¿Hacia dónde apuntan las armas digitales?
En esta entrega del Laboratorio de Seguridad y Privacidad Digital de la Fundación Karisma (K+LAB) podrá aprender qué papel tienen las llamadas armas digitales (cuáles son, además de su historia y protagonistas) en los conflictos modernos, como la guerra entre Rusia y Ucrania.
Fernando Velásquez
Cibercriminales y grupos de hackers patrocinados por gobiernos han hecho de la infraestructura crítica uno de sus blancos preferidos. Hackear infraestructura tecnológica que controla servicios esenciales supone ventajas estratégicas para participantes en un conflicto político, territorial o armado, o puede representar copiosas sumas de bitcoines en la billetera digital de quien se dedica a este tipo de extorsiones (incluso puede ser la combinación de las dos).
El ransomware es una pieza de software que cifra o bloquea los datos de un sistema informático con el fin de exigir un rescate por su recuperación. Pero la extorsión no termina allí, porque, normalmente, en el proceso de tomar control de los sistemas ajenos, es posible extraer gran cantidad de información, como bases de datos, información financiera, confidencial o relacionada con propiedad intelectual que luego es usada para intentar obtener más dinero a cambio de no publicar el material filtrado. A veces incluso pueden vender la información en el mercado negro.
Desde la guerra actual entre Rusia y Ucrania, las tensiones en el Medio Oriente, hasta acciones criminales de menor escala en escenarios latinoamericanos, el ransomware, cuando se dirige a atacar infraestructuras críticas de un Estado, también puede llegar a tener el impacto de un misil en un escenario de conflicto geopolítico.
La peligrosa mezcla de incentivos económicos, políticos y militares que implica atacar infraestructuras y actividades críticas conectadas a internet es una amenaza a la vida, la salud, la estabilidad y la seguridad de las personas y debe ser tomada en serio para mitigar los daños que ya han sido provocados y los que inevitablemente se provocarán.
Hospitales, plantas de tratamiento de agua, oleoductos, aerolíneas, empresas de logística, sistemas de transporte, proveedores de servicios y productos tecnológicos y entidades estatales, por mencionar algunos, han sido víctimas de ciberataques que no solo implican el robo de información importante sino que, cada vez con más frecuencia, terminan con sistemas bloqueados o saboteados, impidiendo que presten sus servicios y afectando notablemente el normal desarrollo de la sociedad.
La fuga de datos personales que luego son usados en otros delitos o contextos e incluso provocando daños que pueden llegar a la muerte de personas es otra consecuencia frecuente de estos ataques.
El “ransomware”: ¿aliado táctico para la guerra y la política?
Se sabe que hay gobiernos que han usado las mismas técnicas que los criminales para atacar a países enemigos y sabotear sus actividades críticas en un conflicto. De hecho, muchas veces es difícil distinguir si un ataque con ransomware solo tiene motivaciones económicas y no esconde políticas en el fondo.
La difusa línea que separa cibercomandos militares, agencias de inteligencia, grupos de ransomware o grupos hacktivistas que operan en la esfera geopolítica mundial se hace cada vez menos visible y muchas veces resulta complicado atribuir un ataque a un país o grupo porque, a diferencia de los ataques a distancia con misiles, en el mundo cibernético es posible no dejar rastros tan claros y es más fácil lavarse las manos culpando a los demás actores.
Los ataques a la infraestructura crítica no son la única acción de la ciberguerra, pero quizás es una de las más efectivas. En una alta incidencia, afectan la vida de la población civil y podrían ser considerados actos de guerra.
La ciberguerra: Rusia y Ucrania
Durante la invasión rusa a Ucrania, además de los ya tradicionales ataques de denegación de servicio a páginas del gobierno ucraniano, la compañía ESET detectó un virus informático —que bautizó HermeticWiper— en cientos de computadores, cuya funcionalidad no es espiar ni cifrar información sino destruirla de plano, inhabilitando los sistemas. Reportes dan cuenta de entidades gubernamentales y financieras ucranianas afectadas. En enero, ya Ucrania había sido atacada con una variante de este malware.
