Las guerras cibernéticas como campo de combate se han transformado en las últimas dos semanas con tanto Israel como los EE.UU. golpeando como una tonelada de ladrillos.
Algunas de las operaciones y personal más sensibles en ambos países pueden haber sido expuestas, y en los EE.UU., puede haber estado ocurriendo desde marzo.
Todo esto deja a dos de las principales potencias cibernéticas del mundo con una serie de interrogantes sobre si es posible defender el espacio digital de sus países y si hay algún contraataque que pueda ser utilizado para disuadir futuros mega ataques cibernéticos similares.
En Israel, la primera gran noticia fue el ataque al gigante de los seguros Shirbit. Esto llevó a la Dirección Nacional de Cibernética de Israel (INCD) a ordenar a grandes volúmenes de ciudadanos del país que cambiaran sus tarjetas de identidad y licencias de conducir para evitar el robo de identidad.
Significativamente, Shirbit sirvió a muchos israelíes en el sector de la defensa, dejando a algunos de esos personales sensibles potencialmente comprometidos.
El otro gran acontecimiento cibernético de Israel se produjo cuando la empresa de seguridad cibernética Check Point publicó datos que muestran que Shirbit es solo el mayor y peor caso en un pico de ciberataques a empresas israelíes en los últimos meses.
Ciento cuarenta y una empresas fueron atacadas con ataques de rescate solo en noviembre y 137 fueron atacadas en octubre.
Aunque los ataques con rescates suenan como una actividad cibernética criminal, Check Point dijo que todo indica que un Estado nación enemigo con objetivos anti-Israel está moviendo los hilos.
Tanto en términos de capacidad como de motivación, Irán estaría cerca de la cima de la lista como patrocinador de los hackers. Por muy impactante que sea el alcance de estos ciberataques a Israel, es probable que palidezcan en comparación con el mazo cibernético que ha golpeado a los EE.UU.
Empezó con un anuncio de Fireye, una de las principales empresas de seguridad cibernética que normalmente bloquea y diagnostica los ataques de Rusia, Irán y otras potencias cibernéticas, de que había sufrido un ataque sin precedentes. A menudo Fireye ayuda al FBI a ponerse al día con algún tipo de hacking importante en los EE.UU., como por ejemplo contra Sony, Equifax o el Departamento de Estado de los EE.UU. Esta vez, el principal defensor cibernético está entre las principales víctimas.
Las herramientas del “equipo rojo” de Fireye, utilizadas para ayudar a las grandes empresas y agencias gubernamentales de los EE.UU. a localizar y parchear sus vulnerabilidades, fueron robadas. Eso significa que el hacker, la abrumadora presunción es Rusia, puede ahora usar las herramientas de Fireye para hackear a voluntad. Incluso puede cubrir sus huellas haciendo que parezca que fue Fireye y puede anticipar mejor qué herramientas pueden usar Fireye y el FBI para tratar de rastrear a los hackers después.
En este punto, el diagnóstico es que el hacker estaba principalmente robando herramientas para hackear las agencias del gobierno de los EE.UU. Ese pirateo en sí mismo podría haber llevado a meses, sino años, de consecuencias en el ciberespacio. Pero a los pocos días, resultó que Fireye solo fue hackeado porque su proveedor de software de confianza, SolarWinds, había sido hackeado en algún momento de marzo. SolarWinds también suministra software a un sinfín de agencias del gobierno de los EE.UU. y a las principales empresas.
Resulta que las actualizaciones que SolarWinds envió en marzo y junio estaban infectadas con malware y que el Departamento de Seguridad Nacional (DHS), el Pentágono, el Departamento del Tesoro, el Departamento de Comercio, el Servicio Postal de los Estados Unidos y los Institutos Nacionales de Salud se han visto probablemente comprometidos. Por cierto, la principal agencia del gobierno para proteger el sector cibernético civil reside en el DHS.
Nadie sabe cuántos correos electrónicos sobre los planes de seguridad cibernética de los EE.UU. o cuántos códigos, contraseñas y vulnerabilidades, los probables hackers rusos recogieron. Pero los expertos en cibernética están enmarcando al hacker como uno de los más sofisticados de todos los tiempos.
El 13 de diciembre, la agencia cibernética del DHS tomó la extraordinaria medida de emitir una directiva de emergencia a todas las agencias federales para desconectar inmediatamente los productos de SolarWinds afectados de sus redes. Según SolarWinds, “solo” alrededor de 18.000 de sus más de 300.000 clientes han sido infectados por la actualización. Esa asombrosa cifra significa que los principales funcionarios cibernéticos israelíes estiman que el volumen de redes infectadas no se acercará al virus autónomo WannaCry, que se propagó por todo el mundo en 2017.
Pero estos mismos expertos también dicen que el tiempo, la inversión y la sofisticación de estos ataques estaban muy por debajo de todo lo que habían visto antes. Según los expertos de EE.UU., los hackers entraron en la red en marzo y luego permanecieron inactivos durante semanas para asegurarse de que no serían rastreados. Luego se tomaron su tiempo para propagarse y explorar las redes infectadas pieza por pieza, moviéndose lentamente para que no se pudiera rastrear ningún pico repentino de actividad no autorizada. Cuando los hackers infectaron las actualizaciones que se enviaban a los clientes de SolarWinds, se tomaron el tiempo y la habilidad de falsificar las claves digitales reales de la compañía para que los programas de detección de malware no tuvieran ninguna posibilidad de atraparlos. Un hacker de las herramientas cibernéticas de la NSA en 2016 está siendo lanzado como comparable, con un costo estimado de 10 mil millones de dólares una vez que Rusia y Corea del Norte se volvieron las herramientas de la NSA en Occidente.
