Ciberseguridad y geopolítica son dos temas que no solían discutirse en conjunto. Sin embargo, durante la última década hemos visto un incremento drástico en la frecuencia e intensidad de ciber ataques por parte de actores apoyados por gobiernos. Este tipo de eventos buscan promover una variedad de fines como espionaje, robo o extorsión, desinformación, e incluso la destrucción de insumos físicos.
A pesar de que no escuchemos todos los días en las noticias sobre ello, existen grupos de inteligencia en el sector público y privado que siguen regularmente este tipo de actividad. Trabajando con una de estas compañías, he tenido el privilegio de observar desde la primera fila cómo se desarrolla este fenómeno.
Hoy les voy a compartir sobre lo que hacemos y voy a brindar ejemplos desde una perspectiva mezclada de ciberseguridad y relaciones internacionales. Desde aquí, tal parece que estamos cruzando de nuevo por una especie de "Guerra Fría.” Un conflicto silencioso entre dos bloques que se perciben mutuamente como adversarios y proyectan una visión opuesta del mundo.
Es probable que no hayan escuchado sobre las historias que voy a mencionar aquí. Es probable que su familia y amigos tampoco hayan escuchado sobre ellas. Pero los casos sobre los que voy a contarles son públicos y bien documentados, a pesar de que solo sean discutidos por pequeñas comunidades especializadas.
Nota: Este blog representa únicamente mi postura y no la de mi organización. Mi misión es ser lo más objetivo posible y evitar tomar una postura en la medida de lo posible.
¿Desde Cuándo Es La Ciberseguridad Un Problema para Los Estados?
Empecemos con un poco de contexto. Como muchas otras tecnologías disruptivas, el internet surgió como el resultado de investigación con fines militares. Originalmente, se buscaba que esta tecnología funcionara como un salvoconducto para comunicarse en caso de que hubiera un conflicto nuclear.
Afortunadamente, el internet nunca cumplió con su cometido, y en cambio hoy lo usamos para muchas otras cosas. La misma tecnología que usamos para guardar nuestras fotos y compartir memes, también la utilizan grandes corporaciones para coordinar procesos productivos, o gobiernos para proveer servicios críticos y para mostrar su cariño a otros gobiernos :3.
El uso de ataques con computadoras y redes para promover intereses entre un gobierno y otro no es tan nuevo como creeríamos. De hecho, primer caso documentado data de 1989 y se refiere a espionaje de la Unión Soviética para obtener información sobre una organización en Estados Unidos. Les recomiendo un documental maravilloso al respecto llamado The Cuckoo’s Egg donde de paso pueden disfrutar de toda la vibra de los 80s.
Figura 1. Screenshot del documental The Cuckoo’s Egg. Disponible en Youtube.
Un par de años después empezamos a escuchar sobre otros casos reconocidos como:
En 2007 varios sitios web de servicios del gobierno de Estonia fueron atacados aparentemente por hackers rusos en respuesta a manifestaciones por la reubicación de una estatua del periodo soviético.
En 2010-2011 escuchamos sobre el caso de Stuxnet en que teóricamente Estados Unidos e Israel se coordinaron para destruir centrifugadoras nucleares iraníes con un ciber ataque con la finalidad de retrasar el programa nuclear de dicha nación. (Si quieren leer más sobre el caso pueden conseguir el libro de Kim Zetter en lenguaje humano, o el reporte del gurú Ralph Langner en lenguaje ingenieril.)
En 2012 Corea del Norte atacó a Sony Pictures Entertainment en respuesta a la producción de la película La Entrevista. Es difícil olvidar la imagen icónica de una calavera en las pantallas de los usuarios bloqueados de sus computadoras.
En 2013 FireEye Mandiant, donde trabaja un servidor (blink blink), publicó por primera vez en la historia un reporte del sector privado incluyendo indicadores técnicos y contexto sobre un actor apoyado por un gobierno para realizar espionaje. Se trataba de APT1 (amenaza persistente por sus siglas en inglés) correspondiente a la Unidad 61398 del Ejército Popular de Liberación chino.
