¿Qué pasaría si un grupo de hackers se hiciera con el control de alguna infraestructura crítica de otro país como un gaseoducto? Hemos hablado con algunos de los mayores expertos en ciberseguridad y defensa, y sus opiniones no son nada esperanzadoras. Nadie sabría cómo reaccionar exactamente.
El mundo se encuentra inmerso en una sutil guerra que se libra en internet. Las principales potencias del mundo, como EE. UU., China, y Rusia reciben y lanzan ataques constantes. Afortunadamente, la gran ciberguerra real todavía solo existe en la teoría y en las simulaciones. Pero, ¿qué pasaría si estallara de verdad?
Para comprender mejor cómo se desarrollaría, hemos hablado con varios expertos en ciberseguridad y seguridad nacional. Les hemos pedido que pensaran en escenarios hipotéticos, incluido uno en el que el que un grupo de hackers no identificados accede a los ordenadores, las redes y al hardware de la red de gasoductos de Nueva Inglaterra (EE. UU.).
Las posibles consecuencias irían desde el simple espionaje y el robo de propiedad intelectual hasta devastadores ataques que podrían dejar ciudades sin electricidad o, en el peor de los casos, causar incendios y daños mortales. Si una verdadera ciberguerra estallara, lo que ocurriría después dependería de quién sea el atacante, de cuáles son sus objetivos y de cómo responderían otros países.
Las distintas variables significan que no se sabe cómo sería ese escenario exactamente. Pero ponerse en lo peor nos puede ayudar a comprender mejor cómo está cambiando el concepto del conflicto y a planear cómo actuar cuando la ciberguerra llegue a nuestra puerta.
Nuestro panel estaba compuesto por algunos de los principales expertos en ciberguerra de Estados Unidos.
Sandra Joyce es la primera vicepresidenta sénior de inteligencia global de la empresa de ciberseguridad FireEye, la primera compañía en señalar abiertamente a hackers del Gobierno chino que trabajan contra empresas estadounidenses.
Richard Clarke ha trabajado en las administraciones de Bill Clinton, George W. Bush y Barack Obama. Fue uno de los primeros funcionarios de alto nivel de la Casa Blanca que se centró en la ciberseguridad.
Michael Daniel fue el zar de ciberseguridad con el presidente Obama. Ahora dirige Cyber Threat Alliance, un equipo de compañías de ciberseguridad que comparten información sobre amenazas.
Eric Rosenbach era el jefe de gabinete del exsecretario de defensa Ash Carter. Lideró la ciberactividad del Departamento de Defensa y diseñó la ciberestrategia del ejército.
John Livingston es el CEO de Verve Industrial Protection, una compañía que gestiona la ciberseguridad industrial para los proyectos que incluyen las tuberías de gas natural y otras infraestructuras críticas.
El diputado Mike Gallagher fue oficial de contrainteligencia del Cuerpo de Marines de EE. UU. y ahora es copresidente de la Comisión del Ciberespacio Cyberspace Solarium Commission, un panel de expertos encargados de formular el sistema de ciberseguridad de EE. UU.
El senador Angus King es miembro del Comité Selecto del Senado de EE. UU. sobre Inteligencia y copresidente de la Comisión del Ciberespacio Cyberspace Solarium Commission.
Hemos hablado con todos ellos por separado, y estas han sido sus respuestas:
Rosenbach: Lo primero que pasaría es que la NSA [la Agencia de Seguridad Nacional de EE. UU.] recopilaría toda su inteligencia en el extranjero. Cuando esto ocurre, se obtiene una especie de imagen borrosa de que alguien está operando en una infraestructura de gas natural. Y no siempre es posible saber si ese alguien tienen intención de arrancar con el ataque inmediatamente.
Rey: El primer problema es la atribución [es decir, determinar quién está detrás del ataque]. Ese es uno de los desafíos clave en este campo, porque los adversarios son cada vez más inteligentes con respecto a las pistas que dejan.
Le he propuesto a la Comisión del Ciberespacio que el Gobierno de EE. UU. tenga un centro de atribución que combine recursos de la NSA, el FBI, la CIA y otras agencias de inteligencia para que haya un lugar central al que acudir.
