Los riesgos de un ataque cibernético preventivo
William Márquez
BBC Mundo, Washington
Viernes, 22 de febrero de 2013
En el Centro Nacional de Ciberseguridad y Comunicaciones se realizan ejercicios sobre posibles ataques.
El presidente de Estados Unidos, Barack Obama, ha manifestado su intención de lidiar más agresivamente con los continuos desafíos cibernéticos que enfrenta su gobierno, la empresa privada y otras instituciones del país.
Obama busca la autoridad para realizar ataques preventivos anticipados contra objetivos que considere tengan la intención de hackear, atacar o de cualquier forma infiltrar los sistemas computarizados de la nación para evitar el daño que puedan causar.
La estrategia no sólo presenta problemas de tipo constitucional y legal. Hay un factor especulativo, al no poder saber con exactitud quienes serían los verdaderos autores de un ataque que no ha sucedido, además de las dudas sobre si un ataque preventivo es una medida de disuasión efectiva.
Por otra parte, hay analistas que cuestionan si la piratería cibernética realmente es una amenaza contra la seguridad nacional o un sabotaje que le cuesta miles de millones al gobierno y la empresa privada.
Amenaza potencial
China ha sido identificada como origen de continuo hackeo cibernético.
Los informes sobre la actividad de espionaje cibernético se han intensificado, particularmente desde que una firma de seguridad informática radicada en Estados Unidos señalara una división secreta del ejército chino como uno de los "grupos de espionaje cibernético más prolíficos del mundo".
El gobierno de Pekín condenó la acusación, pero el Pentágono y respetados diarios como The New York Times y The Washington Post también han reportado haber sido objeto de innumerables ataques cibernéticos que piensan fueron originados en China.
En el caso de estos últimos se cree que la infiltración se produjo con la intención de conocer las fuentes periodísticas y escarbar material relacionado a sus informes sobre corrupción dentro del gobierno chino.
Más allá de robar secretos de Estado y de industria o de fisgonear en los archivos de diferentes instituciones, los departamentos de Defensa y de Seguridad Interna en EE.UU. están cada vez más preocupados respecto a la creciente capacidad de agentes gubernamentales y no gubernamentales de usar internet para causar daños físicos.
Los perjuicios podrían ir desde abrir represas para causar graves inundaciones hasta inhabilitar a plantas nucleares, pasando por la posibilidad de que se dé un "Pearl Harbor cibernético", como advertía el antiguo secretario de Estado, Donald Rumsfeld. Pearl Harbor fue el devastador ataque imprevisto que Japón lanzó contra la flota marina de EE.UU. en el Pacífico durante la Segunda Guerra Mundial.
Golpear primero
El presidente Obama está utilizando la analogía del combate contra el terrorismo o contra la proliferación nuclear para justificar el derecho a efectuar ataques preventivos cibernéticos. Igual que a su administración no le gusta implicarse en grandes operativos militares sino utilizar drones, con los ciberataques prefiere una estrategia más refinada y de alta tecnología, comentó Richard Weitz, analista en temas de seguridad y defensa del Instituto Hudson.
"En el ámbito cibernético domina la postura ofensiva. Es mejor golpear primero porque se puede asestar mayor daño y el adversario no puede contraatacar tan efectivamente", dijo Weitz a BBC Mundo.
"Otra ventaja de actuar primero es que se puede efectuar un ataque sin que el objetivo pueda estar muy seguro de quién lo atacó", añadió el analista.
Un ejemplo de esto es el ataque del virus Stuxnet contra las computadoras del complejo de Natanz, Irán. Aunque todo apunta a que fue un operativo conjunto de EE.UU. e Israel -pues son los más interesados en interrumpir el programa nuclear iraní- y la prensa internacional especula que fueron ellos, ninguno de los dos gobiernos lo reconoce.
Pero el tema de la atribución presenta dilemas para la política de ataques preventivos. Si hay dificultades en identificar exactamente quién y donde se originó un ataque, ¿cómo se podría conocer de antemano quién sería un potencial atacante y tomar acción para anular sus capacidades?.
Ese es el problema que se tiene con los ataques que fueron reportados contra el Pentágono, The New York Times y The Washington Post. Como los infiltrados buscaban material relacionado a China e investigación sobre la corrupción de funcionarios de ese gobierno, se pensaría que son actores chinos.
