La Atribución de los Ciberataques. Un desafío en tres perspectivas: razonamiento, datos y política –

Autor: Jeimy Cano, Ph. D., CFE – Director Revista SISTEMAS at Asociación Colombiana de Ingenieros de Sistemas – ACIS // orcid.org/0000-0001-6883-3461

Introducción

En estos días de noticias y tensiones internacionales los reflectores de los medios han revelado una serie de eventos que muestran un conflicto entre naciones que se desarrolla en el escenario del ciberespacio. Un conflicto que tiene como base intereses estratégicos de las naciones, fortalecimiento o debilitamiento de centros de poder y rompecabezas políticos que buscan posicionar posturas o forma de gobierno específicos, que cambien el liderazgo global y orden mundial (Cano, 2022).

Las operaciones cibernéticas que se han detectado y que continúan avanzando (que aún no conocemos) establecen un tablero estratégico de acciones que los países involucrados han planteado para crear la zona de inestabilidad que se requiere, no sólo para escalar el conflicto de forma significativa, sino para mantener la “llama encendida” de la confrontación. Un escenario peligroso e inexplorado que puede causar tensiones adicionales sobre la latente amenaza nuclear vigente en silos ocultos, muchos de ellos con tecnología obsoleta (Cano, 2022b).

En este sentido, el reto de la atribución de los ciberataques es un desafío que se ha venido estudiando, revisando y analizando por especialistas geopolíticos, militares y académicos desde los años noventa, con el fin de comprender quién o quiénes son los que están detrás de estas operaciones, qué elementos se deben tener en cuenta, qué rastros hay que seguir, cómo se pueden perfilar, y sobremanera, cómo es posible generar sanciones concretas y claras cuando es viable llegar a una atribución de un evento cibernético adverso (Wheeler & Larsen, 2003).

Concretar la atribución de un ciberataque no sólo es un ejercicio técnico de especialidad tecnológica y seguimiento de rastros específicos, es a la vez una inferencia lógica basada en los datos para encontrar una explicación probable, así como un acto político situado que movilizan los Estados para tomar posiciones claves en el contexto global. En consecuencia avanzar en el proceso de atribución de un ataque cibernético exige una reflexión sistémica y de reconocimiento de relaciones globales que habilita una perspectiva diplomática para dar cuenta de una agresión que compromete la estabilidad global del ciberespacio (Yannakogeorgos, 2016).

Considerando las circunstancias actuales de inestabilidad global y las crecientes tensiones derivadas de las acciones que se han adelantado por parte de occidente, las operaciones cibernéticas a nivel global tomarán dimensiones que hasta ahora no se han visto, comoquiera que en la esfera del ciberespacio, se habilitan caminos y rutas desconocidas, que llegan a impactar los centros de poder de otras naciones, esto es, afectaciones a nivel de la información, a nivel militar, a nivel político, a nivel económico y de la sociedad civil.

Así las cosas, el tema de la atribución tomará un valor fundamental ahora y en el futuro, como una necesidad básica de “saber quién es mi adversario”, para desde allí comenzar a comprender y ajustar las estrategias y acciones de ciberdefensa necesarias para reconocer y salvaguardar la soberanía del país en el escenario cibernético, que no es otra cosa, que habilitar un ciberespacio más confiable donde los ciudadanos puedan concretar las oportunidades que brinda una sociedad más digital y tecnológicamente modificada.

Entendiendo el reto de la atribución de los ciberataques

Entender la atribución de un ataque cibernético es explorar diferentes horizontes de análisis e investigación de la última década. Centros especializados de investigación, eminentes académicos y centros de pensamiento militares han trabajado para tratar de darle forma a este reto, que termina siendo una exigencia para las naciones y un deber para los ejecutivos de seguridad/ciberseguridad de las organizaciones (Pahi & Skopik, 2019).

Por tanto, considerando la complejidad que implica el saber “quién fue” y las diferentes aproximaciones disponibles, esta reflexión se enfoca en tres elementos fundamentales para profundizar en el desafío de la atribución: la política, el razonamiento y los datos, como una visión sistémica y tripartita que involucra a las personas, la tecnología y los intereses estratégicos y centros de poder.

El primer elemento visible y evidente es el escenario político. Un escenario donde se hacen evidentes las tensiones e inestabilidades geopolíticas que buscan inclinar la balanza cada uno para su lado. Es un ejercicio de poder y estrategia que convoca fuerzas y aliados en los diferentes bandos, con el fin de mantener focos de influencia y posicionamiento que hagan saber quién está a cargo del liderazgo global, o quién es capaz de retar la doctrina existente y mostrar su capacidad confrontación.

