso-chechena 1997–2001, en los ciberincidentes contra Estonia de 2007, y en la guerra ruso-georgiana de 2008. En ambos casos, esas fuerzas actuaban más como grupos ciberparamilitares que como unidades de un ejército regular.

 

Yendo más al este, las protestas anti-chinas en Indonesia durante el mes de mayo de 1998 fue lo que hizo organizarse a la comunidad hacker de la República Popular China que, con tres millares de miembros, fundó el llamado “China Hacker Emergency Meeting Center”. Desde entonces, el Estado chino ha invertido dinero y recursos suficientes para ser una de las dos primeras potencias en ciberguerra, a la misma altura que los propios EE.UU.

 

Durante las elecciones presidenciales iraníes de 2009 las masivas protestas ciudadanas fueron alimentadas con el uso de redes sociales como Twitter y Facebook. En respuesta a ellas, el gobierno iraní sacó a sus antidisturbios más violentos y cerró el acceso a Internet.

 

El 4 de julio de 2009, algunas webs de los EE.UU., incluida la de la Casa Blanca, sufrieron un ataque DDoS que más tarde se extendió a sitios web del gobierno Surcoreano. El primer sospechoso siempre fue la República Popular Democrática de Corea, pero no hay evidencias firmes que apoyen esa sospecha.

 

Titan Rain es el nombre informal que se le dio a las actividades chinas de ciberespionaje contra el Departamento de Defensa de los EE.UU. desde 2002 a 2005 y cuyo botín se estima que fue entre 10 y 20 terabytes de datos no clasificados de su red NIPRNet. En 2006, ese mismo Departamento de Defensa declaró que la red del Pentágono, la Global Information Grid, recibía tres millones de escaneos diarios en lo que las IPs con origen en China y los propios EE.UU. estaban a la cabeza. En 2007 sufrieron ciberasaltos el SANS Institute, Raytheon, Lockheed Martin, Boeing y Northrup Grumman, entre otros.

 

En enero de 2009, RSA anunció que estaba en riego información personal de sus empleados y clientes tras descubrir piezas malware en sus servidores. Dos años después, el 17 de marzo de 2011, RSA vuelve a anunciar que ha sido víctima de un “extremadamente sofisticado ciberataque” y se apuntaba a la posible “reducción en la seguridad” de su sistema SecurID como segundo factor de autenticación.

 

Cronologías

 

Si nos remitimos a las cronologías, el cibercrimen se desarrolló antes que lo que hoy se quiere llamar ciberguerra. De hecho, durante todo este tiempo se ha visto que hay una clara sinergia entre ambas. Para muchos de los hackers no gubernamentales que participaron en las campañas de las ciberguerras georgiana y de Gaza, su actividad cotidiana era la del cibercrimen.

 

Curiosamente, ni Rusia ni China combaten efectivamente en cibercrimen perpetrado por sus nacionales, siempre y cuando los objetivos de sus fechorías no estén bajo su soberanía y no se vean afectados sus respectivos intereses nacionales. Esta buena armonía encubierta asegura a ambos Estados poder disponer de una cantera tecnológica y personal muy adecuada para futuras aventuras y ciberconflictos.

 

El valor que aporta el cibercrimen a la ciberguerra es el de ser el laboratorio donde se desarrollan, prueban y refinan las cargas maliciosas y los exploits que luego podrán ser utilizados en la confección de armas para la ciberguerra. La razón de ello es sencilla, ya que es lo mismo romper un sistema de seguridad, tanto si está instalado en Heartland Payment Systems 2 como si lo está en la “Global Information Grid” del Pentágono.

 

Razonando por analogía con las armas convencionales, los objetivos de las denominadas ciberarmas serían realizar acciones que normalmente requerirían un soldado o un espía para ejecutarlas, y que serían consideradas ilegales o como un acto de guerra si se utilizasen en tiempo de paz. Los aspectos legales de esa acción incluirían violar la intimidad y soberanía de la nación atacada.

 

Con un enfoque de derecho internacional, esas acciones podrán ser la vigilancia de los sistemas enemigos y de su personal, la obtención de informaciones sensibles, el robo de datos o propiedad intelectual, como pueden ser la información comercial o informaciones clasificadas de origen gubernamental o militar. También serían acciones internacionalmente ilegales la destrucción de datos y programas (ejecutables) propios del sistema atacado o de otros conectados a él. Aquí se incluiría también la destrucción de equipamientos y ordenadores o cualquier otro equipo electromecánico, industrial o los sistemas de control de procesos (SCADA), de modo que, al final, se produzcan accidentes industriales serios con la pérdida de vidas o de propiedades. Esos efectos podrían ir más allá de la del propio sistema atacado y, en general, causar pérdidas económicas importantes a terceros.

