Durante los últimos años, las compañías de seguridad informática e incluso los funcionarios del Gobierno de Estados Unidos han alegado que diversos atacantes en China y otros lugares roban secretos rutinariamente de ordenadores corporativos en Estados Unidos. Sin embargo, hacer un seguimiento de los autores de esas violaciones y mostrar que las empresas podrían haber recibido datos copiados es extremadamente difícil. Una start-up llamada CrowdStrike acaba de desarrollar herramientas que, según afirma la compañía, pueden rastrear ataques con suficientes detalles como para que las víctimas acusen públicamente a los beneficiarios. Después, las empresas pueden emprender acciones legales o promover sanciones comerciales internacionales.

Eso resultaría una nueva táctica para las empresas estadounidenses, y podría tener importantes implicaciones geopolíticas. CrowdStrike, al igual que otras compañías de seguridad, señala que el ejército chino, el Ejército de Liberación del Pueblo (ELP), que actúa en nombre de las empresas chinas, es el infiltrado más prolífico en las redes de empresas estadounidenses. Aunque el sector privado y el Gobierno están cada vez más dispuestos a reconocer el problema, aún no se han hecho acusaciones específicas en público, y la respuesta de Washington ha sido cautelosa y sobre todo ha tenido que ver con la seguridad nacional.

"Si esperamos a que el Gobierno resuelva este problema, vamos a esperar mucho tiempo", señala Dmitri Alperovitch, cofundador y director tecnológico de CrowdStrike. "Sin embargo, podemos ejercer una gran presión contra estos grupos si nos fijamos en el lugar de destino de los datos".

Eso exige ir un paso más allá del tipo de análisis revelado en un informe detallado publicado por Mandiant, competidor de CrowdStrike, la semana pasada. El informe acaparó titulares al acusar a una unidad especial del ejército chino de infiltrarse en empresas estadounidenses de forma habitual.

"El ELP no está interesado en los datos de Coca-Cola, sino que hay otro consumidor", asegura Alperovitch. "Puede que sean empresas de propiedad estatal o una empresa que trabaje en estrecha colaboración con el Gobierno. No se puede hacer mucho contra el ELP, pero se puede hacer mucho contra esa compañía".

CrowdStrike no revela demasiados detalles acerca de su tecnología por temor a ayudar a los atacantes. Sin embargo, Alperovitch afirma que las tácticas podrían incluir el uso de trampas dentro de la red de una empresa para engañar a los atacantes y hacer que lleven a cabo acciones que permitan una ingeniería inversa de su tecnología, métodos, y sistemas de comunicación. Otras estrategias podrían incluir dirigir a los atacantes hacia versiones falsas de datos valiosos y después ver qué posibles beneficiarios han usado esas pistas y actuado en consecuencia. Un enfoque denominado 'señalización', que consiste en la incrustación de código en los datos para que se emita un mensaje si son copiados, también puede ayudar a identificar dónde acaban los datos, señala Alperovitch. La compañía ofrece a sus clientes un paquete de software llamado Falcon que puede detectar ataques, recopilar datos y ayudar a implementar dichas respuestas. También ofrece los servicios de especialistas en seguridad informática e inteligencia para ayudar a interpretar los datos disponibles y aconsejar a las empresas sobre cómo proceder.

CrowdStrike ya ha estado trabajando con algunas empresas y organizaciones no lucrativas estadounidenses, y Alperovitch señala haber reunido pruebas sólidas acerca de empresas que se han beneficiado de datos robados. Ahora está tratando de convencer a algunos clientes para que tomen una respuesta pública, como por ejemplo acciones legales, pero admite que la idea causa cierto nerviosismo en la sala de juntas: "Varios miembros lo están pensando seriamente, pero les preocupa la venganza". Alperovitch cree que el riesgo podría ser mitigado si varias empresas de una determinada industria dan un paso adelante juntas.

Irving Lachow, director del programa de tecnología y seguridad nacional de EE.UU. en el Centro para una Nueva Seguridad Estadounidense, un think tank con sede en Washington, DC, señala que muchas empresas del país están listas para adoptar nuevas ideas sobre cómo protegerse a sí mismas, ya que la seguridad del software convencional no está funcionando. "El nivel de actividad se ha incrementado hasta el punto de que las empresas estadounidenses necesitan hacer algo diferente a lo que han estado haciendo", afirma.

Aun así, la recopilación de pruebas que vinculen determinadas sociedades mercantiles con el espionaje industrial será un desafío, y Lachow indica que incluso un tipo de evidencia sólida podría no ser suficiente para que el Gobierno de EE.UU. impusiera sanciones. "Las sanciones son una decisión del Gobierno, y hay que sopesar una serie de consideraciones, económicas y políticas", señala. La búsqueda de sanciones por delitos informáticos podría sentar un precedente que Washington no quiere establecer, explica. Aunque EE.UU. no se ve acusada de espionaje industrial del mismo modo que China, se sabe que el país es el hogar de una gran cantidad de desarrolladores de malware criminal y una creciente industria de software malicioso militar.