Inicio Ciencias Estados Unidos con debilidades en la ciberseguridad

Estados Unidos con debilidades en la ciberseguridad

98
0

La mayoría de los medios informativos han recurrentemente estado hablando sobre los ciberataques rusos contra los Estados Unidos. Sin embargo, esos no son ciberataques en términos de las relaciones internacionales, han sido más bien operaciones masivas de espionaje, que evidencian la debilidad de las víctimas, que es el mundo entero, incluyendo mayormente a Estados Unidos.

El espionaje está permitido internacionalmente en tiempos de paz. El espionaje como los ciberataques requieren la intrusión en las redes y computadoras, y la diferencia son solo unas pocas teclas. Y dado que una operación rusa no está dirigida a un solo objetivo en absoluto, el mundo entero está en riesgo, y también Rusia; aunque algunos países realicen este tipo de operaciones, ninguno como Estados Unidos. La solución es priorizar la ciberseguridad y la defensa sobre el espionaje y los ataques.

En algún momento antes de marzo de 2020, piratas informáticos que trabajaban para el SVR ruso, anteriormente conocido como KGB, piratearon a la empresa SolarWinds y abrieron una puerta trasera en una actualización de software de Orion, que es un producto de gestión de red de SolarWinds, con más de 300.000 clientes en todo el mundo. Los usuarios que descargaron e instalaron esa actualización a la que accedieron los intrusos informáticos entre marzo y junio de 2020, permitieron a SVR espiar infinidad de redes.

Esto se denomina ataque a la cadena de suministro, porque se dirige a un proveedor de servicios o suministros, en lugar de a una organización en sí misma, y puede afectar a todos los clientes de tal proveedor. Es una forma cada vez más común de atacar redes. Otros ejemplos de este tipo de ataque incluyen aplicaciones falsas en la tienda Google Play y pantallas de reemplazo pirateadas para su teléfono inteligente.

SolarWinds eliminó la lista de clientes de su sitio web, pero Internet Archive permitió respaldar información perteneciente a las cinco ramas del ejército de los EE.UU., el Departamento de Estado, la Casa Blanca, la NSA, 425 de las 500 empresas de Fortune, las cinco de las cinco principales empresas de contabilidad, y cientos de universidades y colegios. SolarWinds reveló en un informe a la SEC, que “menos de 18.000” de esos clientes instalaron esta actualización maliciosa, como un eufemismo para informar realmente que más de 17.000 lo hicieron.

Hay muchas redes vulnerables, pero es inconcebible que el SVR las haya penetrado todas. Sin embargo, eligió cuidadosamente entre su cornucopia de objetivos. El análisis de Microsot  identificó a 40 clientes que se infiltraron la vulnerabilidad de Orion. La gran mayoría de ellos estaban en los EE.UU.; e igualmente redes en Canadá, México, Bélgica, España, el Reino Unido, Israel y los Emiratos Árabes Unidos, también fueron atacadas. Esta lista incluye gobiernos, contratistas gubernamentales, empresas de tecnología de la información, centros de investigación estratégica, y ONGs.

Una vez dentro de una red, los piratas informáticos de SVR siguieron un procedimiento estándar: 1) establecer un acceso que permanecerá incluso si se corrige la vulnerabilidad inicial; 2) moverse lateralmente por la red comprometiendo sistemas y cuentas adicionales; y 3) luego filtrar los datos. Aun sin ser cliente de SolarWinds, no es garantía de seguridad; porque esta operación de RVS utilizó también otros vectores y técnicas de infección. Estos son hackers sofisticados y pacientes, y solo estamos aprendiendo algunas de las técnicas involucradas aquí.

Recuperarse de este ataque no es fácil, debido a que cualquier pirata informático de SVR establecería un acceso persistente, y la única forma de asegurarse de que su red no se vea comprometida es quemarla y reconstruirla, como se hace al reinstalar el sistema operativo de su computadora para recuperarse de un ataque malicioso. Sin embargo, existen variadas formas de restablecer un acceso persistente que sobrevive a la reconstrucción de redes y equipos individuales. 

