Usando como base un informe reciente del Consejo de Asesores Económicos titulado The Cost of Malicious Cyber Activity to the U.S. Economy (El costo de la ciberactividad maliciosa sobre la economía de EE.UU.), la Casa Blanca acusó a Rusia, China, Irán y Corea del Norte de realizar actividad cibernética maliciosa contra la economía de EEUU y de haber provocado pérdidas de entre 57.000 y 109.000 millones de dólares en 2016.
russian cybercriminal
© Sott.netPrueba concluyente de la culpabilidad rusa...
Tan solo para clarificar, el Consejo de Asesores Económicos es un organismo de la Oficina Ejecutiva del Presidente que se encarga de ofrecer al Presidente asesoramiento económico objetivo para la formulación de políticas económicas nacionales e internacionales. Según la propia web del organismo, este consejo basa sus recomendaciones y análisis en la investigación económica y las pruebas empíricas, utilizando los mejores datos disponibles para apoyar al Presidente en el establecimiento de la política económica de la nación.

Suena bien, ¿verdad? Pero qué pasaría si nos tomáramos el trabajo de analizar un poco más concienzudamente que tan "mejores" son estos "mejores datos disponibles".

¿Dónde están los "mejores datos disponibles"?

Para analizar el informe, el primer paso es ir directo a la fuente, al reporte original, y luego buscar en qué basó este organismo gubernamental sus aseveraciones, y sobre todo, cómo es que logró esa pretendida objetividad a la hora de asesorar al Presidente y a su equipo.

Al leerlo detenidamente lo primero que se puede apreciar es que, en lo que respecta a las pruebas que apuntan directamente a Rusia (o a China, Irán y Corea del Norte) como estados enemigos que deliberadamente ciberatacan a EE.UU., tan sólo existe una única referencia repetida varias veces a un reporte de la Oficina del Director Nacional de Inteligencia referido como DNI (2017).

Sin ánimo de sonar arrogante y como una nota marginal, debo aclarar antes de seguir adelante que yo trabajo en el ámbito de las comunicaciones y grandes redes de datos, y humildemente no han sido pocas las veces que he tenido que lidiar con ciberataques. En consecuencia, aunque no soy un experto, me considero en condiciones de comprender suficientemente bien cualquier información técnica que explique y pruebe cómo es que la mencionada oficina concluyó que el origen de los ataques fueron los gobiernos de Rusia, China, Irán y Corea del Norte.

Como es lógico busqué el DNI (2017) ansioso por ver qué tan rigurosos habían sido en el trabajo de análisis forense de los ciberataques. Pero para mi sorpresa (bueno, para serle franco no me sorprendió tanto) no hallé ni el más mínimo vestigio de dato técnico que probara o al menos sugiriera la culpabilidad de estas naciones, ni tampoco una referencia a otro reporte que lo hiciera.

Si tiene el tiempo y suficiente paciencia lo puede corroborar usted mismo aquí, si no, permítame contarle qué es lo que dice el DNI (2017). En el primer capítulo titulado "Amenazas Globales", debajo del primer apartado subtitulado "Ciber Amenazas", tras una breve introducción dice lo siguiente:
Rusia: Rusia es un actor cibernético de alcance completo que seguirá siendo una gran amenaza para el gobierno de EE.UU. tanto en lo militar, como en lo diplomático, comercial y de infraestructura crítica. Moscú tiene un programa cibernético ofensivo altamente avanzado, y en los últimos años, el Kremlin ha asumido una postura cibernética más agresiva. Esta agresividad fue evidente en los esfuerzos de Rusia por influir en las elecciones de EE.UU. de 2016, y consideramos que sólo los altos funcionarios rusos podrían haber autorizado los robos y revelaciones de datos de 2016 centrados en las elecciones de EE.UU., basados en el alcance y la sensibilidad de los objetivos.

