Defender a Ucrania: primeras lecciones de la guerra cibernética

Caja negra con números

Por: Brad Smith, presidente.

Nota del editor: hoy, Microsoft publicó un nuevo informe de inteligencia, Defender a Ucrania: Primeras lecciones de la guerra cibernética. Este informe representa una investigación realizada por los equipos de inteligencia de amenazas y ciencia de datos de Microsoft, con el objetivo de mejorar nuestra comprensión del panorama de amenazas en la guerra en curso en Ucrania. El informe también ofrece una serie de lecciones y conclusiones derivadas de los datos recopilados y analizados. En particular, el informe revela nueva información sobre los esfuerzos rusos, incluido un aumento en la penetración de la red y las actividades de espionaje entre gobiernos aliados, organizaciones sin fines de lucro y otras organizaciones fuera de Ucrania. Este informe también revela detalles sobre las operaciones rusas sofisticadas y generalizadas, de influencia extranjera, que se utilizan, entre otras cosas, para socavar la unidad occidental y reforzar sus esfuerzos de guerra. Hemos visto estas operaciones de influencia extranjera promulgadas de manera coordinada junto con toda la gama de campañas ciberdestructivas y de espionaje.
Por último, el informe exige una estrategia coordinada e integral para fortalecer las defensas colectivas, una tarea que requerirá la unión del sector privado, el sector público, las organizaciones sin fines de lucro y la sociedad civil. El prólogo de este nuevo informe, escrito por el presidente y vicepresidente de Microsoft, Brad Smith, ofrece detalles adicionales a continuación.

 


Por lo general, la historia registrada de cada guerra incluye un relato de los primeros disparos y quién los presenció. Cada relato proporciona un vistazo no solo al comienzo de una guerra, sino también a la naturaleza de la era en la que vivía la gente.

Los historiadores que analizan los primeros disparos en la Guerra Civil de Estados Unidos, en 1861, suelen describir armas, cañones y veleros alrededor de un fuerte cerca de Charleston, Carolina del Sur.

Los acontecimientos escalaron hacia el inicio de la Primera Guerra Mundial en 1914, cuando terroristas a plena vista en una calle de la ciudad de Sarajevo, utilizaron granadas y una pistola para asesinar al archiduque del Imperio austrohúngaro.

Tomaría hasta los juicios de guerra de Nuremberg para comprender a plenitud lo que sucedió cerca de la frontera polaca 25 años después. En 1939, las tropas de las SS nazis se vistieron con uniformes polacos y organizaron un ataque contra una estación de radio alemana. Adolf Hitler citó tales ataques para justificar una invasión relámpago que combinó tanques, aviones y tropas para invadir ciudades y civiles polacos.

Cada uno de estos incidentes también proporciona un relato de la tecnología de la época, tecnología que desempeñaría un papel en la guerra que siguió y en la vida de las personas que la vivieron.

La guerra en Ucrania sigue este patrón. El ejército ruso cruzó la frontera con Ucrania el 24 de febrero de 2022 con una combinación de tropas, tanques, aviones y misiles de crucero. Pero, de hecho, los primeros disparos se realizaron horas antes, cuando el calendario todavía marcaba el 23 de febrero. Se trataba de un arma cibernética llamada “Foxblade” que se lanzó contra computadoras en Ucrania. Como un reflejo de la tecnología de nuestro tiempo, aquellos que se encontraron entre los primeros en observar el ataque estaban a medio mundo de distancia, en su trabajo en los Estados Unidos en Redmond, Washington.

Más que nada, esto captura la importancia de dar un paso atrás y hacer un balance de los primeros meses de la guerra en Ucrania, que ha sido devastadora para el país en términos de destrucción y pérdida de vidas, incluidos civiles inocentes.

Si bien nadie puede predecir cuánto durará esta guerra, ya es evidente que refleja una tendencia observada en otros conflictos importantes en los últimos dos siglos. Los países libran guerras apoyados en la más reciente tecnología, y las guerras mismas aceleran el cambio tecnológico. Por lo tanto, es importante evaluar de manera continua el impacto de la guerra en el desarrollo y uso de la tecnología.

La invasión rusa se apoya en parte en una estrategia cibernética que incluye al menos tres esfuerzos distintos y, a veces, coordinados: ataques cibernéticos destructivos dentro de Ucrania, penetración de redes y espionaje fuera de Ucrania, y operaciones de influencia cibernética dirigidas a personas de todo el mundo. Este informe proporciona una actualización y análisis sobre cada una de estas áreas y la coordinación entre ellas. También ofrece ideas sobre cómo contrarrestar mejor estas amenazas en esta guerra y más allá, con nuevas oportunidades para que los gobiernos y el sector privado trabajen mejor en conjunto.

