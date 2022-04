Reflexiones

Fernando Álvarez Simán

“El supremo arte de la guerra es doblegar al enemigo sin luchar”

Sun Tzu

Los datos recopilados indican que, desde marzo de este año, piratas informáticos rusos habían penetrado los servidores informáticos de varias dependencias de gobierno americanas. Sin embargo, es hasta hace exactamente ocho días que el gobierno de Estados Unidos dio cuenta públicamente de la situación. El ataque es ya calificado como el más grande y exitoso de la historia. Todo comenzó el día 12 de este mes cuando una empresa americana llamada “SolarWinds” que desarrolla software para empresas para ayudarlas a administrar sus redes, sistemas e infraestructura de tecnología de la información; informó públicamente que había sido “pirateada” y recomendaba a sus clientes que se desconectaran de uno de sus productos clave, la “plataforma Orion”, que se usa para monitorear redes. La alarma se apoderó de la industria tecnológica americana y de las dependencias de gobierno, porque “SolarWinds” tiene como clientes a dependencias estratégicas americanas, tanto militares como civiles. De manera tal que paulatinamente; durante esta semana que termina se fue conociendo que los Departamentos del Tesoro y Comercio, luego la Agencia Nacional de Seguridad Nacional, el Instituto Nacional de Salud e incluso el laboratorio de armas nucleares de Los Alamos se vieron comprometidos con la penetración de piratas informáticos. Los rumores apuntaban desde el principio que detrás del ataque, era el gobierno ruso el directamente responsable. Rápidamente el Ministerio de Relaciones Exteriores de Rusia describió como infundado el rumor de la responsabilidad de su gobierno. Pronto también el FBI declaró que está investigando “para atribuir, perseguir e interrumpir a los actores responsables de la amenaza”. Además, ex asesores en materia de seguridad nacional del presidente Donald Trump declararon que, aunque era difícil conocer rápidamente la magnitud del ataque cibernético en curso, los rusos han tenido acceso a un número considerable de redes importantes durante los últimos seis o nueve meses y que el ataque ha consistido prácticamente en el robo de datos del gobierno. Pero, sobre todo, que este ataque se debió al descuido de la empresa proveedora del servicio a las dependencias americanas. Desde el 2017 la comunidad cibernética americana había alertado que el software de la empresa “SolarWinds” tenía serias deficiencias técnicas que lo hacían vulnerable para el saqueo de datos. Incluso, el gobierno americano había denunciado a “ciberdelincuentes” que vendían datos del gobierno, que la empresa debía proteger. Ese descuido, ha vuelto vulnerable a 18 mil clientes de la empresa relacionados con el gobierno, solo en Estados Unidos. Hasta el momento, las investigaciones han demostrado que el hackeo inició en el momento en que los equipos informáticos piden una actualización y el usuario la acepta. Esa actualización generaba una contraseña predeterminada “SolarWinds123” que para los atacantes fue una puerta fácilmente abierta. Además, el gigante de la industria, Microsoft utiliza en sus equipos el software de la empresa. Por lo que se cree que la magnitud del ataque puede ser gigantesco. En consecuencia, la empresa ya ha bloqueado las actualizaciones automáticas de sus equipos para evitar más efectos negativos del ciberataque. los usuarios de “SolarWinds” son administradores de redes, es decir, personas que tienen en sus labores, acceso privilegiado; ya sea porque administran páginas o les dan mantenimiento. Entonces, hacer a la empresa blanco de un ciberataque, significa obtener acceso instantáneo a las cuentas más valiosas de sus clientes. Norteamérica está bajo ataque y la magnitud de este todavía es difícil de cuantificar. Los ciber espías rusos y el peligro de sabotaje. Es claro que al iniciarse el ataque cibernético desde marzo y haber sido público su descubierto en diciembre, la línea de tiempo es altamente duradera. Esos meses seguramente les dieron a los piratas informáticos una amplia oportunidad para extraer información de muchos objetivos, incluido el monitoreo del correo electrónico y otras comunicaciones internas de las dependencias de gobierno. El 22 de octubre de 2020, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA por sus siglas en inglés) y el FBI lograron la identificación del primer atacante; se trataba de un ciber pirata conocido como “Bersek Bear”, un colectivo que el gobierno americano cree es patrocinado por el FSB de Rusia, es decir; la agencia sucesora de la KGB. La empresa SolarWinds dijo que creía que la inserción de malware, es decir de un programa informático espía en su sistema “Orion”, había sido realizada por una nación extranjera. Pronto la noticia transcendió a los periódicos más importantes del país. El propio The Washington Post dice que los grupos responsables del ataque estaban agrupados en un colectivo ruso denominado “Cozy Bear”. Fue 15 de diciembre, tres días después de hacerse público el ataque que el senador demócrata Richard Blumenthal confirmó que el gobierno estadounidense creía que Rusia era responsable del ataque. Aunque nadie del poder ejecutivo federal había desmentido o confirmado públicamente que el gobierno ruso está detrás del ataque cibernético. “Cozy Bear” que también puede recibir otros nombres, son un grupo que es también conocido por acechar silenciosamente en las redes, a menudo durante meses, espiando sus objetivos y esperando pacientemente por encontrar una puerta de entrada a los archivos de sus espiados. Incluso, expertos en seguridad cibernética afirman que el grupo tiene la capacidad de acechar las redes informáticas desde tres meses antes de poder ser detectado. Los expertos en ciberseguridad advierten que, si bien los piratas informáticos de “Cozy Bear” no sabotean, sino que roban información y se la entregan a su gobierno, en este caso el ruso; el peligro es que en un determinado momento causen estragos en el sistema financiero, eléctrico, de impuestos, etcétera de una ciudad o de un país. En ese sentido, la alerta es que el grupo está altamente capacitado para el sabotaje si lo desea o si el grupo comienza a desertar del gobierno ruso. De hecho, en el 2015, un grupo de piratas informáticos ruso patrocinados por su gobierno, provocó un apagón extenso en Ucrania, durante el conflicto diplomático entre los dos países que culminó con la anexión de Crimea a Rusia.

El impacto del ataque Tan pronto como tuvo certeza del ataque, CISA elaboró un mapa sobre las organizaciones y dependencias de gobierno atacadas por “Cozy Bear”. El saldo fue de 75 aeropuertos, cuatro aerolíneas, 13 ciudades, cuatro condados, tres estados y docenas de otros objetivos en aviación, defensa, tecnología de la información, atención médica, transporte y otras industrias. Además, el informe incluye las cinco ramas del ejército estadounidense, el Pentágono, el Departamento de Estado, el Departamento de Justicia, la NASA, la Oficina Ejecutiva del Presidente, la Agencia de Seguridad Nacional y las 10 principales empresas de telecomunicaciones de Estados Unidos. Apenas el jueves pasado la empresa Microsoft lanzó un comunicado en donde afirmaba que los afectados por el ciberataque eran docenas de empresas de seguridad y otras empresas de tecnología, así como organizaciones no gubernamentales. Afirmaba también que, si bien la mayoría de los afectados por el ataque se encontraban en Estados Unidos, la empresa había identificado víctimas adicionales en Canadá, México, Bélgica, España, Reino Unido, Israel y los Emiratos Árabes Unidos. Entre las víctimas dice la empresa, se encuentran empresas gubernamentales, de consultoría, tecnología, telecomunicaciones y de petróleo y gas en América del Norte, Europa, Asia y Oriente Medio y que es seguro que el número y la ubicación de las víctimas seguirá creciendo», agregó Microsoft. Apenas el viernes, el gobierno americano reaccionó, el secretario de Estado Mike Pompeo dijo que Rusia era “claramente” responsable. Pero sorprendentemente, ayer sábado, el presidente Trump, al abordar vía redes sociales públicamente los ataques por primera vez, sostuvo que China, en lugar de Rusia, podría ser responsable del ciberataque. Trump publicó en Twitter que “Rusia es el objetivo prioritario cuando algo sucede” porque los medios temen discutir la posibilidad de la participación de Beijing. Sin embargo, el presidente Trump no citó sus razones para sospechar de China. La vulnerabilidad americana Hasta el momento, los ciberataques entre gobiernos se han reducido al robo de información. Pero cada vez es más evidente que es posible que varios países hayan desarrollado la capacidad de poder sabotear cibernéticamente la infraestructura de otro país. Cuando ese sabotaje se concrete, es posible que llegue lo que se conoce como la “vulnerabilidad del día cero”. El gobierno de Estados Unidos aún no sabe qué tan profundamente los piratas informáticos rusos penetraron en sus redes durante el peor ataque cibernético de la historia contra las agencias federales. Sobre todo, por conflictos internos entre el ejecutivo federal y las dependencias de gobierno. CISA, la principal agencia de ciberseguridad del país careció durante todo el año de un director con la confianza del presidente. Su director fue despedido por Donald Trump en noviembre de este año. Incluso, el Departamento de Seguridad Nacional, la dependencia de la cual depende CISA, carecía de Secretario, Vicesecretario y subsecretarios confirmados en su cargo por el Senado. El propio Senado americano, ante la evidencia del ataque, ha dicho que las ciberdefensas del país son “extraordinariamente vulnerables y débiles”. Se observa también la relación política tan estrecha que se afirma tienen los presidentes Donald Trump de Estados Unidos y Vladimir Putin de Rusia. Por ello, el desastre de la administración de Trump en temas de seguridad y el poco tiempo que tiene ya como el presidente americano, implica que dejará a su sucesor, Joe Biden, tomar represalias mediante sanciones, cargos penales u otros medios a su alcance. En un comunicado el jueves, el presidente electo dijo que su administración “hará de esta brecha, una prioridad absoluta desde el momento en que asuma el cargo”. Sin embargo, para los expertos en los temas de ciberseguridad, el daño podría tardar años en repararse. Primeramente, porque no se sabe con certeza qué redes controlan los rusos y el alcance del ataque. El temor fundado entre la clase política americana es que el ataque ruso no sea simplemente un robo de datos; sino que el primer paso para intentos de sabotaje futuros. La certeza es que el mundo está en peligro de que eventualmente en el futuro, ese tipo de ataques sean masivos.

*Docente-Investigador de la Universidad Autónoma de Chiapas