Fuera de los Estados Unidos, los actores rusos han llevado a cabo ciberataques perjudiciales y perturbadores, incluso en redes de infraestructura crítica. En algunos casos, los agentes de inteligencia rusos se han disfrazado de terceros, escondiéndose detrás de falsas personas en línea diseñadas para hacer que la víctima atribuya mal el origen del ataque. Rusia también ha aprovechado el ciberespacio para intentar influir en la opinión pública de Europa y Eurasia. Evaluamos que las operaciones cibernéticas rusas seguirán centrándose en los Estados Unidos y sus aliados para reunir información de inteligencia, apoyar la toma de decisiones rusas, llevar a cabo operaciones de influencia para apoyar los objetivos militares y políticos rusos y preparar el entorno cibernético para futuras contingencias. (Pág. 1)
Bien, se entendió el punto: los rusos son realmente perversos y su accionar canallesco merece toda la atención del gobierno de EE.UU. y sus agencias de defensa... Pero ¿¿y las pruebas?? Es decir, elaboran un informe oficial destinado al Presidente y acusan a Rusia de ser el actor internacional más maquiavélico, vil y peligroso del mundo, y posiblemente alientan la toma de decisiones drásticas y ostensiblemente belicosas; en consecuencia arriesgan el pellejo de cada habitante sobre el globo. Hacen todo esto... ¿y no piensan mostrar (o al menos sugerir) la existencia de una prueba, evidencia o, al menos, un indicio de que Rusia hizo todo eso de lo que se le acusa?

Está bien, uno podría aceptar que éste es tan sólo un reporte ejecutivo con las conclusiones de lo que fue una magistral investigación por parte de la telaraña de agencias de inteligencias de los EE.UU., pero no hay una referencia a algo, una mención a otro reporte, cualquier cosa... ¡¡NADA!!... ¿Y si acaso mintieran con la intención de conducir las políticas de la Casa Blanca hacia una absurda confrontación con Rusia y otros actores internacionales?

Y como si lanzar acusaciones sin pruebas fuera poco, los autores del informe no parecen sentir vergüenza de volver a traer a la palestra la cuestión de la injerencia rusa en las elecciones que llevaron a la presidencia a Donald Trump. Esto sí que es atrevido, pues verdaderamente después del reciente escándalo que está haciendo añicos la narrativa de la "colusión rusa" para subvertir la democracia estadounidense, no parece que éste sea el mejor momento para lanzar absurdas e insensatas acusaciones sobre una supuesta gran confabulación rusa contra la "nación indispensable".
putin hacker
© Sott.netEl delincuente digital más buscado...
Lo más interesante es que el DNI (2017) es un informe que habla acerca de más de 35 naciones lanzando atrevidas acusaciones y afirmando hechos que de ser ciertos serían gravísimos, pero en todo el documento no hay una referencias, ni un pie de página, una nota al margen... nada que indique de dónde y cómo se obtuvo toda esta escandalosa información.

