*Seguimos en el blog hablando de Ciberseguridad, Fernando Esteve, Profesor de la Facultad de Ciencias Económicas de la UAM, nos aporta la segunda parte de este tema.
Fernando Esteve Mora*
Pero hay que tener en cuenta que el uso de cebos con falsa información puede tener consecuencias no deseadas. Dave Dittrich pone el ejemplo teórico de una compañía que intencionadamente, como sistema de defensa activa, inserta errores en el diseño de un vehículo y lo deja como cebo para un hacker. Pues bien, si ocurriese que ese diseño amañado fuera robado y efectivamente utilizado, y debido a los errores introducidos en el diseño resultase de ello la pérdida de vidas humanas inocentes, está claro que la empresa que hubiese puesto esos falsos datos como defensa activa estaría comportándose de modo negligente e injustificable.
La defensa activa contra los ciberatacantes tiene además el problema de que, como maniobras de invisibilidad, los hackers suelen recurrir al uso de los ordenadores de terceros para lanzar desde ellos sus ataques sin que sus usuarios o propietarios sean siquiera conscientes de su no deseado papel de plataforma. Sería un caso similar de un vehículo que es utilizado para perpetrar un atraco sin que medie consentimiento o conocimiento de su propietario. Obviamente, él no sería responsable del uso delictivo que se hiciese de su propiedad, de igual manera tampoco lo sería el propietario del sistema desde donde -de nuevo sin mediar consentimiento- un hacker lanzase un ciberataque.
Merece la pena explorar un poco más esta situación de defensa activa y plantearse qué ocurre si como consecuencia de la misma la involuntaria plataforma desde donde se lanza el ciberataque sufre daños. Tal situación no es todavía real pues todavía los sistemas defensivos existentes en el cibermundo no ofrecen esa capacidad, pero es imaginable que muy pronto podrán hacerlo. De nuevo, el ejemplo de un atraco en el mundo real puede proporcionar pistas acerca de cómo afrontar la situación. Si como consecuencia de un atraco el vehículo utilizado para llevarlo a cabo resultase destruido o sufriese serios desperfectos, si bien los responsables últimos de los mismos serían los atacantes, el involuntario cómplice propietario del vehículo podría utilizar su seguro para hacer frente al “siniestro” que habría sufrido. Pues bien, si este esquema se trasladase tal cual al mundo virtual, pronto, en el mismo momento en que los sistemas de ciberdefensa activa empezasen a ser efectivos, debería aparecer un mercado de seguros para propietarios de ordenadores o redes para cubrir estas contingencias.
Un paso más allá de la defensa activa es el contraataque. Un contraataque pretende cambiar las tornas y golpear al atacante en sus bases no como consecuencia o respuesta rápida o inmediata a un ataque sino pausadamente, en el momento que el defensor estime más adecuado. Por seguir una vez más con el ejemplo del ataque aéreo, un contraataque es la respuesta por parte del defensor ante un ataque previo que destroza las bases de aprovisionamiento, los depósitos de combustible y munición, las pistas de aterrizaje o las líneas de suministro del atacante. En el ciberespacio, de momento, parece que el único contraataque posible es la persecución legal de los asaltantes cuya efectividad suele ser muy reducida a tenor de la capacidad de los hackers para ocultarse ellos y sus acciones en el mundo virtual así como lo que se traduce en la escasez de las pruebas que se pueden aportar contra ellos.
Un sistema de contraataque más decidido adquiriría o semejaría a lo que se conoce como “guerra sucia”, es decir, al uso por parte de los defensores de las mismas tácticas que usan los atacantes. El primer paso para ello exigiría de un salto cualitativo en la inteligencia digital de modo que esta se dirija no a la detección de vulnerabilidades en los sistemas de defensa o al conocimiento de los últimos tipos de ataque, como es ahora el caso, sino a la identificación de los atacantes y de sus vulnerabilidades mediante el uso de toda la panoplia de estrategias de espionaje como paso previo a la elaboración y ejecución de una estrategia ofensiva que se dirija a afectar negativamente tanto a la capacidad de ataque de sus sistemas como a su personalidad virtual atacando su reputación. Existen ya programas patrulla en los forums on line para buscar información robada e identificar a los vendedores, también ya es posible crear servidores “honey pot” (servidores “tarro de miel”) que recopilan información sobre los intrusos. Y esta posibilidad de una ciberguerra sucia es algo más que una posibilidad teórica. En 2011, Michael Hayden, antiguo director de la CIA y de la NSA, sugirió que el gobierno norteamericano debería permitir la existencia de una “Blackwater digital” que alquilada por las empresas utilizase a mercenarios pagados para que lucharan contra los ciberatacantes con sus mismas armas.
