En el artículo anterior de esta serie, hablamos de la inteligencia artificial en el futuro de la ciberseguridad. En el artículo de hoy hablaremos de los peligros de contraatacar en «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back: ¿Hacerlo o no hacerlo?».
La serie completa consta de 15 artículos:
Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.
A la hora de debatir la ética de responder a un ciberataque con un ataque de represalia, los factores clave que deben ponderarse antes de tomar una decisión son la proporcionalidad y el potencial de daño civil.
«Internet es similar al sol: nadie lo posee y todo el mundo lo utiliza. Del mismo modo que se tardó en establecer algunas leyes espaciales, el mundo tardará en ponerse de acuerdo sobre los marcos legales y éticos de Internet».
Aunque muchos estarían de acuerdo en que las organizaciones tienen derecho a proteger sus redes, las opciones éticamente aceptables no están claras. Y cuando las medidas pasivas de defensa no bastan, las entidades deben plantearse si conviene contraatacar, también conocido como Hacking Back.
Permitir que las empresas «contraataquen» a los hackers es una idea terrible
La misión de atacar a los hackers debería dejarse en manos de las autoridades gubernamentales, mejor equipadas para llevarla a cabo. Permitir que las empresas «contraataquen», como se conoce en los círculos de ciberseguridad, es una propuesta errónea e incluso peligrosa.
«Contraatacar es una mala idea. Muchas cosas pueden salir mal».
Para una empresa, incluso decidir a quién contraatacar está plagado de riesgos, dadas las dificultades para atribuir los ataques a individuos, bandas o naciones-estado. Introducir al sector privado en el terreno de la ciberguerra también tiene implicaciones para la seguridad nacional. Puede resultar en la interrupción de operaciones de inteligencia que las empresas podrían desconocer.
Sólo el gobierno central está autorizado a emprender acciones ofensivas de ciberseguridad a través de las fuerzas de seguridad.
En algunos países, los Departamentos de Justicia trabajaron con socios internacionales para desbaratar redes de ordenadores utilizadas para lanzar una prolífica serie de ataques con un malware conocido como Emotet.
Estudiar si las empresas podrían replicar tales operaciones no es en sí una mala idea. Pero las empresas podrían entrar en conflictos geopolíticos si lo hacen.
La información incompleta o inexacta también podría provocar daños colaterales en otras empresas. Los piratas informáticos a menudo ocultan su presencia lanzando ataques a través de servidores legítimos, que podrían ser vitales para las operaciones de otras empresas, dijo.
Mientras que las fuerzas del orden pueden ver fácilmente que un servidor es compartido mediante la ejecución de una citación judicial, los equipos de seguridad ofensiva no disponen de esa herramienta. Aun suponiendo que se trate de un servidor de alojamiento privado, ¿debería permitirse a las organizaciones privadas comprometer de nuevo a la víctima en nombre de la seguridad?
Tales matices ponen de relieve cómo el gobierno y el sector privado deben mantener claras las líneas divisorias en materia de ciberseguridad, especialmente cuando se trata de ciberguerra.
Ningún acontecimiento reciente inspira a replantearse este equilibrio.
Por qué el hack-back es la peor idea en ciberseguridad
En 2014, Microsoft se propuso desarticular dos redes de bots creadas por los programas maliciosos NJrat y NJw0rm, responsables de infectar millones de ordenadores.
Alegando perjuicios para sí misma y para sus clientes, Microsoft emprendió una acción novedosa. La compañía presentó una orden de restricción temporal contra la empresa de terceros Vitalwerks Internet Solutions, haciéndose con el control de los 23 dominios No-IP gratuitos de la firma. El malware utilizaba estos dominios para establecer una red de mando y control.
Microsoft, creyendo que Vitalwerks estaba cooperando con los operadores del malware, no lo notificó primero a la empresa.
