El reciente ciberataque del grupo de hackers Black Shadow contra sitios web israelíes -entre ellos la aplicación de citas LGBT Atraf, que fue objeto de una petición de rescate y luego de una filtración de los nombres de usuario de las cuentas cuando no se cumplió esa demanda- podría formar parte de una campaña de “debilitamiento cibernético” iraní más amplia.
Es importante aclarar cuál fue precisamente el objetivo de este ataque, y por qué la falta de una ley cibernética oficial en Israel está generando confusión sobre la división del trabajo en cuanto a la protección de datos en el vulnerable sector privado.
En el mundo cibernético, los proveedores de servicios de Internet (ISP) como NetVision, cuyos servidores utiliza la empresa que creó el sitio web de Atraf, son similares a una franquicia de hoteles o pizzas: El ISP “alquila” sus servidores, permitiendo a otros alojar en ellos sus sitios web para crear una infraestructura logística de comunicaciones.
En la cadena cibernética siguen las empresas que crean los sitios web y las aplicaciones, en este caso, una empresa llamada CyberServe.
CyberServe fue el objetivo del ataque de Black Shadow. Este tipo de empresas construyen sitios web según las necesidades a medida de los clientes, y los alojan en sus servidores.
Los clientes que solicitan este tipo de sitios web -ya sean páginas de citas o tiendas de motos- no suelen entender el mundo cibernético, por lo que recurren a empresas para que externalicen sus necesidades en línea.
Black Shadow realizó una doble infiltración en este incidente: En primer lugar, en los servidores de CyberServe; y en segundo lugar, en las aplicaciones y sitios web de Atraf (así como en otros sitios web israelíes).
CyberServe proporcionó la “estructura” para Atraf, y fueron los servidores de CyberServe los que se infiltraron, lo que significa que el proveedor de servicios de Internet, NetVision, no es responsable de la situación.
Esto pone de manifiesto un problema real en lo que respecta a la ciberseguridad en Israel. A pesar de que Israel es la “nación de las start-ups” y un líder mundial en cibertecnología, el sector privado del país carece de directrices claras sobre cómo establecer ciberdefensas fortificadas.
Al igual que un médico no puede obligar legalmente a alguien a vacunarse, lo mismo ocurre con las entidades del sector privado y la ciberdefensa. Cuando Israel creó su Autoridad Nacional de Ciberseguridad, comenzó a suministrar mucho material de asesoramiento al sector privado, pero ninguno de ellos era vinculante.
Del mismo modo, la Autoridad de Derecho, Información y Tecnología del Ministerio de Justicia, que incluso tiene poder para allanar domicilios en relación con las investigaciones de ciberdelitos, no tiene capacidad de ejecución cuando se trata de ciberdefensas privadas.
En última instancia, esto significa que el caos caracteriza a la ciberdefensa del sector privado en Israel, y solo una ley cibernética puede abordar este problema adecuadamente.
En Israel, la ciberseguridad tiene más formato de ley oral que de ley escrita. Como resultado, no está totalmente claro quién es el responsable de hacer cumplir las normas de ciberseguridad. La Autoridad Nacional de Ciberseguridad israelí puede definir la estrategia, la política, los presupuestos, los objetivos y los niveles de protección deseables, pero no puede ocuparse de cada empresa u organización comercial individual. Esto crea lagunas que pueden ser aprovechadas por los actores maliciosos.
La capacidad de entrar en decenas de miles de cuentas privadas en un sitio de citas es una terrible violación de la privacidad. No requiere capacidades enormemente sofisticadas, sino más bien la habilidad de explotar debilidades estándar. A diferencia del ciberataque al hospital Hillel Yaffe de Israel, que implicó la encriptación del sitio web del hospital, este último ataque fue mucho menos sofisticado.
Los atacantes vulneraron una empresa cuyo trabajo es defender a sus clientes. Ahora CyberServe se enfrenta a una acción legal colectiva y sus posibilidades de ganar en los tribunales no son altas. Aun así, CyberServe podría argumentar, basándose en la ausencia de una ley de ciberseguridad, que la empresa no es legalmente responsable de la seguridad.
En cuanto a los autores, es razonable suponer que Black Shadow es un grupo cibernético iraní que, al igual que otros grupos de este tipo, opera bajo supervisión iraní. Esto no llevará al colapso del Estado judío, pero lo perturbará. Este tipo de incidentes también perjudican la imagen de Israel como potencia cibernética.
Ahora la misión más importante es rastrear el incidente de forma forense e identificar a los atacantes. Este es un proceso difícil con su propia doctrina operativa. Es un gran dolor de cabeza y que no todas las empresas tienen la capacidad de emprender.
Se necesita una legislación clara que estipule lo que los proveedores de servicios web deben ofrecer a sus clientes. No todas las empresas necesitan ciberdefensas del nivel de una central nuclear, pero entre eso y no tener ninguna defensa, hay un gran espectro de soluciones de seguridad.
La cuestión de cuánto está dispuesta a pagar cada empresa por esta capacidad se reduce a una cuestión de coste-beneficio. Con el paso del tiempo, cada vez más empresas se darán cuenta, como ya lo han hecho los bancos, de que un porcentaje de sus ingresos debe destinarse a la ciberseguridad, porque el coste del fracaso es mucho mayor.
El último ataque a una aplicación de citas LGBT no es un ataque que pueda derribar un Estado. Pero es otro “corte” en una estrategia iraní más amplia de “mil cortes” que está diseñada para dañar a Israel.
Por otra parte, si se compara con el ciberataque a las gasolineras de los alrededores de Irán -que algunos informes han atribuido a Israel-, parece que ambos países no tienen la misma capacidad ofensiva cibernética y ni siquiera están en la misma liga.