Preparando su ciberataque a Rusia, EE.UU. descubre otro hackeo de China

La proliferación de ciberataques por parte de los rivales está suponiendo un reto para la administración Biden en su intento de disuadir las intrusiones en los sistemas gubernamentales y corporativos.

WASHINGTON – Justo cuando planea comenzar a tomar represalias contra Rusia por el hackeo a gran escala de agencias gubernamentales y corporaciones estadounidenses descubierto a finales del año pasado, la administración Biden se enfrenta a un nuevo ciberataque que plantea la cuestión de si tendrá que devolver el golpe a otro gran adversario: China.

En conjunto, las respuestas empezarán a definir la forma en que el presidente Joe Biden configure la respuesta de su nueva administración a la escalada del ciberconflicto y si puede encontrar la forma de imponer una sanción más severa a los rivales que explotan regularmente las vulnerabilidades de las defensas del gobierno y de las empresas para espiar, robar información y dañar potencialmente los componentes críticos de la infraestructura de la nación.

Microsoft reconoció el 31 de diciembre de 2020 un ataque de hackers rusos. Ahora descubrieron otro de los chinos. Foto de GABRIEL BOUYS / AFP.

El primer movimiento importante se espera en las próximas tres semanas, según los funcionarios, con una serie de contraataques encubiertos en las redes rusas que pretenden ser evidentes para el presidente Vladimir Putin y sus servicios de inteligencia y militares, pero no para el resto del mundo.

Los funcionarios dijeron que los ataques se combinarían con algún tipo de sanciones económicas -aunque quedan pocas sanciones realmente efectivas por imponer- y una orden ejecutiva de Biden para acelerar el endurecimiento de las redes del gobierno federal tras el hackeo ruso, que pasó desapercibido durante meses hasta que fue descubierto por una empresa privada de ciberseguridad.

En los últimos días, la cuestión ha adquirido una mayor urgencia en la Casa Blanca, el Pentágono y las agencias de inteligencia tras la revelación pública de una importante brecha en los sistemas de correo electrónico de Microsoft utilizados por pequeñas empresas, gobiernos locales y, según algunos informes, contratistas militares clave.

Microsoft identificó a los intrusos como un grupo chino patrocinado por el Estado y se apresuró a publicar un parche para permitir a los usuarios de su software cerrar la vulnerabilidad.

Pero eso desencadenó una carrera entre los responsables de parchear los sistemas y una serie de nuevos atacantes -incluidos otros múltiples grupos de piratas informáticos chinos, según Microsoft- que buscaban explotar los agujeros del sistema mientras pudieran.

El gobierno de Estados Unidos no ha hecho pública ninguna determinación formal sobre los responsables del hackeo, pero en la Casa Blanca y en el campus de Microsoft en Redmond (Washington) se teme que el espionaje y el robo sean el preludio de una actividad mucho más destructiva, como la modificación de los datos o su eliminación.

La Casa Blanca subrayó la gravedad de la situación en un comunicado el domingo del Consejo de Seguridad Nacional.

“La Casa Blanca está llevando a cabo una respuesta de todo el gobierno para evaluar y abordar el impacto” de la intrusión de Microsoft, decía el comunicado.

Calibrar la respuesta

La respuesta está dirigida por Anne Neuberger, una ex funcionaria de la Agencia de Seguridad Nacional que es la primera en ocupar un puesto de nueva creación: asesora adjunta de seguridad nacional para tecnologías cibernéticas y emergentes.

El comunicado decía que los funcionarios de seguridad nacional estaban trabajando durante todo el fin de semana para hacer frente al hackeo y que “se trata de una amenaza activa que sigue desarrollándose, e instamos a los operadores de redes a que se la tomen muy en serio.”

Jake Sullivan, asesor de seguridad nacional de Biden, dijo en Twitter el jueves que la Casa Blanca estaba “siguiendo de cerca” los informes de que las vulnerabilidades de Microsoft Exchange estaban siendo utilizadas en “compromisos potenciales de los grupos de reflexión de Estados Unidos y las entidades de la base industrial de defensa.”

El descubrimiento se produjo en un momento en que el equipo de seguridad nacional de Biden, dirigido por Sullivan y Neuberger, ha dado prioridad en su agenda a un esfuerzo por disuadir los ataques, ya sea que su intención sea el robo, la alteración de datos o el cierre de redes.

Para el presidente, que prometió que el ataque ruso “no quedaría sin respuesta“, las reacciones de la administración en las próximas semanas serán una prueba de su capacidad para afirmar el poder de Estados Unidos en una batalla a menudo invisible pero cada vez más importante entre las grandes potencias en el ciberespacio.

Una mezcla de sanciones públicas y contraataques privados es la combinación más probable para forzar una “amplia discusión estratégica con los rusos”, dijo Sullivan en una entrevista el jueves, antes de que el alcance del ataque chino estuviera claro.

“En realidad, creo que un conjunto de medidas que son entendidas por los rusos, pero que pueden no ser visibles para el mundo en general, son en realidad las medidas más eficaces en términos de aclarar lo que Estados Unidos cree que está dentro y fuera de los límites, y lo que estamos dispuestos a hacer en respuesta”, añadió.

Desde el primer día de la nueva administración, Sullivan ha estado reorganizando la Casa Blanca para diseñar este tipo de respuestas.

