Atribución del atacante: un frente engañoso de los conflictos cibernéticos actuales

Pocos personajes han influido más en la historia de la estrategia militar y en las guerras del mundo que Sun Tzu. Su enfoque de ganar en lugar de conformarse a una 'pelea justa' resuena en muchos de los conflictos durante este último siglo, a medida que nos alejamos de la guerra tradicional hacia un campo de batalla más oscuro de guerra asimétrica librada con espionaje, conflictos indirectos (o proxy), campañas de desinformación y tácticas de guerrilla. Esto no es diferente cuando se aplica a entornos digitales, aunque con la complejidad adicional de la atribución.

La mayoría de los actos cinéticos se pueden atribuir y contrarrestar de una manera mucho más sencilla. Las barreras físicas y las imágenes satelitales ayudan a identificar exactamente de dónde proviene un ataque, esto es, si hablamos de un objetivo en el mundo real.

Pero las reglas del ciberespacio son más indefinidas y menos claras, lo que abre la puerta a errores de cálculo y a una eventual escalada involuntaria de un conflicto o, por el contrario, al estancamiento y la incertidumbre en la lucha contra los adversarios.

Un campo de batalla turbio sin el enemigo a la vista

Tomemos el caso de TV5Monde en abril de 2015: un ciberataque cerró la red de televisión francesa donde el grupo de hackers Cyber Caliphate, operadores del Estado Islámico, inmediatamente se atribuyó la responsabilidad. Pero una inspección más cercana reveló que no se trataba de un ataque terrorista. Al parecer, Rusia estuvo detrás de toda la maniobra en lo que comúnmente se conoce como una operación de "bandera falsa".

Consideremos el caso de phishing por correo electrónico en el que los atacantes se hicieron pasar por el grupo de extrema derecha Proud Boys, que sembró miedo, incertidumbre y duda antes de las elecciones estadounidenses de 2020; una operación que fue originalmente atribuida a agentes del Estado Iraní. Posteriormente, en 2019, salió a la luz que el Grupo Ruso Turla había hackeado la agencia de inteligencia de Irán y lanzó campañas contra el Oriente Medio y Occidente utilizando la infraestructura iraní.

Recientemente, los investigadores revelaron que los ataques contra el gobierno israelí y empresas de tecnología en 2019 y 2020, atribuidos inicialmente a Irán, fueron realizados por agentes chinos. Haciéndose pasar por un claro rival geopolítico, los hackers chinos intentaron engañar a Israel para que respondiera militarmente en contra de Irán.

Con operaciones de bandera falsa y atribuciones erróneas como estas, el verdadero campo de batalla se vuelve mucho menos evidente. Una atribución o acusación incorrecta podría conducir a una nueva ciberguerra o a una escalada de conflicto contra el objetivo equivocado.

Ante la imposibilidad de una atribución clara, la falta de voluntad para responsabilizar a los adversarios solo fomentará un comportamiento malintencionado, especialmente si un estado-nación busca la disuasión como parte de su estrategia de seguridad nacional. La incapacidad para identificar y responder a los adversarios socava la idea de utilizar una respuesta ofensiva para disuadir a los malos actores en primera instancia.

Una escalada sin precedentes que dificulta una respuesta proporcional

El ataque a SolarWinds afectó a 18.000 clientes, costó a SolarWinds 18 millones de dólares en reparaciones y 90 millones de dólares para las aseguradoras cibernéticas. En general, algunos expertos estiman que los daños podrían haber llegado a los 100 mil millones de dólares.

Del mismo modo, el ataque a Microsoft Exchange tuvo un impacto masivo, con cerca de 60.000 organizaciones afectadas y 125.000 servidores sin parches en todo el mundo. ¿La estadística más alarmante? Los atacantes dirigieron el 23% de todos los ataques durante esta campaña contra objetivos militares y del gobierno de Estados Unidos.

