En las últimas décadas, más de 40 estados han establecido públicamente algún tipo de comando cibernético militar, con al menos una docena más planeando hacerlo. Sin embargo, a pesar de esta proliferación, todavía hay poca apreciación de la gran cantidad de tiempo y recursos que requiere un comando cibernético efectivo.
En mi libro No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, desgloso los desafíos de construir un comando cibernético efectivo en cinco categorías que llamo marco PETIO: personas, exploits , conjunto de herramientas, infraestructura y estructura organizativa. ¿Qué significa esto para los aspirantes a poderes cibernéticos? En primer lugar, el elemento más importante para desarrollar una capacidad cibernética ofensiva son las personas, no solo las que tienen conocimientos técnicos, sino también los lingüistas, los analistas, el apoyo de la oficina principal, los estrategas, los expertos legales y los consultores específicos de operaciones. En segundo lugar, se ha prestado mucha atención a la implementación por parte de los estados de exploits de día cero o desconocidos. Sin embargo, las vulnerabilidades y herramientas conocidas también pueden ser muy efectivas si el atacante tiene un conocimiento superior de su objetivo y sus capacidades. En tercer lugar, las inversiones en infraestructura, como establecer un rango cibernético para capacitación y pruebas, son un requisito esencial para desarrollar una capacidad cibernética ofensiva y tienen un gran costo.
Hazte miembro
Las personas técnicas no son suficientes
Una opinión generalizada en la gestión empresarial es que a medida que aumentan las habilidades cognitivas de un trabajo, las personas, en lugar de la tecnología, se vuelven más importantes. Estos “trabajos de pensamiento”, como los llama Daniel Pink, requieren mayores habilidades para resolver problemas y pensamiento creativo, lo que significa que las empresas solo pueden tener éxito si cultivan una cultura que prioriza el elemento humano. Para los aspirantes a poderes cibernéticos, esto es cierto para más que solo expertos técnicos.
Por supuesto, una ciberorganización militar necesita analistas de vulnerabilidades o cazadores de errores. Estos empleados buscan vulnerabilidades de software. También necesitan desarrolladores, operadores, evaluadores y administradores de sistemas para ejecutar con éxito una operación y asegurarse de que las capacidades se desarrollen, implementen, mantengan y prueben de manera confiable.
Pero construir una capacidad cibernética ofensiva también requiere una fuerza laboral más completa. Primero, se requiere asistencia de primera línea para respaldar las actividades de los operadores y desarrolladores. Esto puede incluir actividades como el registro de cuentas o la compra de capacidades de empresas privadas. En segundo lugar, una organización militar o de inteligencia con la mejor fuerza cibernética del mundo está condenada al fracaso sin una guía estratégica. El éxito operativo o táctico no equivale a una victoria estratégica. Una operación puede ejecutarse perfectamente y depender de un código impecable, pero esto no conduce automáticamente al éxito de la misión. Por ejemplo, el Comando Cibernético de EE. UU. puede borrar con éxito los datos del servidor de una compañía petrolera iraní sin asegurar ningún cambio en la política exterior iraní. Una organización solo puede funcionar si existe una comprensión clara de cómo los medios disponibles lograrán los fines deseados. Una tarea importante de los estrategas es coordinar actividades con otras unidades militares y estados socios. También participan en la selección de paquetes objetivo, aunque a menudo se crea una posición separada para los "objetivos". Los targeteers nominan objetivos, evalúan los daños colaterales, gestionan la eliminación de conflictos y ayudan con la planificación del proceso operativo.
Cualquier agencia militar o civil que realice operaciones cibernéticas como parte de un gobierno con un marco legal también se enfrentará a un ejército de abogados. Estos expertos legales participarán en la capacitación, el asesoramiento y el seguimiento. El cumplimiento del derecho de la guerra, el derecho de los conflictos armados y cualquier otro mandato legal requiere capacitación legal de operadores, desarrolladores y administradores de sistemas para prevenir violaciones. Los expertos legales brindan apoyo en la planificación mientras asesoran, revisan y monitorean los planes operativos. Por ejemplo, en la planificación de la Operación Sinfonía Brillante de 2016 del Comando Cibernético de EE. UU., que buscaba interrumpir y negar el uso de Internet de ISIL, estos expertos ayudaron a especificar el plan de notificación, la lista de verificación de la misión y el proceso de autorización.
