Ataques sofisticados llevados a cabo por grupos movilizados por razones ideológicas, económicas o geopolíticas, pero en terreno digital, forman parte de la llamada «ciberguerra», un término que irrumpió en la escena mediática en los últimos años, pero en realidad «la guerra es la guerra» y «lo que sucede es que hoy pasa por Internet», consideró un analista en la cumbre hacker Ekoparty, que se realizó en Buenos Aires.
«Desde mi punto de vista, no existe la ciberguerra. La guerra es la guerra y siempre implicó tener más poder, más peso político y en algún momento más territorio. Lo que sucede es que hoy pasa por Internet», consideró Luciano Martins, analista de inteligencia, en diálogo con Télam.
Espionaje, robo de código fuente, violación a la propiedad intelectual, filtración de cuentas y extorsión a servicios de inteligencia fueron algunos de los incidentes que se reportaron en la primera mitad del año, y que Martins junto a su colega Ruth Esmeralda Barbacil abordaron en una charla denominada «Rusos, chinos y todos los que se vengan».
La charla tuvo lugar en la conferencia de seguridad informática Ekoparty, la cumbre hacker más importante de América Latina que entre miércoles y viernes reunió en la Ciudad de Buenos Aires a cerca de 2.500 personas con los más destacados investigadores del mundo.
Los analistas se encargaron de desmitificar algunas creencias populares sobre estos temas y precisaron de qué manera operan los grupos de actores en un ataque sofisticado.
«Nos enfocamos en la parte geopolítica o motivacional de un ataque, además del enfoque técnico que es de alguna manera por donde se terminan deschavando muchas veces» a través de un error, indicó Barbacil en diálogo con Télam.
La principal arma de estos atacantes son las denominadas amenazas persistentes avanzadas (conocidas como APT por el inglés Advanced Persistent Threats), que algunos la definen como un ataque, otros como un grupo de gente, mientras que están lo que dicen que es un pedazo de software malicioso (malware).
En realidad, un APT es un conjunto de esos tres componentes, resumió la analista, y agregó que lo que diferencia este tipo de campaña de la acción de un mero grupo de atacantes es que la primera tiene una motivación real (que puede ser desde geopolítica hasta económica).
Para ponerlo en palabras simples, los analistas compararon la escena con la siguiente situación: si uno tiene un negocio como por ejemplo una panchería y quiere derribar a su competencia para obtener más ganancias, acá ya tenemos la motivación: la económica.
Lo que sigue es identificar al adversario, es decir, quiénes son los que le venden la carne, si cuentan con los permisos de habilitación, si pagan los impuestos y hasta a veces rastrear si paga coimas a algún actor, lo cual se puede comparar con una «vulnerabilidad».
«De lo que se trata entonces es de intentar detectar los puntos cruciales en una organización para poder debilitarla de alguna manera», indicó Barbacil.
Es un clásico trabajo de inteligencia que hoy se traslada al terreno digital, o con herramientas informáticas, explicaron los analistas.
Al mismo tiempo, señalaron que muchas veces un error en el plano digital es lo que termina revelando la campaña, que tal vez se venía desarrollando hace varios años con la más perfecta discreción.
Entonces, «no cualquiera se puede definir como un APT», afirmó Barbacil, es decir, no se trata de un grupo de atacantes que desarrollan un malware para distribuirlo en computadoras.
Un APT tiene una motivación real y requiere recursos no solo humanos y técnicos, sino también económicos, cuya suma depende de los fines.
La mayoría de este tipo de campañas hoy tienen lugar en el terreno digital, pero calificarlo de novedoso o llamarlo «ciberguerra» puede resultar engañoso porque en suma es un trabajo de inteligencia.
«La guerra es la guerra en cualquier lugar donde opere: en la tierra, en el agua, en Internet. El tema es identificar al adversario», sostuvo Martins.
«Eso es lo que intentamos explicar hoy, que la ciberguerra no es algo nuevo. Simplemente es un nuevo dominio donde se puede operar», agregó.
En el plano técnico, los analistas mostraron en su exposición una herramienta de código abierto que desarrollaron y denominaron Neokanji.
«La herramienta relaciona muestras de malware con las familias de las que vienen. La idea es poder identificar esas relaciones, ver puntos en común o de diferencia», contó Barbacil, y definió que «es una forma de hacer un poco más visual la comprensión de cómo operan estos grupos a nivel técnico».