CIBERGUERRA: UNA DECADA DE APRENDIZAJE @Uliman73
Los temas de Ciberataques, Ciberguerra no son nuevos en este entorno, ciertamente hace poco mas de 18 años es un tema que sigo y trato de entender y compartir con todos ustedes. Allá en los albores de la década del 2000 fuimos testigos del primer ciberataque global con el lanzamiento de ILOVEYOU, un gusano informático que infectó a millones de computadoras en todo el mundo en un esfuerzo por robar contraseñas y permitir que su creador acceda a Internet de forma gratuita. Durante los próximos diez años, los periódicos informaron sobre la infiltración de China en las redes de defensa de Estados Unidos de Norteamérica (USA) y el Reino Unido (UK), los ataques de Rusia contra Estonia y Georgia y los ataques de denegación de servicio de Corea del Norte contra Corea del Sur.
Pero lo cierto es que no fue hasta los inicios del 2010 cuando los ataques cibernéticos, u "operaciones cibernéticas ofensivas" (para las Fuerzas Armadas) realmente irrumpieron en el globo. La idea es hacer un recorrido sobre algunas operaciones cibernéticas ofensivas durante la última década para poder reconocer objetivos temáticos y ver si hay algo que las Fuerzas Armadas y/o Ejércitos puedan obtener como lección aprendida.
Si bien cada uno de los estudios de caso tiene sus propias lecciones, cada uno comparte un tema clave: demuestran que el ciberespacio es un elemento clave del campo de batalla, y los efectos lanzados desde o que ocurren dentro del ciberespacio tienen fácilmente un impacto fuera de él, y de ello deviene a mi entender la importancia de contar con un Arma (rama) o al menos especialidad en Ciberguerra.
Las Operaciones Ofensivas en el Ciberespacio pueden proporcionar comprensión al obtener acceso a información confidencial, llevando el espionaje a la era digital. Esta forma de ataque utiliza técnicas cibernéticas ofensivas para obtener acceso no autorizado a los sistemas y robar los datos que tienen para los propósitos del atacante.
Al igual que con el espionaje convencional, muchos gobiernos de todo el mundo se han visto implicados en alguna forma de campaña de ciberespionaje. Sin embargo, es casi seguro que el delincuente más prolífico sea China, cuyo gobierno ha atacado agresivamente a otros durante la última década y más allá. Sus objetivos han sido dobles: en primer lugar, obtener propiedad intelectual para transmitirla a las organizaciones nacionales e impulsar el crecimiento económico de China y, en segundo lugar, obtener información sensible con fines de inteligencia y seguridad.
Ambos objetivos tienen un impacto en la defensa: el crecimiento económico interno permite aumentos en el gasto en defensa, y la información robada por China puede aumentar directamente su amenaza. Por ejemplo, el programa de caza furtivo de China se ha beneficiado significativamente de la investigación y el desarrollo robados del F-35.
Sin embargo, uno de los ejemplos de Operaciones Ofensivas de Ciberespionaje fue la conocida como “Cloud Hopper”, la misma fue llevada a cabo por China. Cloud Hopper fue perpetrado por un grupo conocido en código abierto como APT10 y vinculado a la Agencia de Inteligencia y Seguridad Civil del Gobierno Chino del Ministerio de Seguridad del Estado (MSS). El ataque se dirigió a los proveedores de servicios de TI administrados (MSP - organizaciones contratadas para proporcionar y administrar TI en nombre de otros -) y explotaron el acceso legítimo que tenían a los sistemas y datos de sus clientes. Al hacerlo, el MSS pudo robar propiedad intelectual de cientos de organizaciones. Las industrias de esas organizaciones comprometidas estaban estrechamente alineadas con el plan quinquenal de 2016 de China y, por lo tanto, los datos que tenían eran muy valiosos para el crecimiento económico. Este crecimiento económico a su vez permitió aumentar los presupuestos de defensa: el gasto creció un 81% entre 2010 y 2020.
Además de demostrar la utilidad de las Operaciones Ofensivas del Ciberespacio para permitir el espionaje, el extenso robo de propiedad intelectual de China a lo largo de la última década subraya la relevancia del ciberespacio para otros ámbitos de conflicto. La ventaja que se obtiene en el ciberespacio puede conducir directamente a una ventaja en otros dominios; a la inversa, las inseguridades en el ciberespacio (es decir, el fracaso de las operaciones cibernéticas defensivas) pueden conducir directamente a inseguridades en otros dominios.
