ARMAS CIBERNÉTICAS: Sistemas fuera de linea o Bajas en el campo de batalla? @uliman73
Cuando
hablamos de Ciberguerra, pareciera que estamos tratando un tema del algún comic
o libro de ciencia ficción, al menos así parece cuando se ve las acciones que
toman algunos Estados de la Región en la materia, sin embargo, dada la escala y
el alcance de los ataques cibernéticos en los últimos 10 años, muchos
argumentarían que hay una ciberguerra mundial en marcha.
Sin embargo,
definir el problema es importante para llegar a soluciones significativas y
este ha sido uno de los primeros escollos, ya que los Estados son reacios a
desarrollar leyes y normas internacionales para gobernar el ciberespacio y lo
que allí sucede. Todavía no está claro hasta qué punto un ataque cibernético
puede clasificarse como un acto de guerra, pero cómo debemos gobernar la guerra
librada en el dominio
cibernético ya está siendo considerado por los diferentes Cibercomandos de
Defensa y sus respectivos Ministerios de Defensa.
La noción de
ciberguerra ha cuestionado si el derecho internacional para el ataque armado también
debería aplicarse al ciberespacio. El Manual de Tallin, redactado por la OTAN,
es una guía no vinculante para aplicación del derecho internacional a los
ciberconflictos. Esta guía aún no es universalmente aceptada, pero representa
un enfoque posible para gobernar los ciberataques a nivel internacional.
Peter W. Singer, autor de la novela "Flota fantasma: una
novela de la próxima guerra mundial", y miembro senior de New America,
dijo que las filtraciones de datos, las investigaciones cibernéticas y los
apagones en otros países " no han recibido la atención que realmente
necesitan. Y el enemigo está mirando esa falta de respuesta. Veremos
ataques cinéticos en el Internet de las cosas que romperán las cosas y matarán
a las personas", dijo Singer.
Desde una
perspectiva militar, la Fuerza Aérea de los Estados Unidos de Norteamérica
(USAF) está en guerra todo el tiempo dado que los adversarios están tratando de
afectar deliberadamente sus misiones, según manifestó Frank Konieczny, Director
de Tecnología de la USAF, en la conferencia CyberCon en Arlington organizada
por Federal Times.
La USAF, ha
ido más allá del punto de tratar de defender la red porque defender toda la red
no es factible, por lo que de momento intenta defender misiones en lugar de
"la red". Los adversarios buscan interrumpir las misiones haciendo
cosas tan simples como la interrupción de los datos de los sensores, haciendo
que los líderes cuestionen la validez de los datos que obtienen. Algo tan
simple como alterar los datos de presión de aire en un neumático, de un tanque,
podría llevar a los funcionarios a sacar ese activo de la batalla.
Los ataques cibernéticos van in crecendo, pronto destruirán la
infraestructura y matarán a las personas. Y eso podría ser
lo que se necesita para que los líderes políticos se preparen para lo que viene.
Al mismo tiempo, los ataques cibernéticos podrían tener
consecuencias reales para las tropas en el campo de batalla. El software que se utiliza tanto en los laboratorios de
investigación como en la industria de la pornografía puede alterar el rostro de
una persona en un cuerpo diferente o incluso usar grabaciones y datos físicos
de videos en línea para crear un discurso que nunca sucedió. Singer lo llamó la fusión de lo falso y real.
Durante una demostración en el Simposio AUSA Global Force en
Huntsville, Alabama, el 27 de marzo, Leidos dio a conocer cómo las fuerzas
locales pueden usar capacidades avanzadas a través de una cápsula de
interferencia montada en un gran dron MQ-1C Grey Eagle. Esto permitiría a las fuerzas explotar direcciones IP,
interceptar comunicaciones e incluso manipular mensajes enemigos.
