“Cada vez que se culpa a un país de un ataque cibernético se hace con un propósito”

¿Por qué solo se habla del hackeo sistemático de Rusia, China o Irán y no del de EE.UU. y el resto de Occidente?

Un ataque cibernético que infectó iPhones en una empresa de tecnología rusa está siendo atribuido a piratas informáticos del gobierno de EE.UU. ¿Podrían el ataque y la respuesta del gobierno ruso reescribir la narrativa de quiénes son los buenos y los malos en el ciberespacio?

Camaro Dragon, Fancy Bear, Static Kitten y Stardust Chollima: estos no son los últimos superhéroes de las películas de Marvel, sino los nombres dados a algunos de los grupos de hackers más temidos del mundo.

Durante años, estos equipos cibernéticos de élite han sido rastreados de pirateo en pirateo, robando secretos y causando interrupciones supuestamente bajo las órdenes de sus gobiernos.

Las empresas de seguridad cibernética incluso han creado imágenes de dibujos animados de ellos.

Utilizando puntos sobre un mapa del mundo, los especialistas en marketing de estas empresas advierten regularmente a los clientes sobre el origen de estas “amenazas persistentes avanzadas” (o APT, por sus siglas en inglés), generalmente Rusia, China, Corea del Norte e Irán.

Pero partes del mapa permanecen visiblemente vacías. ¿Por qué es tan raro oír hablar de grupos de piratas y ataques cibernéticos occidentales?

Un gran hackeo en Rusia, descubierto a principios de este mes, podría proporcionar algunas pistas.

Defensores bajo ataque

Desde su escritorio con vista al Canal de Moscú, el trabajador de seguridad cibernética observó cómo extraños pings comenzaban a registrarse en la red de wifi de la empresa.

Docenas de teléfonos móviles del personal enviaban información simultáneamente a partes extrañas de internet.

Pero esta no era una compañía ordinaria.

Esta era la compañía cibernética más grande de Rusia, Kaspersky, que investigaba un posible ataque a sus propios empleados.

“Obviamente, nuestras mentes se dirigieron directamente al software espía, pero al principio estábamos bastante escépticos”, dice el investigador jefe de seguridad Igor Kuznetsov.

“Todo el mundo ha oído hablar de poderosas herramientas cibernéticas que pueden convertir los teléfonos móviles en dispositivos de espionaje, pero pensé en esto como una especie de leyenda urbana que le sucede a otra persona, en otro lugar”.

Después de un minucioso análisis de “varias docenas” de iPhones infectados, Kuznetsov se dio cuenta de que su corazonada había sido correcta: de hecho, habían descubierto una gran y sofisticada campaña de piratería de vigilancia contra su propio personal.

El tipo de ataque que encontraron es materia de pesadilla para los ciberdefensores. Los piratas informáticos habían inventado una forma de infectar iPhones simplemente enviando un iMessage que se elimina automáticamente una vez que se inyecta el software malicioso en el dispositivo.

“Wham, estás infectado, y ni siquiera lo ves”, dice Kuznetsov.

“Operativo de reconocimiento”

El contenido completo de los teléfonos de las víctimas estaba siendo enviado a los atacantes a intervalos regulares. Se compartieron mensajes, correos electrónicos e imágenes, incluso acceso a cámaras y micrófonos.

Siguiendo una antigua regla de Kaspersky de no echar culpas, Kuznetsov dice que no están interesados en saber desde dónde se lanzó este ataque de espionaje digital.

“Los bytes no tienen nacionalidades, cada vez que se culpa a un determinado país de un ataque cibernético se hace con un propósito”, señala.

Pero al gobierno ruso eso no le preocupa tanto. El mismo día que Kaspersky anunció su descubrimiento, los servicios de seguridad rusos emitieron un boletín urgente diciendo que habían “descubierto una operación de reconocimiento de los servicios de inteligencia estadounidenses realizada con dispositivos móviles de Apple”.

El servicio de ciberinteligencia ruso no mencionó a Kaspersky, pero afirmó que “varios miles de teléfonos” pertenecientes tanto a rusos como a diplomáticos extranjeros habían sido infectados.

El boletín incluso acusó a Apple de ayudar activamente en la campaña de piratería. Apple niega haber estado involucrado.

El presunto culpable, la Agencia de Seguridad Nacional de Estados Unidos (NSA), le dijo a la BBC que no tenía comentarios.

Kuznetsov insiste en que Kaspersky no se coordinó con los servicios de seguridad rusos y que el boletín del gobierno los tomó por sorpresa.

Esto sorprenderá a algunos en el mundo de la seguridad cibernética: el gobierno ruso parecía estar emitiendo un anuncio conjunto con Kaspersky para lograr el máximo impacto, el tipo de táctica que utilizan cada vez más los países occidentales para exponer las campañas de piratería y señalar con el dedo en voz alta.

El mes pasado, el gobierno de EE.UU. emitió un anuncio conjunto con Microsoft: se detectó a piratas informáticos del gobierno chino acechando dentro de las redes de energía en los territorios de EE.UU.

Y este anuncio fue seguido rápida y predeciblemente por un coro de acuerdos de los aliados de EE.UU. en el ciberespacio (Reino Unido, Australia, Canadá y Nueva Zelanda) conocidos como los Five Eyes (“Cinco Ojos”).