Operaciones Ofensivas del Ciberespacio: FINANCIAMIENTO
Lo rico e interesante de la variedad de Operaciones Ofensivas que pueden llevarse adelante, es que las hay de aquellas que proporcionan financiación para otras Operaciones Ofensivas, una suerte de salir a buscar fondos. Esto se puede lograr de muchas maneras, por ejemplo, desarrollando herramientas cibernéticas ofensivas y otorgando licencias de acceso para otros por una tarifa, haciendo que las organizaciones soliciten un rescate mediante herramientas cibernéticas ofensivas (por ejemplo, ransomware) o utilizando operaciones ofensivas cibernéticas para realizar fraudes. Si bien estas empresas son normalmente el dominio de organizaciones criminales, Corea del Norte es una excepción; el régimen se ha centrado en las instituciones de servicios financieros de todo el mundo para llevar a cabo una serie de fraudes de alto rendimiento durante la última década.
El intento de fraude más grande o al menos uno de los intentos de fraude más notorios de Corea del Norte fue el robo del Banco de Bangladesh en 2016. En esta operación, los atacantes emitieron instrucciones fraudulentas a través de la red interbancaria SWIFT en un intento de robar casi mil millones de dólares estadounidenses, de los cuales lograron obtener 81 millones de dólares. Para hacerlo, comprometieron la red interna del Banco e instruyeron al Banco de la Reserva Federal de Nueva York para que transfiriera fondos a cuatro cuentas propiedad de atacantes en Filipinas, desde donde se distribuyó a una red de otras cuentas.
FireEye que es una firma de Ciberseguridad descubrió que estas operaciones cibernéticas para generar dinero, vinculadas a la Oficina General de Reconocimiento de Corea del Norte, comenzaron justo un año después de que el Consejo de Seguridad de las Naciones Unidas impusiera sanciones que limitaran el acceso del régimen a divisas. Por lo tanto, es casi seguro que estos ciberataques fueron planificados y realizados para eludir estas restricciones.
No hay dudas que además del rédito económico que representan este tipo de Operaciones Ofensivas, un valor agregado es que proporcionan un campo de entrenamiento del mundo real para los operadores cibernéticos de Corea del Norte, que luego pueden atacar objetivos gubernamentales o de defensa de mayor impacto. Sin embargo, queda evidenciado la utilidad más amplia de las Operaciones Ofensivas Cibernéticas como mecanismo para proporcionar financiación encubierta a grupos ilícitos y estados rebeldes (y de ese modo reforzar su capacidad), al igual que en otros tiempos los grupos terroristas han dependido históricamente de los robos a bancos y otras formas de crimen organizado para financiar sus operaciones. Al igual que con el espionaje cibernético de China, esto muestra cómo la ventaja en el ciberespacio puede permitir la ventaja en otros dominios.
Operaciones Ofensivas del Ciberespacio: INFORMACIÓN
El ciberespacio ofensivo se puede utilizar para respaldar las operaciones de información y para influir en las poblaciones y su toma de decisiones, ampliamente he desarrollado el tema en “DESINFORMACIÓN: nada nuevo debajo del sol”, pero ahondando un poco más, vemos en el reciente “Informe Rusia” del Comité de Inteligencia y Seguridad del Parlamento, Rusia ha utilizado operaciones cibernéticas ofensivas para respaldar una campaña más amplia de operaciones de información destinadas a socavar a los gobiernos y la sociedad occidental. Un ejemplo de alto perfil de esto es su compromiso con el Comité Nacional Demócrata de USA (DNC) y la posterior filtración de datos en un intento de socavar las elecciones presidenciales de USA de 2016.
En este ataque, la inteligencia militar rusa (GRU – Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación de Rusia) obtuvo acceso no autorizado a la red DNC, comprometiendo una gran cantidad de sistemas, incluidos los servidores de correo y archivos. El GRU obtuvo miles de documentos y los copió en computadoras controladas por GRU. Simultáneamente, el GRU creó el sitio web DCLeaks para alojar los documentos robados, diseñó las personalidades "DCLeaks y Guccifer 2.0" para publicarlos y también pasó los documentos a WikiLeaks. Esta operación fue diseñada para socavar la confianza del público estadounidense en la democracia y en Hilary Clinton, de quien el gobierno ruso creía que probablemente ganaría la presidencia; ambos objetivos beneficiarían la política exterior de Rusia.
