En la víspera de Navidad de 2014, una región de Ucrania –llamada Ivano-Frankivsk– con 1,4 millones de habitantes, se quedó sin electricidad por unas horas. Fue la primera vez que un apagón lo causó un ataque cibernético.
Investigaciones de firmas de ciberseguridad como Kaspersky y ESET descubrieron que el corte se originó por un troyano (ver Glosario) llamado BlackEnergy, del que se oyó hablar por primera vez en 2007. Pese a la pesquisa de especialistas en estos temas no se pudo establecer de dónde provenía el ataque. Ni siquiera tuvieron información georreferenciada, por lo que la agresión no se pudo atribuir a un lugar o a un grupo concreto.
Esto marcó un precedente en el ataque a infraestructuras críticas (aquellas de las que depende el funcionamiento de una sociedad porque prestan servicio de agua, electricidad, gas o petróleo) y abrió el interrogante de si la tecnología permitirá en el futuro hablar de una “guerra cibernética”.
Existen dos factores que, desde el punto de vista tecnológico, hacen muy complejo poner estas agresiones en términos de una guerra: en el mundo de los ataques informáticos es casi imposible atribuirlos (saber desde dónde se ejecutan) y también evitarlos. Una vez ejecutado el software con código malicioso es casi imposible detener sus efectos.
Le puede interesar: Si al creador de Amazon le hackearon el teléfono, ¿a mí qué?
“Mientras no se pueda rastrear y no existan protocolos para detener una agresión, estamos hablando de ciberterrorismo”, comenta el especialista en seguridad informática de la empresa Adalid, Axel Díaz, y añade que a diferencia de una ciberguerra (que no se ha visto hasta el momento en la historia), estas agresiones no son nuevas. Los gobiernos llevan más de 10 años estudiando a profundidad cómo defenderse.
Desde el Derecho Internacional Humanitario todavía no están claras las reglas del juego para este tipo de ataques (ver Análisis) y la tecnología evidencia que no se pueden tratar de la misma forma que las guerras convencionales.
¿Cómo sería el panorama?
Explica Camilo Gutiérrez, jefe de laboratorio de la firma de seguridad informática ESET, que en una ciberguerra dos estados se atacan entre sí de forma declarada, ya no mediante misiles o tropas de un ejército sino con operaciones invisibles a las cámaras de los medios de comunicación.
Se habla de apagones, errores en las plantas de tratamiento de agua y agresiones a los sistemas financieros y bancos más importantes de un país.
Otro caso emblemático en la historia de los ataques a infraestructuras críticas por la vía cibernética sucedió en 2010 con Stuxnet, el primer malware que afectó un sistema industrial.
Este tipo de ataque era un gusano, y pasó a la historia porque logró hacer más lento el proceso de enriquecimiento de uranio en una instalación nuclear iraní, lo que “demoró el proceso de creación de armas nucleares por parte de este país”, escribió en su momento la compañía de ciberseguridad bielorrusa VirusBlokAda, que descubrió este sabotaje en junio de 2010.
Como Stuxnet no tenía precedente se convirtió en la obsesión de hackers, que buscaban descubrir de dónde provenía un código tan silencioso, sofisticado y eficiente. Seis años después se logró comprobar la relación de esta embestida con Estados Unidos.
Jorge Imues, director de operaciones de la multinacional en ciberseguridad de A3SEC, explica cómo se llegó a esta conclusión. “Un grupo de hackers llamado The Shadow Brokers logró meterse en archivos secretos de la Agencia de Seguridad Nacional de Estados Unidos (NSA) y robar un código malicioso que se puso en venta en el mercado negro.
Como no lo pudieron vender, lo hicieron público y cuando las firmas comenzaron a analizar la arquitectura de este código vieron que tenía la misma programación que Stuxnet”, señala Imues.
Los expertos señalan que este ha sido el único caso en el que se ha logrado establecer una relación y añaden que cuando se trata de golpes a infraestructuras críticas, los códigos son tan complejos que los hackers que los desarrollan están preparados para no dejar rastro.
“Si un hacker hace bien su trabajo no se puede localizar; si se ubica, seguramente no será real. Entonces es un campo mucho más robusto para generar una guerra, aunque suene más sencillo”, señala Axel Díaz, quien también es abogado y tiene certificación para investigación forense informática.
Le puede interesar: Hackers, el lado bueno de un oficio oculto
Anonimato y silencio
Otro punto que preocupa frente a un escenario de ciberguerra es que los ataques son mucho más silenciosos que las agresiones convencionales, por eso no se pueden evitar.
Así lo explica Álvaro Ospina, profesor de la especialización en seguridad informática de la Universidad Pontificia Bolivariana. “En seguridad es imposible parar un ataque al 100 %. Lo que se puede hacer es mitigar la agresión para reducir el impacto”, apunta Ospina y añade que todo el tiempo están ocurriendo intentos de agresiones y muchas veces ni los especialistas encargados de vigilar ni los usuarios comunes se dan cuenta.
Eso sucede, por ejemplo, con los atentados a los sistemas financieros, otro de los objetivos que tienen los cibercriminales.
Según un informe de la OEA de 2019 sobre riesgos cibernéticos para el sector bancario en América Latina, el 92 % de las entidades identificó algún tipo de evento (embates exitosos y no exitosos) de seguridad digital en 2018. El 37 % manifestó que fueron víctimas de ataques que cumplieron su cometido.
Estas cifras han hecho que los gobiernos y encargados de la seguridad en los bancos refuercen sus controles, con un concepto que Imues define como defensa en profundidad. “Consiste en añadir capas de seguridad, en la que el ciberatacante debe saltar obstáculos como el perímetro, firewall, IPS, la segmentación de red, entre otros, para llegar a una especie de búnker”.
También existen otras iniciativas que buscan aplicar las reglas del derecho internacional a las agresiones cibernéticas. Es el caso del Manual Tallin (2013). Sin embargo, esta es una iniciativa académica y no es vinculante (no está sujeta a la obligación de cumplirse por parte de los Estados).
Mientras la tecnología avanza en sus formas de ataque y crecen las tensiones geopolíticas, expertos en ciberseguridad sugieren la necesidad urgente de establecer protocolos para que en un futuro los ataques sean entre objetivos militares y las agresiones, aunque sean cibernéticas, no afecten a civiles.