Figura 2. Screenshot del ataque contra Sony Entertainment Pictures en 2012.
A partir de aquí se pierde la cuenta. La cantidad de ciber ataques se vuelve muy grande para tratarlos uno por uno. Sin embargo, para darles una idea puedo mencionar que en mi compañía seguimos más de 40 grupos apoyados continuamente por Estados para realizar ciber ataques con distintas motivaciones. Otras compañías y otros países siguen a los mismos y otros grupos, cada uno con su propia nomenclatura y visibilidad en distintas redes. Simple y sencillamente, es imposible conocer la magnitud real del problema en la actualidad.
¿Por Qué Utilizan Ciber Ataques los Estados?
Hasta aquí ya sabemos que los Estados ocupan ciber ataques como una técnica para promover sus intereses, y también sabemos que esto no es un fenómeno nuevo. Sin embargo, tomando en cuenta que desarrollar un ataque no es algo sencillo, ¿por qué se toman la molestia?
Un ciber ataque permite a un Estado debilitar al enemigo de modo discreto y remoto, con un muy bajo riesgo de represalias. Esto se debe a varias razones, incluyendo que la atribución de ciber ataques es un proceso largo, complejo, y a veces imposible. De hecho, es común observar casos de actores sofisticados dedicando años de esfuerzo para infiltrarse en una red, probar los controles de seguridad y moverse de un equipo a otro antes de lanzar el último golpe. En el caso del espionaje, es posible que el ataque suceda sin que la víctima lo note jamás.
Por otro lado, se trata de un reto que es relativamente nuevo y muy dinámico. Dado que no existen precedentes para este tipo de ataques, los Estados… pues tampoco saben cómo responder. Existen demasiadas variables en juego, como por ejemplo: ¿Qué tipo de ataque fue? ¿Puedo atribuirlo con suficiente certeza? ¿El ataque resultó en el robo de información valiosa, pérdida de estabilidad política, pérdida de recursos monetarios, o un impacto físico en infraestructura o gente?
Son muchas las preguntas que hay que contestar durante este tipo de investigaciones, y como dije, tenemos pocos precedentes documentados para tomar decisiones. Entre los pocos esfuerzos que hemos visto en el pasado por definir buenas prácticas para responder ante ciber ataques se encuentran los siguientes:
En 2013, la Organiación del Tratado del Atlántico Norte (OTAN) generó la primera versión del Manual de Tallin para apoyar a los Estados a tomar decisiones en el caso de que fueran impactados por ciber ataques. Esta primera versión fue muy cuestionada (por ejemplo, especulaba que un ciber ataque tenía que ser generado por un militar uniformado).
Cinco años después surgió la versión 2.0 del Manual de Tallin. Este documento a pesar de ser mejor que el anterior, se enfoca particularmente en regulación internacional en el caso de conflictos bélicos, pero no responde a los casos comunes que observamos de "microagresiones" entre Estados.
En 2018 la OTAN generó también una herramienta digital para el análisis de incidentes de ciberseguridad desde una perspectiva de regulación internacional. (Si eres internacionalista yo veo aquí un tema de tesis. De nada.)
Figura 3. Screenshot del sitio de la OTAN para legislación en ciberseguridad.
Por tomar un ejemplo pertinente para este blog, Estados Unidos se ha visto ante este dilema un par de veces. Desde el año 2015 ha impuesto sanciones por ciber ataques a individuos o grupos apoyados por Corea del Norte, China, Irán, y por supuesto Rusia.
Tan solo el año pasado (2020), Estados Unidos emitió sanciones en contra de dos grupos de ataque particularmente interesantes.
El primero se trata de Sandworm, reconocido tan solo por provocar dos apagones en Ucrania (2015 y 2016), liberar el malware NotPetya que causó pérdidas millonarias alrededor de todo el mundo, y afectar los sistemas de varias organizaciones relacionadas con los juegos olímpicos de invierno en Corea del Sur 2018. Estos son solo algunos de los proyectos más reconocidos en el curriculum vitae de este grupo.