Incorporar expertos legales en las diversas etapas de una operación cibernética es difícil. De hecho, es probable que requiera numerosas conversaciones críticas con los equipos de liderazgo y operativos para garantizar que comprendan suficientemente lo que se propone antes de que puedan dar su aprobación. Además, la forma en que se ejecutan ciertas operaciones dificulta la investigación legal. Por ejemplo, en el caso del malware autopropagante como Stuxnet, una vez que se compromete, es difícil volver atrás.
Entonces se necesita un grupo diverso de analistas técnicos para procesar la información durante y después de las operaciones. Los analistas no técnicos también son esenciales, particularmente para comprender cómo las personas en la red objetivo responderán a una operación cibernética. Esto requiere analistas con conocimientos específicos sobre el país, la cultura o la organización objetivo. También existe la necesidad de personal remoto. Como dice el investigador de seguridad y ex empleado de la NSA, Charlie Miller, "la guerra cibernética todavía cuenta con la ayuda de seres humanos ubicados en todo el mundo y que realizan acciones encubiertas". En el caso de los ataques de Stuxnet, por ejemplo, un topo holandés, haciéndose pasar por mecánico, ayudó a Estados Unidos e Israel a recopilar inteligencia sobre las centrífugas nucleares iraníes que se utilizaron para actualizar e instalar el virus.
Finalmente, un comando cibernético necesita administradores para recursos humanos, enlace con otras instituciones nacionales e internacionales relevantes y hablar con los medios. Como observa Jamie Collier, “[G]anulados quedaron los días en que las agencias de espionaje no existían oficialmente” y mantenían “su personal y sus actividades resguardadas subrepticiamente de la vista del público”. La comunicación puede ayudar a superar el escepticismo público. Esto se aplica no solo a las agencias de inteligencia, sino también, hasta cierto punto, a los cibercomandos militares, especialmente cuando su conjunto de misiones se está expandiendo y aumentan las preocupaciones sobre la escalada, el deterioro de las normas o la fricción entre aliados. Además, estar más orientado al público puede ayudar a fines de contratación en un mercado laboral altamente competitivo.
Se trata de algo más que de días cero
El elemento del que más se habla para desarrollar una capacidad cibernética ofensiva son los exploits. Estos se dividen en tres categorías diferentes: exploits de día cero, exploits de N-day sin parches y exploits de N-day parcheados. Un exploit de día cero es aquel que expone una vulnerabilidad desconocida para el proveedor. Un exploit de día N sin parches es aquel que expone una vulnerabilidad en el software o hardware que el proveedor conoce pero que no tiene un parche para corregir la falla. Un exploit de día N parcheado es aquel que expone una vulnerabilidad en software o hardware que el proveedor conoce y tiene un parche para corregir la falla. A menudo, los atacantes deben combinar múltiples vulnerabilidades en una cadena de ataque, conocida como cadena de explotación, para atacar un objetivo determinado.
Se dedica mucha atención política al acaparamiento de los días cero por parte de los estados. Jason Healey, investigador sénior de la Escuela de Asuntos Internacionales y Públicos de la Universidad de Columbia, realizó un estudio en 2016 para comprender cuántas vulnerabilidades de día cero conserva el gobierno de EE. UU. Healey afirma con gran confianza que en 2015/2016 el gobierno de EE. UU. retuvo “[n]o cientos o miles por año, sino probablemente docenas”. Esto se corresponde en gran medida con otros informes. Las organizaciones militares y de inteligencia más maduras se benefician de procedimientos cuidadosamente diseñados para utilizar sus hazañas de la manera más eficiente posible.