Los aspectos cibernéticos de la guerra actual se extienden mucho más allá de Ucrania y reflejan la naturaleza única del ciberespacio. Cuando los países envían código a la batalla, sus armas se mueven a la velocidad de la luz. Los caminos globales de Internet significan que las actividades cibernéticas borran gran parte de la protección de larga data proporcionada por las fronteras, los muros y los océanos. E Internet en sí, a diferencia de la tierra, el mar y el aire, es una creación humana que se basa en una combinación de propiedad, operación y protección del sector público y privado.

Esto a su vez requiere una nueva forma de defensa colectiva. Esta guerra enfrenta a Rusia, una gran potencia cibernética, no solo contra una alianza de países. La defensa cibernética de Ucrania depende de manera crítica de una coalición de países, empresas y ONG.

El mundo ahora puede comenzar a evaluar las fortalezas y debilidades iniciales y relativas de las operaciones cibernéticas ofensivas y defensivas. ¿Dónde están las defensas colectivas para frustrar con éxito los ataques y dónde se han quedado cortas? ¿Qué tipos de innovaciones tecnológicas tienen lugar? Y, lo que es más importante, ¿qué pasos se necesitan para defenderse de manera eficaz contra los ataques cibernéticos en el futuro? Entre otras cosas, es importante basar estas evaluaciones en datos precisos y no dejarse engañar por una sensación de tranquilidad injustificada, debida a la percepción externa de que la guerra cibernética en Ucrania, no ha sido tan destructiva como algunos temían.

Este informe ofrece cinco conclusiones que surgen de los primeros cuatro meses de la guerra:

Primero, la defensa contra una invasión militar ahora requiere que la mayoría de los países tengan la capacidad de distribuir operaciones digitales y activos de datos a través de las fronteras y hacia otros países. Rusia, como era de esperar, apuntó al centro de datos del gobierno de Ucrania en un ataque temprano con misiles de crucero, y otros servidores “en las instalaciones” fueron por igual vulnerables a los ataques con armas convencionales. Rusia también apuntó sus destructivos ataques de “limpiaparabrisas” en las redes informáticas locales. Pero el gobierno de Ucrania ha sostenido con éxito sus operaciones civiles y militares al actuar con rapidez para distribuir su infraestructura digital en la nube pública, donde se ha alojado en centros de datos en toda Europa.

Esto ha implicado pasos urgentes y extraordinarios de todo el sector tecnológico, incluido Microsoft. Si bien el trabajo del sector tecnológico ha sido vital, también es importante pensar en las lecciones más duraderas derivadas de estos esfuerzos.

En segundo lugar, los avances recientes en la inteligencia de amenazas cibernéticas y la protección de terminales, han ayudado a Ucrania a resistir un alto porcentaje de los destructivos ataques cibernéticos rusos. Debido a que las actividades cibernéticas son invisibles a simple vista, son más difíciles de rastrear para los periodistas e incluso para muchos analistas militares. Microsoft ha visto al ejército ruso lanzar múltiples oleadas de ciberataques destructivos contra 48 agencias y empresas ucranianas distintas. Estos han tratado de penetrar en los dominios de la red al abarcar, en un inicio, cientos de computadoras y luego propagar malware diseñado para destruir el software y los datos en miles de otras.

Las tácticas cibernéticas rusas en la guerra difieren de las implementadas en el ataque NotPetya contra Ucrania en 2017. Ese ataque utilizó malware destructivo “gusano” que podía saltar de un dominio de computadora a otro y, por lo tanto, cruzar fronteras hacia otros países. Rusia ha tenido cuidado en 2022 de confinar el “software de limpieza” destructivo a dominios de red específicos dentro de la propia Ucrania. Pero los ataques destructivos recientes y en curso, en sí mismos, han sido sofisticados y más generalizados de lo que reconocen muchos informes. Y el ejército ruso continúa con la adaptación de estos ataques destructivos a las cambiantes necesidades de la guerra, incluso a través de combinar los ataques cibernéticos con el uso de armas convencionales.

Un aspecto definitorio de estos ataques destructivos, hasta ahora, ha sido la fortaleza y el éxito relativo de las defensas cibernéticas. Si bien no son perfectas y algunos ataques destructivos han tenido éxito, estas defensas cibernéticas han demostrado ser más fuertes que las capacidades cibernéticas ofensivas. Esto refleja dos tendencias importantes y recientes. Primero, los avances en inteligencia de amenazas, incluido el uso de inteligencia artificial, han ayudado a que sea posible detectar estos ataques de manera más efectiva. Y, en segundo lugar, la protección de terminales conectadas a Internet ha hecho posible distribuir con rapidez el código de software de protección, tanto a los servicios en la nube como a otros dispositivos informáticos conectados, para identificar y deshabilitar este malware. Las innovaciones y medidas en curso durante la guerra con el gobierno de Ucrania han fortalecido aún más esta protección. Pero es probable que se necesite vigilancia e innovación continuas para mantener esta ventaja defensiva.