La demostración mostró cómo, una vez dentro de la red, los
mensajes de un enemigo al otro pueden ser interceptados e incluso manipulados. Por
ejemplo, un mensaje enemigo buscaba coordinar un punto de encuentro. Mientras
que el operador de los Estados Unidos permitió que los mensajes iniciales
fluyeran inalterados hacia adelante y hacia atrás, eventualmente, comenzaron a
cambiar la ubicación y la hora, lo que resultó en el envío de fuerzas a la
ubicación incorrecta.
Esta capacidad
es similar a las utilizadas tanto durante la Guerra de Irak como en los pods de
inteligencia de señales que actualmente están montados en grandes plataformas
de drones y que podrían interceptar llamadas de voz desde teléfonos celulares a
continuación.
La operación cibernética ofensiva más conocida
sigue siendo el ataque de Stuxnet contra la instalación nuclear de Irán en
Natanz en 2009. El ataque fue inteligente y sofisticado. Hizo que las centrífugas
de uranio fallaran lentamente al modular su velocidad, todo mientras ocultaba
los efectos de los ingenieros iraníes. El problema, sin embargo, fue que
el gusano Stuxnet no murió en Natanz. En cambio, se extendió rápidamente
fuera de Irán, infectando finalmente más de 100.000 computadoras en India,
Indonesia y otros lugares. Ese Stuxnet, un arma cibernética cuidadosamente
diseñada que apuntaba a un sistema de control industrial específico en una
planta, se extendió muy rápido, tan rápido que hace que las operaciones
cibernéticas ofensivas son difíciles, si no imposibles, de controlar
En agosto de
2017, una empresa petroquímica privada de Arabia Saudita fue atacada por un
ciberataque diseñado, según los investigadores, para sabotear el equipo de la
empresa y desencadenar una explosión en toda la planta. Esto no fue de ninguna
manera una brecha cibernética corriente. En cambio, fue uno de los pocos casos
en que un arma cibernética, conocida como Triton, había sido diseñada
específicamente para sabotear los Sistemas de Control Industrial (ICS). Tal vez
el ejemplo más conocido de este tipo de ataque fue el virus Stuxnet.
Para Arabia
Saudita, un ataque cibernético contra la industria petroquímica no tiene
precedentes. En enero de 2017, los piratas informáticos que utilizaron el virus
"Shamoon" borraron los discos duros de varias compañías petroquímicas
sauditas, reemplazándolas con la imagen del refugiado sirio Alan Kurdi, de 3
años, cuya foto circuló ampliamente después de que se ahogó en 2015. Adam Meyers,
vicepresidente de la firma de seguridad cibernética CrowdStrike, afirmó que el
gobierno iraní probablemente estaba detrás del incidente, ya que probablemente
fue en 2012 cuando ocurrió un ataque similar.
Entonces, si
los ciberataques no son nada nuevo para Arabia Saudita, ¿por qué este último es
el más importante?
1. Este es uno
de los primeros ciberataques dirigidos contra los sistemas de control
industrial.
Los sistemas de
control industrial son responsables de supervisar y proteger tanto la
infraestructura como las personas que la administran. Como descubrieron los
investigadores de seguridad, el malware Triton encontrado en las computadoras
de Arabia Saudita fue diseñado para destruir esta tecnología, en este caso, los
"controladores" Triconex producidos por Schneider Electric,
utilizados para todo, desde el monitoreo del sistema hasta la gestión de
emergencias. Entonces, al usar bibliotecas de códigos personalizadas para
obtener control remoto sobre estos dispositivos, los hackers pudieron emitir
comandos desde cualquier parte del mundo, causando estragos sin el conocimiento
de la planta. Desde la manipulación de datos hasta el cierre total de la
planta, había una amplia gama de opciones sobre la mesa.
Las armas
cibernéticas utilizadas contra los sistemas de control industrial son pocas y
distantes entre sí, por lo que cualquier ejemplo de este tipo es un caso de
estudio importante: podemos aprender sobre técnicas de ataque, vulnerabilidades
de software y hardware, incentivos para atacantes y más. En el caso de Triton,
el uso del control remoto de Internet es crítico. Stuxnet controló las
centrífugas iraníes automáticamente una vez dentro de sus sistemas, lo que
significaba que el arma cibernética tenía que estar bien pensada de antemano.