Sin embargo, no debemos exagerar la importancia de los días cero. “[La gente] piensa, los estados-nación, están funcionando con este motor de cero días, sales con tu llave maestra maestra y abres la puerta y estás adentro. No es eso”, Rob Joyce, entonces -jefe de la Oficina de Operaciones de Acceso Personalizado de la NSA, dijo durante una presentación en la Conferencia Enigma. Continuó: “Tome estas grandes redes corporativas, estas grandes redes, cualquier red grande: le diré que la persistencia y el enfoque lo llevarán, lograrán esa explotación sin los días cero. Hay muchos más vectores que son más fáciles, menos riesgosos y, a menudo, más productivos que seguir ese camino”.
De hecho, para las organizaciones cibernéticas militares en particular, la carrera por los N-días suele ser igual de importante. En la implementación de vulnerabilidades de día N, los ataques pueden aprovechar el tiempo que lleva desarrollar un parche y el tiempo que lleva adoptar un parche. El retraso promedio en parchear un exploit difiere según el tamaño del proveedor, la gravedad de la vulnerabilidad y la fuente de la divulgación. Si bien las aplicaciones web en producción tardan un promedio de poco más de un mes en parchear las "vulnerabilidades medianamente graves", los proveedores tardan en promedio 150 días en parchear las vulnerabilidades en los sistemas de control de supervisión y adquisición de datos. La adopción del parche también puede llevar una cantidad de tiempo considerable, especialmente en entornos que carecen de estandarización, como los sistemas de control industrial. En parte debido al largo tiempo de preparación de parches de sistemas de control industrial, hemos sido testigos de varios ataques destacados contra estos dispositivos y protocolos. Por ejemplo, en diciembre de 2016, un grupo de piratas informáticos respaldado por el Kremlin conocido como Sandworm usó malware llamado CrashOverride o Industroyer para oscurecer gran parte de Ucrania. Para hacer esto, los atacantes eludieron los sistemas protegidos automatizados en una subestación de transmisión eléctrica de Ucrania utilizando una vulnerabilidad conocida en sus relés SIPROTEC de Siemens.
Las pruebas y la infraestructura importan
Existe la creencia generalizada de que lanzar ciberataques es barato mientras que defenderse de ellos es caro. Pero, como observó Matthew Monte, en base a su experiencia en la comunidad de inteligencia de EE. UU., "los atacantes no se tropiezan para estar 'bien una vez'. Dedican el tiempo y el esfuerzo para construir una infraestructura y luego trabajan a través de las supuestas '10,000 formas de que Thomas Edison no funcionará'”. Esto requiere infraestructura, un elemento absolutamente crucial de la capacidad cibernética del que no se habla lo suficiente. La infraestructura se puede definir en términos generales como los procesos, las estructuras y las instalaciones necesarias para llevar a cabo una operación cibernética ofensiva.
La infraestructura se divide en dos categorías: infraestructura de control e infraestructura preparatoria. La infraestructura de control se refiere a los procesos utilizados directamente para ejecutar una operación. Estos generalmente se queman después de una operación fallida. Este tipo de infraestructura puede incluir nombres de dominio de sitios de phishing, direcciones de correo electrónico filtradas u otras tecnologías abusadas. También incluye la infraestructura de comando y control utilizada en operaciones realizadas de forma remota que mantienen comunicaciones con sistemas comprometidos dentro de una red de destino. Esta infraestructura se puede utilizar, por ejemplo, para realizar un seguimiento de los sistemas comprometidos, actualizar malware o filtrar datos. Según el objetivo y los recursos de una operación, la infraestructura de comando y control puede ser tan básica como un solo servidor que opera en la red externa.
Los actores más maduros, sin embargo, tienden a utilizar una infraestructura y técnicas más complejas para mantenerse sigilosos y resistentes a los derribos. Por ejemplo, Fancy Bear, con sede en Rusia, gastó más de $ 95,000 en la infraestructura que utilizó para dirigirse a las personas involucradas en las elecciones presidenciales de EE. UU. de 2016. Y esto a menudo se trata de mucho más que solo alquilar infraestructura: una organización puede ejecutar un conjunto completo de operaciones solo para comprometer servidores web legítimos para usarlos para ejecutar operaciones futuras.
La infraestructura preparatoria se refiere a un conjunto de procesos que se utilizan para ponerse uno mismo en un estado de preparación para realizar operaciones cibernéticas. Rara vez un atacante desechará esta infraestructura después de una operación (fallida).