Pero ¿cómo responder proporcionalmente al ataque de SolarWinds cuando Rusia niega cualquier participación? ¿Cómo se castiga a China por el ataque a Microsoft Exchange cuando afirman que la acusación no es más que una "difamación maliciosa"?

Esta táctica de negación y engaño ha demostrado ser extremadamente eficaz hasta ahora. La atribución se ha convertido en un arma, lo que dificulta considerablemente a las víctimas responder adecuadamente. Los ataques pueden parecer que provienen de un lugar y en realidad venir de otro completamente distinto.

Además, los hackers pueden camuflar el propio malware. Esto es importante porque los diferentes tipos de malware tienen diferentes objetivos y son aprovechados por distintos grupos. Entonces, cuando un limpiador de disco enviado por Irán pretende ser un ransomware y destruye los sistemas israelíes, Irán utiliza la apariencia de un ataque con motivación financiera para enmascarar lo que en realidad es un acto político y que, en última instancia, podría interpretarse como un acto de guerra.

Intentos de atribución

Monitorear las TTP (tácticas, técnicas y procedimientos) con reglas y firmas tiene poco valor: la infraestructura y las herramientas de ataque pueden cambiar fácilmente. Este método solo detiene las amenazas conocidas y solo puede producir defensas que, en el mejor de los casos, son inconvenientes menores contra ataques tan novedosos y sofisticados. No es tan simple como decir: "Seguimos estas direcciones IP y ese ataque fue APT27". Lo que podemos descubrir es que el código y la geolocalización son similares a lo que hemos visto antes en la actividad de un perpetrador, pero esto también podría ser sólo una imitación. 

Estados Unidos y sus aliados tienen unas de las capacidades cibernéticas ofensivas más sólidas del mundo. Pero esta potencia aumenta drásticamente el riesgo de atribución errónea. Lo último que desearía hacer el gobierno de Estados Unidos es escalar por error un conflicto con un tercero inocente.

La inteligencia de origen humano (HUMINT) es el único método confiable de atribución, pero no es infalible. Es difícil encontrar un agente sobre el terreno con acceso a información privilegiada. E incluso si un gobierno pudiera atribuir un ataque con certeza, es posible que no desee revelar cómo obtuvo esa información.

Si bien el gobierno de Estados Unidos adoptó un enfoque de "línea roja" y atribuyó públicamente el ataque a SolarWinds, Rusia todavía tiene un nivel de negación plausible. Si algo podemos aprender de SolarWinds, es que necesitamos reevaluar completamente nuestro enfoque para detectar y defendernos de manera inteligente contra campañas cada vez más innovadoras desarrolladas por los estados-nación.

¿Cómo reaccionar ante el escenario actual?

La política de "líneas rojas" de Biden es un paso hacia la dirección correcta. Debe haber más transparencia sobre cuáles acciones conducen a qué consecuencias. Pero estos acuerdos son limitados por las razones que comentamos.

Históricamente, la dificultad de la atribución empoderó a los ciber-atacantes. Necesitamos recursos de seguridad e inteligencia más sólidos centrados en la recopilación y el análisis. Como países, debemos aumentar nuestra disposición para responder a los adversarios en función de la atribución evaluada, en lugar de esperar atraparlos en el acto.

Las capacidades defensivas son la solución para lidiar con este conflicto, en particular herramientas como la inteligencia artificial pueden identificar amenazas anómalas e interrumpirlas en segundos. Al entender la evolución de la actividad "normal", estaremos mejor preparados para interrumpir y detener los ataques ante los primeros signos de amenaza.

No podemos detener los ataques, pero podemos minimizar sus efectos. La paz cibernética no llegará pronto, pero la resiliencia cibernética resultará fundamental para ayudar a los estados-nación a obtener la ventaja.

*Justin Fier es Director de Ciberinteligencia y Análisis y Marcus Fowler es Director de Amenazas Estratégicas en Darktrace.