Sin embargo,
con el control remoto de Internet, los hackers no tienen que planificar su
mudanza; pueden reaccionar en tiempo real y cambiar sus intenciones a medida
que avanzan. Además, esta es una evidencia de que las armas cibernéticas pueden
ocultarse fácilmente dentro de los sistemas durante largos períodos de tiempo,
esperando.
2. El ataque
estaba destinado a causar bajas.
Cuando los
mecanismos de seguridad de ICS no funcionan, las vidas están en juego. Esto se
hizo más claro que nunca cuando los piratas informáticos intentaron volar toda
la instalación petroquímica de Arabia Saudita. En lugar de enviar comandos de
detención que apagarían el sistema, intentaron cargar sus propias "cargas
útiles" destructivas en los controladores mismos. Fue, en palabras de los
investigadores de seguridad de FireEye, un intento de "ataque de alto
impacto con consecuencias físicas".
Las armas
cibernéticas se han utilizado anteriormente (aunque rara vez) para causar daños
físicos a los sistemas industriales y de TI. Sin embargo, nunca han sido
utilizados para causar daños corporales, es decir, hasta ahora. Este ataque es,
por lo tanto, una clara advertencia para todos nosotros: las armas
cibernéticas, a pesar de ser digitales, pueden tener un impacto directo en la
seguridad humana. Teniendo en cuenta este hecho junto con las capacidades de
control remoto de Triton, esto debería preocupar a los estrategas de seguridad
nacional de todo el mundo. Debemos preguntarnos: ¿qué sucede cuando puedes
volar una planta desde cualquier lugar del mundo, con solo un clic de un botón?
¿Y qué sucede cuando tal ataque es extremadamente difícil de atribuir?
3. Hay más de
18,000 sistemas de seguridad exactamente como el afectado, en más de 80 países
en todo el mundo.
El sistema de
seguridad Triconex, construido por Schneider Electric, es uno de los sistemas
de seguridad más populares del mundo. Este ciberataque ejemplificó las
principales vulnerabilidades de seguridad que existen dentro de los sistemas
Triconex, y nos obligan a pensar en cuántas plantas industriales alrededor del
mundo podrían ser dirigidas exactamente de la misma manera. Dado que Triconex
se emplea en un amplio espectro de la industria, desde fábricas de papel y
petroquímicas hasta plantas de energía nuclear, ninguna industria en particular
es inexpugnable.
Además, vale la
pena señalar que Schneider Electric es una compañía multinacional con ingresos
anuales de casi u$s 30 mil millones. Triton demuestra que, una vez más, la
dependencia de una sola compañía para los mismos servicios en todo el mundo
conlleva riesgos extraordinarios de ciberseguridad.
4. La
infraestructura civil fue objetivo, como parte de una campaña más amplia para
impedir el mercado del petróleo de Arabia Saudita.
El mercado del
petróleo de Arabia Saudita está dominado por la compañía petrolera nacional
Saudi Aramco; por esta razón, es de particular interés que esta instalación
civil específica haya sido el objetivo. Cualquiera que sea la relación entre
esta planta petroquímica y Saudi Aramco, está claro que este ataque es parte de
una campaña más amplia para interrumpir y dañar la industria más importante de
Arabia Saudita, una que está inextricablemente ligada al gobierno de Arabia
Saudita. De hecho, la OPEP estima que el sector del petróleo y el gas
representa alrededor del 50 por ciento del producto interno bruto de Arabia.
Según Kaspersky
Labs, en 2017, más del 60% de las instituciones de Arabia Saudita fueron
atacadas con ataques de malware. Estos datos surgieron de un Taller Kaspersky
organizado por el Centro Nacional de Seguridad Cibernética del Ministerio del
Interior de Arabia Saudita en Riad. Con tantos ataques cibernéticos en redes
sauditas tanto públicas como privadas, tiene sentido que el gobierno esté
preocupado.