Tercero, como una coalición de países se ha unido para defender a Ucrania, las agencias de inteligencia rusas han intensificado las actividades de penetración y espionaje de la red dirigidas a los gobiernos aliados fuera de Ucrania. En Microsoft, hemos detectado intentos de intrusión de la red rusa en 128 organizaciones ubicadas en 42 países fuera de Ucrania. Si bien Estados Unidos ha sido el objetivo número uno de Rusia, esta actividad también ha dado prioridad a Polonia, donde se coordina gran parte de la entrega logística de asistencia militar y humanitaria. Las actividades rusas también se han dirigido a los países bálticos, y durante los últimos dos meses ha habido un aumento en actividades similares dirigidas a redes informáticas en Dinamarca, Noruega, Finlandia, Suecia y Turquía. También hemos visto un aumento en actividades similares dirigidas a los ministerios de relaciones exteriores de otros países de la OTAN.

Los ataques rusos han dado prioridad a los gobiernos, en especial entre miembros de la OTAN. Pero la lista de objetivos también ha incluido grupos de expertos, organizaciones humanitarias, empresas de TI y proveedores de energía y otras infraestructuras críticas. Desde el comienzo de la guerra, los objetivos rusos que hemos identificado han tenido éxito el 29 por ciento de las veces. Una cuarta parte de estas intrusiones exitosas ha llevado a la filtración confirmada de los datos de una organización, aunque como se explica en el informe, es probable que esto subestime el grado de éxito de Rusia.

Nuestra principal preocupación se mantiene con las computadoras gubernamentales que se ejecutan “en las instalaciones” en lugar de en la nube. Esto refleja el estado actual y global del espionaje cibernético ofensivo y la protección cibernética defensiva. Como demostró el incidente de SolarWinds hace 18 meses, las agencias de inteligencia de Rusia tienen capacidades en extremo sofisticadas para implantar código y operar como una Amenaza Persistente Avanzada (APT) que puede obtener y filtrar información confidencial de una red de manera continua. Ha habido avances sustanciales en la protección defensiva desde entonces, pero la implementación de estos avances aún es más desigual en los gobiernos europeos que en los Estados Unidos. Como resultado, persisten importantes debilidades defensivas colectivas.

En cuarto lugar, en coordinación con estas otras actividades cibernéticas, las agencias rusas realizan operaciones globales de influencia cibernética para apoyar sus esfuerzos de guerra. Estas combinan tácticas desarrolladas por la KGB durante varias décadas, con nuevas tecnologías digitales e Internet para brindar a las operaciones de influencia extranjera un alcance geográfico más amplio, un mayor volumen, una orientación más precisa y una mayor velocidad y agilidad. Por desgracia, con suficiente planificación y sofisticación, estas operaciones de influencia cibernética están bien posicionadas para aprovechar la apertura de larga data de las sociedades democráticas y la polarización pública, que es característica de los tiempos actuales.

A medida que progresa la guerra en Ucrania, las agencias rusas enfocan sus operaciones de influencia cibernética en cuatro audiencias distintas. Apuntan a la población rusa con el objetivo de mantener el apoyo al esfuerzo bélico. Apuntan a la población ucraniana con el objetivo de socavar la confianza en la voluntad y la capacidad del país para resistir los ataques rusos. Apuntan a las poblaciones estadounidenses y europeas con el objetivo de socavar la unidad occidental y desviar las críticas a los crímenes de guerra militares rusos. Y han comenzado a apuntar a poblaciones en países no alineados, de manera potencial, y en parte, para mantener su apoyo en las Naciones Unidas y en otros lugares.

Las operaciones rusas de influencia cibernética se basan en, y están conectadas a, tácticas desarrolladas para otras actividades cibernéticas. Al igual que los equipos APT que trabajan dentro de los servicios de inteligencia rusos, los equipos de manipuladores persistentes avanzados (APM, por sus siglas en inglés) asociados con las agencias gubernamentales rusas, actúan a través de las redes sociales y las plataformas digitales. Posicionan de manera previa narrativas falsas de manera similar al posicionamiento previo de malware y otros códigos de software. Luego, lanzan “informes” simultáneos y de base amplia de estas narrativas desde sitios web influenciados por el gobierno y amplifican sus narrativas a través de herramientas tecnológicas diseñadas para explotar los servicios de redes sociales. Los ejemplos recientes incluyen narrativas sobre biolaboratorios en Ucrania y múltiples esfuerzos para ofuscar ataques militares contra objetivos civiles ucranianos.

