Ciberataques hay todos los días. Unos más graves que otros, se ventilan en público o se disimulan (según convenga). Muy pocos saltan a los titulares de los medios con la intensidad merecida por el episodio impropiamente llamado SolarWinds [por el nombre de la empresa cuyo software fue empleado como vector]. A poco de desvelarse su existencia, se abrió un debate semántico sugerente: ¿se trataba de un acto de espionaje, uno más en la rutina de las relaciones entre rivales geopolíticos? O, según otra hipótesis, ¿habría sido un ataque asimilable a un acto de guerra, aunque se adjetive como fría? El matiz no es pequeño: la respuesta, si la hubiera, debería ser proporcional.
La guerra fría – formulada en 1946 por George Kennan – no se cerró realmente con el final del régimen soviético, porque el concepto ha quedado en el lenguaje universal. Su principio básico se conoció en tiempos como “destrucción mutuamente asegurada”: la paridad de los arsenales atómicos bastaba para que cada adversario se abstuviera de atacar al otro y dejara siempre abierta la puerta a una negociación.
¿Es aplicable ese criterio en el siglo XXI para evitar una escalada de ataques cibernéticos? Las autoridades estadounidenses afirman haber hallado evidencias de que Rusia está detrás de la operación SolarWinds, “una de las más sofisticadas con las que nos hemos encontrado nunca”. Pero no al extremo de tomar contramedidas. Joe Biden ha ordenado a la nueva directora de inteligencia, Avril Haines, investigar a fondo la “agresión” sufrida por Estados Unidos. Una misión de Haines será que los equipos a sus órdenes recuperen la moral perdida en los pasados cuatro años.
Sería ingenuo esperar transparencia en esta materia naturalmente opaca. Una cuestión que ha aflorado últimamente en los blogs especializados en ciberpolítica se puede resumir así: un estado federal debilitado en la esfera internacional por Donald Trump, ¿tiene voluntad política de represalia? No es que carezca de capacidad ofensiva, pero ha perdido calidad disuasoria. A diferencia del arma nuclear, tener en nómina un batallón de kackers está al alcance de cualquier potencia media.
Además, no todas las amenazas son lanzadas ´directamente` por estados adversarios, así que no hay teléfono rojo que descolgar. Aun así, cualquier respuesta debería diseñarse para que los patrocinadores estatales hallen motivos para limitar la actividad de los que operan desde sus territorios.
Un informe de la CISA (Cybersecurity and Infrastructure Security Agency) advierte que “el actor – omite nombrarlo – ha demostrado una sofisticación y complejidad técnicas superiores a cualquier otra intrusión. Eliminar sus rastros de los sistemas afectados será un auténtico desafío”. Nótese que Chris Krebs, anterior de la CISA – perdió su cargo por negarse a corroborar las mentiras de Trump sobre el resultado electoral – es ahora partidario de que los militares intervengan en los casos de ransomware, para evitar que las empresas norteamericanas queden expuestas al chantaje económico. Y quien hoy dice ransomware, mañana pedirá represalias por otros ataques.
Desde que la empresa de seguridad FireEye fue la primera en reconocer que sus defensas habían sido abatidas, ha habido cada día nuevas revelaciones. Lo que hace distinto al ciberataque a los clientes del software Orion, de SolarWinds, es su sofisticación. Los ciberdelincuentes lograron entrar en la red de la compañía y alterar versiones de Orion añadiendo su malware Sunburst. Disfrutaron de nueve meses de impunidad total, entre marzo y diciembre de 2020 sin que nadie se diera cuenta del subterfugio.
El problema parece ser que había más que Sunburst. En sí mismo, este no parece ser especialmente agresivo, pero fue el encargado de recopilar la información que permitiría a los atacantes seleccionar sus objetivos más interesantes: organismos gubernamentales y empresas como Microsoft y FireEye, primeras en dar la cara. Sunburst les permitía escalar las infecciones a una segunda etapa, en la que se despliega otra cepa de malware, irónicamente llamada Teardrop, que se emplea para instalar balizas de acceso remoto a los dispositivos afectados y por este conducto implementar sus propias cargas en la red comprometida.
CrowdStrike, una de las firmas de seguridad que está ayudando a rastrear los ataques a SolarWinds, ha averiguado algo poco tranqulizador, otra cepa por mal nombre Sunspot, agazapada desde noviembre de 2019 esperando la llegada de Sunburst. Por lo visto, este malware tiene más variedades que el coronavirus: Symantec ha descubierto una cuarta mutación, Raindrop, cuyo código es pariente de Teardrop.
En fin, todo indica que un ataque tan sofisticado, con capacidad para entrar en los sistemas de organismos gubernamentales muy protegidos, no puede no estar patrocinado por un estado. La convicción de que se trata de Rusia es generalizada, pero no hay acusación formal, sea por falta de pruebas o porque el presidente Biden necesita tener buenas cartas para librar esta partida con el astuto Vladimir Putin.
No hay duda de que Estados Unidos podría responder; hasta es posible que Putin esté esperando que tal cosa ocurra para denunciar la hipocresía de los políticos estadounidenses ahora que Trump no hace la vista gorda con el presidente ruso. Uno de los problemas que ha heredado Joe Biden es la insuficiencia presupuestaria para ciberinteligencia, por lo que ha aprobado destinar una partida de 10.000 millones de dólares con esa finalidad.
Por su lado, las empresas relacionadas con el mercado de la seguridad – se frotan las manos pensando en el maná que les va a caer del cielo – se han puesto a la tarea de identificar el modus operandi de los hackers, pero no se han atrevido a pronunciar el nombre de quien está detrás.
Sorprendentemente, la que más se ha mojado ha sido la moscovita Kasperky, a la que Trump excluyó de hacer negocios con organismos gubernamentales de Estados Unidos. En su análisis, ha señalado que las diferentes cepas del malware utilizado en este caso tienen similitudes con otro que Palo Alto Networks descubrió en 2017, llamado Kazuar y – según Costin Riau, director de investigación de Kaspersky – tiene visos de haber sido creado por el grupo de hackers rusos Turla, presuntamente vinculado con el FSA (Servicio Federal de Seguridad) ruso y con un historial de ataques contra embajadas, contratistas de defensa y centros de investigación.
Aunque Riau deja abiertas otras posibilidades, las pruebas que aporta apuntan a que el desarrollo de ambas piezas de malware son obra del mismo grupo. Encuentra sospechosas coincidencias entre los códigos de Kazuar y Sunburst: “una puede ser casualidad, dos te dan que pensar, pero tres… el solapamiento no puede ser casual”, escribe en el blog de la compañía, de visita obligada para los cibervigilantes del mundo entero.