 

Las ciberarmas persiguen, esencialmente, causar daños directos o indirectos en el objetivo del ataque, y no tanto obtener beneficios o ganancias para el que las usa; algo que es más propio del cibercrimen que de la ciberguerra. Hasta la fecha, por su naturaleza se pueden considerar como ciberarmas los casos de Flame 3, Stuxnet 4, Wiper 5 y Shamoon 6:

 

Flame, (AKA Flamer o Skywiper) es un malware modular descubierto en 2012 que ataca ordenadores corriendo sistemas operativos Windows. Su uso fue el del ciberespionaje en los países de Oriente Medio.

 

Stuxnet es un gusano descubierto en junio de 2010 que se sospecha fue creado por los EE.UU. e Israel para atacar las instalaciones nucleares iraníes. Inicialmente se difundía a través de sistemas Windows, pero buscaba el software y equipo industrial de Siemens para actuar. Una consulta al RISI 7 permite comprobar que Stuxnet no es el primer caso de ataque a sistemas industriales, pero sí el primero que espía y altera dichos sistemas y el primero que incluye un rootkit para los PLCs (Programmable Logic Controller).

 

Wiper es la sección del agente Shamoon responsable de destruir datos contenidos en los discos duros o sistemas de almacenamiento equivalentes, del equipo objetivo. Wiper tiene entidad propia y es parte de más de un agente; resulta difícil de detectar. El nombre shamoon viene de una cadena de caracteres que aparece en tablas internas de wiper.

 

Shamoon, (AKADisttrack) 8 es un virus modular descubierto en agosto de 2012 que ataca ordenadores ejecutando Windows NT. Ha sido utilizado para tareas de ciberespionaje en el sector energético.

 

Hay que resaltar que Stuxnet es también importante por algo que no era capaz de hacer; aprender del entorno. Muchos centros y universidades de los EE.UU., Gran Bretaña e Israel tradicionalmente se han dedicado a la investigación en criptografía, sistemas distribuidos y aprendizaje automático, por lo que no sería extraño que actualmente se esté trabajando en agentes inteligentes convertidos en ciberarmas que sean capaces de aprender de las condiciones en las que se encuentran.

 

Las ciberarmas ideales serían del tipo dispara-y-despreocúpate y se caracterizan porque requieren datos e inteligencia muy específica del sistema que quieren alcanzar. Su desarrollo requerirá de grandes inversiones en I+D y bastante tiempo y, aunque permiten nuevas tácticas, también tienen importantes limitaciones, como es el hecho de que, tarde o temprano, van a ser descubiertas y diseccionadas.

 

En cualquier caso, no hay que olvidar que un arma es una herramienta diseñada y utilizada para causar miedo y daño físico, funcional o mental a estructuras, sistemas o seres vivos. Las ciberarmas son una extensión de los ciberconflictos, de modo que unas no existen si no existen los otros.

 

Puestos a hacer daño, los objetivos de ataque principales serían los procesos industriales (energía, transporte, sector productivo), los servicios públicos (sanidad, alimentación, transporte, medio ambiente administración, registros) y las infraestructuras militares y sus redes de comunicaciones y de mando y control. Los sistemas digitales de control de Sistemas e Infraestructuras Críticas especialmente peligrosas (instalaciones nucleares, industria química), en general, suelen tener sus sistemas bien bastionados, por lo que, en el caso de un conflicto bélico declarado, lo más probable es que los objetivos de ataque fuesen aquellos que afecten al mayor número de gente y tengan mayor impacto psicológico en el contrario.

 

Ejemplos de ataques ya ocurridos los tenemos en la manipulación que hizo la CIA en los sistemas de control del gaseoducto soviético transiberiano para conseguir finalmente una gran explosión del mismo en 1982. La causa de ese final fue una importante sobrepresión deliberadamente creada jugando con las válvulas de control del gaseoducto.

 

Otro ejemplo lo tenemos en el ciberataque israelí para cegar las defensas antiaéreas sirias en septiembre de 2007.El objetivo no era el de destruir las estaciones de radar, ya que eso hubiera disparado la alarma de todo el ejército sirio, sino hacer que el sistema mostrase el cielo limpio sin aviones aproximándose cuando realmente no era así.