Extrañamente, la Casa Blanca ha guardado silencio, aunque el asesor de seguridad nacional de Trump, Robert O’Brien, interrumpió un viaje a Europa el martes y se apresuró a regresar a Washington para lidiar con el ataque. En cualquier caso, el senador estadounidense Mark Warner (D-VA), vicepresidente del Comité de Inteligencia del Senado, respondió al ataque, diciendo que la seguridad cibernética de las empresas ha mejorado, “pero este caso también muestra la dificultad de detener a determinados hackers en nombre de un Estado nación”.
Añadió, “Como hemos hecho con la infraestructura crítica, tenemos que repensar el tipo de asistencia cibernética que el gobierno proporciona a las empresas estadounidenses en sectores clave en los que todos confiamos”.
Expertos cibernéticos han dicho que el gobierno por sí solo no puede mantenerse al día con todas las aplicaciones de software en constante desarrollo y evolución. Por eso, la cooperación y dependencia tecnológica entre el sector público y el privado ha crecido recientemente a niveles sin precedentes.
Pero, ¿qué deben hacer los gobiernos de los Estados Unidos e Israel cuando depender incluso de lo mejor del sector privado en la esfera cibernética significa ser vulnerables a una serie de otros vectores de amenaza?
Parte de la lección de este ataque es que todavía nadie está tomando las vulnerabilidades del estilo de la “cadena de suministro” lo suficientemente en serio. Los ataques a la cadena de suministro se refieren a un fenómeno en el que una empresa privada o una agencia gubernamental puede haber hecho todo bien con los miles de millones que gastó en su propia ciberseguridad de vanguardia. Sin embargo, es derribado por uno de los muchos proveedores externos que ayudan con una pequeña parte de su negocio. El hack también muestra la naturaleza implacable de las guerras cibernéticas.
En muchos sentidos, los Estados Unidos se han dado palmaditas en la espalda por haber bloqueado a Rusia para que no interviniera en las elecciones presidenciales de EE.UU. de 2018 o 2020, de la misma manera que Moscú se inyectó en las elecciones presidenciales de EE.UU. de 2016. Parte del éxito fue que el cibercomando militar de los Estados Unidos inició un amplio ataque preventivo contra la Agencia de Investigación de Internet de Rusia y sus asociados antes de ambas elecciones.
Sin embargo, parece que una de las lecciones de estos últimos hackers es que los hackers pueden ser como la antigua hidra demoníaca: le cortas una cabeza y le brotan varias cabezas más.
Además, en julio, el jefe del Comando Cibernético de los EE.UU., el general Paul Nakasone, dijo que los esfuerzos cibernéticos estadounidenses no cuentan con fondos suficientes si se desea adoptar una postura más ofensiva. Su predecesor, Keith Alexander, estuvo de acuerdo.
Volviendo a la pregunta original de si EE.UU. e Israel pueden defender su ciberespacio y disuadir futuros ataques, parece que hay dos respuestas. Si la pregunta se refiere a mitigar el daño de los ataques y limitar a todos, excepto a los planificadores más sofisticados y disciplinados, entonces hay esperanza. Esto sería especialmente cierto si tanto los EE.UU. como Israel estuvieran dispuestos a intensificar los contraataques a los atacantes hasta un punto en el que el coste fuera más allá de lo que ganan con los ciberataques.
En mayo, Israel, según se informa, utilizó las capacidades cibernéticas para cerrar uno de los puertos más grandes de Irán durante días para enviar un mensaje después de que la República Islámica presuntamente trató de piratear el sector del agua de Israel en abril. El 10 de diciembre, sin hacer referencia a un hecho concreto, el Teniente General del Estado Mayor de las FDI. Aviv Kohavi hizo un raro reconocimiento público de que Israel ha aumentado sus operaciones cibernéticas ofensivas en 2020.
Pero en estos días, una serie de ciberataques ofensivos de EE.UU. o Israel puede no ser suficiente para disuadir a un paciente y disciplinado agresor.
Más bien, una demostración mucho más masiva o repetida de la superioridad cibernética de EE.UU. e Israel podría ser necesaria. Pero esto corre el riesgo de escalar a un punto en el que los más ricos y tecnológicamente dependientes EE.UU. e Israel podrían tener más que perder.
Así que si la pregunta es si un país puede sellarse herméticamente a las intrusiones cibernéticas de alto nivel, la respuesta es inequívocamente no. Después de eso, la verdadera pregunta es, dado que los agresores cibernéticos son mucho más audaces y representan un peligro mucho mayor para los EE.UU. e Israel que antes, ¿pueden Washington y Jerusalén escalar lo suficiente como para mirar a sus adversarios sin cruzar una línea hacia el caos?
Si los líderes cibernéticos y políticos pueden lograr ese equilibrio será una de las dinámicas clave que podría decidir el destino de nuestra era.