Dato curioso: el grupo fue nombrado por analistas que investigaron el malware utilizado por Sandworm y encontraron palabras relacionadas con la famosísima película “Dunas.”
Figura 4. Imagen de Reddit basada en Dunas.
El segundo grupo se trata de un laboratorio de investigación ruso al cual se le ha atribuido el ataque de TRITON, diseñado para impactar los procedimientos de emergencia en un establecimiento de infraestructura crítica en el medio oriente. Esto se lee muy rápido, pero vale la pena recalcar las implicaciones. Por medio de una computadora a miles de kilómetros de distancia, el actor estaba posicionado para deshabilitar la última línea de seguridad de la organización y tener todo en pie para destruir físicamente su objetivo si así lo deseaba. Por suerte el actor cometió un error en los últimos pasos y fue descubierto.
Figura 5. Screenshot del sitio de U.S. Department of Treasury
Pues podría pasar toda la noche escribiendo sobre este mismo tema, pero sé que probablemente están preguntándose cuándo voy a hablar sobre la idea de una segunda “Guerra Fría”.
¿Estamos en una Segunda Guerra Fría?
Ya que les he contado un poco sobre el contexto, es tiempo de explicar por qué es que sostengo que si analizamos el escenario internacional desde una perspectiva de ciber seguridad todo indicaría que estamos en medio de una segunda Guerra Fría.
Para responder esta pregunta, decidí elegir una metodología muy casual. Porque… pues es mi blog. Se me ocurrió que podría hablar sobre el tema tomando tres de las principales características de este periodo histórico, y explicando cómo lo que veo en mi trabajo encaja en este escenario.
1) Durante la Guerra Fría Existió Un Enfrentamiento Entre Dos Bloques
Durante la Guerra Fría, la Unión Soviética se enfrentó con el Occidente intentando promover un paradigma opuesto. En la actualidad es difícil definir estrictamente dos bloques ideológicos, pero tenemos algo parecido. A pesar de que el día de hoy no parece que vivamos en un sistema bipolar, es posible argumentar que existen dos grandes ideologías más o menos compartidas por dos grupos opuestos de Estados.
¿Qué tienen en común ambos bloques? Que si bien ninguno de los dos se encuentra formalmente definido por medio de un tratado o acuerdo en particular, ambos muestran todos los días sus ganas de molestarse y desacreditarse mutuamente. Es decir, que ambos consideran abiertamente al bloque opuesto como una amenaza.
Figura 6. Imagen de Rhetoric and Civic Life Blog
Por un lado están - spoiler alert - los países “occidentales” donde el internet ha sido solo parcialmente regulado. Esto incluye dos interesantes grupos de seguridad: los llamados “Cinco Ojos” (países angloparlantes que comparten inteligencia, incluyendo Estados Unidos, Australia, Canadá, Nueva Zelanda, y Reino Unido), y por supuesto la Organización del Tratado del Atlántico Norte (OTAN) que estrecha los lazos con Europa.
Este bloque, principalmente reconocido por sus tendencias democráticas, mantiene una percepción general de que el Estado debe representar los intereses de los individuos. Esto se ve a su vez reflejado en la creencia de que idealmente el Estado no debería intervenir todas las comunicaciones de los individuos, al menos a excepción de casos motivados por seguridad nacional. Este bloque considera al opuesto como una amenaza y por lo tanto busca evitar que sus adversarios adquieran influencia en el escenario internacional.
Por el otro lado encontramos principalmente a Rusia, China, Irán, y Corea del Norte. Se trata de Estados con una perspectiva distinta del mundo. Países donde el gobierno mantiene un control mucho más estrecho sobre sus habitantes. Esto les ha permitido mantener una regulación estricta sobre las comunicaciones entre individuos y monitorear absolutamente todo lo que pasa en sus redes.
Esto es malo para la privacidad de los individuos, pero permite a dichos gobiernos mantener un mayor control sobre asuntos de seguridad nacional. Si bien este grupo no parece estar tan coordinado, han hecho algunos acuerdos semejantes pues comparten un reto en común. Su reto es, mostrar poder ante el bloque opuesto al cual también consideran como una amenaza.