Por su parte el gobierno ucraniano ha solicitado a los hackers locales, a través de foros de hacking del bajo mundo, que se unan a la defensa cibernética del país. Grupos hacktivistas internacionales como Anonymous y los Cyber-Partisanos de Bielorrusia han respondido al llamado y declarado la infraestructura crítica de Rusia —y de sus amigos— blanco de sus ataques, habiendo afectado ya al canal de noticias ruso RT y el sistema de trenes de Bielorrusia.
En este conflicto, los ataques a las actividades críticas no son nuevos, En 2017, un ransomware llamado NotPetya se diseminó especialmente en Ucrania, ya que fue distribuido a través de una vulnerabilidad en un software contable popular en ese país, pero, a diferencia de los wipers (borradores de información) más recientes, este cobraba un rescate. Dada la popularidad del software contable y de que este virus se distribuía como un gusano (se distribuía automáticamente de dispositivo en dispositivo), la industria y el gobierno ucranianos se vieron altamente afectados. Como parecía un ataque con motivación económica, fue difícil su atribución, pero dadas las circunstancias no sería extraño que fuera un acto de sabotaje ruso.
En 2015, durante un ataque militar ruso, la red eléctrica ucraniana fue atacada por el grupo Sandworm, que está conectado con la agencia de inteligencia rusa GRU, que dejó a más de 200.000 personas sin fluido eléctrico por horas. Y así podríamos quedarnos por horas enumerando incidentes relacionados con esta guerra híbrida que se libra en el campo y en el ciberespacio.
Por su parte, la inteligencia estadounidense le presentó al presidente Biden un menú de opciones de ciberataques que podrían ser estratégicos en esta guerra, que incluye cortes en las comunicaciones, detener trenes y descarrilarlos o cortar suministros de energía. Si Estados Unidos ejecuta alguno de estos ataques “oficialmente” sería un punto de quiebre y estaríamos siendo testigos de la primera ciberguerra. Amanecerá y veremos.
Las nuevas unidades del ciberconflicto en el mundo
Aunque cuando se habla de ciberguerra, Rusia sale hasta en la sopa, obviamente no es el único actor importante. Existe una asimetría en la información que consumimos por estos lados del mundo que nos ciega un poco la perspectiva de los países “no occidentales” en general. Si la desinformación en la era digital tiene un nido, este está en las acciones de ciberguerra.
Rara vez se atribuye un ataque cibernético a un gobierno directamente, sino que se puede identificar un grupo o APT (Advanced Persistent Threat) que puede estar “presuntamente” ligado a un Estado o a una entidad estatal... o no.
Por ejemplo, en octubre del año pasado el sistema de distribución de combustible iraní fue atacado —presuntamente— por hackers israelíes, bloqueando las bombas de gasolina con un mensaje que incluía el teléfono del presidente y causando caos por el desabastecimiento de combustible. Al mismo tiempo varias vallas viales digitales mostraban el mensaje “Khamenei, ¿dónde está mi gasolina?”, alusión al líder supremo iraní, Ayatollah Ali Khamenei.
En 2010 Irán fue víctima de uno de los ciberataques más sofisticados de la historia, cuando se descubrió que el gusano cibernético Stuxnet logró malograr más de mil centrífugas nucleares de la planta de Natanz, en Irán. Este gusano, que infectó más de 60.000 computadores en el mundo, solo atacó cuando llegó a la planta nuclear iraní.
De la misma manera, Irán fue sido acusado de ciberataques contra la infraestructura crítica de Turquía en 2015, cuando se presume dejó sin electricidad durante doce horas a 44 provincias turcas, y en 2017 por atacar el parlamento británico por doce horas, entre otros.
La clara motivación político-militar de estos ataques deja entrever que son resultado de conflictos geopolíticos. Sin embargo, la atribución de estos incidentes se suele adjudicar a un APT o a un grupo de hackers pertenecientes a una unidad —conocida o presunta— de ciberdefensa de un Estado.
¿Qué pasa en Latinoamérica?
A diferencia del ransomware con motivaciones económicas, Latinoamérica no parece estar en la mira de APT internacionales, por ahora. De hecho, no se registran APT latinoamericanos ligados a servicios de inteligencia o Estados y los pocos que hay son grupos que, al parecer, solo se dedican a estafar.