Esta visual de las diferencias políticas y las marcas de poder global, se manifiesta en acciones económicas, militares, de información y afectaciones de la población civil, establecen un caldo de cultivo que es aprovechado por los diferentes actores globales para potenciar el poder del ciberespacio como un campo de operaciones, no solamente con objetivos estratégicos en las infraestructuras críticas cibernéticas y de información, sino como un lago de información donde las operaciones cognitivas se consolidan como la fuente fundamental de un conflicto híbrido (Cano, 2021).

En este sentido, más que identificar concretamente individuos o grupos específicos de asalto que puedan tener la naciones o actores no estatales, se busca encontrar o identificar Estados con el fin de generar responsabilidades y exigencias políticas, que impliquen presiones de la comunidad internacional, con el fin de dar cumplimiento a los acuerdos globales sobre la estabilidad en el ciberespacio. De esta forma, más que un informe técnico sobre el “quién fue”, se busca una atribución política que funcione como una herramienta para situar los esfuerzos de las naciones frente a estos eventos y aumentar la capacidad de los países para mejorar su ecosistema de ciberdefensa (Lewis, 2022).

De acuerdo con Lewis (2022), se tienen al menos doce preguntas claves para avanzar en la atribución política de un ciberataque. Las preguntas son:

• Quién es probable que viole nuestra soberanía, a juzgar por sus acciones y declaraciones públicas?
• ¿A qué intereses estratégicos sirve mejor la violación de la soberanía mediante acciones cibernéticas?
• ¿Los efectos de esta violación apoyan los intereses estratégicos de otro Estado?
• ¿El objetivo del ataque (por ejemplo, una ventaja política o militar) apunta a una acción estatal?
• ¿El efecto de la acción cibernética (por ejemplo, qué datos fueron exfiltrados, qué servicios fueron interrumpidos) sugiere un actor estatal o un actor delegado del Estado?
• ¿Incidentes anteriores, aquí o en otros países, apuntan a un Estado concreto como actor responsable? ¿Existen acciones precedentes por parte del actor estatal sospechoso?
• ¿Han experimentado otros estados violaciones similares, quizás simultáneamente, y han atribuido el origen de la violación?
• ¿Han proporcionado los aliados o las naciones asociadas información de apoyo sobre el origen de un ataque?
• ¿Existe información de apoyo procedente de actores del sector privado, en particular de empresas de ciberseguridad, o información de apoyo procedente de fuentes nacionales y de aliados y socios?
• ¿Existen indicadores técnicos u otros datos de inteligencia que apunten a un autor (pueden provenir de una fuente nacional, una empresa comercial o un aliado o socio)?
• ¿Parece este incidente parte de una campaña más amplia?
• ¿Han sido precisos los servicios nacionales pertinentes o estas fuentes externas en las evaluaciones anteriores de atribución?

Una segunda perspectiva es el razonamiento. Siguiendo las precisiones de Steffens (2020), la atribución corresponde a un razonamiento abductivo, esto es, “una forma de inferencia lógica que intenta encontrar la explicación más probable para un conjunto de observaciones, que es diferente del razonamiento deductivo, en el que las conclusiones se derivan estrictamente de los hechos”. Esto significa que este tipo de ejercicio cuenta con un conjunto de premisas que deberán tener un mínimo de certezas con el fin de situar el ejercicio que implica la atribución.

Lo anterior demanda ser consciente de las premisas tácitamente aceptadas considerando el contexto vigente de tiempo, modo y lugar, para poder descartarlas, si es del caso, si las pruebas o eventos registrados resultan ser suficientes para eliminarlas más adelante. En esta línea, Steffens (2020) detalla algunos tipos de premisas tácitas a tener en cuenta frente al reto de la atribución:

