Invasión a Ucrania: El rol del ciberespacio y la ciberseguridad

Lecciones cibernéticas de Ucrania: prepárese para un conflicto prolongado, no para un golpe de gracia

En lugar de obsesionarse con la posibilidad apocalíptica de un "Pearl Harbor cibernético", dicen los expertos, EE. UU. debería prepararse para guerras digitales de desgaste como la que está ocurriendo en Ucrania.

Por Sydney J. Freedberg Jr. ||  Breaking Defense

Los bomberos responden a un ataque con drones en Kiev en octubre de 2022. (Foto de Paula Bronstein/Getty Images)

WASHINGTON — La fallida “blitzkrieg” cibernética de Rusia en Ucrania se ha convertido en un largo proceso que otorga una gran importancia a la adaptabilidad, la resiliencia y la voluntad de ganar, dijo uno de los principales funcionarios de seguridad cibernética de Kiev al público estadounidense en una gira reciente. Y la lección estratégica para EE. UU., dijeron varios expertos independientes, es que este tipo de conflicto cibernético prolongado es un modelo más probable para guerras futuras que las visiones de muerte súbita de un "Pearl Harbor cibernético" o un "11 de septiembre cibernético " . ″ predicho por funcionarios estadounidenses durante más de una década.

Las redes ucranianas y sus defensores, con una amplia ayuda occidental, han demostrado ser resistentes bajo una presión brutal. “Hemos aprendido a usar todas estas herramientas y técnicas en circunstancias críticas, cuando a veces no hay electricidad, no hay comunicación, cuando tu ciudad está a punto de ser rodeada, cuando [estás] bajo ataques con misiles o bajo bombardeos”, dijo. Illia Vitiuk, quien dirige el departamento cibernético del Servicio de Seguridad de Ucrania (SBU en ucraniano). “A veces tratas de comunicarte con el administrador del sistema del ministerio que está bajo ataque cibernético, pero no está aquí: desapareció porque necesitaba sacar a su familia de Bucha ”.

Los rusos no contaban con este tipo de resiliencia, dijo Vitiuk. “Ellos, por supuesto, esperaban que esto iba a ser una guerra relámpago, por lo que usaron la mayoría de los ases que tenían bajo la manga justo antes de la invasión”, dijo en la conferencia RSA en San Francisco el 25 de abril. Esa primera ola de los esfuerzos incluyeron “desfiguración de sitios web, robo de datos, limpiaparabrisas y casilleros, [y] una gran campaña de desinformación”. Los ciberataques rusos han ido y venido desde entonces, pero nunca más alcanzaron la intensidad de enero-abril de 2022, según Mandiant de Google Cloud , que ha brindado una amplia asistencia al equipo de Vitiuk.

Es una lucha larga y está lejos de terminar, dijo Vitiuk en un foro de seguridad cibernética de Billington a principios de abril: "Si tienes 12 asaltos en un combate de boxeo... ahora probablemente estemos en el octavo asalto".

Es pronto para sacar conclusiones radicales de la guerra en Ucrania, advirtieron varios expertos. “La gente necesita ser muy, muy paciente”, dijo Michael Martelle, académico de los Archivos de Seguridad Nacional, en un panel reciente del Atlantic Council . Analizar Ucrania ahora, dijo, es como analizar la Segunda Guerra Mundial en 1943, cuando todavía era un secreto muy bien guardado que los Aliados habían descifrado los códigos alemán y japonés.

Pero ya es evidente que Rusia no ha logrado asestar un golpe de gracia, tanto sobre el terreno como en el ciberespacio. Eso contradice las expectativas generalizadas de que el delito cibernético es más fuerte que la defensa y que un estado-nación sofisticado podría paralizar las redes de un objetivo.

“Ha habido una especie de suposición, especialmente al comienzo de la guerra actual, de que habrá esta ronda de interrupciones masivas, disruptivas y decisivas”, dijo Martelle. “El término 'Pearl Harbor cibernético' simplemente no morirá, aunque realmente es necesario”.

Si desea una metáfora del Pacífico de la Segunda Guerra Mundial, sugirió Martelle, una mejor es la prolongada campaña de submarinos de EE. UU. que estranguló lentamente las líneas de suministro japonesas, un transporte torpedeado a la vez. No hubo batallas grandes y dramáticas como Pearl Harbor o Midway, sino más bien, dijo, "una degradación agregada y acumulativa... en un ámbito para el que creo que la cibernética en realidad es muy adecuada".

“La analogía de Martelle… con la guerra submarina es bastante buena”, coincidió David Fahrenkrug , quien enseña guerra cibernética en la Universidad de Georgetown y tiene experiencia cibernética dentro del Pentágono y la Fuerza Aérea. Al igual que un submarino, un atacante cibernético que revela su presencia para atacar se vuelve mucho más vulnerable. “Lo que podemos hacer con el poder cibernético es interrumpir las comunicaciones, pero no por largos períodos de tiempo”, dijo Fahrenkrug a Breaking Defense en una entrevista reciente. “Estás confiando en el sigilo para hacer que tu efecto funcione, y una vez que te detectan, no tienes suerte”.

Illia Vitiuk, Jefa del Departamento de Seguridad Cibernética, Servicios de Seguridad de Ucrania (foto de la SSU de Ucrania)

“La gente esperaba que no hay límite para lo que se puede hacer con el poder cibernético: se puede piratear cualquier sistema, colapsar ese sistema y crear catástrofes”, dijo Fahrenkrug, comparando las visiones apocalípticas con los defensores del bombardeo estratégico de principios del siglo XX. “El paralelo es que Douhet imagina que si simplemente bombardeas ciudades, los países se rendirán. Hay mecanismos más profundos de resiliencia”.

