7 Netwar, Cyberwar y hacking dirigido . Terrorismo global en tiempo de comunicaciones inmediatas

Contenido:

VII Netwar, Cyberwar y hacking dirigido . Terrorismo global en tiempo decomunicaciones inmediatas

 

7.1 La red como teatro de operaciones

 

           La cuestión de la guerra en la red es un tema ampliamente narrado. Este conflicto a escala global abarca a la red al completo y sus objetivos son tan diversos que en nuestra catalogación hemos separado sus orígenes para analizarlos con detenimiento. Así la sustracción de datos sensibles o de carácter personal, el ataque a sistemas industriales, militares o empresariales en general, incluyendo infraestructuras críticas es parte cotidiana de un conflicto en el que llevamos más de dos décadas inmersas aunque la mayor parte de sus consecuencias comiencen a superficiarse en nuestros días.

           Podemos localizar tres fuentes distintas de conflicto, cuyos intereses se entrelazan. En una primera instancia, estados enemigos no solo se espían sino que buscan la manera de sabotear infraestructuras básicas del contrincante.  En este contexto tecnológico, ciberguerra y cibercrimen son tan difíciles de separar como complicado dilucidar la diferencia real entre ambos. El tablero geopolítico cuenta con una nueva estrategia en la actores diferentes juegan su influencia de modos muy diversos. En este conflicto, naciones como EEUU, China, Corea del Norte o Rusia, mantienen un papel muy activo y con el tiempo se ha ido filtrando las correspondientes formaciones de divisiones informáticas de sus respectivos ejércitos. Esta fuerza armada Hacker ha sido, de forma escasas veces declarada, protagonista de muchos acontecimientos que en su momento encontraron poca explicación. Así ataques a grandes empresas, virus en instalaciones nucleares, ataques de denegación de servicio y grandes espionajes industriales provendrán en última instancia de una cadena de mando, incluso en ocasiones donde supuestos hackers autónomos se atribuyan la acción[573].

           En el otro extremo, agentes terroristas, que actúan mediante redes internacionales y dentro de los estados en forma de células para evitar la extensión de las detenciones en caso de contingencia. En este aspecto, la propaganda, la infiltración y el sabotaje forman una pauta común entre diferentes grupos terroristas. En los tiempos más recientes, grupos identificados con AlQaeda o con el ISIS (estado islámico de Irak y Siria) aprovechando los ingresos y la extensión de sus redes, han enfocado en la red una serie de campañas y han procedido a la explotación de vulnerabilidades de diversos medios para ejercer su propaganda.

           Una tercera fuente, como ya podemos adivinar es la de los hackers que prestan su servicio delictivo a al mejor postor. El incremento de la base de usuarios con conocimientos extendidos acerca de seguridad junto con las perspectivas económicas de un negocio que comienza a ser explorado ha permitido, especialmente entre países menos desarrollados, que lo que en principio fuera una cultura hacker termine derivando en delincuencia, aprovechada convenientemente por la mayor parte de los grupos en liza antes descritos. El gran cambio entre el black hacking, los que se dedican a la delincuencia, ha sido que el motor de sus ataques ha pasado de ser un pasatiempo, o la búsqueda de notoriedad, a perseguir una finalidad económica. La dimensión de la ciberdelincuencia la podemos rastrar en los cambios legislativos impulsados por el denominado Convenio de Budapest, de 2001, en donde se trazan las líneas marco de un terreno legislativo internacional sobre el que poder basarse para encarar la nueva realidad emergente de la ciberdelincuencia. [574]

           Los ciberataques con finalidad económica ya sea mediante extorsión, venta de información o por la propia competencia de empresas afectadas, recurren cada vez con mayor asiduidad al mercado negro de la ciberdelincuencia para asegurarse resultados y privacidad. La conocida como Dark Web, una parte de la red a la que hay que acceder con ciertos conocimientos y mediante protocolos específicos, mantiene sitios en los que poder hacerse con vulnerabilidades todavía no conocidas, a las que se denomina Zero Day, o alquilar ataques con diversas características.  Lo destacable de este cambio es la puesta en servicio de todo un contingente de individuos dispuestos a realizar ataques de diversa índole por motivos económicos y la cantidad de medios que son movilizados para ello[575]

            La red se ha convertido en un nuevo centro de poder global. Su capacidad comunicativa y su potencial como instrumento de expansión. Como ya hemos visto, la red ha sido utilizada incluso para captar soldados mediante videojuegos de simulación de guerra, caso del Americas Army[576], videojuego online de corte realista (sus responsables actualizan anualmente el armamento real) mediante el cual el ejército de EEUU trata de captar jóvenes para que se alisten al tiempo que plantean situaciones muy verosímiles para los ya alistados, a modo de entrenamiento virtual. La confluencia de varios elementos en torno al despliegue de recursos empelados como arma seguirá un proceso creciente en torno a la red, máxime cuando la importancia de esta y la multitud de servicios que dependen de un entorno conectado ha crecido exponencialmente hasta el tiempo presente.

           En nuestra introducción ya tratamos de la candidez de dibujar la red como la «aldea global», cuando el símil más adecuado habría sido el del Chicago de los años 20′, en el que grandes empresas, cibercriminales y estados se disputan un espacio en el que las libertades individuales son las principales perjudicadas. La guerra en la red, se ha convertido en una fuente de preocupación en la que son más las ocasiones en las que la investigación para el asalto supera las barreas de la seguridad. En la DefCom, la conferencia Hacker más famosa que se celebra todos los meses de agosto en las vegas desde 1992, los responsables de la distribución forense Kali Linux, afirmaban que según sus datos, un tercio del tráfico global de Internet lo ocupan los ataques de denegación de servicio (DDoS)[577]. Con ello, ponemos en perspectiva el auténtico arsenal puesto en circulación. Los organismos de ciberseguridad y las empresas dedicadas a la seguridad de empresas y usuarios, nos detallan u panorama en el que la cantidad de ataques dirigidos. Al analizar los orígenes de los ataques encontramos lugares previsibles como China, Rusia, donde existen asimismo grandes colectivos de hackers.

           La supremacía tecnológica ya no depende tanto de la inversión en infraestructuras o el poderío militar. Internet ha conseguido democratizar también en su medida la capacidad de intervención para poner en manos de grupos y naciones con menor capacidad económica todo un arsenal de recursos que, con dedicación suficiente, puede dar producto a una escala impensable hace unos años[578].

