Anatomía del gran ciberataque que ha comprometido el corazón de la Administración de EE UU
Washington intenta fijar el alcance de un audaz ciberataque masivo tras el que ve las huellas de Rusia, que espió durante meses a numerosos departamentos del Gobierno
El gran pirateo. Así han llamado algunos analistas al último y audaz ciberataque masivo del que ha sido víctima Estados Unidos desde primavera. Los piratas informáticos han penetrado en las entrañas de los rincones más protegidos del Gobierno estadounidense, como el Departamento del Tesoro. Funcionarios de inteligencia y expertos en seguridad e investigación informática forense señalan a Rusia y a sus destacadas unidades ...
El gran pirateo. Así han llamado algunos analistas al último y audaz ciberataque masivo del que ha sido víctima Estados Unidos desde primavera. Los piratas informáticos han penetrado en las entrañas de los rincones más protegidos del Gobierno estadounidense, como el Departamento del Tesoro. Funcionarios de inteligencia y expertos en seguridad e investigación informática forense señalan a Rusia y a sus destacadas unidades de ciberespionaje como responsable de la espectacular violación informática. Viejos e incómodos conocidos. Todo descubierto, además, tres meses después de que el presidente ruso, Vladímir Putin, propusiese a Washington una tregua para evitar incidentes en el ciberespacio. Los expertos aún tratan de determinar el alcance del ataque y qué material se ha visto comprometido durante la aguda misión a largo plazo, que ha causado cierto bochorno en las agencias de seguridad estadounidenses y ha contribuido a sembrar aún más caos en las últimas semanas al mando de la Administración de Donald Trump.
“Hemos construido un castillo, con un foso alrededor y una muralla muy alta, y hemos colocado torres de vigilancia en las cuatro esquinas. Hay un puente levadizo, con centinelas que cada día están autorizados a permitir la entrada de un granjero con el carro lleno de manzanas. Conocen al granjero, es un buen tipo, le dejan entrar. Quizá levantan la manta que cubre la carga, ven que son manzanas, y la vuelven a cubrir. Pero ellos no saben, y lo que es más importante, tampoco lo sabe el granjero, que las manzanas han sido envenenadas”. Esta es la analogía que utiliza Glenn Gerstell, que fue desde 2015 y hasta principios de este año consejero general de la Agencia de Seguridad Nacional (NSA), una de las agencias de inteligencia de Estados Unidos, para explicar a EL PAÍS ese último y apabullante ciberataque masivo.
Nadie lo vio. Durante más de seis meses, agentes extranjeros estuvieron infiltrados en el Gobierno estadounidense. Contemplaron el trabajo diario de al menos seis departamentos, incluidos el de Defensa, el de Estado, el de Comercio y el Tesoro, además de organismos como los Institutos Nacionales de Salud y numerosas grandes empresas privadas. Y la explicación de que nadie los descubriera es que fue una operación brillante.
Los piratas no atacaron directamente a sus objetivos, sino que se metieron en las actualizaciones de un software que todos ellos utilizan, un popular programa de fontanería interna de sistemas informáticos, elaborado por la firma texana Solarwinds. En lugar de la técnica del phishing, que requiere una acción por parte de la víctima, o de la clásica y complicada táctica de probar contraseñas al azar hasta dar con la buena, el malware se metió en las actualizaciones proporcionadas por un proveedor seguro, como esas actualizaciones automáticas de las aplicaciones de un teléfono móvil, y metidos en su interior a los intrusos se les abrieron todas las puertas de par en par.
El veneno empezó a entrar al castillo, oculto dentro de las manzanas, a mediados de marzo. Y allí circuló por las arterias informáticas de la primera potencia mundial, recorriendo sus entrañas militares, financieras, comerciales, sanitarias y diplomáticas, y accedió a una cantidad de información cuya magnitud y detalle trata ahora de comprender Estados Unidos. Lo que sí se sabe es que SolarWinds tiene cerca de 300.000 clientes y que, según la empresa, cerca de 18.000 instalaron la actualización hackeada. “Probablemente tengamos que contemplar esto como la peor ruptura de la ciberseguridad del Gobierno federal en la historia”, defiende Gerstell. “Quizá no en términos de daño, pero sí al menos de alcance”.
El nivel de sofisticación de la operación es, entre otros factores, lo que ha convencido a la inteligencia estadounidense de que es responsabilidad de Rusia. Funcionarios de inteligencia han señalado en concreto al Servicio de Inteligencia Exterior (SVR). Aunque expertos como Andrei Soldatov, que ha estudiado a fondo las agencias de espionaje rusas, creen que es probable que una operación tan destacada y larga haya sido obra conjunta del SVR, con una sólida experiencia técnica, y del Servicio de Seguridad Exterior (FSB), la agencia de espionaje nacional rusa. Analistas de seguridad ven en la operación el estilo del grupo conocido como APT-29 (por las siglas en inglés de Amenaza Persistente Avanzada), The Dukes o Cozy Bear, una unidad puntera de ciberespionaje vinculada a la inteligencia rusa.
“En estas situaciones casi nunca lo sabes al 100%”, continúa Gerstell. “Pero no necesitamos certezas. Tenemos una idea bastante buena en general de lo que hace el SVR, porque tenemos agencias encargadas de seguirles el rastro. Sabemos el tipo de técnica que usan, porque estudiamos con detenimiento lo que hicieron en Ucrania hace un par de años. Sabemos que es el tipo de acción que solo un gran Estado podría llevar a cabo. Y sabemos que tienen motivos para hacerlo. Podríamos estar seguros al 95% de que son ellos”.