La misma orden que emitió el 20 de enero, en la que se exigía a los militares que avisaran a la Casa Blanca antes de realizar ataques con drones fuera de las zonas de guerra, contenía un párrafo con instrucciones separadas para hacer frente a las grandes ciberoperaciones que corren el riesgo de intensificar el conflicto.

La orden dejaba en pie, sin embargo, un documento aún secreto firmado por el presidente Donald Trump en agosto de 2018 que otorgaba al Comando Cibernético de Estados Unidos autoridades más amplias que las que tenía durante el gobierno de Obama para llevar a cabo escaramuzas cotidianas y de corta duración en el ciberespacio, a menudo sin autorización presidencial explícita.

En virtud de la nueva orden, el Cibercomando tendrá que presentar a la Casa Blanca operaciones de tamaño y alcance significativos y permitir que el Consejo de Seguridad Nacional revise o ajuste esas operaciones, según funcionarios informados sobre el memorando.

Es probable que la próxima operación contra Rusia, y cualquier posible respuesta a China, entren en esta categoría.

Los funcionarios estadounidenses siguen tratando de comprender mejor el alcance y el daño causado por el ataque chino, pero cada día desde su revelación ha sugerido que es más grande, y potencialmente más dañino, de lo que se pensó en un principio.

“Es un hackeo enorme”, escribió el viernes en Twitter Christopher C. Krebs, ex director de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras.

Las estimaciones iniciales apuntaban a que unos 30.000 sistemas se habían visto afectados, la mayoría de ellos operados por empresas o agencias gubernamentales que utilizan el software de Microsoft y ejecutan sus sistemas de correo electrónico de forma interna. (El correo electrónico y otros sistemas que se ejecutan en la nube de Microsoft no se vieron afectados).

Pero la amplitud de la intrusión y las identidades de las víctimas aún no están claras.

Y aunque los chinos desplegaron el ataque de forma generalizada, es posible que sólo buscaran hacerse con la información de un grupo reducido de objetivos en los que tienen mayor interés.

No cabe duda de que el alcance del ataque hace que los funcionarios estadounidenses se planteen si tendrán que tomar represalias también contra China.

Eso los pondría en la posición de participar en un conflicto potencialmente escalado con dos países que son también sus mayores adversarios con armas nucleares.

En los últimos días ha quedado cada vez más claro que el hackeo que Microsoft atribuido a Beijing plantea muchos de los mismos problemas que el ataque de SolarWinds realizado por los rusos, aunque los objetivos y la metodología son significativamente diferentes.

Al igual que los rusos, los atacantes chinos iniciaron su campaña contra Microsoft desde servidores informáticos -esencialmente servicios en la nube- que alquilaron bajo identidades supuestas en Estados Unidos.

Ambos países saben que la ley estadounidense prohíbe a las agencias de inteligencia buscar en sistemas basados en Estados Unidos, y están explotando esa restricción legal.

“El actor chino aparentemente dedicó tiempo a investigar a las autoridades legales y reconoció que si podían operar desde dentro de Estados Unidos, sacaba del campo a algunos de los mejores cazadores de amenazas del gobierno”, dijo el viernes Tom Burt, el ejecutivo de Microsoft que supervisa la investigación.

El resultado fue que, tanto en el caso de SolarWinds como en el más reciente de los hackeos chinos, las agencias de inteligencia de Estados Unidos parecían haber pasado por alto la evidencia de lo que estaba ocurriendo hasta que una empresa privada lo vio y alertó a las autoridades.

El debate que preocupa a la Casa Blanca es cómo responder.

Sullivan fue asesor de seguridad nacional de Biden cuando éste era vicepresidente, mientras la administración Obama se esforzaba por responder a una serie de ataques.

Entre ellos, el intento chino de robar 22,5 millones de registros de autorización de seguridad de la Oficina de Gestión de Personal en 2014 y el ataque ruso a las elecciones presidenciales de 2016.

En escritos y conversaciones durante los últimos cuatro años, Sullivan ha dejado claro que cree que las sanciones tradicionales por sí solas no aumentan lo suficiente el costo para obligar a potencias como Rusia o China a empezar a hablar de nuevas reglas de juego para el ciberespacio.

Pero los funcionarios gubernamentales temen a menudo que una respuesta demasiado fuerte suponga un riesgo de escalada.

Esta es una preocupación especial en los ataques rusos y chinos, en los que ambos países han colocado claramente “puertas traseras” en los sistemas estadounidenses que podrían utilizarse para fines más destructivos.

Los funcionarios estadounidenses dicen públicamente que las pruebas actuales sugieren que la intención rusa en el ataque a SolarWinds era simplemente el robo de datos.

Pero varios funcionarios de alto nivel, al hablar sin ser identificados, dijeron que creían que el tamaño, el alcance y el gasto de la operación sugerían que los rusos podrían haber tenido motivos mucho más amplios.

“Me llama la atención la cantidad de estos ataques que socavan la confianza en nuestros sistemas”, dijo Burt, “al igual que hay esfuerzos para que el país desconfíe de la infraestructura de votación, que es un componente central de nuestra democracia”.

Rusia irrumpió en el Comité Nacional Demócrata y en el registro estatal de votantes