Una de las cosas más difíciles de hacer cuando se crean buenas herramientas de ataque es probarlas antes de implementarlas. Como señala Dan Geer, un destacado experto en seguridad informática: "Saber qué encontrará su herramienta y cómo lidiar con eso es seguramente más difícil que encontrar una falla explotable en sí misma". Gran parte de la infraestructura preparatoria para un ataque generalmente consiste en bases de datos utilizadas en el mapeo de objetivos. Un atacante necesitará trabajar mucho para encontrar sus objetivos. Los ejercicios de mapeo de red pueden ayudar a una organización a comprender el rango de posibles objetivos, a veces también denominados "adquisición de objetivos". Por lo tanto, los actores más maduros en este espacio han invertido enormes recursos en herramientas de mapeo de redes para identificar y visualizar dispositivos en ciertas redes.
También hay otras bases de datos dirigidas. Por ejemplo, GCHQ mantiene una base de datos especial que almacena detalles de las computadoras utilizadas por ingenieros y administradores de sistemas que trabajan en "centros de operaciones de red" en todo el mundo. La razón por la que los ingenieros y los administradores de sistemas son objetivos particularmente interesantes es porque administran redes y tienen acceso a grandes cantidades de datos.
Un caso ilustrativo y de alto perfil es el hackeo de Belgacom, un proveedor belga de telefonía e Internet de propiedad parcialmente estatal con la Comisión Europea, el Parlamento Europeo y el Consejo Europeo como parte de su base de clientes. La agencia de espionaje británica GCHQ, posiblemente asistida por otros miembros de Five-Eyes, usó malware que había desarrollado para obtener acceso a los enrutadores GRX de Belgacom. A partir de ahí, podría emprender “ataques Man in the Middle”, lo que hizo posible interceptar en secreto las comunicaciones de los objetivos en roaming usando teléfonos inteligentes. Como descubrieron los reporteros, el Belgacom Hack, cuyo nombre en código es Operación Socialista, “ocurrió en etapas entre 2010 y 2011, cada vez penetrando más profundamente en los sistemas de Belgacom, comprometiendo eventualmente el núcleo mismo de las redes de la compañía”.
Prepararse para los ataques cibernéticos también requiere crear un rango cibernético. Esta es una plataforma para el desarrollo y uso de entornos de simulación interactivos que se pueden utilizar para la capacitación y el desarrollo de capacidades. En los últimos años, las empresas han invertido cada vez más en gamas cibernéticas, basadas en tecnología en la nube. Estos rangos se desarrollan en proveedores de nube pública, como Amazon Web Services, Microsoft Azure o Google, o redes de nube privada implementadas en las instalaciones. Los rangos cibernéticos en la nube generalmente brindan entornos de aprendizaje prácticos flexibles con escenarios convenientes de hacer clic y jugar para la capacitación. Sin embargo, para las organizaciones cibernéticas militares, los rangos convencionales no basados en la nube siguen siendo preferibles, dada la necesidad de entornos de simulación altamente personalizables y pruebas y capacitación operativas a medida.
Al tratar de mantenerse al día con el rápido ritmo de desarrollo de los conflictos cibernéticos, muchos comentarios de expertos se han centrado en si las operaciones de efectos cibernéticos pueden producir ventajas estratégicas o verse influenciadas por las normas. Sin embargo, primero debemos abordar una pregunta más fundamental: ¿Cuándo pueden los estados realmente realizar operaciones en primer lugar? Si bien la proliferación de comandos cibernéticos militares sugiere que se están produciendo cambios importantes en la guerra cibernética, hacer que estas organizaciones trabajen sigue siendo mucho más difícil y costoso de lo que parece.
Hazte miembro
Este ensayo se basa en No Shortcuts: Why States Struggle to Develop a Military Cyber-Force, publicado con Oxford University Press y Hurst Publishers en mayo de 2022.
Max Smeets es investigador sénior en el Centro de Estudios de Seguridad de ETH Zúrich y director de la Iniciativa Europea de Investigación de Conflictos Cibernéticos,
Imagen: Joseph Eddins, Revista Airman
Comentario