"No se puede decir con seguridad que se trata del gobierno chino", manifestó Richard Weitz. "Es cierto que los ataques ocurrieron durante el horario diurno en China pero no se sabe si fue el estamento militar chino o algún hacker patriota actuando sin el conocimiento del gobierno. Ese es un problema".
¿Quién es el blanco?
La mejor defensa es tener mayor seguridad en los sitemas de computación, consideran algunos analistas.
Hackers hay en todo el mundo; individuos penetrando sistemas desde sus computadoras en cualquier rincón del planeta ya sea usando "inocentemente" un sitio pirata para descargar material audiovisual, activistas filtrando información clasificada de gobiernos y empresas o legítimos extremistas empeñados en hacer el mal.
Todos serían blanco de los ataques cibernéticos preventivos y ahí está la debilidad de esa política, comentó a la BBC Martin Libicki, experto en ciberguerra de la Corporación RAND y profesor de la Academia Naval de Estados Unidos.
"Es muy fácil equivocarse en estos asuntos. Como estas decisiones se toman en secreto, ¿quién está ahí para refutar los motivos que pueda haber para autorizar un ataque anticipado contra un blanco sospechoso?", se preguntó. "Un evento que sucedió hace 10 años (la invasión de Irak) nos bebió haber enseñado algo sobre la recolección de información".
Libicki también dudó que los ataques preventivos sean la manera más fructífera de lidiar con la ciberseguridad. Explicó que un hacker necesita tres elementos: una computadora, una conexión a la red e información sobre el objetivo.
"Un operativo de la unidad cibernética del Pentágono podrá desconectarlo temporalmente de la internet o destruirle su computadora, pero ésta la podría reemplazar por unos US$500 y usar una de miles de millones de conexiones más a la red. Ni el hacker ni su conocimiento se pueden destruir así", expresó el experto de RAND.
Lo único que podría disuadir a un hacker es la amenaza de perder la vida o perder la libertad y nada de eso va a suceder, particularmente si está bajo el amparo de algún gobierno, sostiene Libicki, quien también considera exagerada la alarma sobre los potenciales estragos que pueden producir las infiltraciones cibernéticas.
"En los 20 años que llevo estudiando he conocido de un evento -un ataque contra una planta en Brasil- que pudo tal vez ser considerado un ataque cibernético" aseguró. "En este momento todo es hipotético".
El precio del hackeo
Richard Weitz, del Instituto Hudson, reconoció que algunos consideran que la amenaza del llamado ciberterrorismo puede estar exagerada, pero afirmó que se sabe que los chinos y los rusos están desarrollando capacidades cibernéticas y eso crea un dilema.
"Algunas veces se trata de resolver el dilema diciendo que se tienen pruebas suficientes para atribuir el ataque, pero siempre va a haber dudas", reflexionó.
"Es parecido a lo que se pensaba antes de 11-S, la gente debatía si el terrorismo era una realidad. Después de los ataque se instituyeron salvaguardas y ahora se piensa que se hubo una reacción desmedida y no quieren repetir lo mismo en el ámbito cibernético".
De todas formas, el analista de Hudson consideró que la búsqueda de poderes especiales no es necesariamente una política expresa de Obama sino una manifestación pública de su derecho de actuar como comandante en jefe si se da el caso. "Es más un anuncio para aquellos que pretenden atacar que dice: 'Atención que podríamos tomar represalias'".
En cualquier medida que se tome hay que sopesar los costos, consideró Martin Libicki. "El Congreso dice que los hackers chinos nos cuestan un billón de dólares, eso es grande y se debe actuar", sostuvo. "Qué tal que no sea sino 1.000 millones. ¿Vale la pena iniciar una ciberguerra si hay otros asuntos importantes que queremos mantener con los chinos? La incógnita es cuánto cuesta el hackeo: no lo sabemos".
Para el experto el mayor esfuerzo se debe aplicar en la defensa, con mayores y mejores sistemas de seguridad. La otra porción a medidas para el cumplimiento de las leyes. "Se puede llevar a un nivel estratégico pero hay que calcular realmente lo que se ganará al final. Habrá excepciones, pero hay que hacer las sumas".
William Márquez
BBC Mundo, Washington
Viernes, 22 de febrero de 2013
En el Centro Nacional de Ciberseguridad y Comunicaciones se realizan ejercicios sobre posibles ataques.
