El ascenso de los cibermercenarios

El primer mensaje de texto apareció en el teléfono de Ahmed Mansoor a las 9:38 en una sofocante mañana de agosto de 2016. “Nuevos secretos sobre la tortura de los emiratíes en las cárceles estatales”, decía, algo crípticamente, en árabe. Un hipervínculo seguía a las palabras. Un mensaje similar recibió el día siguiente, pero él resistió el impulso de hacer clic en los enlaces.

En cambio, Mansoor envió las notas a Citizen Lab, un instituto de investigación con sede en la Universidad de Toronto especializado en derechos humanos y seguridad en Internet. Trabajando hacia atrás, los investigadores identificaron los hipervínculos como parte de un sofisticado programa de software espía creado específicamente para apuntar a Mansoor. Si hubiera hecho clic en los enlaces, el programa habría convertido su teléfono en un “espía digital en su bolsillo”, escribió más tarde Citizen Lab en un informe, rastreando sus movimientos, monitoreando sus mensajes y tomando el control de su cámara y micrófono.

Pero la gran revelación en el informe no era tanto la tecnología en sí misma; agencias de inteligencia en países avanzados han desarrollado y desplegado spyware en todo el mundo. Lo que se destacó fue que Citizen Lab había rastreado el programa hasta una empresa privada: el misterioso Grupo NSO israelí. (El nombre está formado por las primeras iniciales de los tres fundadores de la compañía). De alguna manera esta compañía relativamente pequeña había logrado encontrar una vulnerabilidad en iPhones, considerado uno de los dispositivos celulares más seguros del mundo, y había desarrollado un programa para explotarlo, un proceso enormemente costoso y lento. “No tenemos conocimiento de ninguna instancia previa de jailbreak remoto de un iPhone usado como parte de una campaña de ataque dirigida”, escribieron los investigadores del Citizen Lab en su informe.

Israel es un líder mundial en tecnología cibernética privada, con al menos 300 empresas que cubren todo, desde seguridad bancaria hasta defensa de infraestructura crítica. Pero aunque la mayoría de estas empresas tiene como objetivo proteger a las empresas de los ataques cibernéticos, algunas de ellas se han aprovechado de la delgada línea entre las capacidades cibernéticas defensivas y ofensivas para ofrecer a los clientes servicios más siniestros. En el caso de Mansoor, se cree que los EAU desplegaron herramientas de NSO para vigilar al disidente más famoso del país. (Ahora está cumpliendo una sentencia de prisión de 10 años por publicar “información falsa” en sus cuentas de redes sociales). “Estas compañías aplican técnicas tan sofisticadas, o tal vez a veces más sofisticadas, que las agencias de inteligencia estadounidenses”,  dijo Sasha Romanosky, un investigador de políticas en la Corporación Rand, el año pasado.

La privatización de esta capacidad ofensiva aún está en pañales. Pero plantea amplias preocupaciones sobre la proliferación de algunas herramientas muy poderosas y la forma en que los gobiernos están perdiendo el monopolio sobre su uso. Cuando los actores estatales emplean armas cibernéticas, existe al menos la perspectiva de regulación y responsabilidad. Pero cuando las empresas privadas están involucradas las cosas se vuelven más complicadas. Israel ofrece un buen caso de prueba. Produce un suministro constante de ciberoperadores altamente capacitados que aprenden el oficio durante su servicio militar en una de las unidades de inteligencia de señales de élite del país, (la Unidad 8200 es la más conocida entre ellas), y luego continúan trabajando en el sector privado. Nadav Zafrir, general de brigada retirado y ex comandante de la Unidad 8200, dijo que incluso los soldados que pasan su servicio defendiendo a Israel de ataques cibernéticos terminan sabiendo algo sobre cómo atacar al otro lado. “Para mitigar la brecha entre la defensa y la ofensiva, debes tener la mentalidad de un atacante”, dijo.

El caso Mansoor no fue aislado. Hasta 175 personas han sido blanco del spyware del Grupo NSO desde 2016, según Citizen Lab, incluidos los trabajadores de los derechos humanos y los disidentes. Otras empresas israelíes ofrecen productos similares. “No hay forma de evitarlo: para proporcionar defensa de la red, debe mapear las vulnerabilidades”, dijo Nimrod Koz-lovski, profesor adjunto de la Universidad de Tel Aviv y abogado especializado en ciberseguridad. “Está construido a partir del profundo conocimiento [de Israel] de estas debilidades y métodos de ataque. Estamos profundamente familiarizados con el aspecto de los objetivos”.

