Así es un ataque, paso a paso
Un informe de ciberseguridad expone tácticas de guerra digital usadas en el conflicto sirio
Un combatiente de la oposición siria conectado a su ordenador, una mujer libanesa llamada Iman que aparece en pantalla. Una breve conversación vía chat a través de la red de mensajería instantánea Skype, un intercambio de fotos. Imán envía una fotografía “personal” al soldado. Éste la abre. Ya está: el Dark Comet RTA (siglas deTroyanos de Acceso Remoto) que esconde la imagen, virus capaz de secuestrar información del ordenador, acaba de penetrar una computadora de las fuerzas que combaten al régimen de Bachar El Assad.
Así se libra la ciberguerra hoy en día. El hacker se disfraza de chica guapa y envía un virus que extrae información estratégica, planes de operaciones, identidades de otros combatientes. Ocurrió en diciembre de 2013, según revela la firma de ciberseguridad norteamericana FireEye, que esta semana presentó un informe en el que recoge una operación de hackeo en pleno conflicto sirio que ilustra la pujanza de la guerra digital en la era moderna. Estos son algunos extractos de esa conversación entre el soldado y la presunta Imán:
Iman: ¿Estás abriendo Skype en tu móvil?
Soldado: Computador y móvil. ¿Qué edad tienes?
I: 27. ¿Y tú?
S. 28.
I: 5 de mayo de 1986.
S. Lolololololo [Carcajadas]. Yo 5 de mayo de 1985.
I: Una dulce coincidencia. (Envío del archivo Nueva-Foto-Iman.pif)
S. Me vuelves loco.
La pregunta sobre la manera de conectarse permite al hacker saber qué tipo de troyano tiene que enviar. La fecha de nacimiento es una información a la que puede acceder fácilmente en Skype o en un perfil de Facebook y le permite crear un vínculo en torno a una supuesta coincidencia.
Así de sencillo resulta infectar un ordenador enemigo. Y canales de comunicación como Skype o las redes sociales son dos de las vías que estos hackers (o agentes de inteligencia), utilizaron para acceder a la información sobre las tropas que combaten el régimen de Bachar El Assad.
Se utilizó como anzuelo una página ficticia de apoyo a fuerzas de oposición que contenía una sección para conocer gente con fotos de mujeres con velo
En un periodo que va de mayo a diciembre de 2013, los mensajes falsos de chicas como Iman permitieron atraer a los soldados a sus perfiles en Facebook, que contenían enlaces envenenados.También se utilizó como anzuelo una página ficticia de apoyo a fuerzas de oposición que contenía noticias sobre el conflicto sirio y una sección para conocer gente con fotos de mujeres con velo. Al clicar la opción de establecer conversación en vídeo en directo se abría la puerta a un nuevotroyano.
Con este tipo de tretas, el grupo de hackers consiguió acceder a 7,7 gigabytes de datos: 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes enviados, fundamentalmente, en la segunda mitad de 2013. Incluían documentos de operaciones militares, detalles de las posiciones sobre el terreno de las fuerzas opositoras. En las conversaciones de Skype se hablaba de rutas de abastecimiento, llegadas de barcos con lanzamisiles, días y horas de las entregas de armamento.
El grupo de hackers consiguió acceder a 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes
En uno de sus rastreos en busca de códigos malignos, los analistas de FireEye, empresa que colabora con organismos como la CIA e Interpol, dieron con los documentos robados a las fuerzas de oposición siria. Entre ellos se hallaba un directorio con información, escrita en árabe, con planes muy detallados de una operación de asalto a la ciudad deKhirbet Ghazaleh, paso estratégico para acceder a la localidad de Daraa. Incluía tablas de Excel con los requerimientos de munición por soldado. Se detallaban los modelos de tanques y rifles, los morteros que se iban a usar, el nombre y apellidos de los entre 700 y 800 combatientes involucrados en la operación, mapas de Google Earth con los planes del ataque.
