The Anonymous collective is officially in cyber war against the Russian government. #Anonymous #Ukraine

— Anonymous (@YourAnonOne) February 24, 2022

A dos días de iniciar el conflicto armado, el colectivo se ha atribuido varios ataques cibernéticos: el hackeo a la base de datos de la página web del Ministerio de Defensa de Ucrania, la cual desde la mañana del 25 de febrero permanece inactiva; el bloqueo del sitio web del medio de comunicación prorruso RT en inglés, que ya fue restablecido; y el hackeo a varias páginas de entidades gubernamentales de Rusia.

Además de lo anterior, al tener acceso a documentos privados, Anonymous ha estado anunciando futuros movimientos militares por parte de Rusia. Así fue como el colectivo advirtió en la tarde del jueves, y con casi 14 horas de anticipación, que las fuerzas armadas de Vladimir Putin preparaban una ofensiva en Kiev, capital en la que aún permanecen miles de civiles e incluso el presidente Volodímir Zelenski junto a su familia. El suceso se confirmó cuando se comenzaron a confirmar que varios misiles habían impactado la ciudad.

🇷🇺🇺🇦 | GUERRA UCRANIA-RUSIA: Volodymyr Zelensky publicó un video con sus colegas del partido y la administración y dijo que se estaban quedando en Kiev: “Estamos aquí. Estamos en Kiev. Estamos defendiendo Ucrania”.
pic.twitter.com/bxNuwTZYBO

— Alerta News 24 (@AlertaNews24) February 25, 2022

Te puede interesar, además de Anonymous: Guerra digital,  la otra faceta del conflicto entre Rusia y Ucrania

Por su parte, el Centro de Coordinación Nacional de Rusia para Incidentes Informáticos confirmó los ataques cibernéticos de Anonymous hacia algunos medios de comunicación y los calificó la situación como “crítica”. No obstante ese país también está detrás de vulneraciones a puntos estratégicos ucranianos como la telefonía o entidades financieras.

Imágenes: Photo by Daniel Lincoln on Unsplash  

El 12 de diciembre de 2020 se encontró evidencia que una pieza de malware llamada <Sunburst/Sunspot> había sido inyectada en la plataforma Orion de SolarWinds, presumiblemente por un grupo de hacking (Turla APT) vinculado con el gobierno ruso. Dado que la tecnología de monitoreo y gestión remota de software de SolarWinds es ampliamente usada por grandes compañías y el mismo gobierno federal, este incidente de hacking rápidamente escaló a conflicto de espionaje y ciberguerra, de acuerdo con The Wall Street Journal.

También te puede interesar: ¿Cuáles son los sectores más vulnerables en ataques cibernéticos?

La cronología del ataque parece empezar en septiembre del 2019, con un primer ataque no detectado que consiguió vulnerar la infraestructura de desarrollo y distribución de software de SolarWinds®. Al parecer el ataque se concentró en los servicios de autenticación de Microsoft®365 y el directorio de Azure® para substraer algunas credenciales de usuarios. Con estas credenciales tomadas, un mes después consiguieron inyectar código en el producto estrella de SolarWinds® (Orion®), en una especie de ‘prueba de concepto’ que pasó sin ser detectada, ni por el área de infosec de SolarWinds®, ni por las sofisticadas herramientas ‘Einstein’ de detección de ciberamenazas del gobierno federal.

Una vez pudo el atacante incluir subrepticiamente código en la distribución de Orion®, al parecer estuvo hasta febrero de 2020 instalando un servicio de comando y control, con servidores en Europa y USA que imitaban bastante bien el tráfico normal de usuarios legítimos de SolarWinds®. Con las credenciales robadas del servicio de autenticación de Microsoft®, los atacantes no solo incluyeron código malicioso en el código base del producto Orion®, sino que también lograron suplantar usuarios de las compañías clientes de SolarWinds® en una seguidilla de ataques cuyo alcance y profundidad todavía está pendiente de determinar y que -es vox populi en el medio- afectó a decenas de organizaciones en Latinoamérica.

Un <supply chain attack>

Dado que este ataque se realizó vulnerando la tecnología de fabricación y distribución del software de SolarWinds® (i.e equivalente a la ‘cadena de distribución’ de una empresa comercial, aplicando a empresas fabricantes de software), se ha dado en llamar por sus similaridades un <supply chain attack>. De acuerdo con algunos de los análisis forenses publicados, cuando el malware SunSpot detectaba en el proceso de compilación e integración de Orion® la invocación del proceso MsBuild.exe, de las herramientas de desarrollo de VisualStudio® de Microsoft®, inyectaba antes de la compilación en el código fuente de Orion® herramientas de hacking como Cobald Strike, que terminaban instaladas en los sistemas de información de los clientes de SolarWinds®. Estas herramientas pasaban una temporada de letargo de un par de semanas, antes de empezar a catapultar información sensible de los usuarios que luego pasaban a randomware o a servidores de la dark-web.

Dadas las características de sigilo de operación del ataque, este permaneció más o menos indetectado durante una buena parte del 2020, hasta que uno de los empleados de la empresa de seguridad FireEye, víctima del ataque, notó un comportamiento extraño en los servidores y en un trabajo de cooperación entre las áreas de seguridad de la información, seguridad informática y tecnología y gracias a una revisión cuidadosa de los logs de acceso, FireEye detectó indicios del ataque. Solo hasta el 7 de diciembre del 2020, el Centro de Atención de Incidentes de Estados Unidos emitió una alerta, quizás tardía.

