EU sufrió un enorme ciberataque. Es difícil exagerar qué tan malo fue

Bruce Schneir*

Artículos de noticias recientes hablan sobre el masivo ciberataque ruso contra Estados Unidos, pero eso está mal en dos aspectos. No fue un ciberataque en términos de relaciones internacionales, fue espionaje. Y la víctima no fue solo EU, fue el mundo entero. Fue enorme y es peligroso.

El espionaje está permitido internacionalmente en tiempos de paz. El problema es que tanto el espionaje como los ciberataques requieren las mismas intrusiones informáticas y de red, y la diferencia es solo unas pocas teclas. Dado que esta operación rusa no tiene un blanco en sí, el mundo entero está en riesgo, y no solo por Rusia. Muchos países llevan a cabo este tipo de operaciones y ninguno de forma más extensa que Estados Unidos. La solución es priorizar la seguridad y la defensa sobre el espionaje y los ataques.

También lee: Al descubierto: Sospechan que China espió a estadounidenses a través de redes celulares en el Caribe

Esto es lo que sabemos: Orion es un producto de gestión de red de una empresa llamada SolarWinds, con más de 300,000 clientes en todo el mundo. En algún momento antes de marzo, los hackers que trabajaban para el SVR ruso, anteriormente conocido como la KGB, piratearon SolarWinds y abrieron una puerta trasera en una actualización de software de Orion. (No se sabe cómo, pero el año pasado el servidor de actualización de la compañía estaba protegido por la contraseña “solarwinds123”, lo que habla de la falta de cultura de seguridad). Los usuarios que descargaron e instalaron esa actualización corrupta entre marzo y junio, sin saberlo, dieron a los hackers de SVR acceso a sus redes.

Esto se denomina ataque a la cadena de suministro pues apunta a un proveedor de una organización en lugar de a una organización en sí misma, y ​​puede afectar a todos los clientes de un proveedor. Es una forma cada vez más común de atacar redes. Otros ejemplos de este tipo de ataque incluyen aplicaciones falsas en la tienda Google Play y pantallas de reemplazo pirateadas para teléfonos inteligentes.

SolarWinds eliminó su lista de clientes de su sitio web, pero Internet Archive la rescató: las cinco ramas del ejército de EU, el Departamento de Estado, la Casa Blanca, la Agencia Nacional de Seguridad, 425 de las compañías del listado de Fortune 500, las cinco de las cinco principales empresas de contabilidad, empresas y cientos de universidades y colegios. En una presentación de la SEC, SolarWinds dijo que cree que “menos de 18,000” de esos clientes instalaron esta actualización maliciosa, otra forma de decir que más de 17,000 lo hicieron.

También lee: Cartel Project | Cómo el software espía termina en manos de los cárteles de México

Hay muchas redes vulnerables y es inconcebible que el SVR las haya penetrado todas. En cambio, eligió cuidadosamente entre su canasta de objetivos. El análisis de Microsoft identificó a 40 clientes que tuvieron alguna infiltración debido a esta vulnerabilidad. La gran mayoría de ellos estaban en EU, pero las redes en Canadá, México, Bélgica, España, el Reino Unido, Israel y los Emiratos Árabes Unidos también estuvieron bajo ataque. Esta lista incluye gobiernos, contratistas gubernamentales, empresas de tecnología de la información, grupos de expertos y ONG (…) la lista y seguro crecerá.

Una vez dentro de una red, los hackers de SVR siguieron un protocolo estándar: establecer un acceso persistente que permanecerá incluso si se corrige la vulnerabilidad inicial; moverse lateralmente por la red, comprometiendo sistemas y cuentas adicionales; y la extracción de datos. No ser cliente de SolarWinds no es garantía de estar a salvo; esta operación de RVS también utilizó otros vectores y técnicas de infección inicial. Estos son hackers sofisticados y pacientes, y solo estamos aprendiendo algunas de las técnicas involucradas aquí.

Recuperarse de este ataque no es fácil. Debido a que cualquier hacker de SVR establecería un acceso persistente, la única forma de estar seguro de que tu red no está comprometida es eliminarla y reconstruirla. Es algo parecido a reinstalar el sistema operativo de su computadora para recuperarse de un ataque malicioso. Así es como muchos administradores de sistemas van a pasar sus vacaciones de Navidad, e incluso así no pueden estar seguros. Hay muchas formas de establecer un acceso persistente que sobrevive a la reconstrucción de redes y equipos individuales. Sabemos, por ejemplo, de una herramienta de ataque (exploit) de la NSA que permanece en un disco duro incluso después de reformatearlo. El código para esa exploit era parte de las herramientas de Equation Group que los Shadow Brokers, que nuevamente se creía que eran Rusia, robaron de la NSA y publicaron en 2016. Es probable que la SVR tenga los mismos tipos de herramientas.