El presidente de Estados Unidos, Barack Obama, ha manifestado su intención de lidiar más agresivamente con los continuos desafíos cibernéticos que enfrenta su gobierno, la empresa privada y otras instituciones del país.
Obama busca la autoridad para realizar ataques preventivos anticipados contra objetivos que considere tengan la intención de hackear, atacar o de cualquier forma infiltrar los sistemas computarizados de la nación para evitar el daño que puedan causar.
La estrategia no sólo presenta problemas de tipo constitucional y legal. Hay un factor especulativo, al no poder saber con exactitud quienes serían los verdaderos autores de un ataque que no ha sucedido, además de las dudas sobre si un ataque preventivo es una medida de disuasión efectiva.
Por otra parte, hay analistas que cuestionan si la piratería cibernética realmente es una amenaza contra la seguridad nacional o un sabotaje que le cuesta miles de millones al gobierno y la empresa privada.
Amenaza potencial
China ha sido identificada como origen de continuo hackeo cibernético.
Los informes sobre la actividad de espionaje cibernético se han intensificado, particularmente desde que una firma de seguridad informática radicada en Estados Unidos señalara una división secreta del ejército chino como uno de los "grupos de espionaje cibernético más prolíficos del mundo".
El gobierno de Pekín condenó la acusación, pero el Pentágono y respetados diarios como The New York Times y The Washington Post también han reportado haber sido objeto de innumerables ataques cibernéticos que piensan fueron originados en China.
En el caso de estos últimos se cree que la infiltración se produjo con la intención de conocer las fuentes periodísticas y escarbar material relacionado a sus informes sobre corrupción dentro del gobierno chino.
Más allá de robar secretos de Estado y de industria o de fisgonear en los archivos de diferentes instituciones, los departamentos de Defensa y de Seguridad Interna en EE.UU. están cada vez más preocupados respecto a la creciente capacidad de agentes gubernamentales y no gubernamentales de usar internet para causar daños físicos.
Los perjuicios podrían ir desde abrir represas para causar graves inundaciones hasta inhabilitar a plantas nucleares, pasando por la posibilidad de que se dé un "Pearl Harbor cibernético", como advertía el antiguo secretario de Estado, Donald Rumsfeld. Pearl Harbor fue el devastador ataque imprevisto que Japón lanzó contra la flota marina de EE.UU. en el Pacífico durante la Segunda Guerra Mundial.
Golpear primero
El presidente Obama está utilizando la analogía del combate contra el terrorismo o contra la proliferación nuclear para justificar el derecho a efectuar ataques preventivos cibernéticos. Igual que a su administración no le gusta implicarse en grandes operativos militares sino utilizar drones, con los ciberataques prefiere una estrategia más refinada y de alta tecnología, comentó Richard Weitz, analista en temas de seguridad y defensa del Instituto Hudson.
"En el ámbito cibernético domina la postura ofensiva. Es mejor golpear primero porque se puede asestar mayor daño y el adversario no puede contraatacar tan efectivamente", dijo Weitz a BBC Mundo.
"Otra ventaja de actuar primero es que se puede efectuar un ataque sin que el objetivo pueda estar muy seguro de quién lo atacó", añadió el analista.
"En el ámbito cibernético domina la postura ofensiva. Es mejor golpear primero porque se puede asestar mayor daño y el adversario no puede contraatacar tan efectivamente"
Richard Weitz, Instituto HudsonUn ejemplo de esto es el ataque del virus Stuxnet contra las computadoras del complejo de Natanz, Irán. Aunque todo apunta a que fue un operativo conjunto de EE.UU. e Israel -pues son los más interesados en interrumpir el programa nuclear iraní- y la prensa internacional especula que fueron ellos, ninguno de los dos gobiernos lo reconoce.
Pero el tema de la atribución presenta dilemas para la política de ataques preventivos. Si hay dificultades en identificar exactamente quién y donde se originó un ataque, ¿cómo se podría conocer de antemano quién sería un potencial atacante y tomar acción para anular sus capacidades?.
Ese es el problema que se tiene con los ataques que fueron reportados contra el Pentágono, The New York Times y The Washington Post. Como los infiltrados buscaban material relacionado a China e investigación sobre la corrupción de funcionarios de ese gobierno, se pensaría que son actores chinos.
