En la jerga de los piratas informáticos(hackers), se le llama un “efecto de lo cibernético a lo físico”. Es cuando un pirata informático sale del mundo virtual y entra al real, a menudo con consecuencias catastróficas. Los estadounidenses e israelíes fueron pioneros de la técnica en 2009, cuando el programa Stuxnet infiltró los sistemas computacionales iraníes y arruinaron miles de centrifugadoras para enriquecer uranio. Pero ahora otros jugadores —en especial los rusos y chinos— están entrando al juego de usar remotamente redes de computadoras para destruir infraestructura y amenazar vidas humanas. El año pasado, según un reporte de la Oficina Federal de Seguridad Informática de Alemania, un alto horno se fundió en una ciudad industrial sin nombrar en Alemania, después de un ataque digital a sus sistemas de control, provocando un “daño enorme”.
Casi sucedió en Estados Unidos también, cuando piratas informáticos desconocidos penetraron exitosamente en sus sistemas de distribución de electricidad, agua y combustible, a principios de 2014. Aun cuando loshackeos anticuados y relativamente poco sofisticados de datos llegan a los titulares —por ejemplo, los pirateos de alto perfil en los últimos doce meses a los sistemas de correo electrónico y bases de datos de la Casa Blanca, el Departamento de Seguridad Nacional, el Departamento de Defensa y Sony Pictures Inc.—, lo que ha preocupado seriamente a los funcionarios de seguridad es el nuevo y peligroso mundo de ataques a infraestructura de lo cibernético a lo físico.
“Esto no es teórico”, dijo recientemente el director almirante Michael Rogers, de la Agencia de Seguridad Nacional, al Comité de Inteligencia de la Cámara de Representantes de Estados Unidos. Los ciberataques a EE. UU. y sus aliados “nos cuestan cientos de miles de millones de dólares”, advirtió Rogers, y resultarán en “fallas en verdad significativas, casi catastróficas, si no hacemos algo”.
Según Alexander Klimburg, un asociado del Centro Belfer de la Escuela Kennedy de Gobierno de Harvard y alto investigador en el Centro de La Haya de Estudios Estratégicos, el “ciberespacio hoy es como Europa en 1914, antes de la Primera Guerra Mundial. Los gobiernos son como sonámbulos. No comprenden el poder de la nueva tecnología y las consecuencias de malinterpretar las actividades de uno y otro”.
Según el reporte “Valoración de la amenaza mundial”, de 2015, de la Comunidad de Inteligencia de Estados Unidos, Rusia y China son los “actores Estado nación más sofisticados” en la nueva generación de la ciberguerra, y los piratas informáticos rusos lideran en términos de sofisticación, poder de programación e inventiva. “La amenaza de China está más que inflada, mientras que la amenaza de Rusia está subestimada”, dice Jeffrey Carr, director de la consultoría en seguridad en la red Taia Global y autor del libroInside Cyber Warfare. “Los rusos son los más diestros tecnológicamente. Por ejemplo, creemos que piratas informáticos mercenarios rusos fueron los responsables del ataque a Sony.”
El año pasado, ciberpiratas tuvieron acceso a miles de correos de la compañía Sony y amenazaron con hacer más daño a menos de que se retirara de los cines un filme que se burlaba del líder norcoreano Kim Jong Un. “Hablamos con [uno de los piratas informáticos] a través de un intermediario”, dice Carr. “Incluso después de que Sony perdió 80 por ciento de su capacidad de redes, los ciberpiratas seguían operando. Ello demuestra un nivel increíblemente alto de capacidad técnica.”
La conexión con Moscú es preocupante porque Rusia es el único país a la fecha que ha combinado la ciberguerra con asaltos con armas y tanques convencionales. “La guerra entre Rusia y Georgia en 2008 fue un ejemplo perfecto de una operación conjunta cinética y cibernética”, dice Carr. “Nadie más ha hecho algo como eso.”
De forma similar, después de que Rusia anexionó Crimea en abril de 2014, los asaltos terrestres fueron acompañados por un aluvión de ciberasaltos en su mayoría poco sofisticados contra un centenar de organizaciones gubernamentales e industriales en Polonia y Ucrania, así como ataques al Parlamento Europeo y la Comisión Europea. Muchos de estos ataques presentaron una versión modificada de “BlackEnergy”, un tipo de programamalware conocido como un troyano que está diseñado para apoderarse remotamente de las computadoras. Una red de tales computadoras infectadas, obots, es conocida como unabotnet. Esta puede movilizarse para abrumar un servidor objetivo con solicitudes de información y tirarlo, un ataque conocido como Ataque de Denegación de Servicio, o DDoS.