Incluso sin esa advertencia, muchos administradores de redes no pasarán por el largo, doloroso y, potencialmente costoso, proceso de reconstrucción. Solo esperarán lo mejor.

Es difícil exagerar qué tan malo es esto. Todavía estamos aprendiendo sobre este hackeo a las organizaciones gubernamentales de EU: el Departamento de Estado, el Departamento del Tesoro, el de Seguridad Nacional , los laboratorios nacionales de Los Álamos y Sandia (donde se desarrollan armas nucleares), la Administración Nacional de Seguridad Nuclear, los Institutos Nacionales de Salud y muchos más. En este punto, no hay indicios de que se hayan penetrado redes clasificadas, aunque eso podría cambiar fácilmente. Se necesitarán años para saber en qué redes ha penetrado la SVR y dónde todavía tiene acceso. Gran parte de eso probablemente será clasificado, lo que significa que nosotros, el público, nunca lo sabremos.

Y ahora que sabemos sobre la vulnerabilidad de Orion, otros gobiernos y ciberdelincuentes la utilizarán para penetrar en redes vulnerables. Puedo garantizarles que la NSA está utilizando el truco de SVR para infiltrarse en otras redes; ¿Por qué no lo harían? (¿Alguna organización rusa usa Orion? Probablemente).

También lee: Obituario: John Le Carré, el novelista que nos enseñó a espiar

Si bien se trata de un fallo de seguridad de enormes proporciones, no es, como dijo el senador Richard Durban, “de hecho una declaración de guerra de Rusia a Estados Unidos”. Si bien el presidente electo Biden dijo que esto será una prioridad máxima, es poco probable que haga mucho para tomar represalias.

La razón es que, según las normas internacionales, Rusia no hizo nada malo. Éste es el estado de cosas normal. Los países se espían entre sí todo el tiempo. No hay reglas ni normas y, básicamente es: “es responsabilidad del comprador”. EU, por lo general, no toma represalias contra las operaciones de espionaje, como el hackeo de China a la Oficina de Administración del Personal (OPM) y los hackeos rusos anteriores, porque nosotros también lo hacemos. Hablando del hackeo a la OPM, el entonces director de inteligencia nacional James Clapper dijo: “Hay que felicitar a los chinos por lo que hicieron. Si tuviéramos la oportunidad de hacer eso, no creo que dudaríamos ni un minuto”.

“Hay que felicitar a los chinos por lo que hicieron. Si tuviéramos la oportunidad de hacer eso, no creo que dudaríamos ni un minuto”- James Clapper

No lo hacemos, y estoy seguro de que los empleados de la NSA están impresionados, si bien a regañadientes, con el SVR. Estados Unidos tiene, con mucho, la operación de inteligencia más extensa y agresiva del mundo. El presupuesto de la NSA es el más grande de cualquier agencia de inteligencia. Aprovecha agresivamente la posición de EU de control de la mayor parte de la red troncal de internet y la mayoría de las principales empresas de internet. Edward Snowden reveló muchos objetivos de la NSA en su campaña de 2014, que luego incluyó a 193 países, el Banco Mundial, el FMI y la Agencia Internacional de la Energía Atómica. Sin duda, ahora mismo llevamos a cabo una operación ofensiva en la escala de esta operación de la SVR y probablemente nunca se hará pública. En 2016, el presidente Obama se jactó que tenemos “más capacidad que nadie tanto a la ofensiva como a la defensiva”.

Puede que haya sido demasiado optimista sobre nuestra capacidad de defensa. Estados Unidos prioriza y ejerce un gasto muchas veces más alto en la ofensiva que en la ciberseguridad defensiva. En los últimos años, la NSA ha adoptado una estrategia de “compromiso persistente”, a veces llamado “defensa anticipada”. La idea es que, en lugar de esperar pasivamente a que el enemigo ataque nuestras redes e infraestructura, vayamos a la ofensiva y desestabilicemos los ataques antes de que lleguen a nosotros. A esta estrategia se le atribuye haber frustrado un complot de la Agencia de Investigación de internet de Rusia para interrumpir las elecciones de 2018.

