Cuando se publicó el informe APT1, el documento fue inmensamente detallado, e incluso destacó al grupo de ciberespionaje del Ejército Popular de Liberación de China conocido como Unidad 61398. Un año después, el Departamento de Justicia de EE. UU. respaldó efectivamente el informe cuando acusó a cinco oficiales de la unidad por cargos de piratería y robo de propiedad intelectual de empresas estadounidenses.
“El informe APT1 cambió fundamentalmente el cálculo beneficio-riesgo de los atacantes”, dice Timo Steffens, investigador alemán de ciberespionaje y autor del libro. Atribución de amenazas persistentes avanzadas.
“Antes de ese informe, las operaciones cibernéticas se consideraban herramientas casi libres de riesgo”, dice. El informe no solo planteó hipótesis, sino que documentó de forma clara y transparente los métodos de análisis y las fuentes de datos. Estaba claro que este no fue un hallazgo afortunado único, sino que el oficio también se puede aplicar a otras operaciones y ataques”.
Las consecuencias de las noticias que acapararon los titulares fueron de largo alcance. Siguió una ola de atribuciones similares, y Estados Unidos acusó a China de robo masivo sistemático. Como resultado, la ciberseguridad fue una pieza central de la visita del presidente chino Xi Jinping a los Estados Unidos en 2015.
“Antes del informe APT1, la atribución era el elefante en la habitación que nadie se atrevía a mencionar”, dice Steffens. “En mi opinión, no solo fue un avance técnico, sino también un logro audaz de los autores y sus gerentes para dar el paso final y hacer públicos los resultados”.
Es ese paso final el que ha faltado, ya que los oficiales de inteligencia ahora están bien versados en el aspecto técnico. Para atribuir un ataque cibernético, los analistas de inteligencia analizan una variedad de datos que incluyen el malware que usaron los piratas informáticos, la infraestructura o las computadoras que orquestaron para realizar el ataque, la inteligencia y las comunicaciones interceptadas, y la cuestión de cui bono (¿quién sale ganando?): un análisis geopolítico de la motivación estratégica detrás de los ataques.
Cuantos más datos se puedan examinar, más fácil se vuelve la atribución a medida que surgen patrones. Incluso los mejores piratas informáticos del mundo cometen errores, dejan pistas y reutilizan herramientas antiguas que ayudan a defender el caso. Hay una carrera armamentista en curso entre los analistas que encuentran nuevas formas de desenmascarar a los piratas informáticos y los piratas informáticos que buscan cubrir sus huellas.
Pero la velocidad con la que se atribuyó el ataque ruso mostró que los retrasos anteriores en dar nombres no se debieron simplemente a la falta de datos o pruebas. El tema era la política.
“Todo se reduce a una cuestión de voluntad política”, dice Wilde, quien trabajó en la Casa Blanca hasta 2019. “Para eso se necesita un liderazgo decisivo en todos los niveles. Mis interacciones con [Anne Neuberger] llévame a creer que ella es del tipo que puede mover montañas y eliminar la burocracia cuando es necesario para augurar un resultado. Esa es la persona que es”.
Wilde argumenta que la posible invasión rusa de Ucrania, que arriesga cientos de miles de vidas, está presionando a la Casa Blanca para que actúe con mayor rapidez.
“La administración parece haberse dado cuenta de que la mejor defensa es un buen ataque preventivo para adelantarse a estas narrativas, ‘pre-criticarlas’ e inocular a la audiencia internacional, ya sean las intrusiones cibernéticas o las banderas falsas y los pretextos falsos”, dice. Wilde.
La atribución pública puede tener un impacto muy real en la estrategia cibernética de los adversarios. Puede indicar que están siendo observados y entendidos, y puede imponer costos cuando se descubren operaciones y las herramientas deben quemarse para comenzar de nuevo. También puede desencadenar acciones políticas como sanciones que van tras las cuentas bancarias de los responsables.
Igual de importante, argumenta Gavin, es una señal para el público de que el gobierno está siguiendo de cerca la actividad cibernética maliciosa y trabajando para solucionarla.
“Crea una brecha de credibilidad, particularmente con los rusos y los chinos”, dice. “Pueden ofuscar todo lo que quieran, pero el gobierno de los EE. UU. lo está poniendo todo para el consumo público: una contabilidad forense de su tiempo y esfuerzos”.