“Elmalware BlackEnergy fue creado por un pirata informático ruso y usado originalmente para ataques DDoS, fraudes bancarios y distribución despam”, dice Pierluigi Paganini, fundador del blog Security Affairs y miembro de un equipo especial de la Agencia de la Unión Europea para la Seguridad de Redes e Informática. “Pero la nueva variante se usó en ataques precisos contra entidades gubernamentales y compañías privadas de toda una gama de industrias.”
Uno de los más grandes misterios de la más reciente generación de ciberataques —conocida en Estados Unidos como Operaciones Ofensivas de Efectos Cibernéticos— es descifrar quién está detrás de ellos y si se están realizando con intenciones políticas o criminales.
De lo que no hay duda es de que los piratas informáticos rusos desde hace mucho han sido los reyes del mundo cibercriminal. Un grupo de rusos y ucranianos fue llamado por fiscales federales de Estados Unidos como el responsable detrás del más grande caso cibercriminal en la historia estadouniense: una serie de fraudes con tarjetas bancarias de 2010 a 2013 que les costó a compañías como JetBlue, J. C. Penney y el minorista francés Carrefour más de 300 millones de dólares. Un grupo de “secuestradores de clics” rusos fue condenado en EE. UU. el año pasado porhackear a usuarios de la tienda iTunes de Apple, Netflix, el Servicio de Impuestos Internos de Estados Unidos, Amazon.com, ESPN.com y el sitio en la red delWall Street Journal, así como computadoras de la NASA.
Otra pandilla de piratas informáticos todavía sin identificar, operando desde una ciudad pequeña en el sur-centro de Rusia, robó alrededor de 1200 millones de nombres de usuario y contraseñas y más de 500 millones de direcciones de correo electrónico el año pasado mediante el saqueo de datos de más de cuatrocientos mil sitios en la red, según Hold Security, una firma de ciberseguridad de Estados Unidos. Y en febrero, Kaspersky Labs, la compañía de seguridad en internet domiciliada en Moscú, reveló detalles del más grande asalto en internet de todos los tiempos un ataque contra más de cien bancos en Rusia, Ucrania, Japón, Estados Unidos y Europa de 2013 a 2014. Kaspersky reportó que vio evidencia de 300 millones de dólares en pérdidas sólo de los bancos que la habían contratado para limpiar el desastre, y calculó que la cantidad total robada posiblemente estuviera alrededor de los 900 millones de dólares.
“Esto es cibercrimen a escala industrial”, dice un consultor occidental de seguridad en internet domiciliado en Moscú, quien ayudó a ajustar las defensas de varios bancos rusos después del ataque. “En un caso en Kiev, ellos hicieron que los cajeros automáticos del banco escupiesen dinero, el cual fue recogido por gente que pasaba por allí.” Las técnicas usadas para irrumpir en los sistemas electrónicos del banco a través de defectos en programas de Adobe y Microsoft “no fueron especialmente sofisticadas”, dice el consultor, “pero fue asombroso cuán cuidadosos fueron de no alertar a las víctimas y mantener en secreto su puerta secreta en sus sistemas”.
La naturaleza exacta de los vínculos entre estos piratas informáticos criminales y el gobierno ruso sigue siendo turbia. “El cibercrimen, el ciberterrorismo y la ciberguerra comparten una base tecnológica, herramientas, logística y métodos de operación comunes”, dice Klimburg. “También pueden compartir las mismas redes sociales y tienen metas comparables. Las diferencias entre estas categorías de ciberactividad a menudo son delgadísimas. Es difícil distinguir en el ciberespacio entre la motivación financiera y la política.”
En particular, los métodos para esparcirmalware a una computadora objetivo son idénticos. Los piratas informáticos buscan vulnerabilidades en programas populares que les permitan introducir el código externo, en particular un punto débil en el código conocido como “día cero”, lo cual significa que sigue sin ser parchado y puede usarse para un ataque antes de que sea descubierto por alguien más, así que hay días cero entre un ataque y el descubrimiento de la vulnerabilidad. Una buena vulnerabilidad de día cero se puede vender por 200 000 dólares, dice Klimburg, pero hay muchos ejemplos de ciberpiratas rusos que “prestan” sushackeos de día cero al gobierno para propósitos de espionaje, para luego usarlos en crímenes.