También te puede interesar: 58 % de las empresas ha sido víctima de ciberataques a diciembre de 2020.

Se estima un número de víctimas de más de 18,000 organizaciones, entre las que se cuenta Microsoft, Intel, Cisco, Nvidia, VMware, Belkin, FireEye, Deloitte, Mount Sinai Hospital, Ciena, NCR, SAP, Digital Sense, y los Departamentos de Commerce, Defense, Energy, Homeland Security, State, Treasury y Health. Sin embargo, el número final de víctimas sigue creciendo día a día y es posible que el número final pueda llegar a ser mucho más alto.

Precisamente una de las primeras ‘ordenes ejecutivas’ firmadas por el presidente Joe Biden tiene que ver con el manejo como nación el hack de SolarWinds, informa el portal Cnet.

Reflexiones de una ciberguerra

Aún sin saber el impacto final de ataque, es posible aventurar algunas reflexiones y moralejas provisionales que pueden ser útiles. La primera reflexión que podamos obtener tiene que ver con la misma naturaleza de los ataques <supply chain >. Durante mucho tiempo en seguridad de la información se creyó que la fuente de los ataques eran los usuarios negligentes y su actitud descuidada hacía los procedimientos definidos por infosec. Se decía que la fuente de los problemas era el usuario que descuidadamente instalaba malware o hacía click en enlaces a sitios problemáticos o era vulnerable a correos fishing. El ataque de SolarWinds® y en general cualquier ataque <supply chain> no apunta a los usuarios, apunta a la infraestructura de back-end y sus procesos de actualización de software. Quizás es el momento de ya no culpar más al usuario final e insistir en campañas de sensibilización, descuidando la infraestructura automática de actualización de la plataforma IT.

Una segunda reflexión tiene que ver con la forma en que el ataque se detectó. Es importante resaltar que el ataque no fue detectado con los procedimientos usuales de monitoreo que disparan una alarma ante el comportamiento sospechoso de algún usuario o ante la descarga de un malware o actividad inusual en la red. Ante estos ataques <supply chain> simplemente estos procedimientos permanecerían silentes. En un acucioso empleado de FireEye que se dio en el trabajo de revisar bitácoras históricas juntos con empleados de área de TI encontró irregularidades que lo llevarón a descubrir el ataque. Y esta es una moraleja muy importante: las áreas infosec más que ser ‘rectoras’ que emiten directrices de seguridad de la información, deben buscar participar activamente en la revisión de bitácoras de auditoría y en la elaboración de líneas de base de detección de anomalías.

También te puede interesar: empresas pelearán ciberguerra con RTF, la nueva coalición de empresas contra el ransomware. 

Esta recomendación de ‘visibilidad’ de la infraestructura de TI por parte del área infosec y el trabajo coordinado de las áreas de TI de software, de gestión de data centers, infosec y seguridad informática, es un tema todavía pendiente para muchas de las organizaciones en America Latina.

Finalmente, la cuarta y última reflexión tiene que ver on el nivel de sofisticación del ataque. Claramente es un ataque de ciberguerra que vulneró la <supply chain> de un fabricante de software (SolarWinds®) y que a través de este proveedor tuvo alcance en miles de organizaciones que incluían la tecnología de SolarWinds® en sus procesos de negocio. Quizás algunas de las organizaciones víctimas de este hack despertaron un día viéndose víctimas colaterales del fuego cruzado de un escenario de ciberguerra, del cual quizás no se sintieron nunca invitados.

Imagen: Pexels (Vía Pixabay)

No quiere decir que las guerras armadas vayan a desaparecer. No. Lo que va a pasar es que los ataques digitales van a ser otra arma contundente que podría hacer que las defensas del país atacado se debiliten mucho. Basta imaginarse un ataque de ‘hackers’ que tumben la red bancaria o los sistemas de energía eléctrica, de acueducto, o el financiero, o los de transporte, como TransMilenio o Transcaribe. Esto causaría casi el mismo daño que un ataque de misiles contra un objetivo determinado.

Este tipo de ataques aún no están regidos por ninguna ley, aunque un grupo internacional de abogados basados en Estonia ha estado trabajando en un manual que explique cómo se pueden aplicar las leyes internacionales a la ciberguerra. Se llama el ‘Manual de Tallin’ y lo está apoyando el Centro de Excelencia de Ciberdefensa Cooperativa, afiliado a la Otán (CCDCOE).

No se pueden confundir con ciberguerra los ataques digitales para difundir información falsa como las ‘fake news’, que supuestamente usó Rusia para apoyar a Trump en las elecciones a la presidencia del país del norte, o los robos de los correos del comité del Partido Demócrata por Rusia, según inteligencia de Estados Unidos. Este último es un ataque de ciberespionaje cuyo propósito es robar información confidencial de empresas públicas o del Estado para usarla en beneficio de terceros.

Muchas naciones se están preparando para la ciberguerra mediante un grupo de ‘hackers’ que simula hacer ataques digitales y otro que trata de defenderse. Obviamente, esos ataques están controlados, pero sirven como entrenamiento y para conocer mucho más sobre el tema y alzar más las barreras de ciberdefensa del país.

Con el internet de las cosas, televisores, cámaras de vigilancia, neveras, hornos y muchos más aparatos conectados a internet, los objetivos de un ciberataque de un Estado a otro se amplían, y así se pueden meter a las casas de sus habitantes. Esto no ha sucedido, pero más vale prevenir que curar. Colombia debe anticiparse a cualquiera de estos eventos.

