Operando en las sombras: US Cyber Command



Una vista aérea del centro de operaciones conjuntas del Comando Cibernético de ee. UU. en el campus de la NSA se ve el 25 de mayo de 2020 en Fort Meade, Maryland.

Si el Comando Cibernético del Pentágono lanza un ataque en línea y nadie lo sabe, ¿disuadió a alguien?

Muchos estadounidenses se preguntan qué está haciendo el ejército de guerreros cibernéticos del país después de los repetidos ataques a los sistemas informáticos estadounidenses por parte de hackers chinos, rusos y otros.

La respuesta puede haber estado en el sutil retuit de la 780ª Brigada de Inteligencia Militar el 14 de mayo de la primicia de una empresa de seguridad de que el extorsionador de ransomware Darkside había sido cerrado digitalmente.

Nadie sabe quién tomó el control de los servidores de Darkside, una semana después de que los turbios hackers con sede en Rusia forzaran el cierre de un importante oleoducto estadounidense, causando escasez de gasolina en todo el este de Estados Unidos.

Pero las sospechas son que el CyberCom de 10 años de edad puede haber intervenido, para castigar a Darkside y para señalar al pequeño ejército de proveedores de ransomware que operan desde Europa del Este que ellos también son vulnerables.

A pesar de que permanece en silencio, el papel de CyberCom se debate acaloradamente: ¿es para llevar a cabo ataques estratégicos durante la guerra, o para constantemente enfrentarse en línea con los hackers militares y de inteligencia de los adversarios, o para ir tras los hackers no militares como Darkside, normalmente el ámbito de la aplicación de la ley?

Ataque de malware en Irán

La primera señal de que el Departamento de Defensa de Estados Unidos estaba jugando a la ofensiva en el mundo en línea fue en 2010 cuando se supo que un destructivo gusano informático Stuxnet creado por Estados Unidos e Israel había infectado y dañado las instalaciones de enriquecimiento nuclear de Irán.

La guerra cibernética entonces fue vista como una forma de atacar o disuadir a los enemigos destrozando su infraestructura con devastadores ataques de malware.

Desde entonces, sin embargo, el gobierno estadounidense y las empresas privadas se han visto afectados una y otra vez por el robo chino de bases de datos gubernamentales y secretos corporativos, Rusia hackeando las elecciones estadounidenses, los norcoreanos robando bitcoins y los operadores de ransomware extorsionando a cientos de millones de dólares de empresas, hospitales y autoridades locales.

Pero sin ninguna noticia sobre sus hazañas, no parecía que el Pentágono estuviera castigando o disuadiendo a los atacantes.
Paul Nakasone, director de la Agencia de Seguridad Nacional (NSA) y comandante del Comando Cibernético de Estados Unidos, habla en una audiencia del Comité de Inteligencia de la Cámara de Representantes en 2021.

Lo son, dijo el general Paul Nakasone, comandante de CyberCom, en una reciente audiencia en el Congreso.

"Cuando vemos elementos que están operando fuera de EE.UU., tratamos de imponer el mayor costo posible", dijo.

"Imponer costos" significaba exponer a los hackers, o contraatacar, dijo.

Pero se negó a dar ejemplos de su trabajo.

'Compromiso persistente'

Jon Lindsay, un profesor asistente de la Universidad de Toronto que investiga el conflicto militaren línea, dijo que la estrategia de ciberguerra había cambiado desde Stuxnet.

En ese momento, "el ciberataque era visto como un arma digital de destrucción masiva", algo que podía castigar o amenazar con castigar a los adversarios para disuadir sus ataques.

"Fue una acción encubierta de muy alto nivel, controlada por el presidente", que se usaría estratégicamente y con moderación, dijo Lindsay.

Desde entonces, se ha convertido en otra cosa: una lucha continua de bajo nivel que no requiere la aprobación de alto nivel, llamada "compromiso persistente", que no se centra en la disuasión.

"Es muy, muy difícil, si no imposible, disuadir las actividades adversarias en el ciberespacio. Así que lo que CyberCom necesita ser capaz de hacer es estar constantemente comprometido, operando constantemente hacia adelante en las redes de los adversarios", dijo Lindsay.
The Colonial Pipeline Houston Station: el FBI identificó al grupo detrás del hackeo de Colonial Pipeline como la oscura operación DarkSide.

Concurso de inteligencia

Eso hace que CyberCom se parezca más a las operaciones de inteligencia en curso, la recopilación de información, el bloqueo de adversarios y la escalada leve cuando se ve que el otro lado ha ido demasiado lejos.

Revelar lo que hace el Pentágono podría tener un valor disuasoria, según Elizabeth Bodine-Baron, científica senior de la información en RAND Corp.

Algunas personas, dijo, creen que "si nunca damos ejemplos concretos de, entramos, hicimos eso, entonces nadie nos va a creer".

Pero también hay un desafío de atribuir definitivamente la fuente de un ataque, especialmente cuando se sospecha que un actor estatal está detrás de él.

Pero, agregó, si hay certeza sobre la identidad de un atacante, salir a la opinión pública con atribución "podría revelar potencialmente algo sobre nuestras propias capacidades".

Además, jactarse de los exploits de CyberCom corre el riesgo de escalar, lo que obliga a los adversarios a tomar represalias para satisfacer a su propio público.

"Así que creo que ves a la gente errando en el lado de la precaución", sin anunciar lo que hacen, dijo Bodine-Baron.

Lindsay dijo que Estados Unidos y sus principales adversarios ahora tratan el conflicto cibernético como una forma de evitar la escalada.

"Hay algo en lo cibernético que hace que la gente no esté dispuesta a escalar", dijo a la AFP.

"Lo que estamos viendo no es una guerra militar, es un concurso de inteligencia".

"Las contiendas de inteligencia se extienden en tiempos de paz. Dan forma a las posibilidades de guerra, pero tratan de hacer que la guerra sea menos probable", dijo.

"En realidad, no hay un buen ejemplo de ciberescalada algo a un conflicto cinético", dijo.

Comentarios

Entradas populares