Clarke: El problema de atribución no es tan complicado como la gente piensa. En el ámbito cibernético, si estamos en los sistemas enemigos, sabremos quién lo hizo porque los veremos hacerlo. Si podemos verles en directo, tendríamos una muy buena oportunidad para descubrir quiénes son. Si se trata de un análisis post hoc o forense, entonces la atribución puede ser más difícil, especialmente porque ahora sabemos que muchos países, posiblemente también Estados Unidos, utilizan herramientas de ataque creadas por otros países. ¿Qué pasaría si usaran un ordenador con cierto tipo de teclado u otras técnicas que dejan huellas en otro país? Eso crea un problema.
Rosenbach: Luego habría que ver si se puede establecer una relación de cooperación entre [varias agencias del Gobierno de EE. UU.] para intentar averiguar dónde podría ocurrir el ataque, buscar ciertos tipos de malware que los adversarios pudieron haber usado en el pasado.
Habría que ver si es posible obtener una inteligencia más detallada. Durante todo el tiempo de trabajo en ese tipo de problemas de mitigación nacional, se puede intentar pensar en lo que sucedería en el caso de que el ataque tenga éxito y qué habría que hacer. ¿Cuál sería la respuesta a los incidentes durante el invierno si hay cientos de miles de personas, o millones, sin calefacción?
Habría que decidir si esta información se usa para enfrentarse al país atacante o no. ¿Vamos y les decimos: «Sabemos que tienen malware en la infraestructura y en la red de gas natural»? ¿Realmente habría que amenazarlos? Y luego, al igual que en el caso de las elecciones en EE. UU. de 2016, el presidente tendría que hablar con todos sus principales asesores y personal sobre si hacer pública esta información. ¿Si sabemos que un ataque está a punto de ocurrir, sería justo para la sociedad que nos guardemos esa información para nosotros? ¿Cuáles son los pros y los contras de atribuir públicamente?
Gallagher: Un problema con el que tenemos que lidiar en el cibermundo es si la dificultad de atribución crea problemas de disuasión y errores. Si queremos disuadir a un adversario de realizar un ciberataque, deberíamos ser capaces de determinar quién es el adversario y también indicar claramente cuál sería nuestra respuesta. Existe un debate sobre si deberíamos tener una política tan abierta o si eso incentivaría un comportamiento justo por debajo del umbral que determinemos como aceptable o inaceptable.
Clarke: Hace unos cuatro años, la comunidad de inteligencia quería saber quiénes eran estos [hackers]. Cuando [el Departamento de Justicia de EE. UU.] se dio cuenta de que la información estaba disponible, preguntaron a la comunidad de inteligencia si podía ser no clasificada. De manera extraordinaria, el Departamento de Justicia ganó y persuadió a la comunidad de inteligencia para que la desclasificara. Me sorprendió. Parte de esto pertenece a la estrategia de identificar y avergonzar a los perpetradores. Algunas personas creen que no es algo importante porque los hackers nunca serán arrestados, pero en realidad algunos sí que lo han sido. Deben tener mucho cuidado cuando viajan.
Rosenbach: Después de eso, se pasa a una fase en la que se intenta reunir más inteligencia para encontrar opciones para el presidente con el fin de descubrir cómo mitigar el riesgo y el impacto de un ataque como ese. Ahí es cuando todo empieza a complicarse mucho.
Clarke: El entorno cibernético puede pisar el acelerador de la guerra. Creo que eso proporciona al atacante la capacidad de hacer un daño significativo al país enemigo. Y de hacerlo muy rápidamente. Esto es lo que pasa cuando se combina lo cibernético con otras cosas típicas de la guerra, como los misiles hipersónicos y las armas impulsadas por IA, que podrían provocar que una guerra que acabe pronto, o al menos su primera fase.
Creo que a mucha gente del Pentágono le preocupa esto. Hablan mucho sobre el «ciclo de decisión». Son conscientes de que las ciberarmas significan que puede que no haya mucho tiempo para decidir cómo reaccionar. Eso crea la posibilidad de una mayor inestabilidad. Podría ofrecer un incentivo para atacar primero. Es posible que se tengan que tomar decisiones sobre cómo reaccionar antes de tener caro qué está pasando. Las guerras rápidas son algo que todavía no entendemos de verdad.