Para hacerse una idea, esto es lo que se dice sobre las otras tres naciones "enemigas" de Washington:
China: Evaluamos que Beijing continuará atacando activamente al Gobierno de los Estados Unidos, sus aliados y las empresas estadounidenses a través del ciberespionaje. Los expertos en seguridad del sector privado continúan identificando la continua actividad cibernética de China, aunque en volúmenes significativamente más bajos que antes de los compromisos cibernéticos bilaterales entre China y EE.UU. de septiembre de 2015. Pekín también ha utilizado selectivamente operaciones cibernéticas ofensivas contra objetivos extranjeros que probablemente cree que amenazan la estabilidad interna china o la legitimidad del régimen. (Pág. 1)
¿Qué expertos en seguridad? ¿Cuál "sector privado"? ¿Y si el "sector privado" tuviera intereses propios o respondiera a intereses de terceros que no estuvieran alineados con lo más conveniente y saludable para EE.UU.? ¿Qué tal si el "sector privado" tuviera particular interés en que EE.UU. vea como enemigo a China y le convendría que tuvieran contra este último una política extremadamente agresiva porque es un obstáculo para sus propios negocios? No pierda el tiempo, no encontrará respuesta a ninguna de estas preguntas en el documento.
Irán: Teherán continúa aprovechando el espionaje, la propaganda y los ataques cibernéticos para apoyar sus prioridades de seguridad, influir en los acontecimientos y las percepciones extranjeras y contrarrestar las amenazas, incluso contra los aliados estadounidenses en la región. Irán también ha utilizado sus capacidades cibernéticas directamente contra Estados Unidos. Por ejemplo, en 2013, un pirata informático iraní llevó a cabo una intrusión en el sistema de control industrial de una presa estadounidense, y en 2014, los actores iraníes llevaron a cabo un ataque de eliminación de datos contra la red de un casino con sede en Estados Unidos. (Pág. 1)
¡¡Un pirata informático!! A ver, aceptemos que alguien atacó a EE.UU., ¿y dónde están las pruebas que vinculan a este pirata con el gobierno iraní? Por otro lado, al margen del uso del términos "actores iraníes", no parece que haya nada que sugiera que el gobierno iraní estuviera involucrado en el último evento señalado (el ataque de eliminación de datos), sobre todo considerando que estos supuestos superespías del recontraespionaje eligieron atacar un... ¿¿casino??
Corea del Norte: Pyongyang ha llevado a cabo anteriormente ciberataques contra entidades comerciales estadounidenses (específicamente, Sony Pictures Entertainment en 2014) y sigue siendo capaz de lanzar ciberataques perjudiciales o destructivos para apoyar sus objetivos políticos. Pyongyang también representa una amenaza cibernética para los aliados estadounidenses. Funcionarios surcoreanos han sugerido que Corea del Norte fue probablemente responsable del compromiso y divulgación de datos en 2014 de una planta nuclear surcoreana.
¡En fin! Más de los mismo, "Corea del Norte es malo y una vez nos atacó y nos causó mucho daño; seguro que mañana nos atacará de nuevo"... más o menos éste es el tenor del informe que desafortunadamente es utilizado directa o indirectamente por el Ejecutivo estadounidense para tomar decisiones.

Volvamos ahora al reporte de la Consejo de Asesores Económicos que, basándose en el informe DNI (2017,) aseguró que Rusia, China, Irán y Corea del Norte son Estados que atentan deliberadamente a través del ciberespacio y causan cuantiosas pérdidas anuales a la economía norteamericana.

Según este informe hay 6 categorías de ciberataques posibles (cita literal del informe, pág. 3):
  • Estados-nación: Los actores principales son Rusia, China, Irán y Corea del Norte, según el DNI (2017).
  • Competidores corporativos: se trata de empresas que buscan acceso ilícito a la propiedad intelectual patentada, incluyendo información financiera, estratégica y relacionada con la mano de obra sobre sus competidores; muchos de estos actores corporativos están respaldados por Estados nacionales.
  • Hacktivistas: Generalmente son individuos o grupos privados alrededor del mundo que tienen una agenda política y buscan llevar a cabo ataques de alto perfil. Estos ataques ayudan a los hacktivistas a distribuir propaganda o causar daño a las organizaciones de la oposición por razones ideológicas.
  • Grupos delictivos organizados: Son colectivos criminales que se dedican a ataques selectivos motivados por la búsqueda de ganancias. Recaudan ganancias mediante la venta de IP robadas en la red profunda y mediante la recaudación de pagos de rescate de entidades públicas y privadas mediante ataques disruptivos.
  • Oportunistas: Éstos son generalmente hackers aficionados impulsados por un deseo de notoriedad. Los oportunistas típicamente atacan a las organizaciones usando códigos y técnicas ampliamente disponibles, y por lo tanto representan la forma menos avanzada de adversarios.
  • Información privilegiada de la empresa: por lo general, se trata de empleados descontentos o exempleados que buscan venganza o beneficios económicos. Los intrusos pueden ser especialmente angustiosos cuando trabajan en tándem con actores externos, lo que permite a estos actores externos saltarse fácilmente incluso las defensas más robustas.
Como se puede apreciar en la primera categoría, la información sobre la culpabilidad de estos Estados-naciones se obtiene a partir del vago reporte DNI (2017). Curiosamente en el segundo apartado se intenta vincular lo que bien podría ser una simple guerra entre corporaciones, a Estados malvados que operan a través de corporaciones, pero por supuesto, todo esto sin aportar siquiera un indicio de a partir de dónde surge este supuesto vínculo.