La ciberguerra

 

           El primer ataque informático entre estados del que se tiene constancia certera, de otros precedentes no hay claridad, será el de la guerra de Kósovo, en 1999. Como estrategia de defensa, un grupo de 450 informáticos establecerán un ataque a las instalaciones controladas por ordenador de la OTAN, la Casa Blanca e incluso al portaaviones norteamericano Nimitz, aunque no conseguirían ningún objetivo concreto más allá de la intrusión. El caso, por lo desconocido en su momento, conseguiría cierta repercusión entre medios y cornistas del confito, aunque a efectos prácticos no conseguiría mayor alcance que el propagandístico[579].

           Pero las fuentes suelen situar como el primer episodio de ciberguerra realmente declarada y dirigida el de China contra Taiwán en 2003. El ataque dañaría cierto número de infraestructuras y tendría un variado arsenal de infecciones informáticas que provocaría un estado de alarma en el país. Las autoridades de Taipéi, lejos de ocultar la situación, pararían a publicar la envergadura del ataque y difundir la dimensión del asunto, que afectaba desde semáforos hasta hospitales pasando por la propia Bolsa, paralizada durante unos días. Aunque el ataque nunca fuera reivindicado, todas las pruebas apuntarían a una de las primeras intervenciones del incipiente comando cibernético del ejército Chino[580]. Desde entonces han sido recurrentes las denuncias por parte de los sucesivos gobiernos taiwaneses de ataques cibernéticos por parte de China. Eric Smidt, actual cabeza de Google, llegaría a asegurar que China es una de las principales potencias del hacking y que actualmente pueden rondar el 80% de las incidencias al respecto, dejando en al aire cuantas de estas persiguen motivaciones dirigidas[581].

           El 27 de abril de 2007, el gobierno estonio retiró una estatua erigida en los tiempos de la dominación soviética en homenaje a los soldados que lucharon contra la invasión alemana en la Segunda Guerra Mundial. A pesar de ello, la estatua en cuestión era vista por muchos estonio como un signo del periodo bajo la sombra del Kremlin que como un homenaje a estos soldados, por lo que finalmente se decidiría su retirada[582]. La protesta de la población de origen ruso, en torno a un 25% de los estonios, derivaría en el primer gran caso de ciberguerra contra un estado[583]. Precisamente Estonia, es un estado que ha tratado de ubicarse pronto en primera línea pro occidente, colocándose en la cabeza europea de la administración electrónica, donde incluso los consejos de ministros intercambian documentación no impresa mediante el uso de redes. Así lo que en principio fuera una protesta por parte de la población rusa en contra de lo que significaría para ellos una ofensa nacional, pronto pasó a ser un ataque a gran escala conocido como DDoS (Ataque por denegación de servicios) mediante el cual, se saturan las redes informáticas de un servidor concreto de peticiones de conexión desde un alud de ubicaciones distintas hasta llevar al colapso a los ordenadores víctimas de esta cantidad exorbitada de peticiones. Lo más destacado de este caso es que, a diferencia de otros ataques, muchas veces realizados por hackers concretos descontentos o al servicio de diversos objetivos sobre una víctima concreta, en esta ocasión, el ataque fue realizado a gran escala contra todos los servicios y organismos de todo un estado concreto, hasta llevarlo a su completa desconexión de la red de redes, afectando incluso a las redes de cajeros automáticos y otros servicios públicos, recientemente integrados. Para hacernos una idea de los parámetros de dicho ataque, según declaraciones del propio ministro de defensa estonio, que pediría asistencia a expertos de la OTAN, las peticiones que a lo largo de un día podría recibir la Web principal de la administración del estado, en torno a unas 20.000, se llegaron a producir por segundo[584].

Esta enorme escala de ataque solo puede producirse gracias a la existencia de una multitud de ordenadores denominados zombis, infectados por una intrusión externa capaz de controlarlos remotamente sin que el usuario en cuestión tenga conocimiento de ello. Otra denominación muy usual es la de bot (derivada del término Robot que Asimov acuñara) y su empleo usual, una vez infectado por un troyano, «caballo de Troya» para ser exactos, o programa instalado para el control remoto del ordenador sin el consentimiento del usuario, es el de envío de spam (correo basura por el que algunas compañías pagan al hacker en cuestión). Sin embargo, el dueño de la botnet (red de ordenadores zombies), es poseedor de un potencial aun mayor que el de el correo basura o el de saltar entre terminales para realizar operaciones bancarias ilegales sin poder ser rastreado, ya que puede sincronizar todos estos ordenadores para que operen en conjunto y realizar ataques como el que tratamos como ejemplo. Según el INTECO (Instituto Nacional de Tecnologías de la Comunicación), redenominado en 2015 a INCIBE (Instituto Nacional de Ciberseguridad) en la actualidad podrían haber alrededor de 700.000 ordenadores[585] operando de tal forma, al servicio de un limitado número de hackers.

            El ataque masivo a Estonia, que duraría hasta mediados del mes siguiente, supuso el ejemplo más claro de las nuevas formas de plantear una guerra electrónica y como esta, en una sociedad cada vez más dependiente de la tecnología, puede tener consecuencias mayores de las esperadas. También en este caso, Estonia ha pagado las consecuencias de asumir el monopolio de las soluciones únicas de un sistema operativo y de una compañía, Microsoft. Precisamente la no diversificación de servicios ha sido una de las críticas comunes por parte de múltiples técnicos de sistemas, entendiendo como un error, disponer solamente de las soluciones propietarias comercializadas por esta compañía[586]. Los diferentes CERT, son cada vez más conscientes del peligro de estas organizaciones. De hecho, desde el principio las sospechas han recaído sobre el gobierno ruso en este caso y el departamento específico que la FSB, heredera de la KGB soviética, mantiene[587]. El asalto a sitios en los que puede poner en duda la forma de dirigirse del gobierno ruso se convertiría en un recurso habitual, sin autoría reconocida, pero una metodología constante. Uno de los casos más significativos sería el del ataque masivo denegación de servicio durante el 6 de agosto de 2009 a Twitter, Blogger, YouTube, Livejournal y Facebook[588], ampliamente recogido en todas los servicios de noticias internacionales[589] y que parece que se ha dirigido contra un bloguero concreto, llamado Cyxymu que en su bitácora y a través de todos estos servicios, criticaba a Rusia en el aniversario de su ataque a Georgia, sucedido un año antes.