Pero, si el compromiso persistente es tan efectivo, ¿cómo podría haber pasado por alto esta operación masiva del SVR? Parece que casi todo el gobierno de Estados Unidos estaba enviando información a Moscú sin saberlo. Si hubiéramos observado todo lo que los rusos hacían, habríamos visto alguna evidencia. El éxito de los rusos bajo la atenta mirada de la NSA y el Cyber ​​Command de EU señala un enfoque fallido.

¿Y cómo es que EU perdió su capacidad defensiva? La única razón por la que sabemos sobre esta violación es porque, a principios de este mes, la empresa de seguridad FireEye descubrió que la habían hackeado. En una auditoría de su red descubrió la vulnerabilidad de Orion y alertó al gobierno. ¿Por qué organizaciones como los departamentos de Estado, Tesoro y Seguridad Nacional no realizan regularmente ese nivel de auditoría en sus propios sistemas? El sistema de detección de intrusos del gobierno, Einstein 3, falló porque no detecta nuevos ataques sofisticados, una deficiencia señalada en 2018, pero nunca solucionada. No deberíamos tener que depender de una empresa privada de ciberseguridad para alertarnos de un gran ataque de un estado-nación.

En todo caso, la priorización de la ofensiva sobre la defensa nos vuelve menos seguros. Para reforzar  la vigilancia, la NSA ha impulsado un estándar de cifrado de teléfonos móviles inseguro y una puerta trasera en los generadores de números aleatorios (importante para el cifrado seguro). El Departamento de Justicia nunca ha cedido en su insistencia en que los sistemas de cifrado más populares del mundo se vuelvan inseguros a través de puertas traseras, otro punto caliente donde el ataque y la defensa están en conflicto. En otras palabras, permitimos estándares y sistemas inseguros, porque podemos usarlos para espiar a otros.

Necesitamos adoptar una estrategia de defensa dominante. A medida que las computadoras e internet se vuelven cada vez más esenciales para la sociedad, es probable que los ciberataques sean el precursor de una guerra real. Simplemente somos demasiado vulnerables cuando damos prioridad a la ofensiva, incluso si tenemos que renunciar a la ventaja de usar esas inseguridades para espiar a los demás.

También lee: Más de 1,200 trabajadores de Google condenan el despido de científica de inteligencia artificial

Nuestra vulnerabilidad se magnifica ya que las escuchas clandestinas pueden convertirse en un ataque directo. El acceso del SVR les permite no solo escuchar a escondidas, sino también modificar datos, degradar el rendimiento de la red o borrar redes enteras. El primero podría ser un espionaje normal, pero el segundo ciertamente podría considerarse un acto de guerra. Es casi seguro que Rusia está sentando las bases para futuros ataques.

Tampoco es que esta anticipación no tenga precedentes. Hay muchos ataques llevándose a cabo en el mundo en caso de que algún día se necesite la capacidad. En 2010, EU e Israel atacaron el programa nuclear iraní. En 2012, Irán atacó a la compañía petrolera nacional saudí. Corea del Norte atacó a Sony en 2014. Rusia atacó la red eléctrica de Ucrania en 2015 y 2016. Rusia hackea la red eléctrica de EU, y EU hackea la red eléctrica de Rusia. Todos estos ataques comenzaron como una operación de espionaje. Las vulnerabilidades de seguridad tienen consecuencias en el mundo real.

No vamos a poder proteger nuestras redes y sistemas en este mundo sin reglas, libre para todos, cada red para sí mismo. EU debe ceder voluntariamente parte de su ventaja ofensiva en el ciberespacio a cambio de un ciberespacio global mucho más seguro. Necesitamos invertir para proteger las cadenas de suministro del mundo frente a estos ataques y presionar para que se establezcan normas y acuerdos internacionales que prioricen la ciberseguridad, como el Convocatoria de París para la Confianza y la Seguridad en el Ciberespacio de 2018 o la Comisión Global sobre la Estabilidad del Ciberespacio. Fortalecer el software ampliamente utilizado como Orion (o los protocolos básicos de internet) ayuda a todos. Necesitamos frenar esta carrera armamentista en lugar de exacerbarla, y trabajar por la paz cibernética. De lo contrario, criticar hipócritamente a los rusos por hacer lo mismo que hacemos todos los días no ayudará a crear el mundo más seguro en el que todos queremos vivir.

*Bruce Schneier es un tecnólogo de seguridad y autor. Su libro más reciente es Click Here to Kill Everybody: Security and Survival in a Hyper-Connected World