El hack de Sony y la acusación de Estados Unidos por ese acto a Corea del Norte fue una de las noticias más importantes que cerraron el 2014. Ahora, el New York Times lanza nueva información sobre el tema, asegurando con documentos revelados de la NSA, que Estados Unidos ha tenido acceso a la red de Corea del Norte desde hace años.

Según el informe, Estados Unidos había decidido entrar a la red de la nación regida por Kim Jong-un desde hace más de una década. La NSA habría entrado a la red de Corea del Norte a través de China, con la ayuda de Corea del Sur y otros aliados de la nación norteamericana. La operación incluía plantar malware que pudiera rastrear los movimientos internos de las redes usadas por los hackers norcoreanos, un equipo que ascendería a 6.000 personas, en la división conocida como Bureau 121 que funciona generalmente en China.

El experto en ciberguerra, James A. Lewis, le señaló al medio que la velocidad en que Estados Unidos hizo acusaciones era bastante inusual, lo que podía obedecer a que “esta caso era distinto, que ellos tenían algún tipo de fuente interna”.

La publicación señala que Estados Unidos ha invertido miles de millones de dolares en sus esfuerzos de ciberguerra, algo que se ha visto reflejado en los ataques al programa nuclear de Irán o las acciones de vigilancia sobre otros países.

Imágenes: yeowatzup (vía Flickr).

Este lunes, los ministros de Defensa y de TIC, junto con expertos de varios países, instalaron la Misión de Asistencia Técnica de Seguridad Cibernética en un evento en Bogotá. Se trata de un encuentro en el que el Gobierno busca recibir asistencia técnica y legal de algunos de los más importantes especialistas internacionales en el tema, invitados por la OEA, con miras a la construcción de su política de ciberdefensa.

De puertas para adentro, el Gobierno lleva varias semanas trabajando en el desarrollo de esta política. El proceso comenzó recién se reveló el escándalo de Andrómeda, cuando el presidente Juan Manuel Santos encomendó su construcción a los ministros.

Tras la instrucción inicial, se conformó un comité que se ha ido reuniendo regularmente. En él no sólo han participado funcionarios oficiales, sino también expertos nacionales en seguridad informática y representantes del sector privado que tienen infraestructura informática crítica, como los sectores financiero y energético.

De estas reuniones salió un documento con una serie de recomendaciones, que hasta ahora no ha sido divulgado públicamente. Ese será el borrador que será discutido esta semana por los expertos internacionales. Se trata de altos responsables de algunas de las unidades de ciberseguridad más activas y mejor entrenadas del mundo.

Entre otros, estarán presentes Nathan Doyel, especialista en seguridad informática para el Hemisferio Occidental del Departamento de Estado de EE. UU.; Erez Kreiner, consultor de la Oficina de Asuntos Cibernéticos de Israel; y Young-Hung Kim, investigador de la Agencia de Internet y Seguridad de Corea del Sur.

Se espera que la decisión definitiva se produzca el 8 de abril

El objetivo es que el próximo viernes se le entregue al presidente Santos un documento con las recomendaciones de los especialistas internacionales. Según el ministro TIC, Diego Molano Vega, “los expertos validarán lo que hemos hecho los colombianos“, y no se espera que haya cambios sustanciales sobre el primer documento.

Con ese documento en la mano, el Presidente y los Ministros harán unos últimos ajustes para, finalmente, expedir un Decreto en el que éstas se pongan en práctica. Se espera que la decisión definitiva se produzca el 8 de abril.

Qué tendrá y qué no tendrá la política

Los detalles concretos se desconocen, pero a juzgar por el perfil de los invitados y las palabras de las autoridades, será una política muy centrada en la prevención del cibercrimen y la protección de infraestructura crítica.

Según dijo el Viceministro de Política Criminal y Justicia Restaurativa , Miguel Samper Strouss, la idea es “aumentar la probabilidad de captura” de quienes utilicen medios electrónicos para delinquir.

Molano anotó que parte del objetivo es minimizar los que llamó “riesgos del mal uso de internet“, como el robo de identidad y el cibercrimen en general. Además, aseguró que esta política es parte de un proyecto más grande que busca fijar políticas sólidas que rijan los sistemas de información del Estado.

El resultado seguramente sólo se conocerá cuando se convierta en Decreto

Según el Ministro de Defensa, Juan Carlos Pinzón, parte de la política también busca que Colombia comience a pensar en cómo enfrentar escenarios de ciberguerra, y aseguró que las decisiones que se tomen deben estar limitadas de acuerdo con lo que dice la Constitución, y que se intentará “buscar ese delicado equilibrio entre libertad y seguridad” .

Sin embargo, aún se desconocen los contenidos concretos de la política de ciberseguridad y ciberdefensa, cómo estará organizada y qué incluirá. Eso solo se conocerá cuando el Gobierno decida hacerla pública, lo que muy probablemente sólo ocurrirá cuando ya se convierta en Ley.

Imagen: 519 Graphic (vía Shutterstock)

La tensión diplomática que ha desatado la crisis en Ucrania y el envío de tropas rusas a Crimea toma nuevos ángulos. El martes, fuerzas de seguridad ucranianas acusaron a Rusia de realizar varios ataques cibernéticos, como lo señala la BBC.

Ucrania acusa al gobierno ruso de interferir señales de comunicación en Crimea, alterar sitios web y expandir material propagandístico en internet.

El martes, las autoridades de Ucrania confirmaron que su red de comunicaciones había sufrido ataques. El jefe de seguridad ucraniano, Valentyn Nalivaichenko, dijo que “el ataque continua afectando los celulares de miembros del parlamento ucraniano por segundo día consecutivo”.