            Desde luego, el crimen organizado, como en tantas otras ocasiones, ha sido uno de los sectores que tempranamente ha sabido sacar provecho de la red de redes. El hactivismo primero, en el que conocedores de las formas de explorar las debilidades del sistema funcionaban a modo de pasatiempo para, en definitiva, mejorar la seguridad de este ha pasado a actividades de carácter más lucrativo, poniendo sus conocimientos al servicio de la estafa o el espionaje por Internet. Las propias agencias de espionaje estatales y muchas compañías han sabido fichar o tener cerca a muchos de estos jóvenes, captándolos para sus propios fines. De hecho la misma OTAN acaba de llevar adelante un programa denominado K5 (Centro Cooperativo de Ciberdefensa de Excelencia), mediante el que pretenden defenderse y pasar a una posición activa ante ciberataques como los antes descritos[590]. Curiosamente, la base central de este organismo se ha ubicado a las afueras de Tallin.

           La lista de grandes ataques, con mayor o menos fama, son objeto de estudio entre los profesionales de la seguridad. Así nombre como Flame, Duqu o Stuxnet pasarán a la galería de ataques más virulentos en lo que respecta a nuevos métodos de intrusión en sistemas, incluso desconectados de la red global. Las formas en las que el proceso de pruebas de penetración (pentesting) y adquisición de conocimientos respecto al objeto a atacar han conseguido desmontar ciertos esquemas de seguridad al tratarse de importantes ataques dirigidos con virus con diseños muy sofisticados enfocados a no ser detectados y extraer el máximo de información de la víctima de forma desatendida y autónoma.

           El ataque a las instalaciones nucleares iraníes en 2010, significará otro paso más en dicha estrategia, al conseguir penetrar en sistemas teóricamente aislados mediante la intrusión física de un dispositivo de memoria para propagar después la infección dentro de dichas instalaciones y poder proceder el sabotaje. Detrás de esta intervención estaría desde su origen la sombra de Israel y EEUU. Efectivamente, el análisis posterior de Stuxnet, no dejaría dudas acerca del origen y objetivo de su programación. Un sistema preparado para dañar las instalaciones industriales diseño de la empresa alemana Siemens, en concreto las centrifugadoras de gas. Posteriormente se filtrara dicha colaboración para el uso de la primera gran ciber-arma diseñada con un objetivo tan concreto[591].

Más adelante, Duqu, seguirá el esquema de arma cibernética para el sabotaje de instalaciones industriales[592]. Otra gran ciber-arma liberada en 2012 tendrá consecuencias todavía mayores, al tener una orientación distinta: Flame. Este malware modular, será capaz de adquirir datos de fuentes diversas una vez ubicado en un ordenador, desde pulsaciones de teclado, tráfico de red, capturas de pantallas y en general todos los procesos que se ejecuten en el sistema víctima. Sin querer extendernos en la descripción de sus cualidades, su expansión entre ONG y países como irán, Sudan o Siria, ya nos podría en la pista de su origen[593]. Así lo afirmaría en su momento uno de sus descubridores, el ruso Eugene Kaspersky, dueño de la compañía de seguridad del mismo nombre que apuntaría a la sofisticación de su programación. La herramienta en cuestión, llevaba en explotación un periodo superior a seis años hasta su descubrimiento y anulación, aunque múltiples derivados serían recurrentemente descubiertos. Kaspersky apuntaría al mismo origen en la programación de los tres virus[594]. Las revelaciones de Edward Snowden acerca de los programas de espionaje norteamericano pondrían, tiempo después, claridad acerca del origen de estas armas tecnológicas, al confirmar que Stuxnet sería una colaboración entre la NSA e Israel, a través de la FAD (Foreign Affairs Directorate), una sección de la propia NSA que establece trabajos conjuntos con otras agencias aliadas.

            La lección más importante en la localización de este nuevo arsenal de ciber-armas, es el reconocimiento de cómo los estados han tomado consciencia del nuevo escenario que supone internet y cómo en este territorio, la guerra no declarada no tiene fin, dado que aún no se han definido los límites ni las formas en las que Internet puede ser escenario bélico. Esta indefinición ha propiciado la extensión de conflictos no declarados a través del entorno digital, aunque la escalada y dimensión a la que se ha llegado en la presente década apunta a que los organismos internacionales de Ciberdefensa, más allá de trazar sus esquemas de seguridad deberán en un momento dado fijar unos principios con los que guiarse, parecidos a las convenciones sobre la guerra auspiciadas por las Naciones unidas.

           Sin pretender extendernos en la cronología de esta guerra, el hactivismo también pasaría a la acción, como hemos explicado cuando tratamos de WikiLeaks. Efectivamente, activistas identificados con el colectivo Anonymous desatarían el primer episodio de guerra informática global en 2010 contra empresas de comercio electrónico, como Visa MasterCard o PayPal.  La negociación de la ley SOPA (Stop Online Privacity Act) en EEUU, desatará el segundo gran movimiento entre 2011 y 2012, frente a esta ley restrictiva sobre los derechos de autor. Estos dos ejemplos nos sirven para ser conscientes que en este conflicto no solo los estados participan sino que ciertas formas de activismo, empresas y delincuentes, confluyen en la estrategia del ataque por medio de la red.

           El caudal actual de ataques que diversas empresas de seguridad suministran nos permite hacernos una idea del caudal de recursos movilizados en procesos de relacionados con diversas formas de agresión cibernética. Unas cantidades que nos pueden dar una perspectiva sobre los intereses que este tipo de proceder pueden llevar a motivar. Un incremento en el que como ya hemos apuntado, confluyen diversas fuentes para convertir la red en un entorno en contante conflicto.