Daniel: Al igual que el poder aéreo cambió cómo los ejércitos aplicaban la fuerza y abría opciones, creo que el ciberespacio hace lo mismo, ya que ofrece nuevos canales para el conflicto. Algunas de las nuevas físicas y matemáticas del ciberespacio implican que, por ejemplo, la distancia ya no significa lo mismo. Es posible causar un efecto físico en el otro lado del planeta sin tener que estar ni remotamente cerca del tipo de inversión necesaria para hacerlo físicamente.
Joyce: En el tipo de conflicto de un ejército contra otro, Estados Unidos tiene una clara ventaja. Algún otro país se acerca, pero esencialmente EE. UU. supera a todos. Cuando los países quieren desafiar a Estados Unidos, no pueden hacerlo por las vías en las que Estados Unidos es fuerte. Entonces optarán por otras.
Rosenbach: Las naciones rivales de Estados Unidos se han dado cuenta de que la asimetría de las ciberoperaciones y las de información es una gran ventaja para ellas. El ejemplo más importante y claro sería el de Corea del Norte, con increíble habilidad ciberoperativa. Deberíamos pensar en algunos de los ataques que han hecho en el pasado y en las cosas que hacen ahora con ransomware para recaudar dinero a través de criptomonedas para superar las sanciones económicas.
El hecho de que tengan muy poca infraestructura de telecomunicaciones e informática y, por lo tanto, no sean vulnerables, [hace que] sus ciberherramientas sean aún mejor para ellos. Eso significa [que] si EE. UU. u otros países intentaran descubrir cómo mitigar el impacto de las ciberoperaciones de Corea del Norte, tendrían que recurrir o a las sanciones económicas, donde no quedan muchas opciones, o directamente a las operaciones militares, donde se corre el riesgo de una escalada excesiva.
Entonces, los rusos, por supuesto, lo han perfeccionado totalmente usando ciberoperaciones y operaciones informativas bastante agresivas y la guerra híbrida. Ucrania es un gran ejemplo de eso. Los rusos atacan tanto a su red como a sus procesos electorales. Por supuesto, también atacan las elecciones estadounidenses.
Un ejemplo más reciente es lo que hizo el Cibercomando de EE. UU. contra el Cuerpo de la Guardia Revolucionaria Islámica de Irán para intentar crear un impacto en ellos, limitar la efectividad de esa organización militar iraní y controlar la escalada para que no se convierta en un conflicto más amplio.
Rey: Me preocupan mucho los gaseoductos. Nuestro sistema de tuberías de gas no tiene los mismos tipos de controles y requisitos que la red eléctrica, aunque, en mi opinión, el sistema de forma parte de la red eléctrica porque la mayoría de nuestra energía proviene del gas natural.
Gallagher: Alrededor del 85 % de la infraestructura crítica [en EE. UU.] es propiedad del sector privado. Ese es un desafío muy difícil. Se trata de algo especial del cibermundo, en muchos casos, y requiere que el Departamento de Defensa de EE. UU. y la comunidad de inteligencia operen de una manera un poco diferente. Quizás haya un poco más de comunicación en términos de la información que están dispuestos a compartir con el sector privado.
Livingston: Históricamente, la defensa nacional siempre ha sido responsabilidad del Gobierno. Se crea una armada, un ejército, se defienden las fronteras. El papel del sector privado se ha limitado a proporcionar las herramientas necesarias para ese ejército o armada. Pero si avanzamos 20, 30, 50 años, de repente vemos un mundo donde la seguridad nacional depende del sector privado y no del Gobierno. ¿Cuál es el papel del Gobierno en un mundo donde mi seguridad depende de en qué decidan gastar dinero mis servicios públicos? ¿O en qué decide invertir ese gasoducto con ánimo de lucro? ¿O en qué decide gastar dinero esa planta química ubicada a 80 kilómetros de mí? Se trata de un asunto muy difícil de política pública, y no lo solucionaremos, creo, hasta que, desafortunadamente, ocurra un incidente importante.
Rey: Me parece evidente que no tenemos una doctrina, no tenemos estrategia y no tenemos una política que disuada a los adversarios. Somos una meta fácil. ¿Por qué no atacarnos en el ciberreino si es posible hacerlo con relativa impunidad? Hasta que no desarrollemos cierta capacidad de disuasión y también una mejor capacidad de recuperación, esto seguirá pasando.
Fuente: www.technologyreview.es