The hack-back’s collateral damage
La operación de Microsoft funcionó, pero con un coste considerable. Vitalwerks no se había dado cuenta de que los atacantes estaban utilizando su red, y las acciones de Microsoft no sólo inutilizaron el malware, el 93% del cual utilizaba el servicio No-IP para sus comunicaciones, sino que también inutilizaron a los clientes legítimos de Vitalwerks.
Nueve días después, las empresas llegaron a un acuerdo y Microsoft presentó sus disculpas. «En el proceso de redirigir el tráfico a sus servidores para la detección de malware, Microsoft reconoce que un número de clientes de Vitalwerks se vieron afectados por cortes de servicio como resultado de un error técnico», declaró la compañía. «Microsoft lamenta cualquier inconveniente que estos clientes hayan podido experimentar».
El caso arroja luz sobre los daños colaterales no intencionados que pueden producirse cuando las empresas persiguen -contraatacando- a los delincuentes en el ciberespacio. Con pleno apoyo legal, Microsoft desvió la infraestructura de otra empresa, interrumpiendo no sólo la red de malware objetivo, sino también un negocio legítimo.
Hack-back legislation is fundamental
Algunos expertos en seguridad sostienen que la acción privada no resolverá el desequilibrio actual entre la facilidad con que los atacantes pueden violar las redes corporativas y la dificultad que tienen las organizaciones para mantener a los atacantes fuera.
La mayoría de las empresas carecen de los conocimientos necesarios para llevar a cabo con seguridad una operación cibernética ofensiva.
Siempre hay muchos daños colaterales. Si en el centro de un incidente, una empresa que responde a un ataque realiza un hacking de respuesta, sin duda podría causar muchos daños colaterales.
Los atacantes también se adaptarían rápidamente a un mundo en el que las empresas pudieran hackearse entre sí, utilizando ataques de falsa bandera para esencialmente provocar que una empresa ataque a otra.
Si el contraataque se convirtiera en una norma, los atacantes más sofisticados inducirían a sus víctimas a atacar a las personas equivocadas.
Los «hack-backs» ya están ocurriendo
Sin embargo, los expertos también reconocen que muchas empresas ya están persiguiendo a los atacantes de formas que podrían considerarse violaciones de la ley. Si se profundiza en los informes de incidentes de muchas empresas de ciberseguridad, resulta evidente que algunos investigadores de seguridad han accedido, por ejemplo, a servidores de mando y control para obtener información sobre los atacantes.
«Es ilegal y no se puede hacer, pero está ocurriendo».
Fronteras geopolíticas: un gran problema para la ciberseguridad
La mayoría de los incidentes de piratería informática están protagonizados por grupos que atacan desde servidores situados fuera del país de las víctimas y fuera de una jurisdicción capaz de aplicar cualquier legislación. Perseguir a tales atacantes hasta servidores alojados en otros países podría estar exento de la legislación del país, pero no de las leyes del país donde reside el servidor.
Si añadimos el hecho de que los Estados-nación están cada vez más detrás de los ciberataques, resulta evidente que detener el abanico de operaciones cibernéticas y ataques criminales es un tema complejo.
Por qué es mejor la acción gubernamental
Por esa razón, la acción gubernamental debería ser preferible a que las empresas privadas contraataquen a los atacantes. Tras la escalada de ataques, funcionarios de los gobiernos estadounidense y chino acordaron no llevar a cabo ataques de espionaje destinados a robar propiedad intelectual o a atacar a empresas por motivos económicos.
«Lo que sí ha sido efectivo hasta ahora, pero no tiene el mismo punch emocional que el hack-back, es la defensa activa».
No olvidemos que el famoso acuerdo entre Estados Unidos y China es una norma estrecha en términos de acuerdos internacionales, pero que se ha mantenido.
Muchos países siguen permitiendo que los individuos pirateen fuera de sus fronteras, o al menos, rara vez persiguen a quienes lo hacen.
«Necesitamos acuerdos internacionales más fuertes».
