WASHINGTON – En los últimos años, el gobierno de los EE.UU. gastó decenas de miles de millones de dólares en habilidades cibernéticas, construyendo una gigantesca sala de guerra en Fort Meade, Maryland, para el Comando Cibernético de los EE.UU., mientras que inslataba sensores defensivos en todo el país – un sistema llamado Einstein para darle un aire de genialidad – para disuadir a los enemigos de la nación de elegir sus redes limpias, de nuevo.
Ahora está claro que el amplio ataque de espionaje ruso contra el gobierno y las empresas privadas de los Estados Unidos, en curso desde la primavera y detectado por el sector privado hace sólo unas semanas, se encuentra entre los mayores fracasos de la inteligencia de los tiempos modernos.
Einstein se lo perdió – porque los hackers rusos diseñaron brillantemente su ataque para evitar activarlo.
La Agencia de Seguridad Nacional y el Departamento de Seguridad Nacional buscaron en otra parte, comprensiblemente centrados en la protección de las elecciones de 2020.
La nueva estrategia estadounidense de “defender hacia adelante” -en esencia, poner “faros” estadounidenses en las redes de sus adversarios que advertirían de los ataques que se avecinan y proporcionarían una plataforma para contragolpes- proporcionó poca o ninguna disuasión a los rusos, que han mejorado significativamente su juego desde los años 90, cuando lanzaron un ataque contra el Departamento de Defensa llamado Laberinto de Luz de Luna.
Algo más tampoco ha cambiado: una alergia dentro del gobierno de EE.UU. a confesar lo que pasó.
El asesor de seguridad nacional, Robert C. O’Brien, acortó un viaje al Medio Oriente y Europa el martes y regresó a Washington para llevar a cabo reuniones de crisis para evaluar la situación, pero él y sus colegas han hecho todo lo posible para minimizar el daño.
Cuando se le preguntó el martes si el Departamento de Defensa había visto pruebas del compromiso sufrido, el secretario de defensa en funciones, Christopher C. Miller, dijo: “No, todavía no, pero obviamente lo está examinando de cerca”.
Otros funcionarios del gobierno dicen que está tratando de convertir la ignorancia sobre lo que pasó en un giro feliz – está claro que el Departamento de Defensa es una de las muchas agencias del gobierno que hizo un uso extensivo del software del que Rusia se provechó.
En los últimos días, el FBI, la Agencia de Seguridad Cibernética y de Infraestructura y la Oficina del Director de Inteligencia Nacional formaron un grupo de respuesta urgente, el Grupo de Coordinación Cibernética Unificada, para coordinar las respuestas del gobierno a lo que las agencias llamaron una “significativa y continua campaña de ciberseguridad”.
En el mismo momento en que el presidente de Rusia, Vladimir Putin, instaba a una tregua en la “confrontación a gran escala en la esfera digital”, donde tiene lugar el nuevo conflicto cotidiano más perjudicial, uno de sus principales organismos de inteligencia había llevado a cabo un sofisticado ataque que implicaba introducirse en la larga y compleja cadena de suministro de software de la que ahora depende toda la nación.
“Impresionante”, escribió el martes por la noche el senador Richard Blumenthal, D-Conn. “El informe clasificado de hoy sobre el ciberataque de Rusia me dejó profundamente alarmado, de hecho muy asustado. Los americanos merecen saber lo que está pasando”.
Pidió al gobierno que desclasificara lo que sabe y lo que no sabe.
Hasta ahora, y es pronto todavía, el hackeo parece estar limitado al clásico espionaje, según una persona informada sobre el asunto.
En las sesiones informativas sobre la intrusión, incluso para los miembros del Congreso, se ha discutido el alcance de la penetración rusa pero no se ha esbozado qué información fue robada – o si el acceso que obtuvieron los hackers podría permitirles realizar ataques destructivos o cambiar datos dentro de los sistemas del gobierno, un temor que se cierne sobre el mero espionaje.
Los investigadores no han descubierto brechas en ningún sistema clasificado, sólo sistemas no clasificados conectados a Internet.
Aún así, la intrusión parece ser una de las más grandes de la historia, con la cantidad de información puesta en riesgo empequeñeciendo a otras intrusiones en la red.
El miércoles por la mañana, el senador Dick Durbin, D-Ill., llamó al ciberataque ruso “virtualmente una declaración de guerra”.
Se equivocó – todas las naciones se espían entre sí y los Estados Unidos utilizan la ciberinfiltración para robar secretos también – pero unidades de inteligencia rusas dispares han utilizado, en ataques anteriores, un acceso similar para apagar los sistemas, destruir datos y, en el caso de Ucrania, cortar la energía.
Los rusos han negado cualquier implicación.
El embajador ruso en Estados Unidos, Anatoly I. Antonov, dijo que hubo “intentos infundados por parte de los medios de comunicación estadounidenses de culpar a Rusia” por los recientes ciberataques, en un debate celebrado el miércoles en la Universidad de Georgetown.
Hasta ahora, sin embargo, el presidente Donald Trump no ha dicho nada, quizás consciente de que su mandato está llegando a su fin tal y como comenzó, con preguntas sobre lo que sabía sobre las ciberoperaciones rusas y cuándo.
La Agencia de Seguridad Nacional ha estado en gran parte silenciosa, escondiéndose detrás de la clasificación de la inteligencia.
Incluso la Agencia de Seguridad Cibernética y de Infraestructura, el grupo dentro del Departamento de Seguridad Nacional encargado de defender las redes críticas, ha estado notoriamente callada sobre el mega hacking ruso.
El mensaje de Blumenthal en Twitter fue el primer reconocimiento oficial de que Rusia estaba detrás de la intrusión.