Como en el mundo real, la ciberguerra sucia plantea toda una serie de problemas morales, legales y de efectividad. El tomarse la justicia por su propia mano sitúa a la víctima de un ataque en un plano moral muy cercano al de su atacante y es además ilegal en la medida que supone el espionaje. Hay además expertos que dudan de su eficacia en la medida que avisan de que las empresas que se metan en este tipo de actividades corren el riesgo de desatar un ciclo de represalias de consecuencias legales y económicas impredecibles. Pese a todos estos considerandos, hay que volver a repetir que la situación en el ciberespacio es anómala y no puede entenderse equiparable al mundo real. En el ciberespacio la capacidad de las agencias de protección oficiales para imponer la ley se ven cotidianamente superadas por la cibedelincuencia, por lo que no es nada extraño que surjan o amenacen con surgir formas de autoorganización que busquen satisfacer esa demanda de seguridad que los estados son incapaces de ofrecer. No es la primera vez que ha sucedido eso en el mundo real. Sucedió y sigue sucediendo. En el salvaje Far West donde no llegaban los sheriffs en la persecución de cuatreros y asaltantes de viajeros actuaba la Agencia Pinkerton o las autodefensas locales. En el salvaje ciberespacio de hoy sería raro que no fuese a pasar lo mismo.
Bibliografía
Urbina, Ian (2014, June 21). “Hacker Tactic: Holding Data Hostage”. The New York Times.Sunday Review. http://nyti.ms/Ti3zSN
Schneier, Bruce (2001, April 15). “Natural Advantages of Defense: What Military History Can Teach Network Security. Part 1”. Schneier on Security. Crypto-Gram. https://www.schneier.com/crypto-gram-0104.htm
Schneier, B. (2001).“Defense Options: What Military History Can Teach Network Security, Part 2.” Crypto-Gram. http://www.counterpane.com/crypto-gram-0205.html
La defensa activa contra los ciberatacantes tiene además el problema de que, como maniobras de invisibilidad, los hackers suelen recurrir al uso de los ordenadores de terceros para lanzar desde ellos sus ataques sin que sus usuarios o propietarios sean siquiera conscientes de su no deseado papel de plataforma. Sería un caso similar de un vehículo que es utilizado para perpetrar un atraco sin que medie consentimiento o conocimiento de su propietario. Obviamente, él no sería responsable del uso delictivo que se hiciese de su propiedad, de igual manera tampoco lo sería el propietario del sistema desde donde -de nuevo sin mediar consentimiento- un hacker lanzase un ciberataque.
Merece la pena explorar un poco más esta situación de defensa activa y plantearse qué ocurre si como consecuencia de la misma la involuntaria plataforma desde donde se lanza el ciberataque sufre daños. Tal situación no es todavía real pues todavía los sistemas defensivos existentes en el cibermundo no ofrecen esa capacidad, pero es imaginable que muy pronto podrán hacerlo. De nuevo, el ejemplo de un atraco en el mundo real puede proporcionar pistas acerca de cómo afrontar la situación. Si como consecuencia de un atraco el vehículo utilizado para llevarlo a cabo resultase destruido o sufriese serios desperfectos, si bien los responsables últimos de los mismos serían los atacantes, el involuntario cómplice propietario del vehículo podría utilizar su seguro para hacer frente al “siniestro” que habría sufrido. Pues bien, si este esquema se trasladase tal cual al mundo virtual, pronto, en el mismo momento en que los sistemas de ciberdefensa activa empezasen a ser efectivos, debería aparecer un mercado de seguros para propietarios de ordenadores o redes para cubrir estas contingencias.
Un paso más allá de la defensa activa es el contraataque. Un contraataque pretende cambiar las tornas y golpear al atacante en sus bases no como consecuencia o respuesta rápida o inmediata a un ataque sino pausadamente, en el momento que el defensor estime más adecuado. Por seguir una vez más con el ejemplo del ataque aéreo, un contraataque es la respuesta por parte del defensor ante un ataque previo que destroza las bases de aprovisionamiento, los depósitos de combustible y munición, las pistas de aterrizaje o las líneas de suministro del atacante. En el ciberespacio, de momento, parece que el único contraataque posible es la persecución legal de los asaltantes cuya efectividad suele ser muy reducida a tenor de la capacidad de los hackers para ocultarse ellos y sus acciones en el mundo virtual así como lo que se traduce en la escasez de las pruebas que se pueden aportar contra ellos.