 Organizando la Ciberdefensa

 

            Cuando en 1993, los analistas estadounidenses John Arquilla y David Ronfedt acuñaran el término Netwar (ciberguerra), en su ensayo «la ciberguerra está llegando» todavía no resultaba común reconocer la dimensión que el asunto estaba tomando y su argumentación respecto a cómo las tecnologías del ciberespacio y su evolución cambiarían el modo de concebir y hacer la guerra, no tenía el calado que en nuestro tiempo ha adquirido. Por ello, el texto se nos muestra esclarecedor, ya que apunta claramente la progresiva integración de todos los procesos automatizados de los sectores productivos en la red de redes, facilitando su gestión pero con ello acrecentado las posibilidades de que se exploten las diversas vulnerabilidades inherentes a un sistema totalmente conectado[595].

           Otras de las fuentes fundamentales que suelen ser citadas de manera recurrente al tratar el tema de la ciberseguridad de estados y la ciberguerra en general es él informa elaborado por la OTAN, llamado el Manual de Tallin[596]. Elaborado por el centro de cooperación sobre ciberdefensa (CCDCOE), con sede en Tallin, Estonia, el informe ha sido la fuente principal en casi todos los documentos que hace referencia a la ciberguerra, por ser una de las elaboraciones más detalladas respecto al modo de proceder en un eventual conflicto cibernético.  La fuente ha sido duramente criticada por entidades de derecho al proponer, por ejemplo el asesinato de hackers como método de eliminación de oponentes en este tipo de conflictos.  Precisamente la falta de acuerdos internacionales al respecto del uso de ciberarmas o el derecho internacional respecto a este tipo de conflictos deja lagunas que permiten este tipo de elaboraciones. Llamadas al orden al respecto como las que Eugene Kaspersky ha realizado, para que se cree algún tipo de regulación respecto a las ciberarmas no han sido respondidas por las autoridades.

           En un sentido similar al informe anterior saltarían, a finales de 2012, a la primera línea informativa las declaraciones de León Panetta, en aquel momento Secretario de Defensa estadounidense, al alertar sobre la eventualidad de que su país fuese víctima de lo que denominó como ‘Pearl Harbor digital’, en clara alusión a las consecuencias que podría tener un ciberataque masivo y coordinado (APT) contra las redes eléctricas, el sistema de transporte o el sistema financiero del país[597].  Este tipo de ataques, estaban ya comenzando a ser descritos como una de las bases de todo proceso bélico, algo parecido al papel que los bombardeos masivos pudieron tener en el siglo pasado. Panetta, no era ajeno al término ni a su uso, si nos hacemos eco a la amplia lista de ataques a los que la lista de «Rouge states» han sido víctimas.

           En este escenario de nuevo orden mundial, se desdibuja en parte las potencias que hacen de herramientas de ciberguerra, aunque estados como China, Rusia o Israel, compiten abiertamente con los Estados Unidos en un proceso soterrado de confrontación. En la actualidad, todos los grandes estados cuentan con agencias, en mayor o menor grado declarado, que se encargan de la ciberseguridad. La frontera entre lo declarado y el espionaje y contratación de agencias externas será la parte principal de los escándalos de espionaje que se denunciarían a lo largo de la segunda década del siglo. A pesar de ello, las estrategias de ciberseguridad son una de las cuestiones en las que los responsables de defensa de las diferentes naciones están volcando sus esfuerzos. En un tiempo en el que la acción militar cada vez tiene mayores limitaciones en sus terrenos de acción, el frente electrónico se ha convertido en la nueva vía de acción no declarada. Como señalábamos, la falta de claridad en los organismos internacionales a la hora de definir y acotar el territorio de la ciberguerra está sirviendo para que ciertos estado saquen provecho de ello para perjudicar a adversarios o imponerse en el plano informático[598].

           Las agencias de seguridad y espionaje ya vivieron, como hemos visto su particular periodo de reconversión hacia un entorno en el que lo digital se ha convertido en el eje sobre el que pivotan las comunicaciones y la información. Sin embargo, como vimos al tratar el tema sobre el 11S, un abandono temprano de las fuentes de información junto con un perfeccionamiento de las maneras de eludir la vigilancia y conocer los mecanismos de esta hicieron ya en su momento que la inteligencia norteamericana no estuviera suficiente mente preparada para hacer frente a la amenaza yihadista[599].

           En EEUU, existe desde 2009 un cibercomando operativo dedicado exclusivamente a la Ciberdefensa, dependiente del departamento de Defensa. El general Keith Alexander, es el responsable de este ejército cibernético en reserva para casos de ataques masivos u otras contingencias de tipo cibernético. La eventualidad de un despliegue a gran escala en lo relativo a la ciberguerra ya no es un escenario marginal. EEUU ha sido una de las naciones que más esfuerzo en este sentido han invertido, en parte gracias a la desquiciante política de contratas que lleva adelante y a la profusión de organismos redundantes. De cualquier modo, la división a cargo de este general y la «sopa de agencias bajo sus órdenes» han significado una reorientación en lo que a una organización ofensiva en la red. El USCIBERCOM, y el JFCC-NW (Joint Functional Component Command for Network Warfare), serán los brazos ejecutores mientras que los organismos dependientes de la NSA y la CIA, serán los encargados de procesar la información que obtengan mediante sus programas específicos, que hemos conocido agracias a las sucesivas filtraciones[600].

           La propia armada estadounidense, es un esfuerzo por unificar los métodos de respuesta, liberaría en su momento DsHell, el software Open Source de ciberseguridad que emplea internamente. En este aspecto, avanzaría lo que otros organismos públicos de otras naciones harían, sobre todo tras la experiencia estonia. Este aspecto destaca la importancia que la seguridad en todos los aspectos tiene en la red y la dificultad de delimitar entre ataques e intereses[601]. La difusión de documentos como las guías de ciberseguridad de EEUU, apuntan al interés en aumento de establecer unos parámetros mínimos y revisables de disposición de seguridad en las infraestructuras de red.[602]

           China tampoco es un país que se haya quedado al margen del despliegue tecnológico y la eventualidad de un conflicto a mayor escala que el que se mantiene en la actualidad a nivel soterrado. A pesar del secretismo que envuelve todos los elementos relativos a su división cibernética, gracias a ciertas informaciones e infiriendo desde ciertos ataques dirigidos, se ha podido ir conociendo su estructura y forma de operar. La empresa Mandiant, especializada en seguridad en la red, sería la primera en apuntar a la infraestructura dedicada a la ciberguerra por parte del ejército Chino.