Por el lado del hacktivismo de la región, aunque se han registrado incidentes de denegación de servicio y la publicación de información confidencial o privada durante momentos de tensión social, no se han registrado ataques a la infraestructura crítica con fines políticos.
*K+LAB, Fundación Karisma.
Cibercriminales y grupos de hackers patrocinados por gobiernos han hecho de la infraestructura crítica uno de sus blancos preferidos. Hackear infraestructura tecnológica que controla servicios esenciales supone ventajas estratégicas para participantes en un conflicto político, territorial o armado, o puede representar copiosas sumas de bitcoines en la billetera digital de quien se dedica a este tipo de extorsiones (incluso puede ser la combinación de las dos).
El ransomware es una pieza de software que cifra o bloquea los datos de un sistema informático con el fin de exigir un rescate por su recuperación. Pero la extorsión no termina allí, porque, normalmente, en el proceso de tomar control de los sistemas ajenos, es posible extraer gran cantidad de información, como bases de datos, información financiera, confidencial o relacionada con propiedad intelectual que luego es usada para intentar obtener más dinero a cambio de no publicar el material filtrado. A veces incluso pueden vender la información en el mercado negro.
Desde la guerra actual entre Rusia y Ucrania, las tensiones en el Medio Oriente, hasta acciones criminales de menor escala en escenarios latinoamericanos, el ransomware, cuando se dirige a atacar infraestructuras críticas de un Estado, también puede llegar a tener el impacto de un misil en un escenario de conflicto geopolítico.
La peligrosa mezcla de incentivos económicos, políticos y militares que implica atacar infraestructuras y actividades críticas conectadas a internet es una amenaza a la vida, la salud, la estabilidad y la seguridad de las personas y debe ser tomada en serio para mitigar los daños que ya han sido provocados y los que inevitablemente se provocarán.
Hospitales, plantas de tratamiento de agua, oleoductos, aerolíneas, empresas de logística, sistemas de transporte, proveedores de servicios y productos tecnológicos y entidades estatales, por mencionar algunos, han sido víctimas de ciberataques que no solo implican el robo de información importante sino que, cada vez con más frecuencia, terminan con sistemas bloqueados o saboteados, impidiendo que presten sus servicios y afectando notablemente el normal desarrollo de la sociedad.
La fuga de datos personales que luego son usados en otros delitos o contextos e incluso provocando daños que pueden llegar a la muerte de personas es otra consecuencia frecuente de estos ataques.
El “ransomware”: ¿aliado táctico para la guerra y la política?
Se sabe que hay gobiernos que han usado las mismas técnicas que los criminales para atacar a países enemigos y sabotear sus actividades críticas en un conflicto. De hecho, muchas veces es difícil distinguir si un ataque con ransomware solo tiene motivaciones económicas y no esconde políticas en el fondo.
La difusa línea que separa cibercomandos militares, agencias de inteligencia, grupos de ransomware o grupos hacktivistas que operan en la esfera geopolítica mundial se hace cada vez menos visible y muchas veces resulta complicado atribuir un ataque a un país o grupo porque, a diferencia de los ataques a distancia con misiles, en el mundo cibernético es posible no dejar rastros tan claros y es más fácil lavarse las manos culpando a los demás actores.
Los ataques a la infraestructura crítica no son la única acción de la ciberguerra, pero quizás es una de las más efectivas. En una alta incidencia, afectan la vida de la población civil y podrían ser considerados actos de guerra.
La ciberguerra: Rusia y Ucrania
Durante la invasión rusa a Ucrania, además de los ya tradicionales ataques de denegación de servicio a páginas del gobierno ucraniano, la compañía ESET detectó un virus informático —que bautizó HermeticWiper— en cientos de computadores, cuya funcionalidad no es espiar ni cifrar información sino destruirla de plano, inhabilitando los sistemas. Reportes dan cuenta de entidades gubernamentales y financieras ucranianas afectadas. En enero, ya Ucrania había sido atacada con una variante de este malware.
Por su parte el gobierno ucraniano ha solicitado a los hackers locales, a través de foros de hacking del bajo mundo, que se unan a la defensa cibernética del país. Grupos hacktivistas internacionales como Anonymous y los Cyber-Partisanos de Bielorrusia han respondido al llamado y declarado la infraestructura crítica de Rusia —y de sus amigos— blanco de sus ataques, habiendo afectado ya al canal de noticias ruso RT y el sistema de trenes de Bielorrusia.
