Hackers del gobierno estadounidense son los culpables de un ciberataque que secuestró iPhones en una empresa tecnológica rusa. ¿Podría el ataque y la respuesta del gobierno ruso cambiar la percepción de quiénes son los buenos y los malos en el ciberespacio?
Estos nombres -Camaro Dragon, Fancy Bear, Static Kitten y Stardust Chollima- no son los de los nuevos superhéroes de Marvel, sino los de algunas de las organizaciones de hackers más temidas del mundo.
Estos equipos cibernéticos de élite han sido vigilados durante años mientras se movían de pirateo en pirateo, robando información y causando problemas aparentemente por orden de sus gobiernos.
Además, las empresas de ciberseguridad han hecho representaciones de dibujos animados de ellos.
Los responsables de marketing de estas empresas suelen alertar a los clientes de los orígenes de estas "amenazas persistentes avanzadas" (APT), que suelen ser Rusia, China, Corea del Norte e Irán, colocando .s en un mapa del mundo.
Sin embargo, sigue habiendo zonas vacías evidentes en el mapa.
¿Por qué, entonces, rara vez tenemos noticia de equipos de hackers o ciberataques occidentales?
El descubrimiento este mes de un importante hackeo en Rusia podría contener algunas respuestas.
El trabajador de ciberseguridad observó cómo empezaban a aparecer extraños pings en la red wi-fi de la empresa desde su escritorio, que daba al Canal de Moscú.
Las zonas difíciles de Internet estaban recibiendo información de los teléfonos móviles de decenas de empleados a la vez.
Pero no se trataba de una actividad habitual.
La mayor empresa de ciberseguridad de Rusia en ese momento era Kaspersky, que estaba investigando un posible ataque a su propio personal.
Aunque al principio nos mostramos escépticos, lo primero que nos vino a la mente fue, naturalmente, un programa espía, según el investigador jefe de seguridad Igor Kuznetsov.
"Todo el mundo ha oído hablar de las potentes herramientas en línea que pueden convertir los teléfonos móviles en herramientas de espionaje, pero yo siempre supuse que se trataba de una especie de leyenda urbana que le había ocurrido a otra persona, en otro lugar. "
Igor llegó a la conclusión de que había descubierto una importante campaña de vigilancia y pirateo contra sus propios empleados tras analizar minuciosamente "varias docenas" de iPhones infectados.
Para los profesionales de la defensa en línea, el tipo de ataque que descubrieron es material de pesadilla.
Los hackers desarrollaron un sencillo método para infectar iPhones mediante el envío de un iMessage que se borra a sí mismo una vez que el software malicioso se introduce en el dispositivo.
Estás infectado, y ni siquiera te das cuenta, declara Igor.
Los atacantes recibían ahora periódicamente pings de todo el contenido del teléfono de las víctimas. Se compartían correos electrónicos, mensajes, fotos e incluso se accedía a cámaras y micrófonos.
Igor afirma que Kaspersky tiene una política de larga data de no acusar a nadie, por lo que no les preocupa el origen de este ataque de ciberespionaje.
En sus palabras, "las mordeduras no tienen nacionalidades, y cada vez que se atribuye un ciberataque a una nación en particular, se hace con una agenda.".
Sin embargo, eso preocupa menos al gobierno ruso.
Los servicios de seguridad rusos emitieron un boletín urgente ese mismo día en el que afirmaban haber "descubierto una operación de reconocimiento de los servicios de inteligencia estadounidenses llevada a cabo utilizando dispositivos móviles de Apple." Kaspersky acababa de hacer el descubrimiento.
Aunque afirmaba que "varios miles de aparatos telefónicos" pertenecientes tanto a diplomáticos rusos como extranjeros habían sido infectados, el servicio de ciberinteligencia ruso no mencionaba a Kaspersky.
Incluso se acusaba en el boletín a Apple de participar activamente en la campaña de pirateo. Apple niega tener ninguna implicación.
La parte acusada, la Agencia de Seguridad Nacional (NSA) de Estados Unidos, informó a BBC News de que no tenía nada más que añadir.
Igor insiste en que Kaspersky y los servicios de seguridad rusos no se coordinaron y que el anuncio del Gobierno les pilló desprevenidos.
Esto sorprenderá a algunos en la comunidad de ciberseguridad porque parecía que el gobierno ruso y Kaspersky estaban emitiendo una declaración conjunta para obtener el máximo impacto. Los países occidentales recurren cada vez más a esta estrategia para sacar a la luz las campañas de piratería informática y culpar públicamente a sus autores.
El mes pasado, el gobierno de Estados Unidos emitió un comunicado conjunto con Microsoft: se había descubierto a piratas informáticos del gobierno chino merodeando por las redes de energía de los territorios estadounidenses.
Y el Reino Unido, Australia, Canadá y Nueva Zelanda, conocidos colectivamente como los "Cinco Ojos", se sumaron rápida y previsiblemente a esta declaración.
China se apresuró a negar las afirmaciones, alegando que todas ellas eran producto de una "campaña colectiva de desinformación" por parte de las naciones de los Cinco Ojos.