Esta más que claro que este tipo de usos demuestra cómo las Operaciones Ofensivas en el Ciberespacio logran alcanzar un efecto de carácter estratégico, tanto durante la guerra (como lo fue la guerra ruso-georgiana de 2008 para socavar el apoyo público al gobierno georgiano), como durante la paz (con Rusia socavando la democracia estadounidense al atacar al DNC).
Operaciones Ofensivas del Ciberespacio: EFECTO CINETICO
Finalmente, pero no por ello menos importante o plausible, se ve un crecimiento en Operaciones Ofensivas Cibernéticas en las que se las puede utilizar para lograr efectos cinéticos y para reemplazar, aunque hoy día sería más para complementar o acompañar, las operaciones militares convencionales. Esto podría incluir la negación, interrupción o destrucción de propiedad o daño físico a personas. De hecho, el Secretario de Defensa del Reino Unido declaró en junio de 2020 que "los ataques cibernéticos son tan mortales como los que se enfrentan en el campo de batalla físico".
Los efectos cinéticos que se han visto pueden ser involuntarios o una consecuencia indirecta de un ataque más amplio. Por ejemplo, el ciberataque “Wannacry” de 2017 infectó 1.220 equipos médicos del Servicio Nacional de Salud (NHS) del Reino Unido; si bien el informe posterior de acción posterior de la Oficina Nacional de Auditoría no identificó ningún daño directo a las personas, la cancelación resultante de miles de citas probablemente causó un daño indirecto. Sin embargo, el objetivo del NHS en este ataque fue probablemente incidental, y el motivo de los atacantes norcoreanos fue monetario.
También hay ejemplos documentados de Operaciones Ofensivas Cibernéticas que tienen efectos cinéticos intencionales. El investigador de seguridad Matt Wixey habló sobre esto en su charla DefCon 27, y citó ejemplos que incluyen: manipulación de malware casi en tiempo real con tomografías computarizadas para agregar / eliminar evidencia de cáncer de pulmón, atacantes que envían animaciones diseñadas para desencadenar epilepsia fotosensible a foros web y piratear marcapasos para retener o agregar descargas y causar problemas cardíacos .
Generalmente uno deja lo mejor para el final, como el caso del postre, así que podemos decir que quizás el ejemplo más notable de un ciberataque que causa un efecto cinético es Stuxnet. Descubierto por primera vez por investigadores de seguridad en 2010, este ataque conjunto de USA e Israel probablemente comenzó en 2008 y fue diseñado para degradar el programa de enriquecimiento nuclear de Irán. Lo hizo infectando inicialmente a cinco empresas iraníes vinculadas al programa y moviéndose a través de unidades USB para eventualmente infectar los sistemas en la planta de energía nuclear de Natanz en Irán. Una vez que estos sistemas se infectaron, Stuxnet provocó que alrededor de 1000 centrifugadoras (usadas para enriquecer uranio para la generación de energía y armas nucleares) girasen fuera de sus límites diseñados y fallaran. El fallo de estas centrifugadoras privó temporalmente a Irán de alrededor del 20% de su capacidad total de enriquecimiento de uranio, lo que provocó retrasos en el programa nuclear más amplio, todo ello sin el uso de ninguna fuerza convencional.
Si bien en los otros ejemplos
que vimos en este artículo se han centrado principalmente en las Operaciones Ofensivas
Cibernéticas como facilitador, Stuxnet demuestra cómo estas pueden tener un
impacto cinético directo y proyectar poder a nivel mundial sin desplegar
fuerzas. A medida que las capacidades cibernéticas ofensivas continúen
desarrollándose, es muy probable que surjan más ejemplos de estos que tienen un
impacto cinético directo, así como un aumento en el impacto de estas
operaciones.
El campo de batalla no ha
cambiado, sino simplemente ha aumentado, así como en su momento se amplió al
campo de batalla aéreo hoy día el campo de batalla cibernético es un hecho que
requiere de Generales y Políticos con una clara y meridiana conciencia de su
existencia e impronta.
SDG
No hay comentarios.