           La denominada Unidad 61398, es un conglomerado de especialistas en todas las técnicas de hacking que estarían operando desde 2006 .La mayor parte de sus actividades están enfocadas al espionaje a largo plazo de empresas y entidades extranjeras. Sin embargo, en pleno proceso del escándalo desatado en EEUU a propósito del eventual espionaje de dispositivos de red Chinos, especialmente de la empresa Huawei y ZTE, la respuesta organizada contra intereses estadounidenses y la revelación de que ciertas empresas habían sido largamente auditadas de forma oculta, harán apuntar todas las sospechas hacia el cibercomando chino. El informe realizado por la empresa Mandiant apunta a más de 3000 marcadores únicos que confirman ataques organizados provenientes de un lugar concreto de China[603].

           Si el caso chino es opaco, la situación de Corea del Norte es todavía más particular. Mucho se ha especulado acerca de fallos en sistemas públicos en Corea de Sur, pero el caso en el que se ha señalado claramente al régimen del ahora presidente Kim Young Hun, será el del masivo ataque a la multinacional Sony. La empresa ya ha sido objetivo de varios ataques importantes a lo largo de su trayectoria de orígenes muy diversos, como ya hemos apuntado en anteriores capítulos, pero el caso más reciente, de 2014, coincidente con la polémica del film The interview, que categorizaba de forma cómica al plenipotenciario de Corea del Norte, apuntaría de forma inequívoca a una intervención organizada y planificada. La revelación de buena parte de filmes pendientes o en proceso de realización y el filtrado de documentación confidencial de Sony significaría un capítulo de guerra contra una empresa que no se había manifestado en esta dimensión aún. La definitiva acusación por parte del FBI de ser originario de Corea del Norte y la recopilación de pruebas al respecto, en este caso hechas públicas por el interés estadounidense, serán otra fuente para determinar el grado de sofisticación que se ha conseguido por parte del hacking dirigido por naciones[604].

           Rusia es otra de las naciones que aparte de la establecida cultura hacker dentro de sus nacionales ha sabido organizar una división encargada a la ciberguerra. Como viene siendo habitual, su conocimiento nos llega de forma indirecta en la mayor aparte de las ocasiones. Una de las oportunidades en las que se pudo visualizar con mayor claridad la existencia de esa división dedicada a internet del ejército ruso será la desatada a partir de la llamada Operación Octubre Rojo, en 2013. Con ese nombre la compañía de seguridad informática Kaspersky, denominará a una operación a gran escala de espionaje que llevaría operativa desde 2007. El modelo de explotación mediante infección, llegó a ser tan sofisticado que pudo ser capaz de vulnerar el sistema de cifrado denominado ACID, que emplean organismos como la OTAN y estados de la UE y contar con módulos, al estilo de Flame, para borrase, destruir pruebas y eludir controles. Todas estas características apunarían al FSB, (Servicio Federal de Seguridad) y volverían a identificar las formas en las que la guerra en la red se desarrolla en un sistema sutil de equilibrios y ausencia de declaraciones al respecto[605].

           A nivel Mundial, ya hemos tratado de la Unión Internacional de telecomunicaciones (ITU en sus siglas internacionales) trata de organizar la extensión de protocolos uniformes y en los aspectos de ciberseguridad también cuenta con una oficina dedicada principalmente a le extensión de estándares comunes. Al margen de los polémicos debates acerca de la soberanía de las telecomunicaciones y la propia independencia de la organización, en lo que respecta a métodos de implantación de estándares relativamente seguiros sus tareas de extensión, especialmente entre economías emergentes y en zonas donde la red no se ha desplegado aún, están jugando un papel importante. Aprovechar la extensión de las redes para fijar métodos actualizados, reconocibles y seguros es una de sus principales tareas en este sentido[606].

           En Europa, ENISA (Agencia Europea de Seguridad de las redes y de la información) es el referente en los aspectos a diseños comunes de estrategias de ciberseguridad del conjunto de sus socios. En general se determinan guías y procedimientos para que sean implantados en los diversos países de la unión y mantiene su propio CERT (Computer Emergency Response Team- Centro de respuesta a emergencias) en contacto con los CERT de los estados miembros[607].

           En el aspecto militar, Europa por si misma está trabajando en una estrategia común de Ciberdefensa. La Agencia Europea de Defensa es el organismo de corte militar que trata de compatibilizar la pertenencia de la mayor parte de los estados miembros en la OTAN con una estrategia europea capaz de definición propia. En los aspectos de ciberdefensa, se ha diseñado desde 2013 una estrategia común para los estados miembros[608]. El peso de las revelaciones sobre espionaje entre estados aliados, ha motivado el impulso de este tipo de medidas entre ciertos estados miembros que ven en la estrategia común una forma de establecer un desarrollo independiente del patrocinio estadounidense[609]. Como la mayor parte de este tipo de documentación, aparte de las declaraciones de intenciones y las presentaciones públicas, las fuentes de los auténticos diseños nos suelen llegar mediante diversos tipos de filtraciones. Así ha sido el caso del diseño de esta estrategia para los periodos del quinquenio 2015-20, que la ONG Statewach ha conseguido obtener, analizar y publicar[610].

           La ciberseguridad en España, de un punto de partida prácticamente inexistente o enfocada eminentemente a los aspectos de defensa e interior más que en la elaboración de estrategias de ciberdefensa propiamente dichas, ha pasado a elaborar un abanico de sistemas y organización similares al de países de nuestro entorno[611]. Así, a lo largo de la última década se han incrementado las fuentes que tratan del entorno del ciberespacio como elemento fundamental en la elaboración de una estrategia defensiva nacional. [612]  En este aspecto han destacado los esfuerzos del ministerio de defensa por adecuar su marco de actuaciones al nuevo contexto de conflicto en la red[613]. La adecuación al marco de desarrollo europeo puede rastrearse en documentos como la elaboración de una estrategia nacional de ciberseguridad en el mismo año 2013[614].

El Instituto nacional de Ciberseguridad, INCIBE, antes INTECO, es el organismo estatal encargado de las cuestiones de ciberseguridad y las garantías generales en el entorno de la red[615]. Entre los servicios que presta, la alerta temprana sobre virus y contingencias y servicios a ciudadanos y pymes y los planes de prevención y extensión de una cultura de la seguridad informática son de sus aspectos destacados. Entre sus secciones más importantes, la Oficina de Seguridad Informática (OSI) En los aspectos dedicados al ciudadano[616]. En lo relativo a la industria el CERTSI (CERT de Seguridad e industria) se dedica a los ámbitos productivos y la empresa, como centro de respuesta[617]. Por último ENISE es el encentro anual donde profesionales y especialistas del ámbito de la seguridad revisan las estrategias anuales en lo que respecta a la ciberseguridad. En octubre de 2015 celebra su novena edición (39).

