NUEVA YORK — Es fácil decir que los rusos están hackeando a la Casa Blanca y a las principales empresas estadounidenses. Es más difícil demostrarlo.
Cuando las empresas de seguridad cibernética y los funcionarios de Estados Unidos atribuyen los ataques al Gobierno de Rusia -o a hackers independientes que operan con la aprobación del Kremlin- la evidencia típica que utilizan es bastante circunstancial: un virus informático fue escrito en ruso, fue creado durante horas laborales de Moscú contra objetivos antirrusos.
Pero el mundo digital no es como el físico. La evidencia física rara vez existe.
Los hackers permanecen anónimos enmascarando su ubicación, rebotando sus señales de computadora alrededor del mundo. Los hackers que hablan un idioma pueden escribir código malicioso en otro. Y habitualmente trabajan en horas irregulares de todos modos.
“Son solamente indicadores. Nunca se sabe a ciencia cierta”, dijo Rick Howard, director de seguridad de la firma de seguridad cibernética Palo Alto Networks. “No habrá una prueba irrefutable".
Sin embargo, Rusia fue culpado recientemente de hackear a JPMorgan, de atacar empresas de petróleo y gas, y de colocar una “bomba digital” en el Nasdaq.
C. Thomas, un hacker de toda la vida conocido como 'Rogue Space' quien ha testificado ante el Congreso sobre la seguridad informática, advierte en contra de llegar a conclusiones inquebrantables.
“La atribución es casi imposible de hacer”, dijo. “Cualquier cosa puede ser falsificada. Las personas que hacen estas cosas para ganarse la vida -y cuyas vidas dependen de ello- falsificarán esas cosas”.
Por ejemplo, ciberespías estadounidenses, británicos, franceses, israelíes y rusos han sido conocidos por dejar señuelos que hacen que los ataques parezcan provenir de otro lugar, de acuerdo con varios expertos en seguridad cibernética con experiencia militar relacionada. Solamente los hackers chinos tienen la reputación de ser obvios de manera descuidada. El director del FBI James Comey recientemente comparó a los hackers chinos con un “ladrón borracho”.
Incluso la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) tiene dificultades para identificar a los atacantes. Por ejemplo, el presidente Barack Obama no obtuvo respuestas por parte de los principales asesores de inteligencia cuando preguntó quién hackeó a JPMorgan, de acuerdo con The New York Times.
Entonces, ¿cómo saber quién realiza los ataques cibernéticos? Se requiere de forenses muy cuidadosos.
Identificar a los arquitectos
Los ataques cibernéticos utilizan el software como un arma. Es construido pieza por pieza, como una bomba. Y al igual que la escena del crimen, los analistas de seguridad separan fragmentos para desenmascarar a los fabricantes.
El truco promedio se basa en gran medida en herramientas “off-the-shelf” que están comúnmente disponibles en los rincones más oscuros de Internet, según los analistas. Pero introducirte en una red informática en particular requiere de algunas herramientas personalizadas. Los grupos de hackers tienden a tener un estilo particular al crear sumalware, el cual los identifica.
Considerar el momento del ataque
Poco después de que Estados Unidos impuso sanciones a Rusia por su agresión en Ucrania, los bancos estadounidenses y europeos fueron golpeados por una ola sin precedentes de ataques cibernéticos.
La firma de ciberseguridad Trend Micro, que supervisa una red de detección inteligente de casi 110 millones de dispositivos, vio su red encenderse como pólvora el 24 de julio.
“Hubo una oleada de cientos de miles de ataques que sólo estuvieron dirigidos contra instituciones financieras”, dijo Tom Kellerman, jefe de ciberseguridad de Trend Micro. “Y no sólo por uno o dos equipos de hackers, sino por docenas de ellos”.
Analizar las víctimas
Los amigos no atacan a los amigos.
Por ejemplo, Kellerman dijo: “Los hackers chinos no hackean a los bancos. Los chinos poseen el sector financiero. No hackeas bancos de tu propiedad. No tiene sentido geopolítico...”.
En otro caso, que involucró al grupo de hackers 'SandWorm Team', identificado por la firma de inteligencia iSight Partners, los objetivos incluyeron al Gobierno de Ucrania y a un académico estadounidense que realizaba consultorías sobre el conflicto de Ucrania. El denominador común: todos eran considerados hostiles a Rusia.
El cebo utilizado para hackearlos importa demasiado. Los empleados del Gobierno de Ucrania fueron atraídos para descargar un PowerPoint que afirmaba ser una lista de separatistas prorrusos.
Seguir tu instinto
Sin embargo, al final, culpar a Rusia por un ataque cibernético es hacer una apuesta: Nadie iría tan lejos como para crear un señuelo tan convincente. La explicación más simple es la más probable, dijo Dave Aitel del proveedor desoftware de seguridad Immunity.
Por lo tanto, siempre es una suposición -una muy buena conjetura- pero sigue siendo una conjetura.
Source: CNN