En la pág. 4 del reporte se aclara que según el informe Verizon's Data Breach Investigations Report el 75 por ciento de los incidentes y violaciones cibernéticas recientes fueron causados por extranjeros, mientras que el 25 por ciento fueron llevados a cabo por actores locales. Y en el mismo párrafo el reporte vuelve a afirmar, tomando como referencia el archimencionado DNI (2017), que Rusia, China, Irán y Corea del Norte, junto con terroristas y criminales, son actores frecuentes de la ciberamenaza.

El párrafo que le sigue reza lo siguiente:
Un informe de PricewaterhouseCoopers (PwC 2014) (basado en una encuesta realizada a más de 9.700 ejecutivos de nivel C, vicepresidentes, otros administradores, y directores de TI y encargados de seguridad, con el 35 por ciento de las empresas encuestadas con sede en Norteamérica) señala que las actividades cibernéticas maliciosas de los Estados nacionales son la categoría de mayor crecimiento de los incidentes de ciberseguridad. Los actores que están llevando a cabo actividades cibernéticas maliciosas en nombre de los Estados-nación se encuentran entre los más hábiles técnicamente, y las brechas de seguridad atribuibles a los Estados-nación a menudo pasan desapercibidas para las empresas. Aunque históricamente los Estados nacionales han tratado de robar la propiedad intelectual, los planes financieros sensibles y la información estratégica, los Estados nacionales a menudo están motivados por objetivos de represalias, y por lo tanto pueden involucrarse en la destrucción de datos y equipos y la interrupción del negocio (FBI 2014). El ataque más reciente confirmado públicamente por un Estado-nación fue un ataque destructivo de malware WannaCry iniciado por Corea del Norte.
Veamos, el informe PwC (2014) basa sus conclusiones en una encuesta realizada a ejecutivos de grandes empresas (apenas algunos tienen conocimiento técnico, normalmente sólo el personal de TI). De acuerdo a las respuestas de los encuestados, el informe afirma que la categoría de mayor crecimiento es la de ciberataques provenientes de Estados-nación.

Ahora bien, para saber a ciencia cierta si el origen de un ataque proviene de una acción coordinada de las fuerzas gubernamentales de un Estado, no sólo se necesita saber el origen del ataque en términos de IP (dirección de red origen), sino que se necesita información sensible de inteligencia, una gran preparación técnica para determinar la naturaleza de los ataques, hacer el seguimiento de las conexiones, trazar los pequeños rastros que éstas van dejando, y finalmente vincularlo con un gobierno. Es incomprensible cómo es que ejecutivos de una empresa puedan hacer semejante acusación con tanta frescura sin que se les exija por lo menos que revelen sus pruebas.

Por otro lado, más abajo el informe del Consejo de Asesores Económicos dice que los actores que perpetran los ataques tienen una habilidades técnicas tan refinadas que a menudo pasan desapercibidos para las empresas. ¿Pero en qué quedamos entonces? ¿Los ejecutivos/técnicos consultados en la encuesta son aptos o no para detectar un ataque proveniente de un Estado-nación?