La respuesta de China fue una rápida negación diciendo que la historia era parte de una “campaña de desinformación colectiva” de los países de Cinco Ojos.

El funcionario del Ministerio de Relaciones Exteriores de China, Mao Ning, agregó la respuesta habitual de China: “El hecho es que EE.UU. es el imperio de la piratería”.

“Apuntando a China”

Pero ahora, al igual que Rusia, China parece estar adoptando un enfoque más agresivo para denunciar la piratería occidental.

El medio estatal de noticias China Daily advirtió que los piratas informáticos respaldados por gobiernos extranjeros son ahora la mayor amenaza de seguridad cibernética del país.

Y esa advertencia llegó con una estadística de la empresa china 360 Security Technology: había descubierto “51 organizaciones de piratas informáticos que apuntan a China”. La compañía no respondió a las solicitudes de comentarios.

En septiembre pasado, China también acusó a EE.UU. de piratear una universidad financiada por el gobierno responsable de los programas de investigación aeronáutica y espacial.

“Juego limpio”

“China y Rusia han descubierto lentamente que el modelo occidental para la exposición cibernética es increíblemente efectivo y creo que estamos viendo un cambio”, dice el director de Rubrik Zero Labs y extrabajador de ciberinteligencia, Steve Stone.

“También diré que creo que eso es algo bueno. No tengo ningún problema con que otros países revelen lo que están haciendo los países occidentales. Creo que eso es jugar limpio y creo que es apropiado”.

Muchos descartan la acusación china de que EE.UU. es el imperio de la piratería como una hipérbole, pero hay algo de verdad en ello.

Según el Instituto Internacional de Estudios Estratégicos (IISS), EE.UU. es la única potencia cibernética de primer nivel en el mundo, según la capacidad de ataque, defensa e influencia.

El nivel dos está compuesto por:

• China
• Rusia
• Reino Unido
• Australia
• Francia
• Israel
• Canadá

El Índice Nacional de Poder Cibernético, compilado por investigadores del Centro Belfer para la Ciencia y los Asuntos Internacionales, también considera a EE.UU. como el principal poder cibernético del mundo.

La investigadora principal del informe, Julia Voo, también ha notado un cambio.

“El espionaje es una rutina para los gobiernos y ahora es muy frecuente en forma de ataques cibernéticos, pero hay una batalla narrativa y los gobiernos se preguntan quién se está comportando de manera responsable e irresponsable en el ciberespacio”, dice.

Compilar una lista de grupos de piratería de “amenazas persistentes avanzadas (APT)” y pretender que no hay grupos occidentales no es una descripción veraz de la realidad, afirma.

“Leer los mismos informes sobre ataques de piratería desde un solo lado aumenta la ignorancia general”, dice Voo. “La educación general del público es importante, porque aquí es básicamente donde se desarrollarán muchas tensiones entre los estados en el futuro”.

Voo también elogia al gobierno de Reino Unido por publicar su informe de transparencia inaugural sobre las operaciones de la Fuerza Cibernética Nacional. “No es súper detallado, pero más que en otros países”, afirma.

“Sesgo de datos”

Pero la falta de transparencia también podría provenir de las propias empresas de ciberseguridad.

Stone lo llama un “sesgo de datos”: las empresas occidentales de seguridad cibernética no ven los hackeos occidentales porque no tienen clientes en países rivales.

Pero también podría haber una decisión consciente de poner menos esfuerzo en algunas investigaciones.

“No dudo de que probablemente haya algunas empresas que puedan tomar medidas y ocultar lo que pueden saber sobre un ataque occidental”, dice Stone. Pero nunca ha sido parte de un equipo que se contuviera deliberadamente.

Los contratos lucrativos de gobiernos como Reino Unido o EE.UU. también son una importante fuente de ingresos para muchas empresas de seguridad cibernética.

Como dice un investigador de seguridad cibernética de Medio Oriente: “El sector de inteligencia de seguridad cibernética está fuertemente representado por proveedores occidentales y muy influenciado por los intereses y necesidades de sus clientes”.

El experto, que pidió permanecer en el anonimato, es uno de los más de una docena de voluntarios que contribuyen regularmente a APT Google Sheet, una hoja de cálculo en línea de visualización gratuita que rastrea todos los casos conocidos de amenazas, independientemente de sus orígenes.

Tiene una pestaña para las APT “OTAN” (por los países miembros de la Organización del Tratado del Atlántico Norte), con nombres como Longhorn, Snowglobe y Gossip Girl, pero el experto admite que está bastante vacía en comparación con las pestañas de otras regiones y países.

“Menos ruido”

Él dice que otra razón de la falta de información sobre los ataques cibernéticos occidentales podría deberse a que a menudo son más sigilosos y causan menos daños colaterales.

“Las naciones occidentales tienden a realizar sus operaciones cibernéticas de una manera más precisa y estratégica, en contraste con los ataques más agresivos y amplios asociados con naciones como Irán y Rusia”, dice el experto.

“Como resultado, las operaciones cibernéticas occidentales a menudo producen menos ruido”.

El otro aspecto de la falta de informes podría ser la confianza. Es fácil ignorar las acusaciones de piratería rusa o china porque a menudo carecen de pruebas.

Pero los gobiernos occidentales, cuando señalan en voz alta y regularmente con el dedo, también rara vez, si es que alguna vez lo hacen, proporcionan alguna evidencia.