Un sistema de contraataque más decidido adquiriría o semejaría a lo que se conoce como “guerra sucia”, es decir, al uso por parte de los defensores de las mismas tácticas que usan los atacantes. El primer paso para ello exigiría de un salto cualitativo en la inteligencia digital de modo que esta se dirija no a la detección de vulnerabilidades en los sistemas de defensa o al conocimiento de los últimos tipos de ataque, como es ahora el caso, sino a la identificación de los atacantes y de sus vulnerabilidades mediante el uso de toda la panoplia de estrategias de espionaje como paso previo a la elaboración y ejecución de una estrategia ofensiva que se dirija a afectar negativamente tanto a la capacidad de ataque de sus sistemas como a su personalidad virtual atacando su reputación. Existen ya programas patrulla en los forums on line para buscar información robada e identificar a los vendedores, también ya es posible crear servidores “honey pot” (servidores “tarro de miel”) que recopilan información sobre los intrusos. Y esta posibilidad de una ciberguerra sucia es algo más que una posibilidad teórica. En 2011, Michael Hayden, antiguo director de la CIA y de la NSA, sugirió que el gobierno norteamericano debería permitir la existencia de una “Blackwater digital” que alquilada por las empresas utilizase a mercenarios pagados para que lucharan contra los ciberatacantes con sus mismas armas.
Como en el mundo real, la ciberguerra sucia plantea toda una serie de problemas morales, legales y de efectividad. El tomarse la justicia por su propia mano sitúa a la víctima de un ataque en un plano moral muy cercano al de su atacante y es además ilegal en la medida que supone el espionaje. Hay además expertos que dudan de su eficacia en la medida que avisan de que las empresas que se metan en este tipo de actividades corren el riesgo de desatar un ciclo de represalias de consecuencias legales y económicas impredecibles. Pese a todos estos considerandos, hay que volver a repetir que la situación en el ciberespacio es anómala y no puede entenderse equiparable al mundo real. En el ciberespacio la capacidad de las agencias de protección oficiales para imponer la ley se ven cotidianamente superadas por la cibedelincuencia, por lo que no es nada extraño que surjan o amenacen con surgir formas de autoorganización que busquen satisfacer esa demanda de seguridad que los estados son incapaces de ofrecer. No es la primera vez que ha sucedido eso en el mundo real. Sucedió y sigue sucediendo. En el salvaje Far West donde no llegaban los sheriffs en la persecución de cuatreros y asaltantes de viajeros actuaba la Agencia Pinkerton o las autodefensas locales. En el salvaje ciberespacio de hoy sería raro que no fuese a pasar lo mismo.
Bibliografía
Urbina, Ian (2014, June 21). “Hacker Tactic: Holding Data Hostage”. The New York Times.Sunday Review. http://nyti.ms/Ti3zSN
Schneier, Bruce (2001, April 15). “Natural Advantages of Defense: What Military History Can Teach Network Security. Part 1”. Schneier on Security. Crypto-Gram. https://www.schneier.com/crypto-gram-0104.htm
Schneier, B. (2001).“Defense Options: What Military History Can Teach Network Security, Part 2.” Crypto-Gram. http://www.counterpane.com/crypto-gram-0205.html
Como siempre, de enorme interés los conceptos que se barajan... El teatro de operaciones cambia. Las estrategias cambian, los conceptos cambian... Pero, bajo mi punto de vista, lo más alarmante es que cambian los actores.
ResponderEliminarPonemos de manifiesto, una y otra vez, los modelos de respuesta frente a un ciberataque perpetrado por una nación o por un grupo insurgente pero, qué pasa con los actores no estatales o para estatales?
Las corporaciones son las que controlan, de verdad el ciberespacio. Y en el ciberespacio se encuentra cada vez nuestra vida como sociedades avanzadas.
La emisión de moneda electrónica no amparada por actores estatales sino por los "El Estado Facebook" (1.000.000.000 de habitantes) podría ser un objeto de un ciberconflicto si entra, por ejemplo en competencia directa con la moneda emitida por "El Estado Amazon" o por el "Estado Google"... ¿Y si estos nuevos actores tienen intereses que entran en conflicto con sectores como el financiero internacional o con un actor estatal?
Mucho sobre lo que reflexionar. Puede que haya que empezar a pensar en nuevas estrategias, modelos y epistemologías.