2) Durante la Guerra Fría Existió un Balance A Partir de la Amenaza de Destrucción Mutua
Uno de los aspectos más característicos de la Guerra Fría, fue la constante tensión que surgía de la capacidad de destrucción mutua con el uso de armas nucleares. A raíz de esta tensión, los bloques se vieron forzados a negociar de distintos modos pacíficos y no tan pacíficos.
Pues bien, en la actualidad este balance es un poco distinto. No contamos con una amenaza nuclear de grandes proporciones, pero si con un nuevo reto que es la seguridad “ciber física”. Tomando en cuenta que en los últimos años hemos visto una creciente convergencia entre infraestructura física y tecnologías digitales, resulta que se ha vuelto posible para los gobiernos utilizar ciber ataques para impactar sistemas de producción.
Esto pone en peligro ya no solo información, sino también la integridad de personas e infraestructura. Un ataque ciber físico puede resultar en impactos que varían desde cortar la luz o el agua, hasta bloquear la cadena de producción de servicios básicos o, peor aún, generar una tragedia impactando por ejemplo reactores nucleares.
Además, dado que es difícil conocer a fondo las capacidades reales del adversario para generar este tipo de ataque físico, esto se vuelve una gran carta de negociación. Ambos bandos saben que están en peligro constante, pero no saben cómo ni cuándo recibirán un impacto. Es probable que nunca lleguemos a saber las capacidades reales de los Estados en este campo, a menos de que exista un conflicto armado y decidan mostrar sus cartas.
En 2020 la reconocida compañía de tecnología y automatización, Siemens, publicó un reporte titulado “En la Mira: ¿Están los Servicios Públicos Preparados Para Las Ciber Amenazas Industriales?” En esta publicación, la compañía alemana argumentaba que las compañías del sector energético se encuentran en el fuego intermedio de una carrera armamentista.
Entiendo que esto pueda sonar un poco dramático sin evidencias. Pero, como dije al inicio les tengo ejemplos para cada caso. ¿Existe un riesgo real de que un ciber ataque pueda dañarme físicamente a mi o a mi gente? Sí, existe un riesgo, pero no es tan sencillo, vamos paso por paso:
¿Puedo generar daño físico con un solo click?
¡NO! Planear y ejecutar un ciber ataque que dañe físicamente infraestructura o humanos no es fácil. Esto es debido a que el equipo utilizado en cada organización es distinto y navegar por redes industriales requiere de actores sofisticados que sepan cómo sobrepasar cada una de las medidas de seguridad. Por ello, un ataque ciber físico normalmente requiere MUCHA planeación, equipos especializados, acceso a información privilegiada del enemigo, y un toque de suerte.
¿Existe Algún Ciber Ataque Que Haya Desruido Infraestructura Física?
¡Sí! Existen alrededor de cinco casos documentados de ataques que resultaron en un daño físico o fueron ubicados antes de causarlo:
2010 - Presumiblemente Estados Unidos e Israel utilizaron el gusano Stuxnet para destruir centrifugadoras iraníes y retrasar el desarrollo nuclear de dicho Estado.
2014 – Cuenta el mito urbano que hubo un ataque contra una planta de producción de acero en Alemania que resultó en daño a infraestructura y muerte de empleados.
2015 – En plena navidad un ciber ataque resultó en la pérdida de energía para miles de usuarios en Ucrania. El ataque se le ha atribuido a actores rusos, en particular al grupo sobre el cual hablé antes en el blog, nuestro amigo Sandworm.
FIgura 7. ASCII art.
2016 – Ucrania pasó una segunda navidad sin energía (bueno, solo una hora) a causa de otro ataque atribuido a actores rusos. Esta vez el atacante utilizó malware especializado para interactuar con sistemas de energía. El malware lo conocemos de cariño como Industroyer, pero se han utilizado otros nombres.