Las autoridades ucranianas le dijeron a Reuters que cerca de las instalaciones de la empresa de telecomunicaciones, conocida como Ukrtelecom, se habían instalado equipos que bloquean los celulares de altos mandos del gobierno. Representantes de Ukrtelecom afirmaron que hombres armados habían causado las alteraciones que afectan las comunicaciones.

Rusia ya había realizado ciberataques a naciones vecinas

En 2007, Estonia y Rusia tuvieron un altercado por no acordar el lugar donde sería reubicado el monumento conmemorativo a la guerra soviética. Durante esa fecha se registraron ataques en los servicios de internet en Estonia, causando daños en el sistema financiero.

Durante la crisis entre Rusia y Georgia, en 2008, los rusos también fueron acusados de realizar ciberataques, pero en su momento negaron tener cualquier relación en la saturación de servidores y páginas web.

Los Hackers Patrióticos

Muchos de los ciberataques serían obra de bandas criminales que se autodenominan ‘Hackers Patrióticos’. Cada uno trabaja en favor de los intereses de su propia nación. El experto en seguridad Paul Rosenzweig afirma que “cuando los rusos sean capaces de integrar a los ‘Hackers Patrióticos’ a su causa, los resultados serán destacables”, y señala que el responsable es aun incierto. “Los grupos ucranianos y rusos usan direcciones IP similares” afirmó.

Imágenes: Pavel Kazachkov (vía Flickr) y LLlyxep (vía Flickr)

La Casa Blanca anunció este martes que vetará el Cyber Intelligence Sharing and Protection Act o CISPA a menos de que se hagan cambios significativos en su texto. Se trata de un proyecto de ley que actualmente hace curso en el Senado estadounidense  y que ha concentrado el rechazo de los usuarios de internet desde la primera vez que fue presentada a finales de 2011.

A pesar de que la ley ya ha sido enmendada en algunos de sus puntos más agresivos con la privacidad de las personas, para el gobierno Obama no ha sido suficiente. “La Administración aun quiere mejoras adicionales y si el proyecto, tal como está hoy armado, es presentado al Presidente, sus consejeros expertos le recomendarán que vete la iniciativa“, se dice en un documento publicado este martes por la Casa Blanca.

El objetivo de la ley es darle herramientas al gobierno o los actores privados estadounidenses para defenderse de potenciales ‘ciberamenazas’. Entre los puntos que se han criticado de la iniciativa están la vaguedad de la definición de ‘ciberamenaza’ y el hecho de que la información de las personas pueda ser solicitada por cualquier corporación o entidad gubernamental con pocas o ninguna garantía.

De hecho, la Casa Blanca afirma en el documento que la ley, tal como está hoy, no garantiza de forma suficiente que las entidades privadas “tomen pasos razonables para eliminar la información personal irrelevante cuando envían datos de ciberseguridad al gobierno o a otras entidades privadas. Los ciudadanos tienen derecho a saber que las corporaciones tendrán que rendir cuentas –y no tendrán impunidad garantizada– cuando no salvaguarden adecuadamente información personal“.

El proyecto de Ley ya había sido hundido en el Senado el año pasado luego de que Obama amenazara con un veto. Se espera que esta semana sea votada por la Cámara Alta estadounidense y se desconoce si los legisladores tomarán la sugerencia del Presidente.

No cabe duda que los ataques informáticos serán parte fundamental de los conflictos en el futuro. Es más, hay varios indicios de que las naciones ya están implementando medidas para atacar y contrarrestar usando este tipo de herramientas. La Otan comisionó al Cooperative Cyber Defense Center of Excellence (Centro de Excelencia Para la Ciberdefensa Cooperativa) para redactar un manual que regule la ciberguerra. Algo así como las pautas de la Convención de Ginebra para la guerra tradicional.

El manual, redactado por 20 expertos que además trabajaron con la Cruz Roja y el US Cyber Command, asegura que no se debe atacar los sistemas de instalaciones civiles como hospitales, represas o plantas nucleares. “Para evitar la fuerza desmedida y las consecuentes bajas en la población civil, se tiene que tener cuidado particular durante los ataques cibernéticos para evitar […] afectar represas y plantas nucleares, así como las instalaciones aledañas”, explica el manual.

Así como se especifican las estructuras que no deben ser atacadas, el documento también explica como los hackers son objetivos justificables y permitidos si sus ataques son graves o causan la muerte de las personas. La regla 80 del manual estipula la seguridad de las instalaciones de la población civil.

El Manual Tallin, llamado así porque se redactó una ciudad de Estonia con el mismo nombre, duró tres años en realizarse y, según el Coronel Kirby Abbott, “es el documento más importante en la ley de la ciberguerra”.

Aunque el documento no tiene implicaciones legales, efectivamente constituye la primera serie de pautas para el enfrentamiento en línea, aunque ya existen varias leyes. “Todo el mundo habla sobre el ciberspacio como si fuera el lejano oeste. Nosotros encontramos que hay mucha legislación que aplica en el ciberespacio”, dijo Micheal Schmitt, el director del proyecto, en The Guardian.

Los miembros del proyecto tienen clara la dificultad para identificar la procedencia de los ataques. Aunque se confirmó que Estados Unidos e Israel estuvieron detrás de Stuxnet, esto ocurrió años después de que el virus hizo de las suyas. Además, hace unas semanas se habló sobre un edificio en China donde se alojaba un grupo especializado en ataques informáticos, aunque no se pudo probar nada definitivamente. Si un ataque se genera de una red gubernamental, no es suficiente prueba para asegurar que el gobierno estuvo detrás del ataque.