Al final del párrafo se acusa a Corea del Norte de un incidente muy grave, haciendo alusión a un informe referenciado como FBI (2014). Pero cuando uno se toma el trabajo de leer este informe dice lo siguiente:
Como resultado de nuestra investigación, y en estrecha colaboración con otros departamentos y agencias del gobierno de Estados Unidos, el FBI ahora tiene suficiente información para concluir que el gobierno norcoreano es responsable de estas acciones. Aunque la necesidad de proteger las fuentes y métodos sensibles nos impide compartir toda esta información, nuestra conclusión se basa, en parte, en lo siguiente:
  • El análisis técnico del malware de borrado de datos utilizado en este ataque reveló vínculos con otro malware previamente desarrollado por actores norcoreanos que el FBI conoce. Por ejemplo, había similitudes en líneas específicas de código, algoritmos de cifrado, métodos de eliminación de datos y redes comprometidas.
  • El FBI también observó un solapamiento significativo entre la infraestructura utilizada en este ataque y otras actividades cibernéticas maliciosas que el gobierno de Estados Unidos ha vinculado directamente con Corea del Norte. Por ejemplo, el FBI descubrió que varias direcciones de protocolo de Internet (IP) asociadas con la infraestructura norcoreana conocida, se comunicaban con direcciones IP que estaban codificadas en el malware de eliminación de datos utilizado en este ataque.
  • Por otra parte, las herramientas utilizadas en el ataque tienen similitudes con un ataque cibernético de marzo del año pasado contra bancos y medios de comunicación surcoreanos, realizado por Corea del Norte.
En fin, aclaremos un poco este asunto. El FBI afirma que SIN DUDA Corea del Norte es responsable... pero que no nos pueden explicar bien como lo saben porque estarían liberando información sensible. ¡O sea que les tenemos que creer porque son el FBI! Claro que si tomamos como antecedente todos los escándalos donde el FBI ha mentido, no nos quedan muchas ganas de confiar ciegamente en estos "buenos muchachos".

Por si acaso usted se está sintiendo tentado a creerles, mire tan sólo esto: ... y por supuesto, hay mucho más.
kim jong un morpheus
© Sott.netEl líder norcoreano es el hacker más buscado del ciberespacio...
Después de que el FBI se excusara por no poder entregar las pruebas, el reporte enumera por qué están en condiciones de afirmar que Corea del Norte es culpable. Lo único que yo puedo aportar al respecto es que nada de lo que mencionan es concluyente. El primer fundamento, es decir, la similitudes entre los códigos fuentes y algoritmos de cifrado no significan absolutamente nada, decenas de miles de entendidos en la materia pueden conseguir esta información, incluidos (y en especial) los técnicos expertos de las agencias de inteligencia estadounidenses. Así que esas similitudes ¡¡no prueban NADA!! El segundo y el tercer argumento son más débiles y difusos todavía que el primero.

Por ende, en mi humilde opinión, el informe FBI (2014) no vale ni el papel que usaron para imprimirlo.

Ahora le pido que preste atención al método que usó el Consejo de Asesores Económicos para clasificar los ciberataques y estimar las pérdidas:
El método menos subjetivo para estimar el impacto de un evento de ciberseguridad en una empresa que cotiza en bolsa es cuantificar su reacción bursátil a las noticias de dicho evento. [...] En este análisis, nos basamos en Thomson Reuters para noticias publicadas de ciberataques e intrusiones en firmas específicas. [...] De esta fuente de noticias, separamos las noticias de ciberataques e intrusiones sufridas por empresas individuales. Identificamos las noticias de tales eventos buscando en los titulares de las noticias palabras clave como "ciberataques", "pirateo informático", "violación de datos" y similares, incluidas las variaciones ortográficas y sintácticas de estas palabras clave.
[...]
Nuestro conjunto de datos final contiene noticias de 290 eventos cibernéticos adversos experimentados por 186 empresas únicas. [...] A pesar del pequeño tamaño de la muestra, subdividimos aún más los eventos adversos de ciberseguridad en diferentes categorías utilizando búsquedas de palabras clave. [...] Algunos eventos cibernéticos adversos sólo se describen en el titular de las noticias como atribuidos a Estados-nación sin información adicional sobre los tipos de eventos. Por lo tanto, incluimos una categoría clasificada simplemente como "Estado-nación".
(Págs. 8 a 11)
En primer lugar, como si fuera poca la falta de rigurosidad del reporte que se la pasa citando a otros reportes que ni siquiera tienen fuentes o pruebas sobre lo que afirman, la selección de eventos fue realizada buscando palabras claves en titulares de noticias de una sola agencia de noticias, la agencia Reuters.