La firma norteamericana dice que no puede identificar para quién trabajaban esos hackers, ni afirmar a ciencia cierta que el régimen de Bachar El Assad tuviera acceso a la información. “Sería muy naifpensar que el régimen de El Assad no aprovechó esta información; pero nosotros solo podemos especular, no sabemos lo que hicieron o dejaron de hacer”, declara en conversación telefónica desde Reading, Reino Unido, Jason Steer, jefe de estrategia de seguridad de la firma para Europa, Oriente Medio y África.
Entre las víctimas del robo de información, un ordenador cuyas credenciales en Skype señalaban que estaba instalado en España y que estaba en contacto con las fuerzas que combaten a El Assad. FireEye refleja esta circunstancia en su informe pero no puede confirmar al 100% que se tratara de un ordenador radicado en suelo español.
El asalto a Khirbet Ghazaleh no llegó a materializarse. No se sabe si porque las autoridades sirias lo abortaron a tiempo o porque lo hicieron las fuerzas rebeldes al saber que les habían robado la información. Una cosa, dice Steer, queda clara con un informe como este: “La ciberguerra es parte del campo de batalla”.
El más fuerte es el más vulnerable
EE UU es víctima y, a la vez, el más poderoso agresor en el 'cibertablero' mundial
MARC BASSETS Washington 7 FEB 2015 - 18:38 CET
El más fuerte es el más débil.
El autor de ciencia ficción Arthur C. Clarke lo intuyó en su relatoSuperioridad, publicadoen plena guerra fría. Un soldado prisionero explica por qué su bando perdió. “Perdimos por una sola cosa: por la ciencia inferior de nuestros enemigos. Lo repito: por la ciencia inferior de los enemigos”.
Medio siglo después, otro Clarke, Richard, el primer responsable de ciberseguridad en una Administración de Estados Unidos, buscaba objetivos para contribuir, con los inmensos medios de los que su país disponía en Internet, a la campaña militar para derrotar a los talibanes y ocupar Afganistán. No los encontró.
La debilidad de Afganistán —la precariedad de las redes allí— dejaba pocos flancos para atacar. Y, al contrario, la fortaleza de Estados Unidos en este ámbito —la dependencia de las economía y las infraestructura de Internet— hace que este país sea vulnerable, seguramente más que ningún otro. Ninguno tiene tantos objetivos expuestos.
La lista de víctimas en 2014 es larga. Están los casos más conocidos: el del pirateo en noviembre de Sony, atribuido a Corea del Norte; el ataque, en verano, contra el banco JP Morgan, que comprometió información de millones de clientes; u otros, anteriores, a las cadenas de comercios Target y Home Depot.
Un elemento en común destaca en las informaciones que semana a semana se suceden sobre los ciberataques: la mayoría apuntan a empresas privadas. La guerra más visible es comercial. La militar es menos aparente. El ciber-Pearl Harbor que Leon Panetta, entonces secretario de Defensa, pronosticó en 2012 no se ha materializado.
El escenario al que Panetta se refería lo había descrito dos años antes el citado Richard Clarke en Cyber War, uno los primeros libros superventas en alertar sobre la amenaza de la ciberguerra. Clarke no era cualquiera. Poco antes del 11-S, cuando ejercía de zar antiterrorista en la Administración Bush, avisó de la inminencia de un atentado. Nadie le hizo caso.
En Cyber War Clarke se imaginaba un ciberataque contra Estados Unidos que, en 15 minutos, sería peor que una bomba nuclear. En este escenario imaginario, las redes eléctricas e Internet se paralizan, los trenes descarrilan, los aviones “literalmente caen del cielo como resultado de colisiones en el aire por todo el país”, y la avería de los satélites deja incomunicadas a las unidades de las fuerzas armadas.
La proliferación de escenarios apocalípticos —y no en boca de figuras marginales sino de responsables políticos de alto nivel— abrió el debate sobre lo que algunos críticos han llamado la inflación de la amenaza. Según este argumento, la amenaza de la ciberguerra debía sustituir en el imaginario norteamericano a la amenaza terrorista que a su vez habría sustituido a la amenaza soviética. Todas era bien reales, pero susceptibles de ser manipuladas.
