Los 8,4 millones de residentes de la ciudad de Nueva York están a oscuras después de que un ciberataque lanzado por un Estado-nación destruyó la red eléctrica de la ciudad, provocando una situación de caos incalculable con el colapso de los mercados bursátiles de todo el mundo. En represalia, EE. UU. desata una serie de ciberataques a los sistemas de agua y alcantarillado de Moscú, invirtiendo los sistemas de bombeo y provocando que las aguas residuales se desborden en los hogares, negocios y en las calles.
Imagínese este escenario improbable en el que desde un lado comienzan a lanzar ataques explotando vulnerabilidades zero-day en la tecnología del otro lado, provocando un contrataque con el envío de otros misiles informáticos intentando afectar los sistemas del agresor como respuesta. Y esto se vuelve mucho más complicado si un tercero en el conflicto, que apoya a un lado u otro, intenta ayudar lanzando su propio arsenal de ataques explotando vulnerabilidades zero-day. ¿Será que el hecho de que es técnicamente posible que esto ocurra sea la razón por la que no hemos visto a ninguno de los lados desatar el caos cibernético global?
Cuando Rusia atacó a Ucrania, agencias gubernamentales y organizaciones de seguridad comenzaron a lanzar advertencias que generaron la expectativa de que podía ocurrir algún tipo de ciberataque devastador en Ucrania y posiblemente en aquellos que apoyan a Ucrania.
Estos mensajes siguen llegando: el 21 de marzo de 2022, la Casa Blanca publicó una declaración del presidente de Estados Unidos, Joe Biden, acerca de la ciberseguridad del país, en la cual advirtió sobre el potencial de que exista actividad cibernética maliciosa contra Estados Unidos por parte de Rusia en respuesta a las sanciones económicas impuestas por los gobiernos occidentales.
Estos mensajes continúan difundiéndose, sugiriendo lo importante que es mantenerse alertas y asegurar que no haya debilidades en las operaciones y prácticas existentes. La recomendación está especialmente dirigida a organizaciones y empresas que se encuentran en la categoría de infraestructura crítica, donde la interrupción a estos sistemas críticos tiene el potencial de causar incertidumbre y caos, como se vio cuando la compañía de oleoducto Colonial Pipeline sufrió un ataque de ransomware en 2021 y en los ataques de BlackEnergy e Industroyer contra las instalaciones eléctricas de Ucrania en 2015 y 2016, respectivamente.
Lectura relacionada: Sandworm: una historia de ciberataques disruptivos atribuidos a este grupo
Existe desde hace varios años, sin duda, un aumento de los ciberataques contra infraestructuras críticas. Según agencias gubernamentales como la Agencia de Infraestructura y Ciberseguridad de los Estados Unidos (CISA), "en 2021, las autoridades de la ciberseguridad de los Estados Unidos, Australia y el Reino Unido observaron un aumento en los incidentes de ransomware sofisticados y de alto impacto contra organizaciones de infraestructura crítica a nivel mundial". La monetización del ciberdelito, impulsada por la facilidad de los pagos anónimos en criptomonedas, ha creado una oportunidad sin precedentes que los ciberdelincuentes continúan explotando para ganar dinero.
Confirmar la atribución de los ciberataques es complejo, especialmente cuando hay múltiples partes involucradas: el autor del malware, el proveedor de servicios, el atacante, los operadores, etc. Los ciberataques que se han dado en el marco del conflicto entre Ucrania y Rusia no son diferentes y es difícil atribuirlos a un responsable. Sin embargo, parece que la mayoría de los ataques cibernéticos reportados, y potencialmente atribuibles al conflicto, hasta la fecha, son limitados, dirigidos y están enfocados en la zona de guerra o en el sector de las comunicaciones. Incluso el descubrimiento por parte de los investigadores de ESET de malware que borra datos apuntando a equipos en Ucrania, como es el caso de HermeticWiper, IsaacWiper y CaddyWiper, no puede, en la actualidad, atribuirse a ninguna parte.
Cualquier ciberataque, especialmente si cuenta con los recursos de un organismo de inteligencia estatal, podría causar un daño incalculable y no solo a su objetivo, sino también a aquellos que no están directamente involucrados. La historia ha demostrado que las armas cibernéticas, como las vulnerabilidades zero-day o el malware destructivo, pueden caer en las manos equivocadas incluso durante los momentos más pacíficos del mundo.
Nota: Una zero-day es una vulnerabilidad cuya existencia no había sido divulgada, para la cual no se crearon parches o revisiones, y que se emplea para llevar a cabo un ataque.
En 2017, la filtración de herramientas de hacking de la Agencia de Seguridad Nacional de los Estados Unidos (NSA), que incluía el exploit EternalBlue, presentó a los actores de amenazas un método de compromiso inicial que fue utilizado posteriormente por los ransomware WannaCryptor (también conocido como WannaCry), NotPetya y BadRabbit y que causó daños encima de los mil millones de dólares en más de 65 países. La vulnerabilidad que explotaba EternalBlue había estado en manos de la NSA durante más de cinco años antes de que una filtración los obligara a revelar su existencia a Microsoft.
El libro de Nicole Perlroth, This Is How They Tell Me the World Ends: The Cyberweapons Arms Race, publicado en febrero de 2021, documenta cómo los gobiernos son los principales clientes en el mercado de las vulnerabilidades zero-day. Para muchos lectores puede ser impactante que este libro, que documenta un próspero mercado clandestino de exploits y vulnerabilidades zero-day, exista, pero para muchos otros probablemente sea menos sorprendente, incluso el hecho de que los gobiernos sean los principales clientes en este mercado clandestino.
Ha habido incidentes, como Stuxnet y el ataque a la cadena de suministro de SolarWinds, que demuestran el poder que puede tener un ciberataque sofisticado: uno afectando instalaciones nucleares en Irán y el otro en busca de datos para exfiltrar de miles de sistemas potencialmente infestados en agencias gubernamentales y compañías a nivel global. En comparación con el costo de las armas convencionales, adquirir la capacidad de lanzar un ciberataque es relativamente barato y también es algo muy difícil de atribuir, lo que hace que cualquier ataque sea muy negable, a diferencia de una guerra sobre el terreno.
El hecho de que todas las partes tengan la capacidad y puedan estar motivadas a lanzar un ciberataque de un potencial incalculable, si así lo deciden, puede estar provocando una disuasión cibernética, de la misma manera que nos referimos a la posibilidad de uso de armas nucleares de destrucción masiva como parte de una estrategia de disuasión nuclear. Es poco probable que veamos activistas por la paz cibernética o campañas para el 'desarme cibernético' para que en el corto plazo entreguen los arsenales de zero-day almacenados, pero espero que algún día lo hagamos. Internet nunca debería utilizarse como instrumento para causar destrucción masiva.
Como comentario final, si bien parece que no hubo un ataque cibernético importante y devastador que afecte la infraestructura crítica de ninguna de las partes en el conflicto de Ucrania, esto no significa que no lo habrá, ni que no se extenderá sin control a otras naciones no involucradas.