Tomemos el más famoso de estos supuestos objetivos: la instalación de enriquecimiento de uranio de Irán en Natanz, donde la Unidad 8200, en colaboración con la Agencia de Seguridad Nacional de los EE. UU (NSA), presuntamente llevó a cabo un ataque en 2009-2010. Aparentemente fueron capaces de introducir un virus informático llamado Stuxnet en la instalación a pesar de que la instalación estaba físicamente desconectada de internet. El virus se dirigió al sistema operativo de las centrífugas de uranio de Natanz, lo que provocó que se aceleraran y se rompieran; el sistema de monitoreo también fue aparentemente pirateado para que el daño, cuando sucedió, inicialmente pasara desapercibido para los iraníes.

Probablemente no sea una coincidencia que muchas firmas israelíes de ciberdefensa comercialicen productos destinados a evitar ataques al estilo Stuxnet en infraestructuras críticas. Estas empresas incluyen Aperio Systems, que está dirigida por un ex oficial de inteligencia llamado Liran Tancman. Aperio, de hecho, tiene un producto que detecta la manipulación de datos, una “máquina de la verdad”, como lo expresa Tancman, en las lecturas de sensores en plantas industriales.

Stuxnet es cotejado repetidamente por expertos en el campo y con una buena razón: fue un ciberataque altamente exitoso contra un actor estatal que causó un daño físico real. Sin embargo, Stuxnet ya puede estar desactualizado como una piedra de toque analítica. Gabriel Avner, un consultor de seguridad digital con sede en Israel, dijo: “Una década en tecnología es una eternidad”. En estos días la superficie de ataque está creciendo, dijo Zafrir, el ex comandante de la Unidad 8200 que ahora dirige Team8, una combinación de capital de riesgo, incubadora e ideas de laboratorio. El desarrollo que más le preocupa a él y a otros expertos es la proliferación de la Internet de las cosas.

“Todo se está convirtiendo en una computadora: su teléfono, su refrigerador, su horno de microondas, su automóvil”, dijo Bruce Schneier, experto en cuestiones relacionadas con la cibernética en la Universidad de Harvard. El problema es que Internet, que alcanzó la mayoría de edad en los años setenta y ochenta, nunca se diseñó teniendo en cuenta la seguridad. Entonces, todos ahora están luchando para ponerse al día, reparando agujeros en los sistemas de información (por ejemplo, programas de software) y sistemas operativos (por ejemplo, plantas industriales físicas) que están desactualizados, mal escritos o simplemente inseguros. “Los ataques siempre son más rápidos, fáciles y mejores”, agregó Schneier, autor de Click Here to Kill Everybody: Security and Survival in a Hyper-connected World .

¿Esto significa que todos estamos condenados?

La respuesta corta es no, al menos, probablemente no. Hasta el momento, aparte de Stuxnet, los casos más exitosos reportados de un ciberataque causan daños físicos generalizados en Ucrania y Estonia. Aunque estos ataques contra redes eléctricas, instituciones financieras y ministerios gubernamentales causaron un daño real, fueron identificados y rectificados con relativa rapidez. Ninguno de los escenarios apocalípticos que algunos expertos sugieren, como los hackers que toman el control de un arma nuclear o un avión comercial o un malware que cause el colapso de Wall Street, se ha materializado.

Parte de la explicación es que “los hackers patrocinados por el estado siempre tendrán más recursos”, dijo Tancman. “La pregunta es cuán lejos están los [actores no estatales] a los que se dirige. Un ‘arma cibernética’ hoy no será relevante en uno o dos años. El problema es el ritmo de desarrollo entre atacantes y defensores. Siempre sigue corriendo”.

Si parte del peligro proviene de la visión borrosa de la línea que separa la defensa cibernética y la ciberofensiva, otra parte proviene de la casi inexistente distinción entre las esferas privada y pública en línea.

En julio, por ejemplo, las autoridades israelíes anunciaron múltiples acusaciones contra un ex empleado de NSO Group, alegando que había robado un código de propiedad confidencial cuando salía de la empresa. Pero el empleado no identificado también fue acusado de intentar socavar la seguridad nacional: aparentemente había intentado vender la información por $ 50 millones en criptomoneda a un comprador extranjero en la red oscura, el vasto territorio anónimo de internet inaccesible para los motores de búsqueda regulares.

Este incidente, detectado rápidamente por la empresa, es solo uno de los muchos que muestra cuán íntimamente se vinculan las esferas pública y privada en la guerra cibernética. Las capacidades que alguna vez fueron privilegio de los gobiernos con frecuencia encuentran su camino en manos privadas, a menudo criminales.