 

El tercer ejemplo y más famoso es el del gusano Stuxnet que saboteó el programa nuclear iraní haciendo que las centrífugas de Natanz funcionasen en condiciones extremas sin que los sistemas de detección se percatasen de ello.

 

La línea roja

 

Otro aspecto a tener muy en cuenta es la línea que separa las ciberarmas de lo que no lo son. La forma más común y probablemente la más costosa de ciberataque es el espionaje. Aun así, cualquier sofisticadísimo software que se utilice con el único propósito de exfiltrar de forma no detectada información de una red o una máquina, no es un arma. Un fallo de programación, los Zero-days, tampoco son armas y hay dos buenos ejemplos de ello.

 

El primer ejemplo es el de Duqu 9, que fue descubierto en octubre de 2011 y que era una novedosa y excepcionalmente sofisticada pieza de malware. Su amenaza es la de ser un herramienta de acceso remoto (RAT) 10, y su misión la de recoger inteligencia de sistemas industriales de control para, probablemente, organizar un futuro ciberataque contra una tercera parte que utilizase esos mismos equipos.

 

Symantec y CrysysLab resaltaron en sus análisis las grandes similitudes entre Stuxnet y Duqu por lo que ambos podrían tener los mismos autores. Sin embargo, Duqu, a diferencia de Stuxnet, no es un arma ya que no pretendía dañar nada. Hay que tener cuidado con lo que se denomina ciberarmas, no vaya a ser que un mero escaneo de puertos en una red pueda ser considerado un acto de guerra que justificase reacciones militares.

 

El desarrollo y diseminación de ciberarmas potencialmente destructivas dirigidas contra objetivos protegidos requiere muchos recursos; requieren información difícil de conseguir e inteligencia altamente específica, así como cierto tiempo para lanzar y ejecutar el ataque. El ataque a objetivos bastionados requerirá recursos y apoyos propios de un Estado, y es poco probable que terroristas puedan organizar algo parecido a un cyber-9/11; escenario por otra parte muy querido por la prensa sensacionalista. Además, la experiencia indica que los beneficios de las ciberarmas se obtienen combinándolas con operaciones militares públicas o encubiertas, como hizo Israel al cegar la defensa aérea de Siria en 2007.

 

La relación coste/beneficio de las ciberarmas es más cuestionable de lo se podría pensar, ya que las configuraciones de ataque son tan específicas que la ciberarma solo será capaz de actuar frente a un único objetivo, o a unos pocos en el mejor de los casos. La mayoría de los componentes de una potente y sofisticada ciberarma tendrán un tiempo de vida útil muy corto después de ser descubiertas.

 

La dualidad defensiva y ofensiva

 

Otro aspecto importante a tener en cuenta en el escenario que nos ocupa es la dualidad defensiva y ofensiva ya que, cuando se trata de ciberarmas, el enfoque ofensivo tiene costes mayores, tiempos de vida mucho más cortos y un conjunto muy reducido de objetivos. Esta devaluación ofensiva reduce considerablemente la capacidad coercitiva de los ciberataques y puede no llegar a compensar sus costes financieros.

 

Los ataques reales se basan en la credibilidad que les da el atacado y la capacidad para repetirlos con éxito. Incluso aunque pudiese lanzarse con éxito un ataque con una ciberarma, es dudoso que ese ataque pudiese repetirse y tener éxito una segunda o tercera vez. Un análisis detallado de las ciberarmas no parece favorecer su dimensión ofensiva.

 

Por su parte, la Comisión Europea opta por recomendar centrarse en las facetas esenciales para combatir futuras amenazas en el ciberespacio a través de:

 

• La prevención y estar listos ante lo que pueda venir mediante la cooperación, el intercambio de información útil y la aplicación de suficientemente buenas prácticas en aras de conseguir una resistencia colectiva que ayude a proteger los intereses europeos y comunitarios.

 

• La detección y respuesta frente a incidentes a través de un sistema paneuropeo de compartición de informaciones y alertas.

 

• La mitigación y recuperación después del ataque a través de una más intensa cooperación materializada en planes de contingencia europeos y ejercicios regulares de los mismos.

 

• La cooperación internacional para que Europa no se pierda las futuras medidas, principios y guías que la comunidad internacional propondrá para una mayor estabilidad de Internet.

 

La Comisión Europea como tal, como organización paneuropea, no parece estar por el enfoque ofensivo de las ciberarmas, sino que apuesta por la defensa; lo cual no quiere decir que algunos de sus Estados miembros no estén secretamente acariciando programas ciberarmamentísticos.