Si hay evidencia creíble de un ciberataque dirigido contra Estados Unidos, el Presidente de ese país podría ordenar –sin consultarle a nadie– un ataque informático preventivo contra los equipos del presunto enemigo. Ese, según The New York Times, sería el principal cambio que traería una nueva reglamentación sobre ciberataques, que se discute en Washington y se espera que se oficialice en las próximas semanas.

Esa reglamentación es menos exigente que la actual, que solo permite llevar a cabo esa clase de ataques contra equipos ubicados en lugares en los que el Congreso de Estados Unidos ha declarado la guerra, como Afganistán. Las nuevas leyes evitan el paso por el Legislativo y hacen que los ciberataques funcionen de forma similar a los ataques de aviones no tripulados, que pueden ser ordenados directamente por el Presidente sin intermediarios.

Estados Unidos, hasta ahora, solo ha reconocido un ataque cibernético: el que se llevó a cabo contra Irán al comienzo de la administración Obama. El objetivo fue debilitar las instalaciones nucleares de la República Islámica. Se trató de una operación que inició en el gobierno de George W. Bush y fue llamada ‘Operación Juegos Olímpicos’.

Estados Unidos ya dijo que considera los ataques cibernéticos como “actos de guerra” y está preparando su aparato militar para para entrar a este campo de batalla. Según el Times, “el Pentágono ha creado un nuevo Ciber Comando, y el campo de guerra de redes de computadores es una de las pocas partes del presupuesto militar que se espera que crezcan“.

Luego de que un hacker publicara más de 400.000 datos de tarjetas de crédito de ciudadanos israelíes en la Red, el viceministro de Asuntos Exteriores israelí, Danny Ayalon, amenazó con tomar medidas frente a este hecho que supuestamente fue realizado por un joven hacker nacido en Emiratos Árabes Unidos.

El hacker, que se identificó bajo el nombre ‘0x Omar’, se infiltró en los sitios web de varias compañías israelíes, tomó los datos de las transacciones, y los publicó a través de Pastebin.com. Las empresas atacadas reconocieron que hasta el viernes pasado se publicaron los datos de 25.000 números de tarjetas, pero muchos de ellos pertenecen a productos que ya han caducado.

Según el viceministro israelí, este hecho viola la soberanía de su país pues puede ser comparado con una operación terrorista y debe ser tratada como tal. “Israel tiene opciones activas para atacar a quienes estén intentando dañarnos. Ningún organismo ni hacker puede ser inmune a nuestra acción de represalia”, aseguró.

Pero el gobierno israelí no fue el único que dejó ver su descontento frente a las acciones realizadas por ‘0x Omar’. El hacktivista israelí Omer Cohen, quien se hace llamar ‘OxOmer’ para burlarse de su contraparte árabe, dejó ver su respuesta frente a las acciones del hacker emiratí publicando un listado con 200 nombres, correos electrónicos y números de tarjetas de crédito de ciudadanos saudíes que obtuvo de las mismas fuentes financieras. 

“Quiero que vengas a mi casa con todos tus amigos y tu país. Pero como no tienes amigos, cállate”, fue el mensaje que le dejó Cohen a su adversario.

El sitio web del diario israelí ‘Haaretz’ aseguró que el bloguero Amir Fedida, habría conseguido localizar a ‘0x Omar’ en México: se trataría de un estudiante de 19 años que actualmente trabaja en Estados Unidos.

Sin embargo, el hacker se empeña en continuar con los ataques. “Esperen y verán cómo filtro al mundo los datos de un millón de israelíes y también documentos técnicos relacionados con el Ejército y los ministerios”, afirmó ‘0x Omar’, según informó el diario El País. “Este es un ataque político, social y económico contra Israel, un país que mata a palestinos y viola las leyes internacionales”, dijo.

Los ingleses son famosos por su obsesión por la puntualidad, su profundo amor por el té y su curioso y fino sentido del humor, entre otras cosas. Esta última característica salió a relucir hace un año, cuando agentes de MI6, el servicio de inteligencia británico, realizaron quizás el ciberataque más cómico de la historia contra Al Qaeda.

No fueron la inoculación de malware o un ataque DDoS las armas informáticas que afectaron el sitio de islam fundamentalista Inspire: fueron recetas de cocina.

Aunque la operación se ejecutó en 2010, apenas se reveló ahora por motivos de seguridad. Lo que ocurrió fue que Inspire, una revista digital en inglés dirigida a simpatizantes internacionales, en especial de Estados Unidos y el Reino Unido, redactó una revista de 67 páginas que incluía un artículo llamado ‘Haga una bomba en la cocina de su mamá’ con el fin de expandir su ideología y ampliar el campo de acción de su amenaza.

Para evitar que la información se difundiera e inspirara a terroristas en potencia, MI6 hackeó el sitio web y remplazó el material peligroso con inofensivas recetas de pastelitos sacadas del programa de televisión de Ellen DeGeneres.

Para rematar la burla con una dosis de ironía, la autora de las recetas tiene un apellido que equivale a blasfemia para cualquier musulmán radical y terrorista: Israel.

Se sabe que tiempo después del ataque de repostería del MI6, la revista volvió a publicar el contenido original, por lo que algunos medios califican la operación como un fracaso. ¿Qué opinan ustedes? ¿Está bien usar el humor en algo tan serio, o este tipo de ataques debe ser más contundente?