2017 – Una organización de infraestructura crítica en Medio Oriente fue víctima de un ataque en que el actor accedió de modo remoto a los sistemas de seguridad para el proceso productivo y diseñó malware especial para este equipo. El ataque TRITON, al cual respondió mi compañía, es probablemente la mejor muestra del riesgo que corremos actualmente ya que el actor estuvo a punto de tener control total sobre la víctima y tenía la capacidad de generar destrucción física.
¿Solo cinco casos? ¿Quiere esto decir que es muy raro que suceda?
Sí, bueno, tal vez. Los casos documentados son pocos, pero no quiere decir necesariamente que no exista un riesgo. Por un lado es posible que existan otros casos que no hayan sido documentados o en que la víctima sufrió un incidente físico pero nunca notó que se trató de un ciber ataque. Diferenciar incidentes en procesos físicos no siempre es fácil.
Por otro lado, dado que los ciber ataques pueden ser bastante silenciosos, es difícil saber si existe actividad que no haya sido detectada esperando para afectar a la víctima en el contexto adecuado. Por ejemplo, en el caso de TRITON, el atacante comenzó en 2014 y fue descubierto hasta 2017 cerca de su objetivo.
Además, los dos casos documentados en Ucrania durante 2015 y 2016 fueron particularmente interesantes debido al poco impacto que tuvieron. Pero esto no significa que el actor no supiera lo que hacía, se considera que se trataba posiblemente solo de una demostración de fuerza, o del uso de un Estado vulnerable como conejillo de indias.
¿Pero entonces, también puede ser que simplemente no haya más interés en diseñar estos ataques, no?
Desafortunadamente si parece haber interés. Observamos muy frecuentemente casos de ciber espionaje en que actores promocionados por Estados roban información y buscan aprender sobre la infraestructura de organizaciones. Si bien la mayor parte de esta actividad es muy enfocada en obtener información estratégica, hemos documentado al menos un par de casos en que el actor buscó obtener información sobre sistemas de producción. Es decir, información útil para planear futuros ataques.
Por ejemplo, en 2017 en los medios se habló sobre una campaña conocida como “Nuclear 17”, refiriéndose a espionaje cibernético en el sector energético principalmente de Estados Unidos. Esta campaña fue documentada en una alerta del gobierno estadounidense donde se compartieron fotos sobre la información que el atacante obtuvo de una de sus víctimas. Lo que vimos indica que había un interés explícito en aprender sobre el proceso, lo cual es necesario para diseñar un ataque ciber físico.
Figura 8. Imagen de CISA Alert (TA18-074A). Muestra información obtenida por el atacante de una organización energética
3) Durante la Guerra Fría Se Generalizó El Uso de Propaganda
Por último, encontramos otra característica paralela en el uso de propaganda para promover los intereses entre Estados y dañar la reputación o generar conflictos en el bloque opuesto. Esto es especialmente interesante de estudiar porque se trata de comunicaciones creativas y muchas veces casuales que antes jamás hubiéramos esperado de un Estado. Podemos ver esto en dos principales modos:
Estados usando recursos de tecnología para generar desinformación en el bloque opuesto
La desinformación se refiere al uso de distintos recursos para esparcir información o narrativas falsas para generar un impacto en la percepción o estabilidad del adversario. Esto es particularmente poderoso en el caso de países democráticos, donde se busca reflejar los valores y creencias de la población en las decisiones políticas.
Si bien esto no se refiere literalmente a un ciber ataque, el tema suele discutirse en las mismas comunidades ya que en la actualidad sucede principalmente en plataformas o servicios digitales comunes como redes sociales o sitios web.
Tal vez el caso mejor documentado de esto es la influencia de Rusia en las elecciones de Estados Unidos durante 2016. Dichos ataques se le atribuyen a una organización conocida como la Internet Research Agency (IRA) cuya labor apoyó no solo al desemboque de las elecciones, sino también a la polarización entre individuos.