Curiosamente, el ataque ruso apenas apareció como nota al pie de página en una audiencia del Comité de Seguridad Nacional y Asuntos Gubernamentales del Senado el miércoles, que contó con el testimonio de Christopher Krebs, el jefe de seguridad cibernética que fue despedido el mes pasado después de negarse a respaldar las afirmaciones infundadas de Trump sobre el fraude electoral.
La piratería informática tuvo lugar durante el mandato de Krebs como director de la Agencia de Seguridad Cibernética y de Infraestructura, pero los senadores no le preguntaron sobre ello en la audiencia, sino que se centraron en la piratería informática que no fue: las acusaciones infundadas de fraude en las elecciones de noviembre.
Los funcionarios de la administración Trump han reconocido que varias agencias federales – el Departamento de Estado, el Departamento de Seguridad Nacional, partes del Pentágono, así como el Tesoro y el Departamento de Comercio – se han visto comprometidos en el hacking ruso.
Pero los investigadores siguen luchando para determinar hasta qué punto el ejército, la comunidad de inteligencia y los laboratorios nucleares se vieron afectados.
Hacking
El hacking es cualitativamente diferente a las intrusiones de alto perfil de hackeo y fuga que la GRU, la división de inteligencia militar rusa, ha llevado a cabo en los últimos años.
Esas intrusiones de la GRU, como el hackeo de 2016 del Comité Nacional Democrático, estaban destinadas a ser a corto plazo – para entrar, robar información y hacerla pública para un impacto geopolítico.
La SVR, un sigiloso ladrón de secretos que se cree que está detrás del nuevo hack, irrumpió en los sistemas del DNC también, y en los del Departamento de Estado en 2015, pero la intención no era liberar la información que encontraron o dañar los sistemas en los que entraron.
En su lugar esperaba un acceso a largo plazo, capaz de monitorear lentamente las deliberaciones no clasificadas, pero sensibles, del gobierno sobre una serie de temas.
Dentro de los bancos y las empresas de Fortune 500, los ejecutivos también están tratando de entender el impacto de la brecha.
Muchos utilizan la herramienta de gestión de redes en la que los hackers se pasean silenciosamente para llevar a cabo sus intrusiones, que se llama Orion y está fabricada por la empresa SolarWinds de Austin, Texas.
El Laboratorio Nacional de Los Álamos, donde se diseñan las armas nucleares, también lo utiliza, al igual que los principales contratistas militares.
“¿Cómo es que esto no es un fracaso masivo de inteligencia, sobre todo porque supuestamente estábamos sobre los actores de la amenaza rusa antes de la elección”, Robert Knake, un alto funcionario de la administración de Obama en materia de seguridad cibernética, preguntó en Twitter el miércoles.
“¿Cayó la NSA en un gigantesco tarro de miel mientras la SVR” – la agencia de espionaje más sofisticada de Rusia – “saqueó silenciosamente” al gobierno y a la industria privada?
Por supuesto, la NSA no lo ve todo, incluso después de colocar sus sondas y balizas en las redes de todo el mundo.
Pero si hay una investigación importante – y es difícil imaginar cómo podría evitarse – la responsabilidad de la agencia, dirigida por el general Paul Nakasone, uno de los ciberguerreros más experimentados de la nación, estará al frente y en el centro.
Los hackers de la SVR se esmeraron en ocultar sus huellas, dijo la persona que informó sobre la intrusión.
Utilizaron direcciones de Internet americanas, permitiéndoles realizar ataques desde computadoras en la misma ciudad – o aparentando serlo – en la que sus víctimas estaban basadas.
Crearon bits de código especiales destinados a evitar la detección por parte de los sistemas de alerta estadounidenses y programaron sus intrusiones para no levantar sospechas -horario de trabajo, por ejemplo- y utilizaron otros métodos de trabajo cuidadosos para evitar ser descubiertos.
La intrusión, dijo la persona informada sobre el asunto, muestra que el punto débil de las redes informáticas del gobierno estadounidense siguen siendo los sistemas administrativos, en particular los que tienen varias empresas privadas que trabajan bajo contrato.
Los espías rusos descubrieron que al acceder a estos sistemas periféricos, podían abrirse camino en las partes más centrales de las redes del gobierno.
SolarWinds era un objetivo maduro, dicen antiguos empleados y asesores, no sólo por la amplitud y profundidad de su software, sino por sus propias y dudosas precauciones de seguridad.
La compañía no tenía un jefe de seguridad de la información, y los correos electrónicos internos compartidos con The New York Times mostraban que las contraseñas de los empleados se filtraron en GitHub el año pasado.
Reuters informó anteriormente que un investigador informó a la compañía el año pasado que había descubierto la contraseña del mecanismo de actualización de SolarWinds – el vehículo a través del cual 18.000 de sus clientes se vieron comprometidos.
La contraseña era “solarwinds123”.
Incluso si los rusos no violaron los sistemas clasificados, la experiencia muestra que hay muchos datos altamente sensibles en lugares que no tienen capas de clasificación.
Esa fue la lección del hackeo chino de la Oficina de Gestión de Personal hace cinco años, durante la administración de Obama, cuando resultó que los archivos de seguridad de 22,5 millones de estadounidenses, y 5,6 millones de conjuntos de huellas dactilares, estaban siendo almacenados en sistemas informáticos poco protegidos del Departamento del Interior.
Ahora están todos en Pekín, después de que los archivos fueran saqueados sin activar las alarmas.
“Una intrusión como esta le da a los rusos un rico conjunto de objetivos”, dijo Adam Darrah, un ex analista de inteligencia del gobierno, ahora director de inteligencia en Vigilante, una empresa de seguridad.
“La SVR va tras estos objetivos como punto de partida hacia objetivos más deseables como la CIA y la NSA”.
Clarín