Sabemos, por ejemplo, de un ‘exploit’ de la NSA que permanece en un disco duro incluso después de reformatearlo. El código para ese ‘exploit‘ era parte de las herramientas del Equation Group que los Shadow Brokers, que se creía eran de Rusia, robaron de la NSA y publicaron en 2016. La SVR probablemente tenga los mismos tipos de herramientas, e incluso sin esa advertencia, muchos administradores de red no pasarán por el largo, doloroso y potencialmente costoso proceso de reconstrucción. 

Todavía estamos aprendiendo sobre las instituciones que fueron violadas en EE.UU., como el Departamento de Estado, el Departamento del Tesoro, el Departamento de Seguridad Nacional, los Laboratorios Nacionales de Los Alamos y Sandia (donde se desarrollan armas nucleares), la Administración Nacional de Seguridad Nuclear, los Institutos Nacionales de Salud y empresas de software como Microsoft, entre algunas otras. Aunque no hay indicios de que hayan penetrado redes clasificadas, más investigación será necesaria para saber donde ha penetrado la SVR y dónde todavía tiene acceso. Gran parte de esas redes probablemente serán clasificadas, por lo cual nunca lo sabremos.

Y ahora que la vulnerabilidad de Orion es pública, otros gobiernos y ciberdelincuentes la utilizarán para penetrar en redes vulnerables. Existe la presunción que la NSA está utilizando el truco de SVR para infiltrarse en otras redes; por qué no habrían de hacerlo. ¿Alguna organización rusa usa Orion? Probablemente. Si bien se trata de un fallo de seguridad de enormes proporciones, no es, como dijo el senador Richard Durban, que era «virtualmente una declaración de guerra de Rusia a los Estados Unidos». El presidente electo Biden dijo que hará de esto una prioridad máxima, pero es poco probable que hará mucho para tomar represalias .

La razón es que, según las normas internacionales, Rusia no hizo nada malo. Los países se espían entre sí todo el tiempo. No hay reglas, ni siquiera normas, y es básicamente «cuidado del comprador». Los EE.UU. Regularmente no toman represalias contra las operaciones de espionaje, como el hackeo de China a la Oficina de Gestión Personal (OPM) y los hackeos rusos anteriores, porque EE.UU. también lo hace. Hablando del hackeo de OPM, el entonces director de inteligencia nacional, James Clapper, dijo: “Hay que saludar a los chinos por lo que hicieron. Si tuviéramos la oportunidad de hacer eso, no creo que dudaríamos ni un minuto «.

Estados Unidos tiene la operación de inteligencia más extensa y agresiva del mundo. El presupuesto de la NSA es el más grande de cualquier agencia de inteligencia. Aprovecha agresivamente la posición de EE.UU. que controla la mayor parte de la red troncal de Internet y la mayoría de las principales empresas de Internet. Edward Snowden reveló alrededor de 2014, los objetivos que incluían  a 193 países, al Banco Mundial, al FMI y a la Agencia Internacional de Energía Atómica. Sin duda, NSA está llevando a cabo una operación ofensiva de gran escala como la de SVR en este momento, y probablemente nunca se hará pública. En 2016, el presidente Obama se jactó de tener «más capacidad que nadie tanto a la ofensiva como a la defensiva».

Puede que haya sido demasiado optimista sobre la capacidad defensiva. EE.UU. prioriza y gasta muchas veces más en la ofensiva que en la ciberseguridad defensiva. En los últimos años, la NSA ha adoptado una estrategia de «compromiso persistente», a veces llamado «defender hacia adelante». La idea es que en lugar de esperar pasivamente a que el enemigo ataque las redes e infraestructura, se vaya a la ofensiva y para contrarrestar los ataques antes de que se materialicen. A esta estrategia se le atribuye haber frustrado un complot de la Agencia de Investigación de Internet de Rusia para interrumpir las elecciones de 2018.

Pero si el compromiso persistente es tan efectivo, ¿cómo podría haberse perdido esta operación masiva de SVR? Parece que prácticamente todo el gobierno de EE.UU. estaba enviando información a Moscú sin saberlo. No existe evidencia que se hubiera estado observando todo lo que los rusos estaban haciendo. El éxito de los rusos es consecuencia de la descuidada mirada de la NSA y el Cyber Command de EE.UU. El resultado demuestra que este es un enfoque fallido.