Como parte de una nueva iniciativa en Microsoft, utilizamos IA, nuevas herramientas de análisis, conjuntos de datos más amplios y un personal cada vez mayor de expertos para rastrear y pronosticar esta amenaza cibernética. A través de estas nuevas capacidades, estimamos que las operaciones de influencia cibernética rusa aumentaron con éxito la difusión de la propaganda rusa, después de que comenzara la guerra, en un 216 por ciento en Ucrania y un 82 por ciento en los Estados Unidos.

Estas operaciones rusas en curso se basan en esfuerzos sofisticados recientes para difundir narrativas falsas de COVID en múltiples países occidentales. Estos incluyeron operaciones de influencia cibernética patrocinadas por el estado en 2021, que buscaban desalentar la adopción de vacunas a través de informes de Internet en inglés y, al mismo tiempo, alentar el uso de vacunas a través de sitios en ruso. Durante los últimos seis meses, operaciones similares de influencia cibernética rusa buscaron ayudar a inflamar la oposición pública a las políticas COVID-19 en Nueva Zelanda y Canadá.

Vamos a continuar con la ampliación del trabajo de Microsoft en este campo en las próximas semanas y meses. Esto incluye tanto el crecimiento interno como el acuerdo que anunciamos hace unos días para adquirir Miburo Solutions, una empresa líder en investigación y análisis de amenazas cibernéticas que se especializa en la detección y respuesta a operaciones de influencia cibernética extranjera.

Nos preocupa que muchas operaciones actuales de influencia cibernética rusa pasen meses sin detección, análisis o informes públicos adecuados. Esto afecta cada vez más a una amplia gama de instituciones importantes tanto en el sector público como en el privado. Y cuanto más dure la guerra en Ucrania, más importantes serán estas operaciones para la propia Ucrania. Esto se debe a que una guerra más larga requerirá mantener el apoyo público frente al inevitable desafío de una mayor fatiga. Esto debería agregar urgencia a la importancia de fortalecer las defensas occidentales contra este tipo de ataques de influencia cibernética extranjera.

Por último, las lecciones desde Ucrania exigen una estrategia coordinada e integral para fortalecer las defensas contra toda la gama de operaciones de ciberdestrucción, espionaje e influencia. Como ilustra la guerra en Ucrania, si bien existen diferencias entre estas amenazas, el gobierno ruso no las persigue como esfuerzos aislados y no debemos colocarlos en silos analíticos separados. Además, las estrategias defensivas deben considerar la coordinación de estas operaciones cibernéticas con operaciones militares cinéticas, como se vio en Ucrania.

Se necesitan nuevos avances para frustrar estas amenazas cibernéticas, y dependerán de cuatro principios comunes y, al menos en un alto nivel, de una estrategia común. El primer principio defensivo debe reconocer que las amenazas cibernéticas rusas son promovidas por un conjunto común de actores dentro y fuera del gobierno ruso y se basan en tácticas digitales similares. Como resultado, se necesitarán avances en tecnología digital, inteligencia artificial y datos para contrarrestarlos. Como reflejo de esto, un segundo principio debería reconocer que, a diferencia de las amenazas tradicionales del pasado, las respuestas cibernéticas deben basarse en una mayor colaboración pública y privada. Un tercer principio debería abarcar la necesidad de una colaboración multilateral estrecha y común entre los gobiernos para proteger sociedades abiertas y democráticas. Y un cuarto y último principio defensivo debe defender la libertad de expresión y evitar la censura en las sociedades democráticas, incluso cuando se necesitan nuevos pasos para abordar la gama completa de amenazas cibernéticas que incluyen operaciones de influencia cibernética.

Una respuesta eficaz debe basarse en estos principios con cuatro pilares estratégicos. Estos deberían aumentar las capacidades colectivas para (1) detectar, (2) defenderse, (3) interrumpir y (4) disuadir amenazas cibernéticas extranjeras de mejor manera. Este enfoque ya se refleja en muchos esfuerzos colectivos para abordar los ataques cibernéticos destructivos y el espionaje cibernético. También se aplican al trabajo crítico y continuo necesario para abordar los ataques de ransomware. Ahora necesitamos un enfoque similar e integral con nuevas capacidades y defensas para combatir las operaciones de influencia cibernética rusa.

Como se discute en este informe, la guerra en Ucrania brinda no solo lecciones, sino también un llamado a la acción para tomar medidas efectivas que serán vitales para la protección del futuro de la democracia. Como empresa, estamos comprometidos a respaldar estos esfuerzos, incluso a través de inversiones nuevas y en curso en tecnología, datos y asociaciones que apoyarán a gobiernos, empresas, ONG y universidades.

Tags: , , , ,

Publicaciones Relacionadas