Estados Unidos está exponiendo a los piratas informáticos rusos más rápido que nunca
Pero la evaluación y la atribución de su campaña cibernética no se hicieron públicas hasta 2017, meses después de que las mismas elecciones estadounidenses llegaran y se fueran.
“Había un sentimiento de impotencia [among US intelligence] cuando claramente el público estadounidense era el público objetivo de los rusos”, le dice Wilde a MIT Technology Review.
A pesar de que llegó tarde, la valoración fue un resultado impresionante en comparación con todo lo que vino antes.
«Pero todavía había una sensación de fracaso de que no pudimos desactivar estas actividades antes de que los rusos sembraran bien las narrativas y las personas en posiciones prominentes las amplificaran», dice Wilde.
el camino largo
La piratería fue un aspecto importante de la política mundial durante décadas antes de que se considerara seriamente la atribución pública. Se necesitó un importante informe de seguridad cibernética de una empresa del sector privado para causar sensación, aparecer en los titulares del New York Times y cambiar la forma en que todo el mundo pensaba acerca de exponer a los piratas informáticos.
El informe de 2013 sobre los piratas informáticos chinos conocido como APT1 de la firma estadounidense de ciberseguridad Mandiant fue el primero en señalar públicamente con el dedo a un estado-nación. Tomó una década completa de piratería por parte del grupo, a partir de 2002, antes de que la acusación se hiciera pública.
Cuando se publicó el informe APT1, el documento era extremadamente detallado, hasta el nivel de identificar al grupo de ciberespionaje del Ejército Popular de Liberación de China conocido como Unidad 61398. Un año después, el Departamento de Justicia de los Estados Unidos reclamó el informe cuando cinco oficiales de la unidad fue acusada de cargos de piratería y robo de propiedad intelectual de empresas estadounidenses.
«El informe APT1 cambió fundamentalmente el cálculo riesgo-beneficio de los atacantes», dice Timo Steffens, investigador alemán de ciberespionaje y autor del libro Atribución de amenazas persistentes avanzadas.
«Antes de ese informe, las operaciones de TI se consideraban herramientas casi libres de riesgos», dice. El informe no solo formuló suposiciones, sino que documentó de manera clara y transparente los métodos de análisis y las fuentes de datos. Estaba claro que este no fue un descubrimiento afortunado único, sino que la nave también se puede aplicar a otras operaciones y ataques».
Las consecuencias de los titulares fueron de largo alcance. Siguió una ola de atribuciones similares, y Estados Unidos acusó a China de robo masivo sistemático, lo que convirtió a la ciberseguridad en el centro de la visita del presidente chino Xi Jinping a Estados Unidos en 2015.
«Antes del informe APT1, la atribución era el elefante en la habitación que nadie se atrevía a mencionar», dice Steffens. «En mi opinión, no solo fue un avance técnico, sino también un resultado valiente de los autores y sus gerentes para dar el paso final y hacer públicos los resultados».
Es el último paso que se ha perdido, ya que los oficiales de inteligencia ahora están bien versados en el aspecto técnico. Para poder atribuir un ataque cibernético, los analistas de inteligencia examinan una variedad de datos, incluido el malware utilizado por los piratas informáticos, la infraestructura o las computadoras que orquestaron para realizar el ataque, la inteligencia y las comunicaciones interceptadas y la pregunta cui bono – ¿Quién tiene que ganar? – un análisis geopolítico de la motivación estratégica detrás de los ataques.
Cuantos más datos, más fácil se vuelve la atribución a medida que surgen patrones. Incluso los mejores hackers del mundo cometen errores, dejan pistas y reutilizan herramientas antiguas que ayudan a resolver el caso. Se está produciendo una carrera armamentista entre los analistas que idean nuevas formas de exponer a los piratas informáticos y los piratas informáticos que pretenden cubrir sus huellas.
Pero la velocidad de la atribución del ataque ruso mostró que los retrasos anteriores en la designación no se debieron simplemente a la falta de datos o pruebas. Era la política.
“Todo se reduce a una cuestión de voluntad política”, dice Wilde, quien trabajó en la Casa Blanca hasta 2019. “Para esto se necesita un liderazgo fuerte en todos los niveles. Mis interacciones con [Anne Nueberger] llévame a creer que es del tipo que puede mover montañas y reducir la burocracia cuando es necesario para desear un resultado. Este es quien es».
Wilde argumenta que la posible invasión rusa de Ucrania y el riesgo para cientos de miles de vidas están empujando a la Casa Blanca a actuar más rápido.
“La administración parece haber entendido que la mejor defensa es un buen ataque preventivo para anticipar estas narrativas, pre-criticar e inocular al público internacional si se trata de intrusiones cibernéticas o banderas falsas y pretextos falsos”, dice Wilde.
La atribución pública puede tener un impacto muy real en la estrategia cibernética de un oponente. Puede indicar que se están observando y comprendiendo o puede imponer costos cuando se descubren operaciones y se deben quemar las herramientas para comenzar de nuevo. También puede desencadenar acciones políticas como sanciones que van tras las cuentas bancarias de los responsables.
De igual importancia, argumenta Gavin, es una señal para el público de que el gobierno está monitoreando de cerca la actividad cibernética maliciosa y está trabajando para solucionarlo de una manera que a menudo se puede leer en las denuncias públicas o los informes de inteligencia.
«Crea una brecha de credibilidad, particularmente con los rusos y los chinos», dice. «Pueden ofuscar lo que quieran, pero el gobierno de EE. UU. está publicando todo, para el consumo público, una contabilidad forense de su tiempo y esfuerzo».