Notas relacionadas:

• El virus Stuxnet le habría costado 2 años de retraso al programa nuclear iraní.
• Irán es atacado con malware, al parecer por otro país.
• A rezar virtualmente por los terroristas del mundo.

Hace pocos días, Barack Obama reveló su nueva ‘International Strategy for Cyberspace’ o estrategia internacional para el ciberespacio, la cual fue muy controvertida por contemplar el uso de la fuerza como herramienta para responder a ataques informáticos contra Estados Unidos, sus aliados y sus ciudadanos. En desarrollo de esa nueva visión de la Casa Blanca, el Pentágono –corazón del aparato bélico gringo– anunció que los ciberataques que provengan o que sean auspiciados por un Estado en particular constituirán “actos de guerra”.

Pero según un general retirado de la Fuerza Aérea estadounidense no basta con que sea un ataque informático cualquiera, tiene que ser algo de verdad grave. ¿Qué tan grave? “Un ciberataque es gobernado por básicamente las mismas reglas que cualquier otro ataque si sus efectos son en esencia los mimos”, le dijo el ex general y hoy profesor de derecho en Duke University, Charles Dunlap, al diario estadounidense. Un oficial militaranónimo lo puso de una manera más pintoresca con un ejemplo: “Si nos tumban la red eléctrica, de pronto les mandamos un misil por una de sus chimeneas”.

Como ocurrió cuando fue anunciada la nueva estrategia de Obama, estas declaraciones dejan ciertas incertidumbres. Primero, como lo anota el artículo, un ‘acto de guerra’ no es un término legal, no puede ser comparado con un texto jurídico de manera objetiva para determinar específicamente qué constituye un ‘acto de guerra’. Queda abierto a la interpretación del mandatario de turno si un ataque informático amerita un bombardeo.

Aún más inquietante es que hay mucho campo para malentendidos. Una persona con extensos conocimientos de redes y de Internet tiene muchas herramientas para burlar a las autoridades. Antes de mandar cohetes por la chimenea del presidente de otro país, tiene que haber una verificación total y certera de que a quien se ataca es culpable (y eso que se estarían saltando una cosa llamada ‘debido proceso’, pero esa discusión queda para los abogados). Sería una tragedia que se repitiera Irak o Vietnam, dos guerras que comenzaron basadas en inteligencia incompleta o falsa.

A pesar de todos los aparentes riesgos que puede tener esta nueva doctrina, es fácil ver de dónde nace la preocupación de Estados Unidos. Hace pocos días Lockheed Martin, una de las empresas militares más importantes del planeta, fue víctima de un ciberataque enorme, que puso de rodillas a sus sistemas pero que no logró penetrarlos y robarse secretos como la tecnología ‘stealth’ (que borra a los aviones del radar enemigo) y los diseños de otras armas secretas estadounidenses.

Es un tema muy complicado para Estados Unidos el de encontrar un equilibrio entre proteger sus intereses en el ciberespacio y defender un lugar tan intangible, pero si la superpotencia quiere mantener su liderazgo tanto en lo militar y como en lo tecnológico, es un reto que va a tener que superar.

El ataque que vivió Sony hace poco, conocido como el PSN-gate, volvió a resaltar lo vulnerables que son hasta las empresas más poderosas y avanzadas del planeta a ataques informáticos. Pero no son solo los empresarios quienes deben cuidares, también es una obligación de los gobiernos proteger a sus ciudadanos de cualquier ataque, sin importar si es físico o virtual.

A pesar de que existe el deber, hasta ahora son pocos los países que han tomado una iniciativa tan agresiva como la que reveló ayer el gobierno estadounidense, la cual incluye el uso del aparato bélico gringo para defenderse de hackers. En un documento titulado ‘International Strategy for Cyberspace’ (estrategia internacional para el ciberespacio) el presidente Barak Obama plantea una nueva visión para la protección del cibersespacio. Para el gobierno actual de Estados Unidos, la Red es un lugar maravilloso que ya no está limitado a empresarios o amantes de la tecnología, sino que se ha convertido en un servicio clave de la humanidad.

Por eso es importante comenzar a tratar al ciberespecio como un lugar real y de gran importancia para el futuro de Estados Unidos y sus aliados. El plan incluye dos elementos: cómo defenderse de ataques y cómo responder a ellos. Para evitar que sus aliados y ciudadanos sean víctimas de ataques informáticos, Estados Unidos quiere comenzar una especie de red internacional de defensa y prevención. “Una red distribuida por todo el mundo requiere capacidades de primera advertencia”, dice el documento, y para resolver ese problema propone crear nuevas herramientas de seguridad informática que funcionen mundialmente. Esta es la estrategia de defensa o “disuasión”, pero lo más interesante es lo que podría hacer Estados Unidos si estos sistemas fallan. “Los Estados tienen un derecho inherente de defensa propia que puede ser invocado por ciertos actos de agresividad en el ciberespacio”, dice el documento.

“Algunos actos hostiles realizados en el ciberespacio pueden obligar a acciones que se encuentran bajo los compromisos que tenemos con nuestros aliados militares. Cuando lo amerite, Estados Unidos responderá a actos hostiles en el ciberespacio de la misma forma en que responderíamos a cualquier otra amenaza hecha a nuestro país”.