           En el terreno Interno, el Centro Criptológico Nacional (CCN-CERT), dependiente del Ministerios del Interior, es la entidad encargada tanto de establecer los parámetros de la estrategia nacional de Ciberseguridad, algo que hasta 2012 no existiría en nuestro país y que la emergencia de cada vez más sucesos relativos a la seguridad impondría en una agenda acelerada, y el velar por las infraestructuras esenciales del estado[618]. Como declaran, su principal objetivo es contribuir a la mejora del nivel de seguridad de los sistemas de información de las públicas, para ellos aspiren a convertirse en el centro de alerta nacional cara a los sistemas de la administración y ser el CERT de referencia en este aspecto. La documentación pública que genera esta entidad es de las más claras y valoradas actualmente y posee su propia certificación que busca uniformar la gestión de incidencias y la actualización de conocimientos[619]. La elaboración del esquema nacional de seguridad es una de las fuentes de referencia a la hora de establecer unos parámetros reconocibles por todo el sector público y una guía para el privado[620].

           Como vemos, a lo largo de todo el mundo las naciones han tomado consciencia de la importancia de elaborar estrategias de ciberdefensa de forma acelerada. Las fuentes de todas estas elaboraciones parten en buena medida de las experiencias de conflictos recientes y las reacciones de profesionales del entorno. Así el proceso de adquisición de conocimientos y el incremento y militarización de los efectivos dedicados exclusivamente a conocimientos de hacking[621].  Sin pretender extendernos en las diversas elaboraciones de un movimiento muy reciente y de plena actualidad, organizaciones como THIBER en España, han elaborado unas buenas síntesis sobre el estado de la cuestión[622].

La escalada en ciberseguridad

 

           Como afirma Jesús Martín Barbero, vivimos en un periodo de fundamentalización del concepto de seguridad. Efectivamente la tensión entre lo sucedido en 11 S y lo que, por ejemplo, representa el Foro Social Mundial no debería ser de ninguna forma ligado.  Sin embargo, a lo largo de este trabajo hemos podido ver la multitud de ocasiones en las que supuestos organismos dedicados a la seguridad, bajo el alegato del terrorismo, han enfocado sus recursos y esfuerzos a la vigilancia ciudadana o el espionaje[623]. El aumento de recursos dirigidos a la seguridad ha vivido varias oleadas que van desde el interés primero de gobiernos y grades empresas hasta ir bajando de nivel hacia empresas menores y usuarios particulares. El propio avance de las amenazas y el aumento de la criminalidad en la red, han propiciado que profesionales dedicados a la seguridad informática tengan que mantener una tensión permanente en el conocimiento de las herramientas de hacking y el diseño de planes de contención y seguridad[624].

           Todo este proceso ha significado para la mayor parte de las naciones una adaptación acelerada a una realidad que se ha impuesto por la vía de los hechos. La cantidad de incidentes en empresas y estados se han multiplicado hasta extremos en los que las naciones han tenido que establecer sus diseños con carácter de urgencia. Por un lado, el terreno de la seguridad había sido desatendido. La mayor parte de la inversión que se destinaba a procedimientos activos de intervención más que al consolidado de infraestructuras y diseño de principios de reacción antes contingencias[625]. La dependencia tecnológica, producto de un servilismo hacia la gran empresa, mayoritariamente norteamericana, la crisis económica y el estado de maduración del conocimiento de la red actual por parte de entornos dedicados a la seguridad y el hacking en general, han llevado en los últimos años a una situación de «tormenta perfecta » en cuanto a incidentes de seguridad. Todos los días son publicadas diferentes vulnerabilidades de sistemas informáticos para los que no se actualizan ni siquiera infraestructuras críticas. Esto significa que no solo ya grandes conjuntos de hackers con conocimientos avanzados y dedicación puedan explotarlas sino que simples aficionados con cierto nivel, pueden llegar a explotarlas y tener acceso a recursos privados de empresas y organismos críticos[626].

           La proliferación de mecanismos capaces de tener acceso pleno a sistemas e información crítica, desde que la movilidad se ha extendido entre toda la población y la extensión de modelos BYOD (Bring Your Own Device- tráete tu propio dispositivo) en cierta cultura de empresa, ha aumentado exponencialmente la exposición al hackeo de sistemas críticos. Este crecimiento de eventos críticos, ha puesto en una situación de exposición a la empresa y organismos que no cuentan con planes de contingencia ni con profesionales y mecanismos para una respuesta adecuada. La extensión de medios criminales de acceso a recursos ajenos, debe mucho a la extensión de una cultura de la desatención que no solo está entre usuarios sino que la propia empresa no es consciente hasta que no es atacada. Los casos de Ransonware, del secuestro de información, de los ataques tipo APT, ataques dirigidos de forma persistente, con el objeto de introducirse en una red empresarial u obtener datos concretos, son una fuente cotidiana de las empresas de ciberseguridad, que ven como la mayor parte de organismos y empresas no tiene trazado ningún mecanismo de reacción para tales contingencias[627].

           La normativa UNE/ISO-27001 y todas las derivadas, hacen mención expresa a las formas en la que la seguridad de la información debe organizarse en entornos de redes informáticas. El propio Esquema nacional de Seguridad español (ENS), no deja de ser en cierta medida una adaptación a un contexto concreto del espíritu general de la norma.  Sin embargo, es extraño aún que empresas de cierto nivel tengan responsables de seguridad o medios dispuestos a establecer estos mecanismos, especialmente tras la cultura de la «subcontrata» establecida al calor de la crisis económica iniciada en 2008. La importancia de elaborar estándares en los que a sistemas de gestión de la seguridad de la información, está viviendo en los últimos años un periodo de concreción que el general de los profesionales del tema veía necesario[628]. La adecuación de las normas del derecho es otra de las cuestiones en las que se vive un proceso acelerado en lo que respecta a la elaboración de normas[629]. En el terreno en el que estamos tratando, la celeridad es un elemento fundamental y la fluidez en la captación de pruebas, la obtención de permisos judiciales y la colaboración de empresa y agentes implicados son fundamental.