• Premisas sobre los recursos y la relación con los gobiernos: Una suposición fundamental para la atribución es que los ataques realizados por el mismo actor serán similares en ciertos aspectos. Esto es razonable, ya que inventar nuevas técnicas y desarrollar nuevo malware para cada ataque sería costoso en términos de tiempo, habilidades y dinero.
• Premisas sobre la configuración de los equipos: Especialmente en los primeros informes sobre amenazas persistentes avanzadas, los grupos se caracterizaban implícitamente como si fueran equipos monolíticos. La suposición subyacente era que un grupo está formado por un conjunto fijo de miembros que trabajan juntos en estrecha proximidad y durante un largo periodo de tiempo. Estos miembros del grupo cubren todas las habilidades necesarias y operan en todas las fases de la cadena cibernética de la muerte (cyberkill chain).
• Premisas sobre los datos: El malware no viene con un nombre adjunto. Al igual que los conjuntos de intrusión están formados por ataques similares, las familias de malware están formadas por archivos maliciosos cuyo código es similar. Una premisa importante es que la similitud del código no se produce por casualidad, sino que es más probable que se deba a que lo haya escrito el mismo desarrollador.

En el ejercicio de reconocer “quién es mi adversario”, es útil mantener en el radar y cuestionar siempre estas tres premisas, con el fin de identificar y hacer evidentes los posibles sesgos que vienen implícitos al realizar el proceso de la atribución de un ciberataque.

Seguidamente los datos, la fuente misma que configura la información y le da sentido al razonamiento y sus premisas. Los datos se recogen y analizan siguiendo un conjunto de pasos situados que buscan identificar los posibles agresores. Estos pasos son: (Steffens, 2020)

• Recolección: de datos desde diferentes fuentes con el fin de caracterizar y establecer patrones de eventos y perfiles de posibles adversarios.
• Agrupación: Independientemente de cómo se hayan encontrado los datos sobre el malware y los ataques de amenazas persistentes avanzadas, el siguiente paso de la atribución es dividir los datos en conjuntos de intrusión. Al principio, los ataques, el malware y los servidores de control no son más que puntos de datos inconexos (o, al menos, conectados de forma incompleta) almacenados en bases de datos e informes que luego tienen sentido cuando se correlacionan entre sí.
• Acusación: Una vez definidos el conjunto y el grupo de intrusos, la siguiente cuestión es saber si la motivación de las campañas era criminal o de espionaje patrocinado por el Estado. En este sentido, estudiar el tipo de datos que se compromete, deteriora, o exfiltra resulta de interés para los analistas.
• Ubicación de origen: La actividad patrocinada por el Estado exige la identificación del país desde el que trabajan los atacantes, vinculando así los ataques a un gobierno específico. Es importante anotar que los adversarios no conectan sus propios ordenadores directamente a las redes de las víctimas sino que utilizan servidores comprometidos de terceros no implicados o servidores anónimos alquilados como servidores de salto.
• Evaluación de confianza y comunicación de hipótesis: Se generan hipótesis que deben ser coherentes con las pruebas resultantes del análisis y estar respaldadas por ellas. Los analistas comprueban su plausibilidad y coherencia. ¿Están las pruebas respaldadas por múltiples fuentes? ¿Son las hipótesis compatibles con los datos? ¿Cuánto esfuerzo les habría costado a los atacantes plantar banderas falsas? (Skopik & Pahi, 2020) Estas consideraciones son necesarias para evaluar la solidez de las posibles hipótesis alternativas.

Al combinar estas tres perspectivas es viable mantener una reflexión situada, crítica y reflexiva que permite establecer elementos conceptuales concretos que motiven una revisión de los eventos cibernéticos adversos en un contexto interconectado, donde si bien no hay respuestas definitivas, es posible trazar trayectorias de análisis que reconozcan las tensiones geopolíticas, las premisas tácitas claves y los datos técnicos que se recolectan para darle forma al ejercicio de la atribución con una vista holística, abierta al diálogo donde las diferencias suman y no restan.

Reflexiones finales

Hablar de la atribución de un ciberataque no es un reto sencillo. Es una experiencia de posiciones encontradas que más que encontrar explicaciones y respuestas sobre inciertos relativos a los eventos, demanda una visual más correlacional y abierta al diálogo, con el fin de construir hipótesis y reflexiones que permitan identificar las fuentes mismas de la inestabilidad, para fortalecer los compromisos y responsabilidades políticas de las naciones (Rid & Buchanan, 2015).

Un ciberataque se configura en la actualidad como una estrategia de desestabilización, que situado en una compaña más elaborada de confrontación, acelera o escala un conflicto de orden global donde posiblemente habrá efectos colaterales que terminen afectando a la población civil de diferentes maneras. En este contexto, el reto de la atribución es una oportunidad tanto para los gobernantes como para los ejecutivos de seguridad y control, para reconocer en el escenario actual las tendencias, los patrones y las tensiones que se generan por cuenta de los diversos elementos de poder vigentes en el mundo (Egloff & Smeets, 2021).