A pesar de que este es el caso más conocido, aclaro que está sucediendo en todo el mundo y es probablemente una de las grandes razones por las cuales vivimos tiempos tan difíciles. Por ejemplo, otro caso documentado proveniente del bloque opuesto es el de las campañas de influencia por parte de Francia y Rusia compitiendo por las audiencias en África. Esta campaña tiene un nombre simpatiquísimo que espero también disfruten: More-Troll Kombat.
El tema de la desinformación es particularmente complicado justo porque se encuentra en un área gris. Su análisis es ya de por si complicado ya que es necesario diferenciar opiniones políticas legítimas del ruido generado con fines maliciosos usando herramientas como bots, cuentas ilegítimas, o sitios de noticias falsas. Si quieren saber más sobre este tema les recomiendo esta pequeña guía introductoria para la desinformación, o el amigable libro “True or False” de Cindy Otis.
(No le digan a Cindy, pero su libro nos hace muchísima falta en México :( )
Estados buscando mostrar su poderío y la debilidad del oponente
Tradicionalmente cuando hablamos de ciberseguridad, los artículos que vemos en los medios utilizan fotografías terribles con un hombre encapuchado y una máscara escribiendo en su computadora.
Pero esto es un poco incómodo en realidad… nadie puede programar con una máscara. Y además existe algo que se llama webcam covers. La gente detrás de estos incidentes es inteligente, pero se trata de humanos normales que hacen su trabajo como todos nosotros. Siguiendo esta narrativa, una de las tácticas que ha buscado seguir el ciber comando de Estados Unidos con sus comunicaciones más recientes es justamente buscar cambiar la imagen del adversario. Pasar de algo que parezca amenazante, a una caricatura para mofarse de los errores del adversario. Así lo vemos en Twitter…
Figura 10. Imagen de tweets de USCYBERCOM
Pero claro, funciona para ambos bandos. Por ejemplo, en el siguiente tweet, la cuenta oficial del Ministerio de Asuntos Exteriores de Rusia argumenta que la OTAN les acusa injustamente de lanzar ciber ataques. Y su post va acompañado de un guapísimo oso hacker.
Figura 11. Imagen de tweet del Ministerio de Asuntos Exteriores de Rusia
Por último, solo porque seguro si llegaron hasta aquí se están divirtiendo, les recomiendo también seguir las constantes discusiones entre las cuentas oficiales de Ucrania y Rusia en Twitter. Esto incluye emocionantes casos donde ambas cuentas se refieren entre ellas como su “ex novi@” tóxic@, discusiones sobre el origen de sus culturas, y por supuesto la icónica fotografía de Bernie Sanders durante las recientes protestas en Rusia.
Figura 12. Tweets de la cuenta oficial de Ucrania
Guerra Fría o no, esto huele a conflicto
Creo que con la información que tenemos aquí es más que suficiente para al menos tener una idea sobre cómo pinta el panorama de la ciberseguridad y la geopolítica. Independientemente de si estamos de acuerdo o no en que esto se asemeja a una segunda Guerra Fría, lo que queda claro es que ya no es posible entender las relaciones entre Estados sin considerar también el papel de la tecnología en esta ecuación.
Esto resulta especialmente importante en la actualidad debido a la abundancia de agresiones entre Estados, que utilizan la tecnología como herramienta para desestabilizar la sociedad del adversario, acceder a información estratégica, generar pérdidas económicas, y preparar ataques físicos.
Habiendo dicho esto, aclaro que el objetivo de este blog no fue establecer una nueva teoría ni mucho menos, sino únicamente compartir un poco de lo que veo cada día en mi trabajo e invitarlos a estudiar más sobre el tema. Tal vez juntos podemos unir todas las piezas para entender lo que está pasando en el mundo.
Por ahora, los dejo con una reflexión hermosa que publicó Microsoft en 2020 pidiendo por mejor regulación internacional para poner límites a los Estados en cuanto al uso de ciber ataques. Sin nada más que decir, por favor no duden en escribirme si quieren platicar más sobre el tema, tienen dudas, o simplemente quieren decirme que no les gustaron mis memes y GIFs.
Commenti