"No se puede decir con seguridad que se trata del gobierno chino", manifestó Richard Weitz. "Es cierto que los ataques ocurrieron durante el horario diurno en China pero no se sabe si fue el estamento militar chino o algún hacker patriota actuando sin el conocimiento del gobierno. Ese es un problema".
¿Quién es el blanco?
La mejor defensa es tener mayor seguridad en los sitemas de computación, consideran algunos analistas.
Hackers hay en todo el mundo; individuos penetrando sistemas desde sus computadoras en cualquier rincón del planeta ya sea usando "inocentemente" un sitio pirata para descargar material audiovisual, activistas filtrando información clasificada de gobiernos y empresas o legítimos extremistas empeñados en hacer el mal.
Todos serían blanco de los ataques cibernéticos preventivos y ahí está la debilidad de esa política, comentó a la BBC Martin Libicki, experto en ciberguerra de la Corporación RAND y profesor de la Academia Naval de Estados Unidos.
"Es muy fácil equivocarse en estos asuntos. Como estas decisiones se toman en secreto, ¿quién está ahí para refutar los motivos que pueda haber para autorizar un ataque anticipado contra un blanco sospechoso?", se preguntó. "Un evento que sucedió hace 10 años (la invasión de Irak) nos bebió haber enseñado algo sobre la recolección de información".
Libicki también dudó que los ataques preventivos sean la manera más fructífera de lidiar con la ciberseguridad. Explicó que un hacker necesita tres elementos: una computadora, una conexión a la red e información sobre el objetivo.
"Un operativo de la unidad cibernética del Pentágono podrá desconectarlo temporalmente de la internet o destruirle su computadora, pero ésta la podría reemplazar por unos US$500 y usar una de miles de millones de conexiones más a la red. Ni el hacker ni su conocimiento se pueden destruir así", expresó el experto de RAND.
Lo único que podría disuadir a un hacker es la amenaza de perder la vida o perder la libertad y nada de eso va a suceder, particularmente si está bajo el amparo de algún gobierno, sostiene Libicki, quien también considera exagerada la alarma sobre los potenciales estragos que pueden producir las infiltraciones cibernéticas.
"En los 20 años que llevo estudiando he conocido de un evento -un ataque contra una planta en Brasil- que pudo tal vez ser considerado un ataque cibernético" aseguró. "En este momento todo es hipotético".
El precio del hackeo
Richard Weitz, del Instituto Hudson, reconoció que algunos consideran que la amenaza del llamado ciberterrorismo puede estar exagerada, pero afirmó que se sabe que los chinos y los rusos están desarrollando capacidades cibernéticas y eso crea un dilema.
"Algunas veces se trata de resolver el dilema diciendo que se tienen pruebas suficientes para atribuir el ataque, pero siempre va a haber dudas", reflexionó.
"La incógnita es cuánto cuesta el hackeo: no lo sabemos. Se puede llevar a un nivel estratégico pero hay que calcular realmente lo que se ganará al final", Martin Libicki, Corporación RAND.
"Es parecido a lo que se pensaba antes de 11-S, la gente debatía si el terrorismo era una realidad. Después de los ataque se instituyeron salvaguardas y ahora se piensa que se hubo una reacción desmedida y no quieren repetir lo mismo en el ámbito cibernético".
De todas formas, el analista de Hudson consideró que la búsqueda de poderes especiales no es necesariamente una política expresa de Obama sino una manifestación pública de su derecho de actuar como comandante en jefe si se da el caso. "Es más un anuncio para aquellos que pretenden atacar que dice: 'Atención que podríamos tomar represalias'".
En cualquier medida que se tome hay que sopesar los costos, consideró Martin Libicki. "El Congreso dice que los hackers chinos nos cuestan un billón de dólares, eso es grande y se debe actuar", sostuvo. "Qué tal que no sea sino 1.000 millones. ¿Vale la pena iniciar una ciberguerra si hay otros asuntos importantes que queremos mantener con los chinos? La incógnita es cuánto cuesta el hackeo: no lo sabemos".
Para el experto el mayor esfuerzo se debe aplicar en la defensa, con mayores y mejores sistemas de seguridad. La otra porción a medidas para el cumplimiento de las leyes. "Se puede llevar a un nivel estratégico pero hay que calcular realmente lo que se ganará al final. Habrá excepciones, pero hay que hacer las sumas".