Cerrando Ideas
Son varias las
aristas que se develan cuando se trata el tema de la Ciberguerra o Ciberdefensa,
para algunos no se trata más que un tema de guerra asimétrica en el que el
componente informático sería el medio, esto sinceramente y a modo personal es
desconocer seriamente que estamos ante el 5º dominio o 5º campo de batalla, es
mucho mas que simplemente el concepto de guerra asimétrica, aunque también la
contiene.
Después de la Crisis de los Misiles Cubanos, un momento en que los
observadores intencionales se preguntaban en voz alta si los Estados podrían
controlar sus propias tecnologías, o si su capacidad de invención conduciría al
desastre. ¿Las armas diseñadas para garantizar la seguridad nacional se
convirtieron en un riesgo para el bien mundial?
Hoy, los críticos están haciendo la misma pregunta sobre el
ciberespacio. En las últimas dos décadas, los estados han desarrollado
herramientas cada vez más sofisticadas para realizar espionaje y sabotaje en
línea. El espionaje cibernético permite a las agencias de inteligencia
obtener información sin poner en peligro las fuentes humanas. Las
operaciones cibernéticas ofensivas van más allá, ofreciendo la esperanza de
destruir las capacidades enemigas sin la necesidad de una fuerza
militar. Es fácil ver por qué estas herramientas son tan seductoras.
Por otra parte, es difícil desconocer todas las amenazas a las que
estamos expuestos en el ciberespacio, pese a este conocimiento generalizado es
sorprendente encontramos que los efectos de los ataques de alto perfil han sido
bastante limitados. Después de las revelaciones de Stuxnet, Snowden, Wannacry
y Triton entre otros, los usuarios continuaron ingresando en números récord, y
la mayoría no parece haber tomado medidas adicionales para reducir su
exposición. Si bien los datos aún son un poco irregulares, parece que una
pequeña minoría redujo el alcance de sus actividades en línea y se
autocensuraron. Mientras tanto, la gran mayoría continuó comunicándose,
compartiendo fotos y videos, comprando regalos de Navidad, y más. Las
empresas actuaron de manera similar, a pesar de que los líderes empresariales
fueron algunos de los críticos más feroces. Sus respuestas no han sido
uniformes, pero la tendencia general ha sido un compromiso continuo en línea
con una mayor inversión en ciberdefensas.
Armas
cibernéticas como Triton, utilizada para atacar la
infraestructura crítica y dañar tanto a la economía de Arabia Saudita como a
los individuos de la planta, es un momento decisivo. Ahora vemos cómo la
dependencia global en piezas únicas de tecnología puede socavar la seguridad de
las máquinas físicas, las corporaciones multinacionales y los sistemas
económicos globales. Las vulnerabilidades son a gran escala y
multidimensionales en sus efectos. Si esto no sirve como una llamada de
atención para prácticas y protocolos de ciberseguridad más robustos en la
industria, ¿qué lo hará?
En el ámbito de
la Ciberguerra, se hace necesario contar con un cuerpo de ciberguerreros (civiles
y militares en todos los niveles) que formen parte integrante del esfuerzo de guerra
y hagan su carrera profesional en ese ámbito. Contar con PON estandarizados
tanto internamente como para la industria y contratistas, ya sea que vendan o provean
hardware o software o brinden servicios. Es vital extender la cadena de
seguridad a todos los niveles, capacitar, capacitar y capacitar a todos los
niveles, desde usuarios finales hasta programadores. Trabajar en tiempo real ya
no es una moda, es una necesidad. Hacer test de penetración ya no es
suficiente.
La agenda en
Ciberguerra o Ciberdefensa, es una agenda atrasada y en deuda, deuda que en el
corto plazo empezará a cobrarse con daños físicos.
No hay comentarios.