“Cientos de piratas informáticos rusos ‘de sombrero negro’ así se ganan la vida, ya sea bajo las órdenes de banqueros suizos u oligarcas ucranianos”, dice Carr. “A los ciberpiratas rusos que son atrapados se les permite elegir entre trabajar para el FSB (Servicio Federal de Seguridad) o ir a prisión. El FSB también tiene algunos bajo contrato.”
Hay evidencias sólidas, que se remontan a los ciberataques a Estonia en fecha tan temprana como 2007, de que cibercriminales rusos trabajaban con o para el Estado ruso. Pero ahora, al parecer, el Kremlin se está involucrando directamente. James Clapper, director de Inteligencia Nacional de Estados Unidos, dijo en marzo al Comité de Servicios Armados del Senado que el Ministerio de Defensa de Rusia está “estableciendo su propio cibercomando” responsable de “realizar ciberactividades ofensivas”. Y el gobierno ruso parece estar redoblando su financiamiento para la investigación y desarrollo de cibertecnología en centros de primera clase de ciencias computacionales como la prestigiosa Universidad Politécnica de San Petersburgo y la Universidad Estatal de Samara, según información recopilada por Taia Global, domiciliada en Seattle.
La evidencia posible que vincula los recientes ataques dehackeo al gobierno de Estados Unidos con el Estado ruso incluye las firmas digitales de un grupo pirata informático conocido como Advanced Persistent Threat 28 (o APT28, identificada por la compañía de seguridad en internet FireEye, domiciliada en EE. UU.) y una familia de ciberpiratas etiquetada como CozyDuke, CosmicDuke, MiniDuke y OnionDuke (ubicada por Kaspersky Labs). Estos grupos, que podrían estar o no relacionados, tienen algunas características reveladoras que los vinculan con Rusia. “Indicadores en elmalware de APT28 sugieren que el grupo consiste en rusoparlantes que operan durante las horas laborales en las principales ciudades de Rusia”, dice un reporte reciente de FireEye. “Más de la mitad de las muestras demalware… atribuidas a APT28 incluían configuraciones en lenguaje ruso”.
Pero la verdadera señal reveladora no es el análisis forense de los códigos de APT28, sino sus objetivos en los últimos cinco años, que han incluido los ministerios de Asuntos Internos y Defensa de Georgia, los gobiernos polaco y húngaro, la OTAN, la Organización para la Seguridad y la Cooperación en Europa, el ejército noruego y contratistas de defensa de Estados Unidos. El equipo de piratas informáticos de APT28 “no parece llevar a cabo un amplio robo de propiedad intelectual por ganancias económicas, sino que más bien está enfocado en recopilar inteligencia”, dice FireEye. “Eso sería más útil para el gobierno.”
Aun cuando hay evidencia de que los equipos de desarrollo de APT28 y los CosmicDuke, MiniDuke y OnionDuke “trabajaron juntos y compartieron los mismos conocimientos y técnicas de programación”, y que todos tienen orígenes rusos, es posible que sean grupos separados, dice Paganini. “Todos estos grupos son piratas patrocinados por el Estado, quizás apoyados por el gobierno ruso, aunque es posible que operen bajo divisiones diferentes del mismo ciberejército”.
¿Estuvo APT28 —y el Kremlin— detrás de los ataques dehackeo a la Casa Blanca y el Departamento de Estado este año, que abrieron registros confidenciales de correos electrónicos (aunque no el correo electrónico personal del presidente, según un vocero)? El Kremlin lo niega categóricamente. “Sabemos que culpar a Rusia de todo se ha convertido en un deporte”, bromeó Dmitry Peskov, portavoz del Kremlin, con periodistas. “Por lo menos no han buscado submarinos rusos en el río Potomac [de Washington], como ha sido el caso en algunos otros países.”
Pero parte del código —en particular, la familia de “puertas traseras” para programas conocida como CHOPSTICK— que es usado frecuentemente por APT28 ha sido vinculado a esos pirateos virtuales. Y hay menos ambigüedad con respecto a un ataque similar contra una red militar no clasificada en el Departamento de Defensa de EE. UU. el año pasado. “Analizamos su actividad de red, la asociamos con Rusia y luego rápidamente los sacamos a patadas de la red”, dijo Ashton Carter, secretario de defensa, en abril.