El reto de la atribución, más que un ejercicio técnico y de analítica de datos, se convierte en un espacio de reflexión y consciencia situacional que ubica al riesgo cibernético como un riesgo de negocio y una amenaza a la seguridad nacional, no sólo en términos de eventos sensacionalistas y catastróficos, sino como fuerzas disruptivas que están presentes todo el tiempo afectando la dinámica social, económica y política, y que por lo tanto, merecen toda atención en las agendas de los ejecutivos de primer nivel.

La propuesta desarrollada en este documento ofrece una perspectiva relacional al reto de la atribución, que si bien no busca dar respuestas definitivas a este desafío, si quiere motivar reflexiones diferentes y situadas, con el fin de crear espacios de conversación y diálogo, como excusas académicas y prácticas para construir hipótesis plausibles y probables sobre “quién es el adversario” en un entorno digital y tecnológicamente modificado.   

Saber quién es el adversario, deberá ser una pregunta reiterada que deberán hacerse los directivos de las organizaciones y los representantes de los gobiernos, si quieren moverse mejor en el escenario actual, toda vez, que el atacante estará atento a continuar moviéndose en las aguas inciertas de las tensiones geopolíticas, trabajando en conjunto con sus pares en la zona gris y sobremanera, buscando sorprender a todos aquellos, que aún permanecen en la zona cómoda que brindan las buenas prácticas y los estándares.

Referencias

Cano, J. (2021). Los conflictos híbridos y el poder de los algoritmos. Revista SISTEMAS. Asociación Colombiana de Ingenieros de Sistemas – ACIS. 161. 62-72. https://doi.org/10.29236/sistemas.n161a6

Cano, J. (2022). Tensiones entre Rusia y Ucrania. Algunos apuntes desde la perspectiva de las operaciones cibernéticas. Linkedin. https://www.linkedin.com/pulse/tensiones-entre-rusia-y-ucrania-algunos-apuntes-desde-jeimy/

Cano, J. (2022b). Ciberespacio: teatro de operaciones cibernéticas y estrategias no convencionales. Seguridad en América. 131. 46-48. https://www.researchgate.net/publication/358928258_CIBERESPACIO_TEATRO_DE_OPERACIONES_CIBERNETICAS_Y_ESTRATEGIAS_NO_CONVENCIONALES

Egloff, F. & Smeets, M. (2021). Publicly attributing cyber attacks: a framework. Journal of Strategic Studies. DOI: 10.1080/01402390.2021.1895117. https://www.tandfonline.com/doi/full/10.1080/01402390.2021.1895117

Egloff, F. (2020). Public attribution of cyber intrusions. Journal of Cybersecurity. 6(1). https://doi.org/10.1093/cybsec/tyaa012

Lewis, J. (2022). Creating Accountability for Global Cyber Norms. CSIS. https://www.csis.org/analysis/creating-accountability-global-cyber-norms

Pahi, T. & Skopik F. (2019). Cyber attribution 2.0: Capture the false flag. En ECCWS 2019 18th European Conference on Cyber Warfare and Security, 338. Academic Conferences and publishing limited. https://pdfs.semanticscholar.org/5e81/8ea9b2c7c93b04c9f41c9fab113b8035d56d.pdf

Rid, T. & Buchanan, B. (2015). Attributing Cyber Attacks. Journal of Strategic Studies. 38(1-2, 4-37). DOI: 10.1080/01402390.2014.977382

Skopik, F. & Pahi, T. (2020). Under false flag: using technical artifacts for cyber attack attribution. Cybersecurity. 3(8). https://doi.org/10.1186/s42400-020-00048-4

Steffens, T. (2020). Attribution of Advanced Persistent Threats. How to Identify the Actors Behind Cyber-Espionage. Alemania: Springer Verlag.

Wheeler, D. & Larsen, G. (2003). Techniques for Cyber Attack Attribution. Institute for Defense Analyses. IDA Paper P-3792. https://www.researchgate.net/publication/235170094_Techniques_for_Cyber_Attack_Attribution

Yannakogeorgos, P. (2016). Strategies for resolving the cyber attribution challenge. Alabama, USA: Air University Press. https://www.airuniversity.af.edu/Portals/10/AUPress/Papers/cpp_0001_yannakogeorgos_cyber_Attribution_challenge.PDF