Rusia está centrando sus ciberataques contra Ucrania, en lugar de intensificar sus ataques contra Occidente en respuesta a las decisiones de Estados Unidos y el Reino Unido de permitir que Ucrania utilice misiles de largo alcance en territorio ruso.
En una entrevista con Computer Weekly, Paul Chichester, director de operaciones del Centro Nacional de Seguridad Cibernética (NCSC), parte de la Sede de Comunicaciones del Gobierno (GCHQ), dijo que Rusia no había utilizado ataques cibernéticos para responder tácticamente contra el creciente apoyo militar a Ucrania.
Las operaciones cibernéticas rusas han sido de alto nivel desde el inicio del conflicto de Ucrania, pero el objetivo principal de Rusia sigue siendo apoyar las operaciones militares en el campo de batalla de Ucrania, dijo.
El ex director ejecutivo y fundador del NCSC, Ciaran Martin, ahora director del organismo de capacitación y habilidades de seguridad del Instituto SANS, dijo que las predicciones iniciales de que la guerra de Ucrania conduciría a una campaña cibernética concertada contra Occidente no se habían materializado.
“Al entrar en la guerra, hubo dos grandes predicciones”, dijo a Computer Weekly. “Una era que Rusia utilizaría fuertes efectos cibernéticos contra Ucrania. Lo han intentado, pero el impacto puede ser debatido.
“Pero la otra suposición era que intentarían ataques cibernéticos mucho más agresivos, si se quiere, contra los aliados occidentales de Ucrania”, añadió Martin.
“Pero ningún estudioso serio de la seguridad cibernética cree haberlo hecho. [that]. Es evidentemente falso”.
Tifón de sal
El NCSC dijo que está atento a los ataques de la operación de piratería china Salt Typhoon, que ha afectado a las redes de telecomunicaciones estadounidenses, incluidas AT&T, Verizon y Lumen Technologies, poniendo en riesgo la información personal de millones de personas.
El ataque, que supuestamente ha estado en marcha durante al menos dos años, ha dado a los piratas informáticos chinos acceso a mensajes y llamadas de voz no cifrados, y les ha permitido atacar la información personal de altas figuras políticas de Estados Unidos.
Chichester dijo que los servicios de inteligencia británicos estaban tratando de evaluar el impacto de la amenaza en el Reino Unido.
“Todavía estamos aprendiendo cuál es esa amenaza”, dijo. “Parece estar muy centrado en Estados Unidos en este momento, pero eso no significa que seamos complacientes. Continuaremos analizando los ángulos del Reino Unido al respecto y respondiendo a ellos cuando ocurran”.
La introducción en el Reino Unido de la Ley de Infraestructura de Telecomunicaciones y Seguridad de Productos de 2012, que entró en vigor este año, impuso obligaciones legales a los fabricantes de dispositivos electrónicos y domésticos para proteger a los consumidores y las empresas de los ataques cibernéticos.
Chichester dijo que la ley, junto con las regulaciones de seguridad de las telecomunicaciones que se implementarán gradualmente durante los próximos años, tienen como objetivo diseñar vulnerabilidades que podrían ser explotadas por ataques como Salt Typhoon.
“Creo que el Reino Unido ha estado considerando este tipo de vulnerabilidades durante bastante tiempo y ha presentado leyes y regulaciones con [telecoms regulator] Ofcom y otros intentarán absolutamente aumentar la resiliencia contra ese tipo de ataques”, dijo. “Todos sabemos que los defensores cometen errores y eso es todo lo que a veces necesita un atacante. Pero, realmente, muchas de las cosas que se exigen a los operadores en el Reino Unido son cosas que sé que Estados Unidos está analizando y otros países también”.
Martin dijo que las empresas de telecomunicaciones del Reino Unido y el NCSC estaban conscientes de las debilidades y vulnerabilidades en la red de telecomunicaciones, y que era una cuestión de qué tan rápido se pueden rectificar antes de que puedan ser explotadas por actores de amenazas.
“Creo que hay ciertas ventajas que permiten al Reino Unido intentar gestionar operaciones al estilo del tifón de sal que no están disponibles para los países aliados”, dijo.
Chichester dijo que gran parte de las “artesanías” utilizadas por los atacantes de seguridad cibernética en Salt Typhoon y otros ataques habían sido anticipadas por el gobierno y la industria con anticipación.
Aunque no es posible conocer todos los planes de ataque, estrategias simples, como que las empresas de telecomunicaciones separen la infraestructura operativa y de gestión, reducirán los riesgos.
“El simple hecho de establecer ciertos requisitos y seguridad en torno a la administración de esas redes elimina muchos vectores”, dijo. “Puede que no sepas cómo lo va a hacer el adversario, pero si lo diseñas de cierta manera, eso es lo que te da resiliencia”.
El gobierno del Reino Unido está trabajando con empresas de telecomunicaciones en colaboración para desarrollar regulaciones y tecnologías de seguridad para bloquear una variedad de ataques potenciales, dijo Chichester.
Esto ha llevado a un “ida y vuelta” entre el NCSC y las empresas de telecomunicaciones, para ver qué podría funcionar y qué medidas de seguridad son posibles.
Atribución de ataques
Un debate de larga data es si los gobiernos tienen razón al atribuir los ataques de piratería informática al Estado nacional responsable. El ex director ejecutivo del NCSC, Martin, dijo que cuando se conocía la identidad de un hacker de un estado-nación, debía revelarse a menos que hubiera buenas razones para no hacerlo.
Chichester dijo que identificar públicamente a un atacante puede hacer que sea más fácil transmitir el mensaje a las empresas de que deben tomar medidas.
“Al final del día, si quieres comunicarte con la gente, tenemos que hacerlo sobre la gente, ya sea el adversario o la víctima”, dijo. “Tienes que contar una historia. Creo [naming an attacker] es una herramienta de comunicación realmente poderosa que nos gustaría utilizar donde podamos. Y por eso creo que ayuda a los defensores.
“Te ayuda a pensar y visualizar, porque, ya sabes, como organización, ¿me importa Rusia, China o Irán?” añadió Chichester.
El director de seguridad cibernética dijo que el NCSC y el gobierno del Reino Unido atribuyeron públicamente los ataques cibernéticos a una variedad de razones, incluida la creación de coaliciones y el aumento del costo político de los ataques cibernéticos.
“No creo que nadie realmente piense que las atribuciones, las acusaciones públicas o las sanciones impedirán que un Estado haga esto, pero no se trata de eso”, afirmó.
Pero cuando una atribución va acompañada de una acusación judicial que nombra a personas responsables de una operación de piratería informática, eso puede ser una herramienta poderosa, dijo Martin. “Eso sí te da credibilidad”, añadió. “Realmente lo hace.”