Como lo anota Ars Technica, la fuerza militar solo sería usada como último recurso después de haber agotado las alternativas diplomáticas y económicas disponibles. Esto es importante porque muestra que el gobierno gringo reconoce que no son solo hackers individuales quienes pueden atacar sistemas de seguridad, también pueden ser agentes de gobiernos rivales en misiones de espionaje o sabotaje quienes atenten contra la seguridad de Estados Unidos y sus aliados.

El fuerte tono del lenguaje en el documento es impactante, pero puede llegar a ser alarmante si se considera que Estados Unidos básicamente está dispuesto a irse a la guerra si un ataque informático es lo suficientemente dañino y es perpetrado por una nación enemiga. ¿Cómo respondería Estados Unidos si le pasara algo como que le ocurrió a Irán con el ataque de Stuxnet el año pasado, en el que Irán acusó a las potencias de Occidente?

Si las acusaciones persas fueran ciertas (nadie sabe si lo son o no) y los roles se invirtieran, ¿sería suficiente para justificar una guerra con Irán? ¿Qué pasaría si un hacker terrorista está atacando a Estados Unidos desde otro país sin que el gobierno de este lo sepa? ¿Podría entrar un equipo de Navy Seals a atraparlo sin pedirle permiso al país anfitrión, como ocurrió con Osama Bin Laden?

Quizás la pregunta más inquietante de todas es si esta nueva doctrina será utilizada en el futuro por un presidente belicoso para llevar a su país a la guerra. No está mal defender el ciberespacio y es un paso importante amenazar con el uso de la fuerza a quienes crean que por ser hackers son inmunes a la justicia y que Internet es su patio trasero, pero no deja de preocupar que una máquina de guerra como el ejército gringo tenga una nueva excusa para utilizar su arsenal contra otros.

Notas relacionadas:

• El virus Stuxnet le habría costado 2 años de retraso al programa nuclear iraní.
• Irán es atacado con malware, al parecer por otro país.
• A rezar virtualmente por los terroristas del mundo.

En septiembre el mundo conoció que Irán estaba bajo un ataque informático de grandes dimensiones. El virus Stuxnet fue catalogado como una de las amenazas más importantes de 2010 por la firma de seguridad ESET gracias a su capacidad de infectar particularmente sistemas de control industrial, como los usados en centrales eléctricas.

Aunque en principio el gobierno iraní dijo que su programa nuclear –al parecer el blanco principal del ataque– no había sufrido mayores daños, un renombrado experto en el virus le dijo al diario israelí ‘The Jerusalem Post’ (inglés) que el virus había dejado lisiados los avances atómicos persas.

El periódico cita a un experto alemán de apellido Langer, el cual según Ars Tecnica (inglés) es Robert Langer, una de las personas que más sabe de Stuxnet en el mundo (otros medios lo llaman ‘Ralph Langer’, y se desconoce por qué el diario israelí no citó su nombre completo). Según sus declaraciones, el virus retrasó el programa nuclear por 2 años. “Fue casi tan eficiente como un ataque militar, pero mejor, porque no hubo muertes ni se desató una guerra total. Desde la perspectiva militar, este fue un éxito gigantesco”, declaró Langer.

Lo que hace tan letal a Stuxnet para los iranís es su alto grado de sofisticación. Según Langer y otros expertos (inglés), el virus estaba especialmente diseñado para atacar el programa iraní y la seguridad informática estatal, cuyos líderes simplemente no han sabido cómo lidiar con un ataque de esta magnitud. El sitio web ZonaVirus presenta detalles de cómo funciona Stuxnet en la infraestructura nuclear iraní.

“Es extremadamente difícil limpiar las instalaciones que tienen Stuxnet, y sabemos que Irán no es bueno para la tecnología de información y apenas está tratando de entender qué significa todo esto”, le dijo Langer al diario israelí. “Para que sus sistemas funcionen otra vez, van a tener que deshacerse del virus (…), van a tener que remplazar sus equipos, y van a tener que reconstruir sus centrífugas en Natanz y comprar una nueva turbina para Bushehr”. Natanz y Bushehr son los sitios donde se encuentran los reactores más importantes del controvertido programa nuclear iraní.

Tanto los efectos puntuales como la alta sofisticación de Stuxnet han llevado a expertos independientes y al gobierno iraní a concluir que se trata de un ataque planeado por otro país. Los principales sospechosos son Israel y Estados Unidos –los rivales políticos más radicales de su programa nuclear–, pero se especula que posiblemente Alemania también haya participado.

Si algún día se llega a saber con certeza que los gobiernos de ciertos países estuvieron detrás de Stuxnet, este sería uno de los primeros y más exitosos ataques en una ciberguerra que estaría apenas comenzando, pues Irán no se quedará de brazos cruzados.  (inglés).

A estas alturas, sólo quienes viven una cueva en las montañas no saben lo que está pasando con WikiLeaks. Aunque todo lo que ha ocurrido hasta hoy es de por sí histórico, los últimos dos días han marcado un hito en la seguridad informática, pues la llamada ‘Operation Payback’ (operación retribución) es uno de los ataques informáticos coordinados más masivos de la histo4ria.

Desde ayer, más de 5.000 ‘hacktivistas’ de la comunidad de 4Chan llamada Anonymous han atacado empresas de la talla de MasterCard, PayPal y Visa, así como los sitios web de políticos e incluso bancos. A continuación está un listado de todos los ataques según PandaLabs le informó a Mashable y de acuerdo a las nuevas noticias de hoy. Estaremos actualizándolo a medida que la ofensiva se expanda.