            Mientras las agencias de inteligencia estatales han procedido a expandir las formas de adquirir conocimientos mediante una red cada vez más intervenida, en el apartado de la respuesta a estos mismos procesos provenientes del exterior todavía no se había elaborado con la misma intensidad. La capacidad defensiva no avanzaría al mismo ritmo que el interés por la captación y penetración de sistemas ajenos. En este sentido, las formas de operar de las agencias estatales dedicadas a la inteligencia han podido ser asimiladas al proceder del cibercrimen, y bajo esa premisa son tratadas por buena parte de los profesionales y empresas dedicadas a la seguridad[630]. Efectivamente, independientemente de la procedencia, una amenaza tipo APT, ataque persistente para exponer datos de la víctima, un ataque DDoS, o una infección de malware, por poner ejemplos reconocibles, son sin importar la procedencia amenazas a las infraestructuras frente a las que hay que intervenir activamente y bloquearlas[631].

La guerra contra el terrorismo

 

           Después de la amenaza de naciones, la delincuencia y el activismo hacker, el terrorismo es la última cuestión que cerraría el itinerario de amenazas que conforma este escenario global de ciberguerra. La fuente del terrorismo ha ido adquiriendo una dimensión cada vez mayor a lo largo de los años más recientes. En inicio, a pesar de su importancia en otros planos, veremos como en la red, apenas pasaban de ser asimilables a lo largo de un dilatado periodo y hasta tiempos relativamente recientes, como episodios puntuales de hacking de servicios con daños muy localizados y puntuales. Así, más allá de la imagen que pudiéramos imaginarlos, la acción del terrorismo en la red, apenas se aproximaba a la que colectivos de hackers hayan podido producir en los primeros años de la segunda década de nuestro siglo. El carácter de sus componentes y la forma de emplear la red para acciones de corte terrorista fuera de la red son los que conformaban realmente esta amenaza que cada vez es más ampliamente analizada. Por tanto en la lucha contra el ciberterrorismo ha sido siempre una fuente transversal, al emplearse la red no cómo método exclusivo sino como medio de comunicación social entre sus elementos[632]. Sin embargo, a lo largo de 2014 y especialmente en 2015 y 2016, el terrorismo en la red, especialmente de la mano de colectivos vinculados al Daesh, ha ido incrementando su campo de acción más allá del terreno propagandístico, como veremos.

           Mientras en la mayor parte de occidente, la desaparición de grupos terroristas de índole nacional ha sido una pauta común, hasta llegar prácticamente a la inexistencia, desde el 11S la trascendencia del terrorismo de corte extremista islámico ha adquirido una dimensión internacional. La amenaza permanente de esta nueva dimensión del terrorismo de corte yihadista ha sido la piedra de toque de las organizaciones de defensa nacional. Precisamente es el tiempo en el que estos grupos se han creado lo que condiciona sus métodos y por tanto no nos debe extrañar que el empleo de la red para la consecución de sus fines sea común[633]. Hasta tiempos recientes, Internet ha sido empleado por grupos terroristas con mucha precaución. La utilización de herramientas de cifrado de contenidos y comunicaciones y el uso prudente de medios tecnológicos ha permitido que las organizaciones no comentan muchos errores en cuanto al revelado de sus estrategias por medios informáticos. Los casos en los que se han cometido errores de discreción, sobre todo los que Israel o EEUU publican, son ocasiones muy reconocibles por las consecuencias para quien hace uso de alguna tecnología que permita ubicarle.

           Las tareas de proselitismo y propaganda de diversos grupos de terrorismo islamista ha sido una de las herramientas más utilizadas. La recurrente creación de cuentas de apoyo a estos grupos para dar a conocer sus acciones en diversas redes sociales y la difusión de vídeos con sus atentados no solo sirve a esta tarea a través de los medios informativos clásicos sino que emplea la red como plataforma[634]. La dificultad para cerrar cuentas que de forma recurrente vuelven a ser creadas, ha disparado las alertas en ciertas redes sociales como Twitter o Facebook y en otros enfocados al video como YouTube, que tratan de retirar los contenidos con la mayor premura. En el sentido del uso de redes sociales y elementos de la red para provecho de sus infraestructuras es donde los medios de seguridad de los estados más pueden intervenir. En el caso español, el Plan Estratégico Nacional de Lucha contra la Radicalización Violenta, es una fuente reconocible de esta estrategia[635].

           En lo que respecta a la acción terrorista propiamente dicha por medios de la red, grupos de apoyo al estado islámico han sido los primeros en plantear estrategias similares al as que a lo largo de 2012, hicieran grupos como Anonymous o Lulzcsec. Así la explotación de vulnerabilidades en medios en la red, sobre todo en páginas web no convenientemente securizadas o sin actualizar conveniente, han propiciado la suplantación de servicios o el hackeo de cuentas que se han empleado principalmente como medio de propaganda. Milicias palestinas como Hezbollah, comenzarían a organizar sus comandos de agentes especializados en hacking, para establecer campañas de corte propagandístico. Incluso se ha llegado a afirmar que estos cuentan con hackers rusos, contratados en el mercado negro para la consecución de sus acciones. Por su parte, grupos autodenominados Anonymous, también acudirán contra la barbarie de ciertos actos de estos grupos y dirigirían sus ataques contra el estado Islámico y los grupos de apoyo al terrorismo. La campaña denominada #OpIceISIS, de cuyo alcance y consecuencias no se pudo saber mucho más, es un ejemplo de cómo se han terminado por entrecruzar diversos grupos que actúan en la red con fines radicalmente distintos[636].

           Por su lado la Syrian Electronic Army[637], ha sido una de las organizaciones decididamente terroristas que más acciones del tipo hacking han llevado a cabo. En 2013, un ataque coordinado a medios de información como la BBC, France 24 TV, diversas radios públicas estadounidenses, Al-Jazeera, el Gobierno de Qatar y diversas cuentas de Twitter consiguió mediante la difusión de informaciones falsas desde estas cuentas intervenidas que cierto público se hiciera eco estas y llegaría incluso a provocar una caída de 145 puntos al índice Down Jones[638].