¿Y cómo la capacidad defensiva de Estados Unidos no detectó esto? Se supo de esta violación a través de la empresa de seguridad FireEye, que descubrió haber sido pirateada. Durante auditoría a su propia red, descubrió la vulnerabilidad de Orion y alertó al gobierno de EE.UU. ¿Por qué los departamentos de Estado, del Tesoro y Seguridad Nacional no realizan regularmente ese nivel de auditoría en sus propios sistemas? El sistema Einstein 3 ACCELERATED para la ciberseguridad, falló por su incapacidad para detectar nuevos ataques sofisticados, una deficiencia señalada en 2018 pero nunca solucionada. EE.UU. no debería depender de una empresa privada de ciberseguridad para alertar de un gran ataque al Estado-nación.

En todo caso, la priorización de la ofensiva sobre la defensa de EE.UU. debilita la ciberseguridad. La NSA favorece los estándares de cifrado de teléfonos móviles inseguro mediante puerta trasera en los generadores de números aleatorios, sin embargo, el Departamento de Justicia nunca ha cesado en insistir en que los sistemas de cifrado más populares del mundo se vuelvan inseguros a través de puertas traseras, otro punto caliente donde el ataque y la defensa están en conflicto. En otras palabras, permitimos estándares y sistemas inseguros, porque podemos usarlos para espiar a otros.

Necesitamos adoptar una estrategia con predominio defensivo. A medida que las computadoras e Internet se vuelven cada vez más esenciales para la sociedad, es probable que los ciberataques sean el precursor de una guerra real. Simplemente somos demasiado vulnerables cuando damos prioridad a la ofensa, incluso si tenemos que renunciar a la ventaja de usar esas inseguridades para espiar a otros.

Nuestra vulnerabilidad se magnifica, ya que las escuchas ilegales pueden convertirse en un ataque directo. El acceso del SVR les permite no solo escuchar a escondidas, sino también modificar datos, degradar el rendimiento de la red o borrar redes enteras. El primero podría ser un espionaje normal, pero el segundo ciertamente podría considerarse un acto de guerra. Es casi seguro que Rusia está sentando las bases para futuros ataques.

Esta preparación no tendría precedentes, en relación con la cantidad de ataques que hay en el mundo. En 2010, EE.UU. e Israel atacaron el programa nuclear iraní. En 2012, Irán atacó a la compañía petrolera nacional saudí. Corea del Norte atacó a Sony en 2014. Rusia atacó la red eléctrica de Ucrania en 2015 y 2016. Rusia está pirateando la red eléctrica de EE.UU. Por su parte, EE.UU. también piratea la red eléctrica de Rusia. Todos estos ataques comenzaron como una operación de espionaje. Las vulnerabilidades de seguridad tienen consecuencias en el mundo real.

No es posible proteger nuestras redes y sistemas en este mundo sin leyes. EE.UU. debe renunciar voluntariamente a parte de su ventaja ofensiva en el ciberespacio, a cambio de un ciberespacio global mucho más seguro. Se requiere invertir para proteger las cadenas de suministro mundiales de este tipo de ataque y presionar para que se establezcan normas y acuerdos internacionales que prioricen la ciberseguridad, como la Convocatoria de París para la Confianza y Seguridad en el ciberespacio de 2018 o la Comisión Global sobre la Estabilidad del Ciberespacio

Fortalecer el software ampliamente utilizado como Orion o los protocolos básicos de Internet es una ayuda a todos. Necesitamos frenar esta carrera armamentista ofensiva en lugar de exacerbarla, y trabajar por la paz cibernética. De lo contrario, criticar hipócritamente a los rusos por hacer lo mismo que hacemos todos los días, no ayudará a crear el mundo más seguro en el que todos queremos vivir.


ORIGEN AUTORAL:  Bruce Schneier

PUBLICACIÓN:   www.THEGUARDIAN.com

RECOPILACIÓN: www.AMBIDEXTRAS.org