En este conflicto, los ataques a las actividades críticas no son nuevos, En 2017, un ransomware llamado NotPetya se diseminó especialmente en Ucrania, ya que fue distribuido a través de una vulnerabilidad en un software contable popular en ese país, pero, a diferencia de los wipers (borradores de información) más recientes, este cobraba un rescate. Dada la popularidad del software contable y de que este virus se distribuía como un gusano (se distribuía automáticamente de dispositivo en dispositivo), la industria y el gobierno ucranianos se vieron altamente afectados. Como parecía un ataque con motivación económica, fue difícil su atribución, pero dadas las circunstancias no sería extraño que fuera un acto de sabotaje ruso.
En 2015, durante un ataque militar ruso, la red eléctrica ucraniana fue atacada por el grupo Sandworm, que está conectado con la agencia de inteligencia rusa GRU, que dejó a más de 200.000 personas sin fluido eléctrico por horas. Y así podríamos quedarnos por horas enumerando incidentes relacionados con esta guerra híbrida que se libra en el campo y en el ciberespacio.
Por su parte, la inteligencia estadounidense le presentó al presidente Biden un menú de opciones de ciberataques que podrían ser estratégicos en esta guerra, que incluye cortes en las comunicaciones, detener trenes y descarrilarlos o cortar suministros de energía. Si Estados Unidos ejecuta alguno de estos ataques “oficialmente” sería un punto de quiebre y estaríamos siendo testigos de la primera ciberguerra. Amanecerá y veremos.
Las nuevas unidades del ciberconflicto en el mundo
Aunque cuando se habla de ciberguerra, Rusia sale hasta en la sopa, obviamente no es el único actor importante. Existe una asimetría en la información que consumimos por estos lados del mundo que nos ciega un poco la perspectiva de los países “no occidentales” en general. Si la desinformación en la era digital tiene un nido, este está en las acciones de ciberguerra.
Rara vez se atribuye un ataque cibernético a un gobierno directamente, sino que se puede identificar un grupo o APT (Advanced Persistent Threat) que puede estar “presuntamente” ligado a un Estado o a una entidad estatal... o no.
Por ejemplo, en octubre del año pasado el sistema de distribución de combustible iraní fue atacado —presuntamente— por hackers israelíes, bloqueando las bombas de gasolina con un mensaje que incluía el teléfono del presidente y causando caos por el desabastecimiento de combustible. Al mismo tiempo varias vallas viales digitales mostraban el mensaje “Khamenei, ¿dónde está mi gasolina?”, alusión al líder supremo iraní, Ayatollah Ali Khamenei.
En 2010 Irán fue víctima de uno de los ciberataques más sofisticados de la historia, cuando se descubrió que el gusano cibernético Stuxnet logró malograr más de mil centrífugas nucleares de la planta de Natanz, en Irán. Este gusano, que infectó más de 60.000 computadores en el mundo, solo atacó cuando llegó a la planta nuclear iraní.
De la misma manera, Irán fue sido acusado de ciberataques contra la infraestructura crítica de Turquía en 2015, cuando se presume dejó sin electricidad durante doce horas a 44 provincias turcas, y en 2017 por atacar el parlamento británico por doce horas, entre otros.
La clara motivación político-militar de estos ataques deja entrever que son resultado de conflictos geopolíticos. Sin embargo, la atribución de estos incidentes se suele adjudicar a un APT o a un grupo de hackers pertenecientes a una unidad —conocida o presunta— de ciberdefensa de un Estado.
¿Qué pasa en Latinoamérica?
A diferencia del ransomware con motivaciones económicas, Latinoamérica no parece estar en la mira de APT internacionales, por ahora. De hecho, no se registran APT latinoamericanos ligados a servicios de inteligencia o Estados y los pocos que hay son grupos que, al parecer, solo se dedican a estafar.
Por el lado del hacktivismo de la región, aunque se han registrado incidentes de denegación de servicio y la publicación de información confidencial o privada durante momentos de tensión social, no se han registrado ataques a la infraestructura crítica con fines políticos.
*K+LAB, Fundación Karisma.