De la misma manera que, durante la guerra fría, emergió lo que el presidente Dwight Eisenhower denunció en 1961 como “un complejo militar industrial” con una influencia “injustificada” en la sociedad norteamericana, ahora emerge un complejo ciberindustrial. El espionaje de la NSA es un ejemplo. Pero también la proliferación en el área de Washington de empresas de ciberseguridad, algunas de ellas, fabricantes tradicionales de armamento que han ampliado el negocio.
“Aunque el riesgo de un ciberataque que nos debilite es real, la percepción de este riesgo es mucho mayor de lo que es este riesgo en sí. Nadie ha muerto jamás por un ciberataque”, escribió en 2013, en un artículo en la revista Foreign Affairs, Martin Libicki, especialista de la Rand Corporation, el laboratorio de ideas cercano al Pentágono. “De hecho, un gran ciberataque del tipo que los altos funcionarios de inteligencia temen no ha ocurrido en los 21 años desde que Internet se volvió accesible al público”.
Jaime Blasco, director de los laboratorios de seguridad Alien Vault en Silicon Valley, niega que el sector privado fomente los escenarios más apocalípticos par hacer negocio. “Esto es como cuando aparecieron las primeras empresas antivirus y la gente decía que creaban los virus para vender antivirus”, dice. “No necesitamos meter miedo a la gente cuando la realidad es mucho peor de lo que la gente sabe”.
Blasco cita el problema de los datos privados de los ciudadanos. “Seguramente”, dice, “nos sorprenderíamos de la cantidad de sitios donde podríamos encontrar nuestros datos personales. Y no datos personales como tales, sino números de tarjeta de crédito, de cuentas bancarias. Seguramente tu número de cuenta y de tarjeta de crédito esté como mínimo en alguna base de datos de la que tú no tienes conocimiento y, pueden ser usados con fines maliciosos”.
Otra cosa distinta, según Blasco, es la posibilidad de una ciberguerra en un sentido estricto. Es decir, no un ataque contra intereses comerciales de una empresa o el hurto de información valiosa sino un enfrentamiento entre países por medio de Internet, al estilo del ciber-Pearl Harbor del que alertaba el secretario Panetta.
“La ciberguerra complementa la guerra tradicional”, continúa Blasco. “Si en algún momento ocurre, será porque hay un conflicto armado y se utilizarán todos los métodos. Antes teníamos mar, tierra, aire, y ahora tenemos mar, tierra, aire y cíber. No es que vaya a pasar: ya ha pasado. Estados Unido en Afganistán, o Estados Unidos en Siria, ha usado cíber junto a los ataques tradicionales”.
La ciberguerra complementa la guerra tradicional y al mismo tiempo refleja sus usos y costumbres. También en la ciberguerra hay soldados y espías: empleados de las fuerzas armadas y los servicios de inteligencia --muchos de ellos reclutados en universidades pero también en el submundo de los hackers convictos, explica Blasco-- dedicados a ejecutar misiones contra intereses de otros países.
Como en la guerra tradicional, en la ciberguerra circulan mercenarios, lo que en inglés llaman hackers for hire, piratas de alquiler. Y a esta guerra acuden voluntarios, milicianos que creen en la causa: los llamados patriotas. Blasco pone un ejemplo. “Si Ucrania entra en guerra con Rusia, hay hackers en Rusia que son patrióticos e intentarán hackear redes de defensa en Ucrania para dar esa información a su gobierno”, dice. “No lo hacen por motivos financieros”.
En esta guerra, ningún país dispone de las capacidades ofensivas de Estados Unidos. Y es probable que ningún ciberataque haya sido tan efectivo como los que hace unos años golpearon los sistemas de enriquecimiento de uranio de Irán. Según datos de Symantec, citados por Micah Zenko del Council on Foreign Relations, en 2013 un 17% de la actividad maliciosa procedió de Estados Unidos y un 9% de China. Otros ránquings sitúan a Rusia como número dos. Al ser la primera potencia económica, EE UU es vulnerable: nadie ofrece tantos objetivos. Pero también es una potencia militar y tecnológica: nadie posee una capacidad de agresión tan formidable.
EE UU es débil porque es el más fuerte.
No hay comentarios:
Publicar un comentario