Al margen de su opinión personal sobre esta agencia, déjeme decirle que tomar una única fuente y seleccionar la muestra para el análisis a partir de ésta, es producto o de una ineptitud mayúscula, o bien es una acción deliberada concebida para obtener "ciertos" resultados muy convenientes para "ciertos" fines bien específicos.

En segundo lugar (y lo que a mi juicio es mucho más grave) crearon la categoría "Estado-nación" y clasificaron eventos dentro de ésta, tan sólo encontrando referencias al nombre del Estado-nación en el titular de la noticia que reportaba el evento. Esto es tan groseramente absurdo que no hace más que reforzar la idea de que tras este informe hay una clara intencionalidad de dejarle claro al Presidente de EE.UU. que Rusia, China, Irán y Corea del Norte quieren destruir EE.UU., y al mismo tiempo crear un contexto global lleno de basura informativa masivamente difundida que justifique ante el mundo sostener una conducta agresiva, violenta e insensata contra estas supuestas naciones "enemigas".

El muerto se asusta del degollado

Esta historia no concluye aquí. EE.UU. acusa a Rusia, China, Irán y Corea del Norte de haber perpetrado los cibercrímenes más atroces contra la nación que es el estandarte mundial de los valores más sublimes, la defensora de la libertad y la democracia, pero se olvida que cuando se trata de espiar, interferir o hacer ciberatentados, ellos son los campeones.

No hace falta ir muy atrás en el tiempo para recordar la publicación Vault7 de Wikileaks. A través de esta publicación se revelaron documentos clasificados que dejaron al desnudo los proyectos de espionaje de la CIA, dando a conocer con un nivel de detalle superlativo y con abundante información técnica las tácticas de piratería de la agencia de inteligencia estadounidense. ¡¡Eso es dar pruebas objetivas!!

Entre las múltiples revelaciones que fueron parte de Vault7, Wikileaks publicó documentos que mostraban dos malwares (software malicioso) conocidos como AfterMidnight (después de medianoche) y Assassin (asesino). Ambos programas fueron diseñados por la CIA para operar dentro del sistema operativo Microsoft Windows, haciendo posible monitorear y reportar acciones realizadas en el equipo, al igual que ejecutar acciones especificadas por la propia agencia.

Y esto no fue lo peor de todo el sainete que explotó con las publicaciones de Wikileaks, lo más grave fue que todas las sofisticadas herramientas de espionaje e intrusión desarrolladas por la CIA, fueron filtradas no sólo a Wikileaks, sino que al mundo entero, se hicieron accesibles a hackers, piratas informáticos, cibercriminales, e incluso a cualquier adolescente aburrido que tuviera ganas de pasar un "buen momento" fastidiando a alguien más.

La pregunta entonces es: ¿Cómo demonios se atreven estos descarados a acusar a alguien más de cibercriminal? Y si tanto les preocupa el cibercrimen, ¿por qué no han dicho nada cuando su niño mimado, Israel, atacó con un virus informático apodado Stuxnet a centrales nucleares iraníes? Pero claro, no es cibercrimen si lo hacen ellos o sus "socios", ¡en ese caso es ciberjusticia!

Conclusión

Para ser concreto, tras leer el reporte y los documentos referenciados llegué a la conclusión de que la información proporcionada es imprecisa, difusa y llena de vaguedades y acusaciones graves sin dar la más mínima prueba, evidencia o indicio.

Las víctimas de todas estas infundadas denuncias, en definitiva, son Estados a los que Washington ve como enemigos sencillamente porque no se resignan a aceptar la "supremacía americana" ni a ser humillados y vejados por la que en última instancia es la más monumental nación terrorista y depredadora del planeta: los Estados Unidos de América.