El ciberespionaje de los correos electrónicos del Ala Oeste tal vez sea insolente, pero no es muy diferente del espionaje a la vieja usanza y los juegos de inteligencia de señales que Rusia y Estados Unidos han jugado por décadas. Por otra parte, lo que en verdad asusta es el infiltrar infraestructura física de una manera que pudiese anunciar una nueva generación de violenta acción encubierta y sabotaje. “Esta es una forma del todo nueva de entablar una guerra”, dice un exgeneral de la KGB otrora asignado como espía en Londres y que ahora trabaja en el sector de seguridad privada. “Es como la invención de los aviones o submarinos. De repente puedes atacar al enemigo desde una dirección completamente nueva e inesperada… Esta es la esencia de la guerra: la sorpresa constante.”
En abril, Eugene Kaspersky, el director moscovita de Kaspersky Labs, notó que ha habido un aumento considerable en ataques objetivos contra redes eléctricas, bancos y redes de transporte alrededor del mundo, y advirtió que los grupos que atacan infraestructura crucial tienen “la capacidad de infligir un daño muy visible. Los peores ataques terroristas no son esperados”.
Entre las ciberarmas de nueva generación más temibles están las diseñadas para atacar sistemas superseguros, los llamadosair gap que no tienen vínculos con internet o redes exteriores. Los desarrolladores de Stuxnet superaron elair gapal crear programas ingeniosos que infectaron los CD-ROM y tarjetas de memoria que luego colonizaron las computadoras de desarrollo nuclear de Irán, infligiendo un devastador daño físico a las centrifugadoras de uranio y obligando a los iraníes a remplazar toda su infraestructura de computadoras. Pero un programa como Stuxnet, que puede ser transportado por correo electrónico y tarjetas de memoria, llamado Uroburos, ha circulado desde 2011, y fue diagnosticado como de origen ruso. Uroburos ataca Microsoft Windows, configura comunicaciones subrepticias con su red madre y es capaz de atravesar lasair gaps que aíslan las redes seguras de internet.
“Lo temible es que ahora todos pueden hacer lo que quieran a cualquiera”, dice Klimburg. Él cree que una manera de distinguir entre la ciberactividad criminal y la gubernamental es medir la cantidad de recursos programáticos que requiere un ataque, como elmalware diseñado para atravesarair gaps.“Si ves una cantidad enorme de organización y programación como parte de un ataque, esto es un buen indicador de que hay un gobierno involucrado.”
Estados Unidos y Europa siguen siendo en extremo vulnerables a ataques a infraestructura, en especial porque mucha de la infraestructura vital de estas economías desarrolladas ahora es electrónica, desde los sistemas financieros hasta las redes sociales. Un ejemplo pequeño: a finales de abril, una flotilla de Boeing 737 de American Airlines tuvo que quedarse en tierra temporalmente después de que se cayó una aplicación para iPad conocida como “bolsa de vuelo electrónica” usada por los pilotos para los preparativos de vuelo. La aplicación para iPad remplazó seis kilos de manuales en papel, pero cuando se cayó, igual lo hizo toda la flotilla.
Más preocupante, aunque todavía hipotético: la Oficina de Responsabilidad del Gobierno de Estados Unidos emitió una alerta oficial en abril de que la “interconectividad en las aeronaves modernas tiene el potencial de proveer un acceso remoto no autorizado a los sistemas de aviónica de la aeronave” y que el acceso wifi de una aeronave podría ser explotado por piratas informáticos. Cuando Chris Roberts, investigador de seguridad, bromeó en Twitter sobre cuán fácil sería “empezar a jugar con el EICAS” —Sistema de Indicación del Motor y Aviso a la Tripulación—, fue despachado fuera del avión. Boeing publicó una declaración diciendo que “ningún cambio a los planes de vuelo cargados en los sistemas del avión puede hacerse sin la revisión y aprobación del piloto”.
Otra infraestructura está igual de desprotegida. Un sondeo reciente hecho por los consultores Black & Veatch de la industria energética reveló que sólo 32 por ciento de las compañías estadounidenses de servicio público de electricidad había integrado sistemas de seguridad con la “segmentación apropiada, el monitoreo y sistemas redundantes necesarios para la protección de ciberamenazas”.
En febrero, el presidente Barack Obama estableció un nuevo Centro de Integración de Inteligencia de Ciberamenazas, descrito como “un centro nacional de inteligencia enfocado en conectar los puntos con respecto a ciberamenazas extranjeras maliciosas a la nación”. Carter, el secretario de Defensa, hizo un viaje al corazón de Silicon Valley este mes para ayudar a mejorar las relaciones con las compañías tecnológicas después de las revelaciones dañinas de Edward Snowden, contratista de la Agencia de Seguridad Nacional, sobre la vigilancia digital. “Esta amenaza nos afecta a todos”, dijo Carter a los informáticos reunidos. “También hay oportunidades en verdad grandes que aprovechar mediante un nuevo nivel de sociedad entre el Pentágono y Silicon Valley.”