El método de las fuerzas de seguridad
Debido a la desconcertante ética y al panorama del hacking back, se pueden encontrar pocos ejemplos del sector privado realizando estos contraataques. Aun así, las empresas probablemente considerarían el enfoque de la aplicación de la ley si fuera necesario.
Este enfoque considera los ataques de hacking como actos delictivos, en los que las decisiones éticas se basan en leyes y tratados internacionales aplicables y normas y directrices internacionales no vinculantes.
En los EE.UU., por ejemplo, la Ley de escuchas telefónicas (1988), la Ley de fraude y abuso informático (1986) y la Ley de intercambio de información sobre ciberseguridad de 2015 autorizan a las empresas a desplegar contramedidas de ciberseguridad en sus propias redes contra programas maliciosos, pero penalizan los ataques informáticos a terceros (incluidos los contraataques).
Por otro lado, la Corte Internacional de Justicia apoya la respuesta de los ciberataques si siguen cuatro elementos de una contramedida legal. Estos elementos incluyen que el contraataque se dirija a los autores del ciberataque original, que se pida a los infractores que interrumpan el ataque, que el contraataque sea proporcional al acto original y que el contraataque sea reversible.
Con la naturaleza opuesta de estas leyes, está bastante claro por qué las empresas se sienten inquietas a la hora de iniciar contraataques.
El enfoque de estilo militar
Internet se ha convertido en la última década en el nuevo dominio de la lucha bélica. Basándose en este concepto, el Enfoque de Estilo Militar considera los ciberataques como un acto de agresión, en el que son aceptables respuestas de tipo militar. Con este marco, la moralidad del contraataque se analiza basándose en la Ley de Conflictos Armados (LOAC), codificación de las reglas de la guerra, y se utiliza normalmente entre entidades gubernamentales.
Para garantizar el cumplimiento de la LOAC, se diseñó un conjunto de principios rectores, las reglas de Enfrentamiento y la Escalada de la Fuerza, para limitar la fuerza innecesaria, el daño a terceros inocentes y la escalada de la violencia.
¿contraatacar?
En el ejemplo de un contraataque cibernético, las opciones de defensa pasiva serían el primer paso (es decir, tapar los agujeros de seguridad, banners de advertencia) cuando se siguen los principios. El siguiente paso en la escalada podría ser el empleo de medidas forenses para identificar el origen de un ataque. Si fracasan los intentos de mitigar la situación, los defensores podrían considerar la posibilidad de contraatacar.
Próximos pasos: ¿Qué hacer a partir de ahora?
En el futuro, la ética de Internet y la piratería informática se abordarán y debatirán aún más a medida que los ciberataques sean más frecuentes. Se trata de otro conjunto de leyes cuya promulgación llevará tiempo. Sin embargo, llegar a un acuerdo sobre el enfoque correcto no será tarea fácil.
En febrero de 2017, por ejemplo, el Centro de Excelencia para la Ciberdefensa Cooperativa publicó el Manual de Tallin 2.0. El Tallin 2.0., un manual de 642 páginas con el análisis más completo de cómo se aplican las leyes internacionales existentes al ciberespacio.
El documento «es una narración del panorama jurídico visto a través de una lente global. Aborda un sinfín de cuestiones jurídicas que suelen plantearse en las operaciones cibernéticas y analiza el estado actual del Derecho internacional y cómo podría aplicarse a distintas situaciones». En muchos casos, el grupo de redactores fue incapaz de llegar a un consenso, lo que demuestra las complejidades que plagan el mundo cibernético». Hasta que se promulguen leyes cibernéticas, las empresas y el gobierno tendrán que mantenerse alerta cuando se trate de contraatacar.
En el artículo de hoy, hablamos de los peligros de contraatacar a los hackers. En el próximo artículo (Artículo 12) hablaremos de Atrapando a los hackers en el acto.
La serie completa de “Ciberataque – Geografía e Identidad”:
#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.