Mao Ning, representante del Ministerio de Asuntos Exteriores chino, añadió la respuesta china estándar, diciendo: "Estados Unidos es el imperio de la piratería informática. "
Sin embargo, China parece estar adoptando ahora una postura más firme en la denuncia de la piratería informática occidental, similar a la de Rusia.
Los piratas informáticos apoyados por gobiernos extranjeros son ahora la mayor amenaza para la ciberseguridad de la nación, según el medio de noticias estatal China Daily.
La advertencia iba acompañada de una estadística de la empresa china 360 Security Technology, que había encontrado "51 organizaciones de piratas informáticos dirigidas a China".
En septiembre del año pasado, China también acusó a Estados Unidos de piratear una universidad financiada por el gobierno y encargada de proyectos de investigación aeronáutica y espacial.
El director de Rubrik Zero Labs y ex empleado de inteligencia cibernética Steve Stone afirma que China y Rusia se han dado cuenta poco a poco del éxito del modelo occidental de exposición cibernética.
"Añadiré que creo que es algo bueno. No tengo nada en contra de que otras naciones divulguen lo que hace Occidente. Me parece apropiado y juego limpio, en mi opinión. "
Muchos tachan de exagerada la afirmación china de que EE.UU. es el "imperio del pirateo informático", pero hay algo de verdad en ello.
Estados Unidos es la única potencia cibernética de nivel 1 en el mundo, basada en ataque, defensa e influencia, según el Instituto Internacional de Estudios Estratégicos (IISS).
El nivel 2 está compuesto por:.
- China.
- Federación Rusa.
- Reino Unido.
- Australia.
- Francia.
- Nación israelí.
- Canadá.
Estados Unidos ocupa el primer puesto mundial en el Índice Nacional de Poder Cibernético, creado por investigadores del Centro Belfer de Ciencia y Asuntos Internacionales.
La investigadora principal del documento anual, Julia Voo, también ha notado un cambio.
"El espionaje es rutinario para los gobiernos y ahora se presenta con frecuencia en forma de ciberataques, pero se está produciendo una batalla narrativa y los gobiernos se preguntan quién se comporta de forma responsable e irresponsable en el ciberespacio", afirma.
Para ella, elaborar una lista de grupos de hackers APT y pretender que no hay grupos occidentales no es una representación veraz de la realidad.
"Leer los mismos informes sobre ataques de piratas informáticos desde un solo lado contribuye a la ignorancia general", afirma la Sra. Voo.
"Es importante educar al público en general, porque aquí es básicamente donde se van a desarrollar muchas tensiones entre Estados en el futuro. "
Y la Sra. Voo elogia al gobierno británico por publicar su primer informe de transparencia sobre las operaciones de la Fuerza Cibernética Nacional
"No es superdetallado, pero sí más que el de otros países", afirma.
Pero la falta de transparencia también podría provenir de las propias empresas de ciberseguridad.
El Sr. Stone lo denomina "sesgo de datos": las empresas de ciberseguridad occidentales no ven los hackeos occidentales, porque no tienen clientes en países rivales.
Pero también podría haber una decisión consciente de poner menos esfuerzo en algunas investigaciones.
"No dudo de que es probable que haya algunas empresas que puedan tirar del carro y ocultar lo que puedan saber sobre un ataque occidental", afirma Stone.
Pero él nunca ha formado parte de un equipo que haya ocultado información deliberadamente.
Los lucrativos contratos de gobiernos como el británico o el estadounidense son también una importante fuente de ingresos para muchas empresas de ciberseguridad.
Como afirma un investigador de ciberseguridad de Oriente Medio: "El sector de la inteligencia en ciberseguridad está fuertemente representado por proveedores occidentales y muy influenciado por los intereses y necesidades de sus clientes. "
El experto, que pidió permanecer en el anonimato, es uno de los más de doce voluntarios que contribuyen periódicamente a la APT Google Sheet, una hoja de cálculo en línea de acceso gratuito en la que se registran todos los casos conocidos de actividades de actores de amenazas, independientemente de su origen.
Tiene una pestaña para las APT de la OTAN, con apodos como Longhorn, Snowglobe y Gossip Girl, pero el experto admite que está bastante vacía en comparación con las pestañas de otras regiones y países.
Según él, otra de las razones de la falta de información sobre los ciberataques occidentales podría deberse a que a menudo son más sigilosos y causan menos daños colaterales.
"Las naciones occidentales tienden a llevar a cabo sus operaciones cibernéticas de una manera más precisa y estratégica, en contraste con los ataques más agresivos y amplios asociados con naciones como Irán y Rusia", dice el experto.
"Como resultado, las operaciones cibernéticas occidentales a menudo producen menos ruido. "
El otro aspecto de la falta de información podría ser la confianza.
Es fácil desestimar las acusaciones de piratería rusa o china porque a menudo carecen de pruebas.
Pero los gobiernos occidentales, cuando señalan con el dedo en voz alta y con regularidad, rara vez o nunca aportan pruebas.
