china hackers

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

*******

Supongo que los que estáis por aquí ya sabéis de qué hablo, pero por si acaso, un breve resumen.

Un ataque de falsa bandera es una tipología de ataque digital en el que el atacante se hace pasar por un tercero para que la víctima, cuando se percate del ataque, eche la culpa a ese tercero.

Es por tanto la típica estrategia que se utiliza en esa llamada guerra fría tecnológica que estamos experimentando desde hace unos años entre las diferentes potencias internacionales. Que si EEUU, que si Rusia, que si China, que si…

La cosa ya no es solo espiar «al enemigo», robarle información estratégica, o desestabilizar su avance, sino además hacerle pensar que el ataque viene de otra nación, para generar en el mejor de los casos mayor desestabilización, y en el peor, ocultar nuestras fechorías, y obtener así una suerte de cobertura diplomática para los atacantes.

Pues bien, esto, como decía, está a la orden del día, y recientemente leía la historia (EN) del supuesto ataque de Irán a Israel que, como veremos, venía realmente de otro país un poco más al este.

Cuando en 2019 y 2020 un grupo de cibercriminales irrumpieron en los ordenadores del Gobierno de Israel y de sus empresas tecnológicas, los investigadores buscaron pistas para descubrir quién era el responsable. Vamos, lo típico en campañas de espionaje.

Y todo parecía apuntar directamente a Irán, el rival geopolítico más polémico de Israel. Los cibercriminales habían usado herramientas típicamente asociadas con los iraníes, usaban habitualmente menciones al país en el código, y, por ejemplo, escribían en farsi.

Más claro, agua.

Hasta aquí todo bien. La cuestión es que una investigación más a fondo por parte de FireEye fue la que hizo saltar todas las alarmas: Había algunas cosas que no cuadraban, y que, de hecho, apuntaban no a un comando iraní, sino más bien otro ya conocido chino (UNC215).

A saber:

  • Utilizaron archivos, infraestructura y tácticas similares en varias operaciones en el Medio Oriente.
  • Además de varios puntos técnicos reveladores, otra pista importante es el tipo de información o víctimas a las que atacaron los criminales. UNC215 ataca repetidamente el mismo tipo de objetivos en el Medio Oriente y Asia, todos directamente relacionados con intereses políticos y económicos de China. Los objetivos de este grupo se superponen con los de otros grupos de hackeo chinos, que no siempre coinciden con los intereses de los conocidos comandos digitales iraníes.
  • El ataque además coincide temporalmente con algunos movimientos económicos de china en la industria tecnológica israelí. La llamada Iniciativa Belt and Road (EN) de Beijing, que tiene como objetivo expandir la influencia china en esta zona del mundo.

Y es aquí donde quería llegar, porque de todo el informe me quedo con esa frase que decía Hultquist.

«Se puede crear un buen engaño, pero en última instancia, se ataca a lo que interesa. Eso proporcionará información sobre quién es el atacante debido a sus intereses»

Volviendo al tema de la cobertura diplomática que antes comentaba, lo cierto es que sembrar la duda sobre la atribución le viene genial al gobierno chino (o a cualquier otro, ojo) ya que pueden argumentar lícitamente que es difícil rastrear a los cibercriminales, y que por tanto no hay pruebas concluyentes para que el problema, o la culpa, sea suya.

Cuando se les contactó para hacer comentarios, el portavoz de la Embajada de China en Washington respondió que el país «se oponía firmemente y combatía todas las formas de ciberataques«.

Y ala, a otra cosa, mariposa.

Afortunadamente, ocultar las fechorías con ataques de falsa bandera es cada vez más complicado. Y lo es porque, como bien señala Hultquist, los ataques no vienen solos:

«Lo que pasa con estos intentos de engaño es que si se observa el incidente a través de una abertura estrecha, pueden parecer muy efectivos

Pero, incluso si un ataque individual se atribuye incorrectamente, después de muchos ataques se vuelve cada vez más difícil mantener la farsa. Ese es el caso de los comandos chinos que atacaban a Israel durante 2019 y 2020″

He aquí el quid de la cuestión.

Al empezar a relacionarlo con otros incidentes, el engaño pierde su efectividad. Resulta muy difícil mantener el engaño en múltiples operaciones.

Así que por ahí tienes la principal debilidad de este tipo de ataques de falsa bandera. Con suficiente acceso a información (histórico de ataques pasados), ese ofuscamiento de datos acaba por volverse más sencillo de identificar.

Y puesto que estas campañas están diseñadas precisamente como una medida de «defensa» continua, conforme más ataques se producen, más fácil es darse cuenta de que estamos ante un fraude, y de que el atacante no es el que parece.

________

Este es un ejemplo de los artículos que semanalmente escribo de forma exclusiva para los mecenas de la Comunidad.

Si quieres recibir contenido exclusivo como éste directamente en tu bandeja de correo, revisa las opciones de mecenazgo de esta página.

Articulo exclusivo PabloYglesias