En 2014 y 2015, la unidad Cozy Bear llevó a cabo una extensa campaña de ciberespionaje global, que puso en la diana también a miles de organizaciones estadounidenses, Embajadas extranjeras, empresas de telecomunicaciones, universidades y agencias gubernamentales. Los piratas informáticos rusos entraron también en esa ocasión en el sistema de la Casa Blanca y en el Departamento de Estado, y comprometieron los servidores del Comité Nacional Demócrata, según la firma de seguridad CrowdStrike.
A diferencia de otro grupo, APT-28 o Fancy Bear, a quien los servicios secretos de varios países occidentales vinculan a la inteligencia militar rusa (GRU), que filtraron los correos electrónicos de la campaña demócrata y fueron acusados por el fiscal especial Robert Mueller de interferir en las elecciones presidenciales de 2016, Cozy Bear solo recopiló información. Las unidades del FSB y SVR, remarcan los expertos en seguridad informática, generalmente son más discretas y se dedican a robar información que pueda ayudar al Kremlin.
En julio, el Reino Unido, Canadá y Estados Unidos detectaron las huellas de este grupo tras la violación de varias universidades, empresas farmacéuticas y organizaciones de atención médica con el objetivo de robar información sobre la vacuna contra el coronavirus en desarrollo, dijeron. Ya entonces, la agencia de ciberseguridad del Reino Unido identificó a Cozy Bear tras el ataque y determinó que “casi con certeza opera como parte de los servicios de inteligencia rusos”.
Moscú ha negado su participación en los ataques. El portavoz del Kremlin, Dmitri Peskov, ha calificado las acusaciones de “continuación de la rusofobia ciega”. Y Vladímir Putin, que en el pasado ha defendido a los ciberespías rusos comparando a los hackers con artistas, ha negado campañas de piratería respaldadas por el Estado.
La incógnita que tratan de resolver los expertos estadounidenses, y que puede que nunca logren conocer del todo, es qué información consiguieron los hackers. Se sabe, por ejemplo, que accedieron desde julio a los correos electrónicos de la cúpula del Departamento del Tesoro, uno de los rincones más protegidos del Gobierno. “Pueden haber aprendido nuestra planificación financiera, cómo nos proponemos negociar tratados internacionales, cuáles son nuestros planes para la próxima cumbre del G7. Esto es del Tesoro, se podría decir lo mismo de los otros departamentos. A menos que podamos comprender exactamente lo que vieron, tendremos que asumir lo peor: que vieron todo”, defiende Gerstell.
Lo que no se ha detectado es el rastro de daños evidentes. Es decir, Estados Unidos, de momento, lo trata como una operación clásica, masiva y muy exitosa de espionaje. Una en la que se elude expresamente atravesar líneas rojas que constituirían actos de guerra. Y ese es un territorio en el que Estados Unidos, blanco prioritario del ciberespionaje global, adolece, advierten numerosos expertos, de una falta de capacidad de disuasión.
Donald Trump, a apenas cuatro semanas de abandonar la Casa Blanca y obsesionado con su quimérica batalla por revertir su derrota electoral, no solo no ha mostrado firmeza con Rusia, sino que ha insinuado, contradiciendo a sus propios servicios secretos, que hay intereses ocultos en señalar a Moscú. “Rusia, Rusia, Rusia es el canto prioritario cuando pasa cualquier cosa porque los medios, principalmente por razones financieras, están petrificados ante la posibilidad de que pudo ser China (¡puede ser!)”, tuiteó. El presidente electo Joe Biden, según fuentes de su equipo citadas por Reuters, está valorando diversas opciones de represalia contra Rusia por el ciberataque, que van desde nuevas sanciones económicas hasta devolver el golpe hackeando infraestructuras rusas. La idea es definir una respuesta lo suficientemente contundente, sin provocar una escalada que complique aún más la relación entre las dos potencias, que se espera que se enfríe con la llegada del demócrata a la Casa Blanca.
La misión y su duración han vuelto a demostrar la vulnerabilidad de Estados Unidos. Y podría volver a revelar que Rusia tiene muchos ases bajo la manga y ha perfeccionado sus métodos. “Los hackers rusos son extremadamente profesionales, como demuestran sus ataques contra estructuras de la UE y diversas agencias estadounidenses, que no se han detenido en más de una década”, remarca Irina Borogan, coautora de varios libros sobre los servicios especiales rusos. Pero este gran pirateo mostraría además que la condena internacional y los años de sanciones occidentales no han disuadido a Rusia ni obstaculizado a sus agencias de inteligencia –que además suelen competir entre ellas para ver quién es la más audaz—de volver a actuar sin reparos.
“Saben que hay una línea roja que no pueden cruzar”, explica Gerstell. “Saben que, por ejemplo, si utilizan esto para bloquear la distribución de la vacuna de la covid, les haríamos algo muy malo, como apagar la red eléctrica de Moscú una semana. Así que se quedan justo en el nivel de espionaje, y hay poco que podamos hacer para prevenir el espionaje. Estamos ante una carrera ciberarmamentística, con barreras más bajas de entrada, en la que cualquier nación puede entrar en el juego. Nos podemos defender, pero debemos estar por delante de la otra nación. Es exactamente una guerra fría”.
Rusia ya ha pasado a la ofensiva dialéctica. Con unas elecciones parlamentarias importatísimas para el partido del Gobierno a la vista en septiembre de 2021, asegura que es objetivo de pirateos extranjeros. Y más: el comité de asuntos exteriores de la Cámara Alta ha señalado a Washington como el responsable del 30% de esos ataques.