El código del virus Stuxnet ahora está disponible públicamente. En 2013, un pirata cibernético desarrollado por la NSA que explotaba vulnerabilidades en Microsoft Windows fue robado por piratas informáticos -posiblemente rusos- y publicado en línea; en mayo de 2017, otros hackers -posiblemente norcoreanos- utilizaron la herramienta para lanzar un ataque ransomware en todo el mundo. Se cree que el ataque, llamado WannaCry, infectó 200,000 computadoras en más de 150 países, incluidas partes importantes del Servicio Nacional de Salud Británico antes de que fuese neutralizado. En un caso separado de 2013, Mandiant, una empresa privada de seguridad cibernética de Estados Unidos, demostró que los piratas informáticos afiliados a las fuerzas armadas chinas atacaban a corporaciones estadounidenses y agencias gubernamentales. Y en 2015, la Unidad 8200 supuestamente hackeó Kaspersky Lab, un líder global en software antivirus, y descubrió que la compañía privada había estado actuando como una puerta trasera para la inteligencia rusa hacia sus clientes, incluidas dos docenas de agencias del gobierno de EE. UU.

“En el mundo físico de la guerra, lo público siempre ha sido claro: tanques, domos de hierro [sistemas de defensa antimisiles], F-16”, dijo Rami Ben Efraim, brigadier general israelí retirado y fundador de BlueOcean Technologies, una ofensiva firma de ciberseguridad. “En el ciberespacio de hoy es complicado”. La infraestructura crítica, como los servicios públicos o las plantas de tratamiento de agua, puede ser de propiedad privada, como suele ser el caso en los Estados Unidos, pero causaría daños a nivel nacional si sus sistemas fallaran. Los mensajes de movilización para las fuerzas de reserva israelíes en tiempo de guerra pasan por redes de telecomunicaciones privadas. Y el Internet de las cosas, que ha conectado muchos de nuestros productos de consumo, también ha creado vulnerabilidades masivas.

“Si quieres derribar un avión no tienes que pasar por la puerta de entrada a la cabina”, dijo Ben Efraim, un ex piloto de caza. “Vas tras el aeropuerto. … Vas tras los sistemas de logística. Vas detrás de los iPads que llevan los pilotos a casa. “Ya no hay más entidades independientes: todo es parte de una red”, agregó Ben Efraim. Como dijo el viceministro de Defensa de Lituania, Edvinas Kerza, aludiendo a las acciones de Rusia contra otros ex estados soviéticos: “Los ataques vienen de dentro de los bancos, el gobierno no responde, la inestabilidad es general. … ‘Está bien establecer un límite’, dicen. ‘Vamos a investigar desde adentro’ “.

Israel, por ejemplo, ha elegido combatir el problema a nivel estatal al vincular las esferas pública y privada, a veces literalmente. El ciberhub del país en la ciudad sureña de Beersheba alberga no solo el nuevo campus tecnológico del ejército israelí, sino también un parque empresarial de alta tecnología, el centro de ciberinvestigación de la Universidad Ben-Gurion del Negev y la Dirección Nacional de Ciberdelincuencia de Israel, que informa directamente a la oficina del primer ministro. “Hay un puente físico entre ellos”, dijo Avner, el asesor de seguridad a modo de énfasis.

En un mundo donde la cacareada agencia de seguridad interna de Israel, Shin Bet, lanzó recientemente un acelerador privado de puesta en marcha, tal colaboración privada-pública solo crecerá. De hecho, debe ser para mantenerse al día con los rápidos desarrollos en áreas como la inteligencia artificial, el aprendizaje automático y otros avances en el poder computacional.

Cyberwar no solo ha difuminado las líneas entre ataque y defensa; también ha borrado la noción de propiedad soberana cuando se trata de desarrollo tecnológico, es decir, qué constituye exactamente una empresa israelí (o estadounidense o china). Internet ha eclipsado las fronteras y la guerra cibernética no es una excepción. Como dijo Schneier de Harvard, las “fichas están hechas en X, ensambladas en Y, y el software está escrito en todo el mundo por 125 nacionales diferentes”. Tal fluidez es especialmente común en Israel, donde las firmas extranjeras con mucho dinero han establecido investigaciones y desarrollo de puestos de avanzada y compran nuevas empresas locales.