• Ayer (inglés), ataques DDoS (negación de servicio) a los sitios web de Visa y MasterCard afectaron las operaciones de las empresas.
• Los sitios web de los políticos estadounidenses Sarah Palin y Joe Lieberman fueron ‘tumbados’ por varios minutos (el ataque al de Lieberman fue el primero a un domio .gov de la ofensiva). Ambos han sido fuertes críticos de WikiLeaks.
• El banco suizo PostFinance le cerró la cuenta bancaria a Julian Assange (fundador de WikiLeaks). Como consecuencia, la institución ha visto a su sitio caerse y sus clientes no han podido aprovechar los servicios en línea del banco a plenitud desde ayer.
• ‘Tumbaron’ el sitio del abogado que representa a las dos mujeres que acusan a Assange de agredirlas sexualmente, lo cual ha servido de razón para mantener a Assange tras las rejas.
• Desde ayer (inglés) e incluso esta mañana, PayPal estuvo bajo ataque. Aunque el sitio principal no sufrió, el blog oficial estuvo fuera de servicio por 8 horas.
• Se intentó de coordinar un ataque a Amazon.com, pero fue pospuesto para continuar la ofensiva contra PayPal. De todas maneras se espera que el ataque ocurra en algún momento.
• También han sufrido caídas (inglés) de servicios los sitios web del gobierno sueco y del fiscal de ese país, quienes han pedido en extradición a Assange por sus supuestos crímenes sexuales.
• El 10 de diciembre (inglés), el sitio de transferencias electrónicas, Monybookers.com, fue atacado y ‘tumbado’ por unos minutos. La razón fue que la empresa que antes recibía donaciones a WikiLeaks dejó de hacerlo.

Con tantos éxitos, era de esperarse que la guerra de Anonymous  despertara la ira de otras fuerzas en la Red. La comunidad ha sufrido un golpe al perder su sitio web oficial, el cual se encuentra fuera de servicio a causa de un ataque DDoS que aún no tiene autor confirmado. Facebook y Twitter, por su parte, también han deshabilitado algunas cuentas relacionadas con Anonymous y la Operación Retribución. Twitter incluso ha sido acusado de mantener a WikiLeaks y a su fundador, Julian Assange, fuera de los ‘trending topics’.

¿Qué es Anonymous?

La ofensiva de los simpatizantes de WikiLeaks surgió de una comunidad de hackers y activistas conocida como Anonymous, que surgió hace unos años en los foros 4chan, pero que no tiene ninguna relación con estos. Esta comunidad es famosa y temida por tener miembros ‘hackers’ con altísimos conocimientos de sistemas y redes. Además de sus habilidades, los miembros de Anonymous tienen un principio guía común: la libertad de la información en Internet. Por ello la causa de Julian Assange y WikiLeaks es tan cercana a su corazón.

Desde hace unos meses, Anonymous ha estado preparando un ataque masivo a quienes luchan en contra de la piratería, pues para la comunidad los usuarios de Internet deberían tener el derecho de disponer de su información como les plazca. Como parte del comienzo de su ofensiva, Anonymous atacó en octubre a  los responsables de la caída del sitio de ‘torrents’ The Pirate Bay. Sin embargo, con los sucesos de WikiLeaks, las prioridades de ataque al parecer han cambiado.

Los planes de Anonymous son realmente ambiciosos, por lo cual necesitan la ayuda de miles de personas más además de sus miembros. Por ello, los hackers han creado programas e incluso sitios web por medio de los cuales es posible participar en ‘Operation Payback’ así la persona no sepa nada sobre seguridad informática o ‘hacking’.

El caso WikiLeaks ya tiene tantas denuncias, historias e implicados, que sus consecuencias son imprevisibles, aunque ya se habla de que está generando una ciberguerra (inglés), pues por lo menos 5.000 ‘hacktivistas’ –hackers activistas– han atacado los sitios web de Visa, PayPal, Amazon, el gobierno sueco y la excandidata a la Vicepresidencia de Estados Unidos, Sarah Palin. Twitter también ha sido blanco de ataques, aunque por fortuna para el servicio de microblogging, solo verbales: se le acusa de censurar a WikiLeaks eliminándolo de sus ‘trending topics’ (inglés), que se presentan en un listado con las palabras y temas más populares y mencionados del momento. Carolyn Penner, vocera de Twitter, publicó una entrada en el blog oficial, en la que defiende a la compañía de las acusaciones y explica detalles de cómo se determinan los ‘trending topics’. En pocas palabras, señala que Twitter favorece la novedad sobre la popularidad. “El listado de tendencias está diseñado para que la gente descubra las más recientes entre las noticias de última hora en todo el mundo, capturando los temas emergentes más calientes, y no los que son más populares”, escribió Penner. Por ello, si bien en noviembre #wikileaks llegó a estar en el listado de tendencias, por estos días no aparece, ya que no ha habido un incremento de tweets con este término, aunque siga siendo uno de los más discutidos. La explicación de Twitter no es una excusa sin sentido. Servicios de monitoreo de tendencias, como Trendistic, permiten ver que términos y hashtags muy utilizados cada día, como #justinbieber, #google o #facebook, tampoco aparecen en las tendencias. Sin embargo, Twitter aún no ha explicado las suspensiones de cuentas de usuario relacionadas con la naciente ciberguerra. Algunas siguen funcionando, como la de la Operación Payback, pero otras, como la del Partido Pirata de Estados Unidos o la del grupo de activistas Anonymous –impulsores de los ataques pro-WikiLeaks– quedaron fuera de servicio. ¿Caído Wikileaks.org? Hay 1.368 copias.