Tras bambalinas, las agencias estadounidenses de espionaje también están ocupadas entablando una guerra secreta en contra de ciberenemigos. Snowden —ahora ocultándose en Rusia— reveló públicamente la escala enorme de la explotación de datos que hacen las agencias de inteligencia de Estados Unidos, a menudo en violación evidente a la protección de la privacidad de los ciudadanos. Pero un informe reciente de Kaspersky Labs sugiere que EE. UU. tampoco está manco en el departamento delhackeo. Un colectivo de piratas informáticos que Kaspersky etiquetó como Equation Group —patrocinado, dice tímidamente la firma, “por un estado nación con recursos casi ilimitados”— en los últimos catorce años al parecer ha estado ocupado plantandospyware de altos vuelos alrededor del mundo, incluido un programakeylogger llamado Grok y un sistema protector de encriptación conocido como GrayFish.
¿Los principales objetivos? Irán y Rusia, seguidos de Pakistán, China e India. Elmalware ha atacado redes financieras, gubernamentales, diplomáticas, aeroespaciales y de telecomunicaciones, así como instituciones de investigación y universidades. Según los ingenieros de Kaspersky, el Equation Group diseñó “la ojiva demalware más misteriosa del mundo”, así como “una bóveda secreta de almacenamiento que sobrevivió al borrado y reformateo de disco de grado militar, logrando que los datos sensibles robados a las víctimas estén disponibles incluso después de reformatear eldrive y reinstalar el sistema operativo”.
Gracias a sus vastos recursos, Estados Unidos bien podría ser capaz de mantenerse un paso delante de sus ciberenemigos. Pero el problema con este nuevo campo de batalla es que ninguno de los combatientes potenciales conoce las reglas y, más peligroso aún, nadie puede tener la certeza de quiénes son los combatientes. “No siempre es posible distinguir entre ciberespionaje, acción encubierta cibernética y, más importante, la preparación para cibersabotaje o guerra”, dice Klimburg. “Las malinterpretaciones serias están preprogramadas… Las consecuencias de identificar erróneamente el motivo del atacante podría ser, en jerga diplomática, una “intensificación involuntaria”, o ciberguerra accidental.”
Richard Clarke, director de coordinación en ciberseguridad y contraterrorismo en la administración de Bush, ha advertido de los peligros de un ciberataque de “bandera falsa” diseñado para crear tensión entre Estados Unidos y, por ejemplo, China, y que haya sido lanzado por un tercero oculto.
Algunos académicos han propuesto “ejercicios cibermilitares” entre Estados Unidos y Rusia como un medio para construir confianza. Otros sugieren establecer “reglas del camino”, una especie de acuerdo informal para el ciberespacio que delinee lo que es un objetivo legítimo para propósitos de espionaje, con un acuerdo de no atacar infraestructura supercrítica como las redes eléctricas con ataques de ciberespionaje.
Pero incluso si Pekín pudiera ser persuadido para unirse a la propuesta, la tensión geopolítica actual entre Washington y Moscú difícilmente es propicia para acuerdos de caballeros. El presidente ruso, Vladimir Putin, ha descrito internet como una “invención de la CIA” y este mes ordenó que el FSB “limpie el internet ruso” al obligar a todos los proveedores de internet a mantener sus servidores en Rusia, otra vuelta de tuerca en el plan a largo plazo del Kremlin de crear un internet ruso separado, un proyecto al cual Putin ha prometido alrededor de 100 millones de dólares desde 2012. Y durante los Juegos Olímpicos de Sochi, en febrero de 2014, el FSB desplegó agresivas herramientas de ciberespionaje diseñadas para infectar las computadoras y los teléfonos celulares de los visitantes extranjeros conspyware a través de redes wifi y torres de celulares.
Es poco probable que tal régimen evite usar toda ciberarma a su disposición. Es igual de improbable que, enfrentado a una barrera de lo que Jan Psaki, portavoz de la Casa Blanca, describió como “cientos de ciberataques al día”, Estados Unidos se abstenga de desarrollar algunas de las ciberarmas más sofisticadas del mundo en represalia. La carrera ciberarmamentista está en marcha.