 

Otro aspecto a tener en cuenta es la posibilidad de que las carreras ciberarmamentísticas terminen animando un pujante Mercado Negro de ciberarmas. En escenarios como ese, hay que sopesar la posibilidad de que actores sofisticados y maliciosos puedan montar acciones asimétricas e insurgentes basadas en contratar los servicios de grupos criminales, arengar y agregar hackers patrióticos, o diseminar los componentes genéricos (reutilizables) de ciberarmas de ataque ya conocidas. Peor aún, es probable que se favorezca el desarrollo de malware más complejo de forma estructurada y modular, lo que activará nuevos modelos de negocio para los desarrolladores de malware. Todo esto, muy probablemente, ya está pasando y ni siquiera hemos empezado en serio.

 

La militarización de la ciberseguridad

 

Concluyendo, en el ciberespacio no hay naciones, no hay territorios y por tanto no puede haber guerras como tales. Las leyes de la guerra (LOAC) 11 se refieren a naciones, soberanías y de sus obligaciones con las demás naciones, por lo que sin naciones es difícil aplicarla. Sin naciones definidas es difícil que haya ejércitos regulares, por lo que en realidad el ciberespacio puede llegar a ser es un escenario paramilitar en el que se baten ciberpotencias no necesariamente relacionadas con concepto clásico o actual de nación. De hecho, la experiencia del cibercrimen indica exactamente eso; que lo que importa es el negocio, y no la nacionalidad de sus autores o ubicación de sus recursos.

 

Las leyes de la guerra precisan de la identificación del atacante, y la identidad en el ciberespacio, así como las relaciones causa efecto, son algo prácticamente imposibles de demostrar o comprobar. Es muy peligroso reconocer derechos bélicos sin una clara justificación de los mismos, pues hay ejemplos en los que se forzaron las “pruebas”, que hoy ya se han demostrado absolutamente falsas, para poder justificar el ataque a un Irak que ni tenía armas de destrucción masiva, ni tenían nada que ver con Al-Queda.

 

Reconocer el derecho a la represalia en un entorno donde no se puede probar las autorías es abrir la puerta a que grandes ciberpotencias arrasen a otras más pequeñas por el mero hecho de “parecer ser” las autoras de un agravio y, en realidad, simplemente ser instrumentos para conseguir otros fines.

 

Además hay un problema aún mayor: la militarización de la ciberseguridad. Quizás el Pentágono con su apuesta por el quinto escenario 12 no esté militarizando el ciberespacio al propugnar robustas ciberdefensas, pero sí está colaborando en militarizar las ideas y conceptos utilizados para analizar la seguridad en ese medio. Está muy claro que los ejércitos regulares deben prepararse concienzudamente para defenderse de lo que, como a todos, nos puede pasar en el ciberespacio, pero no más. La misión física de los ejércitos reales no debe ponerse en riesgo por el hecho de querer utilizar el ciberespacio para su propio funcionamiento.

 

A fin de cuentas, la verdad es que la inmensa mayoría de las infraestructuras críticas del mundo son propiedad, están operadas y protegidas, por civiles reunidos en organizaciones privadas. Para aumentar la seguridad habría que convencer a ese sector para tomar las medidas que hagan más resistente la ciberinfrestructura de cualquier país.

 

 

1 Ver http://news.bbc.co.uk/2/hi/europe/7590719.stm
2 En enero de 2009, Heartland Payment Systems confesó haber sido víctima del mayor incidente de la historia, con 130 millones de cuentas afectadas; los hackers tuvieron cinco meses de acceso ininterrumpidos a la (in)segura red de Heartland antes de ser descubiertos.
3 Ver http://en.wikipedia.org/wiki/Flame_(malware)
4 Ver http://en.wikipedia.org/wiki/Stuxnet
5 Ver http://en.wikipedia.org/wiki/Wiper_(malware)
6 Ver http://en.wikipedia.org/wiki/Shamoon
7 RISI = Repository of Industrial Security Incidents. http://www.securityincidents.org/
8 Ver http://www.symantec.com/connect/blogs/shamoon-attacks
9 http://en.wikipedia.org/wiki/Duqu
10 RAT = Remote Access Trojan
11 Ver http://en.wikipedia.org/wiki/Law_of_armed_conflict
12 Se consideran cinco escenarios bélicos: Tierra, Mar, Aire, Espacio exterior y Ciberespacio.

 

 

Documento en PDF

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies