¿Están las víctimas de ataques contraatacando como venganza? Esta pregunta fue planteada en titulares y entrevistas. Creo que hay varias buenas razones para no meterse en el contraataque, por más tentador que sea hacerlo; enumeraré esas razones luego de repasar los antecedentes de esta estrategia y analizar el lugar que ocupa dentro de la ciberseguridad cibernética.

Contraataque vs. engaño activo

Probablemente debería empezar diciendo que entiendo la necesidad de contraatacar, ya sea contra los autores de un ataque de denegación de servicio distribuido (DDoS) que cerró tu sitio web o contra los ladrones que robaron los datos de tus clientes. Estos criminales parecen estar llevando a cabo sus actividades maliciosas con impunidad. Los organismos encargados de la aplicación de la ley no logran que se detengan, ni hablar de identificar quiénes son y llevarlos ante la justicia.

Para empresas e individuos, realizar ataques de denegación de servicio es ilegal

Y mientras tanto están allí, en el otro extremo de una conexión que establecieron con tu sistema. La necesidad de contraatacar o perjudicarlos de alguna manera es fuerte. Sin embargo, mi consejo es dejar pasar este impulso para evitar los inimaginables riesgos más graves que acarrea un contraataque.

Por suerte, si quieres meterte con los intrusos de tu red, existe una categoría lo suficientemente sólida a la que llamamos "engaño activo" y que pertenece al ámbito de la seguridad conocido como la Defensa activa. Hay un interesante paper de Josh Johnson disponible en el sitio de SANS sobre la implementación del engaño activo en redes privadas, donde describe una serie de técnicas para "identificar y frenar a los atacantes que ya establecieron puntos de control en las redes privadas antes de que lleguen a extraer los datos".

Observa el término empleado: "redes privadas". El hecho de que te estés metiendo con intrusos dentro de tu red privada es una distinción legal y táctica muy importante. Si insistes en atacar por venganza fuera de tu propio dominio, ten en cuenta las razones que enumero a continuación. También te recomiendo hacer estas tres promesas:

"No voy a contraatacar hasta que...

  1. Ya haya probado el engaño activo.
  2. Esté seguro de que las defensas de mi red son capaces de soportar cualquier contra-contraataque.
  3. Tenga el permiso de un abogado por escrito".

Razón #1 para no contraatacar: es ilegal

Tanto para empresas como individuos, llevar a cabo ataques de denegación de servicio es ilegal. Acceder a un sistema que no te pertenece es ilegal. Distribuir código diseñado para permitir el acceso no autorizado a un sistema es ilegal. Para que quede claro: hacerles a los demás las cosas ilegales que te están haciendo a ti = ilegal.

la legalidad de devolver el golpe es un tema complejo y depende de muchos factores

Si estás leyendo este artículo junto a tus abogados, seguramente te interrumpirán para recordarte que yo no soy abogado. Es cierto, así que por favor pídele a tu asesor corporativo que ponga su firma en tus planes de usar un ataque informático como venganza antes de seguir adelante.

Te garantizo que se negará a hacerlo (si conoces algún caso de la vida real que demuestre lo contrario, por favor, házmelo saber).

Las personas que están demasiado enojadas, quizá los que son actualmente víctimas de un ciberataque, o lo han sido en el pasado, seguramente dirán: "Qué importa la ley, no nos descubrirán, y si lo hacen, la gente estará de nuestro lado; no serán tan estrictos con nosotros". Sugiero respetuosamente que la simpatía del público es poco consuelo si te declaran culpable de un delito, o si la corte te ordena que pagues una restitución por el daño colateral causado en tu contraataque.

Incluso cuando se trata de peleas físicas, la legalidad de devolver el golpe es un tema complejo y depende de una amplia gama de factores, cualquiera de los cuales puede ponerte en el lado equivocado de la ley.

Razón #2 para no contraatacar: te lleva a un lugar oscuro

lejano-oeste

La aplicación de la ley en manos de los individuos y la agresión de los ciudadanos están mal vistas en la sociedad civil, ya que nos transporta a un país similar al Lejano Oeste, un lugar salvaje, con libertades para todos, donde la actividad criminal se concentra en quienes son menos capaces de devolver el golpe.

Supongamos que un banco importante, del tipo que gana decenas de miles de millones de dólares al año, decide contraatacar a los cibercriminales. Probablemente esto provocará que algunos criminales apunten a los bancos más pequeños, los que no pueden permitirse pagar un programa de contraataque, y mucho menos pagar millones de dólares en multas si la ley descubre sus intenciones de contraatacar en forma ilegal como venganza.

Seguramente sea mejor canalizar la rabia y la indignación por haber sido atacado y aplicarla a intentar mejorar la respuesta de la ley ante el crimen cibernético. Es evidente que la situación actual es inaceptable. Dos de las cinco tiendas minoristas más importantes de los Estados Unidos fueron atacadas pero nadie fue detenido. Los ladrones de identidad fiscal se embolsan 5 mil millones de dólares y, sin embargo, se recorta el presupuesto del IRS. Es evidente que hay muchos ámbitos donde es necesario mejorar la aplicación de la ley antes de recurrir a la externalización de la agresión cibernética.

Razón #3 para no contraatacar: no eres lo suficientemente fuerte

Te pido que no tomes este punto personalmente; no estoy diciendo que tienes alguna debilidad en tu carácter. Mi punto es: el contraataque para vengarse implica el grave riesgo de empeorar la misma actividad que estás tratando de desalentar.

Supongamos que descubriste cómo hicieron los delincuentes para entrar al sistema y que reforzaste los puntos débiles en tu defensa. Ya estás listo para vengarte. Pero antes pregúntate, o más bien, pregúntale a tu equipo: "¿estamos seguros de que no tenemos otros puntos débiles aún por descubrir?"

Si estás seguro, entonces me dejas muy impresionado, pero también muy escéptico. Internet ha creado un panorama de amenazas altamente asimétrico que se manifiesta en dos realidades clave. En primer lugar, los defensores tienen que hacer las cosas 100% bien el 100% de las veces, pero mientras tanto, los atacantes que buscan acceder a sus sistemas solo necesitan encontrar una única vulnerabilidad para entrar.

En segundo lugar, los atacantes que buscan dañar tus sistemas probablemente cuentan con la capacidad de reunir más recursos que tú. ¿No me crees? Tal como se implementa en la actualidad, la arquitectura de Internet permite una amplia gama de ataques de denegación de servicio, y siguen apareciendo nuevos tipos de ataques, como los ataques de SSDP. Recuerda que el número de dispositivos que se podrían reclutar para este tipo de ataques se acerca más a los 14 millones que a los 4 millones reportados originalmente.

Razón #4 para no contraatacar: el problema de la atribución

Todo el que haya seguido la saga del ataque a Sony Pictures sabe lo difícil que es saber a ciencia cierta quién te está atacando. Mientras que el FBI dice que fue Corea del Norte, hay un montón de expertos en seguridad que se muestran escépticos. Algunos indicios apuntan a personal interno, o a personas de habla rusa, o a los chinos. Un grupo llamado Guardians of Peace afirma que fueron ellos, pero ¿quiénes son?

El término técnico para este desastre es: el problema de la atribución. Es un problema muy difícil de resolver, pero la cuestión aquí es la siguiente: se trata de un problema conocido, lo que significa que no obtendrás mucha simpatía si te vengas de la persona equivocada porque no acertaste en la atribución del ataque.

Para decirlo de otra manera, si tienes suficiente evidencia para probar quién es el que te está atacando, ¿por qué no se la entregas a la policía y haces que tomen acciones legales? A una gran cantidad de gente encargada de la aplicación de la ley le encantaría llevar un caso de cibercrimen a la corte.

Para dar un ejemplo real de lo difícil que puede ser la atribución, consideremos el caso de Georbot, una campaña de hacking basada en malware aparentemente dirigida a los sistemas gubernamentales de Georgia (el país, no el estado de Estados Unidos). Cuando los investigadores de ESET descubrieron esta botnet para el robo de información, examinaron el código y monitorearon la actividad de sus servidores de comando y control.

Sin embargo, incluso en ese entonces no podían asegurar quién era el responsable. Los boletines oficiales del gobierno de Georgia aseguraban que Rusia era responsable; una afirmación que estaba respaldada por la foto de un "hacker ruso" sentado frente a su teclado, captado por su cámara web. Cuando las elecciones se llevaron a cabo en octubre de 2012, el poder pasó a la coalición Sueño Georgiano de la oposición, liderada por el empresario multimillonario Bidzina Ivanishvili.

En 2013, hablé con una fuente cercana a Ivanishvili, que describió en detalle cómo la campaña de malware había dirigido el ataque a miembros del movimiento de la oposición, a pedido del gobierno anterior de Georgia. En otras palabras: la atribución es difícil de establecer. Equivocarse en la atribución puede tener graves consecuencias.

Razón #5 para no contraatacar: no resuelve el problema

Supongamos que sabes exactamente quién se metió en tu red y usas un ciberataque contra ellos para vengarte sin causar daños colaterales. ¿Qué ganaste, además de una sensación de satisfacción y de haber quedado “a mano”? ¿Estás seguro de que este es el final de la amenaza? ¿Qué hiciste para evitar que otra persona te ataque?

Creo que algunas organizaciones se basan en la hipótesis de que su capacidad de contraataque les otorgará una reputación de "empresa con la que no hay que meterse". Ese escenario asume que todos los cibercriminales son actores racionales; una suposición muy peligrosa, dada la historia del cibercrimen.

Más importante aún, el contraataque como forma de vengarse no nos acerca a nuestra meta de contar con una Internet bien ordenada, que se rija por normas de conducta reguladas por las autoridades correspondientes.

Si no estás de acuerdo con alguno de los puntos que hice aquí, explica por qué.