Si bien la naturaleza internacional de la tecnología informática confiere muchos beneficios, también hace que sea difícil determinar el origen de un ataque cibernético. Esa falta de atribución hace que sea más difícil para los gobiernos responder, y la ausencia de represalias dificulta o imposibilita la disuasión. “Es por eso que las armas cibernéticas han surgido como herramientas efectivas para estados de todos los tamaños: una forma de interrumpir y ejercer poder o influencia sin iniciar una guerra de disparos”, escribió David Sanger en un artículo del New York Times adaptado de su libro The Perfect Weapon: Guerra, sabotaje y miedo en la era cibernética .

Si bien el sector privado puede pagar más a su gente, sacando talento del servicio público, el gobierno aún tiene una carta de triunfo: la ley. Lo que nos lleva de regreso al Grupo NSO y a Mansoor, el disidente emiratí. Para poder vender legalmente el arma cibernética ofensiva utilizada para atacarlo, NSO necesitaría el permiso del regulador de exportaciones de armas de Israel, entidad que se encuentra en el Ministerio de Defensa. De esta forma, al menos, las armas cibernéticas están tan estrictamente reguladas como otros sistemas de armas vendidos por los israelíes a gobiernos extranjeros. Y los clientes son solo gobiernos.

“Vender dichos sistemas a gobiernos no gubernamentales, como una empresa o un oligarca, es completamente ilegal”, dijo Yuval Sasson, un socio especializado en exportaciones de defensa en Meitar, una de las principales firmas de abogados de Israel. “Al igual que con un dron o un rifle de asalto, el regulador mira al usuario final: la identidad del gobierno y lo que hace. La funcionalidad es una prueba central “. En el caso de los Emiratos Árabes Unidos y Mansoor, algunos funcionarios dentro de la oficina del regulador aconsejaron no vender dicho sistema a un estado árabe, según el diario israelí Yedioth Ahronoth. Informó que el arma cibernética que los reguladores finalmente aprobaron era más débil que la propuesta por la NSO y dijo que algunos funcionarios del Ministerio de Defensa se opusieron al acuerdo porque la tecnología se estaba vendiendo a un país árabe. “Es un escándalo que dieran un permiso como este”, dijo el diario citando a un alto funcionario del ministerio.

NSO, por su parte, dijo en un comunicado que cumple con todas las leyes pertinentes y que “no opera el software para sus clientes, simplemente lo desarrolla”. Tal vez sea una distinción falsa, pero ofrece otro ejemplo de los enigmas de ofensa-defensa y público-privado: las mismas ciberherramientas privadas desplegadas contra enemigos del estado, como periodistas y disidentes, pueden ser, y son, utilizadas para interceptar narcos y terroristas también. De hecho, en 2016 el FBI contrató a una empresa israelí independiente, Cellebrite, para entrar en el iPhone de uno de los terroristas involucrados en el ataque de 2015 en San Bernardino, California, con una ciberherramienta diferente (después de que Apple se negara). Se informa que Cellebrite vende sus productos en más de 100 países.

Mientras que algunos críticos culpan a Israel por el comportamiento deshonesto, el país no es atípico; hay pocos santos en el comercio mundial de armas, incluso entre las democracias occidentales. A las empresas israelíes les interesa cumplir con la ley, evitar abusos y evitar que la tecnología caiga en manos equivocadas. Como dijo Avner, “hay mucho dinero por hacer, y pueden hacerlo legalmente”. ¿Por qué estar en las sombras?

El resultado es que NSO no estaba operando en las sombras. El gobierno israelí aprobó la venta por parte de una empresa privada de un arma cibernética avanzada a un gobierno árabe con el que tiene intercambios de inteligencia y seguridad. Esa decisión fue un símbolo de cómo la tecnología, la guerra y la política han cambiado drásticamente en solo unos pocos años. El espionaje, las operaciones de información y los ataques militares han estado con nosotros desde siempre; también lo han hecho agentes privados que venden armas en todo el mundo (incluidas, en las últimas décadas, muchos ex militares israelíes). La diferencia ahora es el alcance y la velocidad de estas nuevas ciberherramientas y su fácil proliferación. Una “raza cibernética de proporciones históricas pero ocultas ha despegado”, según Sanger, y la raza es global. El posible inconveniente es obvio: una carrera de armamentos sin reglas ni normas y sin líneas de frente claras. Pero no hay marcha atrás.

“Necesitamos ser humildes”. Estamos comenzando a entender este asunto”, dijo Ben Efraim, “pero es una verdadera revolución”. Hace cien años no había elementos aéreos para la guerra. Ahora es un componente crítico de cualquier ejército”.