Las acusaciones del presidente de Estados Unidos, Barack Obama, de que Rusia fue el origen de los hackeos en las elecciones presidenciales de su país y la filtración de correos electrónicos con información privilegiada en WikiLeaks y otros medios han desatado un debate sobre lo que constituye evidencia suficiente para atribuir un ataque en el ciberespacio.
La respuesta es complicada y está inherentemente inmersa en consideraciones políticas.
El gobierno estadounidense está sopesando las consideraciones políticas y la confidencialidad inherente al espionaje electrónico y la necesidad de justificar sus actos ante la opinión pública. Estos asuntos seguirán acosándonos, ya que cada vez hay más conflictos internacionales en juego en el ciberespacio.
Es cierto que es fácil que un atacante oculte su identidad en el ciberespacio. No podemos identificar definitivamente las piezas particulares de hardware y software en todo el mundo. No podemos verificar la identidad de quien está ante un teclado tan solo a través de los datos computacionales. Los paquetes de datos de internet no vienen con remitente y es fácil que los atacantes disfracen su origen.
Desde hace décadas, los hackers han usado administradores seguros, redes privadas virtuales (VPN, por sus siglas en inglés), redes anónimas Tor y repetidores abiertos para enturbiar su origen y funcionan, en muchos casos. Estoy seguro de que muchas agencias investigadoras de Estados Unidos canalizan sus ataques a través de China simplemente porque todo el mundo sabe que muchos de los ataques provienen de China.
Por otro lado, hay técnicas que pueden servir para identificar a los atacantes con diversos grados de precisión. Rara vez es una sola cosa y seguramente escucharás con frecuencia el término «constelación de pruebas» para describir la forma de identificar a un atacante en particular.
Es parecido al trabajo detectivesco tradicional. Los investigadores recaban pistas y las relacionan con modos de operar conocidos. Buscan elementos que se parezcan a los de otros ataques y elementos anómalos. Las pistas suelen ser unos y ceros, pero las técnicas ya las conocía Sir Arthur Conan Doyle.
El Citizen Lab, una organización con sede en la Universidad de Toronto, atribuye rutinariamente los ataques contra las computadoras de activistas y disidentes a ciertos gobiernos del tercer mundo. Pasaron varios meses para que se identificara que China fue el origen de los ataques de 2012 contra el diario estadounidense The New York Times.
Aunque no sorprendió que se dijera que Rusia había sido el origen de un ataque cibernético contra el gobierno de Estonia en 2007, nadie sabía si esos ataques contaban con la autorización del gobierno ruso… hasta que los atacantes lo explicaron todo.
Además, la empresa de seguridad en internet, CrowdStrike (que fue la primera en atribuir a las agencias de inteligencia rusas los ataques contra el Comité Nacional Demócrata (DNC, por sus siglas en inglés) de Estados Unidos ocurridos en junio de 2016), se basó en varias pruebas recabadas en su investigación.
Es más fácil atribuir un ataque si estás vigilando grandes porciones de la red. Esto le da a la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) una ventaja singular para hacerlo. El problema, desde luego, es que la NSA no quiere publicar lo que sabe.
Sin importar qué es lo que el gobierno sabe y cómo lo sabe, la decisión de dar a conocer las pruebas que señalan a un culpable es otro asunto. Cuanto atacaron a Sony, muchos expertos en seguridad (entre ellos yo) dudábamos de las afirmaciones del gobierno y de las pruebas inconsistentes en las que se basaban. Terminé de convencerme cuando el New York Timespublicó un artículo sobre las afirmaciones del gobierno, en el que hablaban de las pruebas secretas de la NSA y de agentes de inteligencia en Corea del Norte.
Por otro lado, cuando penetraron las computadoras de la Oficina de Administración de Personal del gobierno estadounidense, este decidió no acusar públicamente a China, ya sea porque no querían que la situación política se agravara o porque no querían revelar pruebas secretas.
El gobierno de Obama ha publicado más pruebas sobre el caso del DNC, pero no las ha publicado todas.
Una cosa es que el gobierno sepa quién lo atacó, pero es otra muy diferente convencer a la opinión pública de ello. Como para atribuir un ataque se necesitan pruebas secretas (como ocurrió con el ataque de Corea del Norte contra Sony en 2014 y casi seguramente con Rusia en las pasadas elecciones presidenciales de Estados Unidos), el gobierno tendrá que decidir entre publicar pruebas secretas y revelar fuentes y métodos o mantenerlo en secreto y suscitar dudas perfectamente razonables.
Si el gobierno va a tomar medidas públicas contra un ataque cibernético, tiene que publicar sus pruebas. Pero si publica pruebas secretas podría costarles la vida a muchas personas y la garantía de confidencialidad de las fuentes humanas perdería toda credibilidad. El problema no va a desaparecer: la confidencialidad ayuda a la comunidad de recopilación de inteligencia, pero afecta a nuestra democracia.
La constelación de pruebas en la que se basan las acusaciones relativas a los ataques contra el DNC y la consiguiente publicación de información son bastante abundantes. Es probable que haya habido más de un ataque. Es posible que alguien que no tiene relación alguna con Rusia haya filtrado la información a WikiLeaks, aunque no tenemos ni idea de en dónde obtuvo dicha información.
Sabemos que las entidades rusas que hackearon al DNC (tanto el Servicio Federal de Seguridad, la principal dependencia de seguridad de Rusia, como el GRU, el Departamento Central de Inteligencia de ese país) también han atacado otras redes políticas en el mundo. Al final, la atribución se reduce a decidir a quién creerle.
Cuando Citizen Lab crea un informe en el que detalla la forma en la que un defensor de los derechos humanos de los Emiratos Árabes Unidos fue blanco de un ciberataque, no nos cuesta nada creer que fue el gobierno de los Emiratos Árabes. Cuando Google dice que China es la fuente de los ataques contra los usuarios de Gmail, le creemos fácilmente.
Obama decidió no hacer pública la acusación antes de las elecciones para que no pareciera que estaba influyendo en los comicios. Ahora surgen las implicaciones políticas de haber aceptado que Rusia hackeó al DNC en un intento de influir en las elecciones presidenciales de Estados Unidos. Pero no hay cantidad de pruebas que puedan convencer de lo increíble.
Lo más importante que podemos hacer ahora es disuadir a cualquier país de intentar algo parecido más adelante, pero es más difícil hacerlo dada la naturaleza política del asunto. En este momento, le hemos dicho al mundo que hay quienes pueden salirse con la suya tras manipular nuestro proceso electoral, siempre y cuando mantengan sus esfuerzos en secreto hasta que alguien gane.
Obama prometió que habría represalias secretas y públicas. Tenemos que esperar que eso sea suficiente.
EXPANSIÓN