           Otros grupos como la ciberguerilla Izz ad-Din al-Qassam, también acudirán a métodos del hacking reivindicativo para pasar a operaciones de sabotaje bancario en EEUU.  La mayor parte de sus ataques se producen mediante los conocidos sistemas de ataque DDoS, contra infraestructuras por tanto no debidamente actualizadas. Parece ser que en este caso la guerrilla tendría una vinculación estrecha con el estado Iraní y que por tanto respondería más a una estrategia de respuesta difusa a las intervenciones de EEUU que a grupos autónomos o células terroristas.

           La auténtica guerra que plantea el terrorismo de corte islámico, especialmente el autodenominado ISIS[639], se juega en el terreno de la propaganda. Así, se ha podido determinar que a través de una investigación sobre el censo de cuentas en twitter vinculadas a este grupo que podría tener del orden de 46.000[640]. Periodistas como Gary Bunt, llevan años realizando un seguimiento de la actividad del islamismo más extremista y la evolución de sus sectores propicios al terrorismo, fundamentalmente enfocados a la propaganda. El esmero con el que son presentados los vídeos de las “acciones” terroristas, especialmente en lo que respecta a suicidas, con una edición cuidada (casi cinematográfica), apunta a su doble objetivo de amedrentar al enemigo occidental y de servir de proselitismo avalando modelos de conducta a seguir por futuros “mártires”. Este exhibicionismo, ha formado parte sustancial del proceder del Daesh desde su defección de Al Qaeda y es una de las partes más reconocibles de su acción concreta en la red.

A pesar de ello, la difusión del Manual del Terror, tendría especial impacto en la red, al tararse de una guía detallada de cómo realizar atentados y de las formas de actuar en la red por parte de miembros de grupos terroristas islámicos[641]. Sobre el tema de la propaganda extremista, especialmente focalizada a la actividad del autoproclamado Estado Islámico de Irak y Siria o ISIS (más correctamente conocido DAESH), se han realizado estudios al respecto de la repercusión de esta propaganda y su capacidad real de proselitismo. Así, aunque el efecto y la cuidada imagen que tratan de confrontar respecto a occidente, con la proliferación de memes y la ya citada profusión de cuentas en redes como Twitter, la realidad es que el impacto en lo que respecta a la captación por estos medios de nuevos acólitos resulta ostensiblemente baja[642]. El seguimiento realizado de dichas cuentas por parte del diario británico The Independent[643], especialmente tras los atentados de parís y las sucesivas campañas de denuncia a cargo de activistas y de bloqueos por parte de la empresa de microblogging, han hecho que los miembros realmente interesados en esta propaganda comiencen a migrar a otras redes, especialmente grupos cerrados de Telegram. En este sentido, Twitter trataría de reaccionar tras ser sucesivamente señalada como una de las redes más activas del terrorismo islámico y elevaría un comunicado en el que rinde cuentas de su campaña de cierre de cuentas y seguimiento de elementos afines al terrorismo. Una campaña que pasaría por el cierre de 40.000 cuentas del colectivo terrorista[644].

            El servicio de mensajería Telegram, demostraría mayor agilidad, al proceder al cierre de grupos, bots (robots que automatizan tareas en la red) y cuentas vinculadas a estos grupos con un éxito relativo aún[645], dado que usuarios individuales, al igual que números de teléfono, no pueden ser retirados si no son inequívocamente identificados como vinculados a prácticas de terrorismo. Una de las claves para entender esa transformación en las comunicaciones es el empleo cada vez mayor de técnicas esteganográficas (ocultación del mensaje original). Mucho se habló del empleo de redes y páginas dedicadas a la pornografía[646] para insertar mensajes y comunicaciones entre sus miembros. Asimismo también se ha apuntado al empleo de chats y foros dedicados a ciertos videojuegos, como Call of Duty o GTA y más recientemente entre los de rol masivo con tecnología móvil y por último el empleo de redes sobre medicamentos y medicina en general, este último en grupos creados en Telegram.

           Hasta hace bien poco, ninguno de los ataques que reivindican diferentes grupos vinculados en mayor o menor medida a grupos terroristas han conseguido que sus acciones tengan consecuencias más allá de las propias de la suplantación y el asalto a páginas webs de medios de comunicación o ataques de denegación de servicio a estamentos y bancos no convenientemente actualizados. Por ello, aunque suele ser una fuente común, tratar sobre la amenaza ciberterrorista, la realidad anterior a 2015, era que el ciberterrorismo apenas había pasado de un enunciado y las auténticas fuentes de consecuencias físicas y palpables han sido las producidas con el patrocinio más o menos expreso de diversos estados. A pesar de ello la potencialidad de un avance en este terreno, ante la facilidad que la extensión de las redes ha conseguido en nuestro tiempo, hace que las estrategias frente a tales eventualidades crezcan y que los medios de prevención y respuesta contemplen la posibilidad de un crecimiento en la escala de estos ataques[647].

           Otra de las cuestiones planteadas recurrentemente es la eventualidad del empleo de redes ocultas por parte de grupos terroristas. Parece ser que tales efectos tienen poco impacto entre los miembros de tales grupos, dado que tanto el grado de conocimiento como el resultado real obtenible, les disuade de su empleo de forma exclusiva.[648]

           La amenaza potencial de este tipo de acciones terroristas ha venido a confirmar lo que se avanzaba como futuros posibles de este tipo de amenazas. Efectivamente, a inicios de 2016 los ataques a Ucrania[649] e Israel[650], focalizados en centrales de distribución eléctrica y el posterior ataque a una planta potabilizadora de aguas en Reino Unido[651], nos llevaran a un escenario en el que este tipo de ataques a través de las redes comienzan a concretarse en amenazas más que potenciales. Esta inquietante concreción ha llevado a una explosión reciente en los esfuerzos de diversos estados en el seguimiento y ubicación tanto de los elementos centrales de esta actividad como en la intervención de sus redes de comunicación y la localización temprana de elementos radicalizados y de captación en fases iniciales de su desarrollo. Por otro lado, la paulatina captación de agentes con capacidades más avanzadas en los terrenos del hacking de redes y servicios, está posibilitando un ascenso en su capacidad de acción con unos medios tecnológicos de escasa inversión y de impacto potencial destacable.