Así que Fahrenkrug, como Martelle, duda de que sea probable un golpe al estilo de Pearl Harbor en el mundo digital. “¿Cuál es la 'batalla decisiva' que tiene lugar en el ciberespacio?” se preguntó en voz alta. “No creo que exista”.

“La paradoja del ciberespacio”

“La paradoja del ciberespacio”, dijo Fahrenkrug, es que cualquier nodo dado (un servidor, un enrutador, la computadora portátil o el teléfono de un usuario) es altamente vulnerable, pero cuando está unido a una red general, un sistema puede ser increíblemente resistente. Esto se debe a que la naturaleza de las redes es ser descentralizadas y redundantes, con múltiples nodos y rutas, y porque la inversión civil ha creado un ecosistema próspero con múltiples opciones para la mayoría de los servicios.

“Si desea suprimir las redes de comunicación de un adversario, debe atacar muchas posiciones y nodos casi simultáneamente”, dijo Fahrenkrug. “Esa es una operación muy difícil de llevar a cabo y requiere una planificación y coordinación significativas y una sincronización exquisita”.

Considere el mayor éxito cibernético individual de los rusos: su ataque del 24 de febrero a la red de comunicaciones satelitales Viasat, que interrumpió a los usuarios en 55 países , desde múltiples agencias militares y de seguridad ucranianas, el objetivo obvio, hasta las turbinas eólicas alemanas. Cientos o miles de módems tuvieron que ser reemplazados físicamente . Pero SpaceX de Elon Musk pronto ofreció su servicio Starlink , que se ha convertido en la columna vertebral digital de las fuerzas ucranianas a pesar de los intentos rusos de bloquearlo .

Si bien Ucrania pudo recuperarse del ataque a Viasat, "no fue que Viasat en sí mismo fuera específicamente resistente", señaló Jamil Jaffer , ex miembro del personal de Hill and White House que ahora dirige el Instituto de Seguridad Nacional en la Universidad George Mason. “Fue que había otra capacidad, en este caso, Starlink, que se puso en práctica, con el gasto de una gran cantidad de dinero por parte de múltiples gobiernos e industrias”.

“Ese no siempre va a ser el caso”, advirtió Jaffer. “Hay algunas capacidades que no se pueden reemplazar de inmediato, porque si bien las capacidades frágiles son un talón de Aquiles, tener capacidades de respaldo completamente disponibles puede resultar muy costoso”.

A pesar de estas vulnerabilidades, Jaffer le dijo a Breaking Defense que él también se mostraba escéptico ante la posibilidad de un golpe de gracia digital. “Desde mi punto de vista, un Pearl Harbor cibernético es menos probable que una guerra de desgaste en el dominio cibernético”, dijo. “En la medida limitada en que la disuasión realmente funciona en el dominio cibernético, creo que los principales estados-nación que podrían lograrlo reconocen que un ataque que tiene consecuencias masivas resultaría en alguna forma significativa de represalia”.

Eso no significa que las armas cibernéticas nunca serán decisivas, advirtió Jaffer. “Me gusta la analogía de Martelle de los primeros días de la guerra submarina, aunque no estoy seguro de que sea completamente precisa”, dijo. “Al igual que allí, el uso de la cibernética aquí abrió un nuevo dominio de operaciones, y si bien inicialmente puede haber sido inconsistente y difícil de coordinar con otras armas, se volvió mucho más efectivo con el tiempo”. Al igual que los submarinos y los aviones, argumentó, "la cibernética es y será un componente de la guerra en el futuro y será una parte clave de un esfuerzo de fuerza conjunta y de armas combinadas".

Que los ciberataques no sean apocalípticos por sí solos no los hace inútiles. La cibernética no puede destruir físicamente un objetivo como lo hace una bomba, argumentó Martelle, pero puede recopilar inteligencia y ayudar a localizar objetivos para un ataque físico, como con los oficiales rusos asesinados después de que los ucranianos geolocalizaran sus teléfonos celulares . “La cibernética no va a ser la mejor herramienta… para romper cosas de forma permanente o matar personas”, dijo. “El uso más eficiente del acceso a la red informática en una guerra de disparos es brindar apoyo de orientación a los ataques cinéticos”.

Ese tipo de apoyo a las operaciones convencionales, de hecho, es mucho de lo que Vitiuk dice que su unidad está haciendo ahora. Los piratas informáticos ucranianos aprovechan las cámaras de seguridad detrás de las líneas enemigas para espiar las ubicaciones de las tropas rusas, dijo, mientras que los ciudadanos comunes, algunos en territorio ocupado, que actúan con gran riesgo para sí mismos, pueden descargar una aplicación para informar los movimientos del enemigo y las ubicaciones precisas de los objetivos potenciales. Incluso los ciberdelincuentes ucranianos han ofrecido datos robados de redes rusas.

“No es necesario que les pagues, no es necesario que los obligues”, dijo Vitiuk. El apoyo de los aliados de los gobiernos y las empresas occidentales ha sido esencial, dijo, al igual que la experiencia práctica de Ucrania en la lucha contra los piratas informáticos rusos desde la invasión inicial de 2014. Pero, ante todo, dijo, “es nuestra voluntad inquebrantable de ganar, porque no tenía otras opciones: necesitamos proteger y salvar a nuestro país”.