Apenas 48 horas después del colapso de los sitios web gubernamentales y de los bancos en Ucrania por un ciberataque coordinado el 15 y 16 de febrero, Estados Unidos señaló como responsables a espías rusos.

La asesora adjunta de Seguridad Nacional de la Casa Blanca para Cibertecnología y Tecnología Emergente, Anne Neuberger, afirmó que Estados Unidos disponía de "información técnica que vinculaba a la Dirección Principal de Inteligencia (GRU) de Rusia" con el ataque DDoS (un ataque distribuido de denegación de servicio) que había sobrecargado y derribado los sitios web ucranianos.

"Se detectó que la infraestructura de GRU transmitía grandes volúmenes de comunicación a direcciones IP y dominios con sede en Ucrania", declaró Neuberger a los periodistas el 18 de febrero. Se cree que el ciberataque tenía la intención de sembrar el pánico en Ucrania cuando más de 150.000 soldados rusos se encontraban en la frontera.

La velocidad a la que las autoridades de EE. UU. y Reino Unido pudieron señalar a los culpables refleja un enorme cambio con respecto a la historia reciente y muestra cómo la atribución se ha convertido en una herramienta crucial del ciberconflicto para Estados Unidos. En los últimos años, EE. UU. lo ha utilizado como una herramienta geopolítica con más frecuencia que cualquier otro país del mundo, a menudo trabajando con sus aliados en Reino Unido, especialmente cuando el objetivo era Rusia, como fue el caso la semana pasada.

Neuberger resaltó que la velocidad con la que realizan esa atribución es muy inusual: "Lo hemos hecho por la necesidad de denunciar este comportamiento rápidamente como parte de responsabilizar a las naciones cuando realizan ciberactividades perturbadoras o desestabilizadoras".

Esta nueva política tiene sus raíces en lo que sucedió con motivo de las elecciones estadounidenses de 2016. El ex alto funcionario del Consejo de Seguridad Nacional centrado en Rusia, Gavin Wilde, ayudó a redactar el histórico análisis de la comunidad de inteligencia que detallaba las campañas de hackeo y desinformación de Moscú (Rusia) destinadas a influir en las elecciones. Se necesitó un enorme esfuerzo impulsado por el propio presidente Obama, respaldado por el entonces director de Inteligencia Nacional James Clapper, solo para iniciar el proceso de reunir a las relevantes agencias de inteligencia estadounidenses en la misma sala para compartir información en una amplia variedad de niveles de clasificación.

Pero la atribución de la campaña de Rusia no se hizo pública hasta 2017, varios meses después de las propias elecciones estadounidenses.

"Había un sentimiento de impotencia [entre la inteligencia de EE. UU.] cuando claramente la sociedad estadounidense era el objetivo de los rusos", confiesa Wilde a MIT Technology Review.

Aunque llegó tarde, el análisis fue un logro impresionante en comparación con todo lo que se había hecho antes.

"Pero todavía había una sensación de fracaso, porque no pudimos paliar estas actividades antes de que los rusos sembraran bien esas narrativas, y las personas en posiciones destacadas las amplificaran", subraya Wilde.

El largo camino

El hackeo fue una faceta importante de la política mundial durante décadas antes de que se considerara seriamente la atribución pública. Pero un informe histórico sobre la ciberseguridad de una empresa del sector privado, que apareció en la portada de The New York Times, cambió la forma en que el mundo entero pensaba sobre el desenmascaramiento a los hackers.

El informe de 2013 sobre los hackers chinos conocido como APT1, de la empresa estadounidense de ciberseguridad Mandiant, fue el primero en señalar públicamente como culpable a un estado-nación. Pasó una década completa de hackeo por parte de este grupo, que comenzó en 2002, para que la acusación se hiciera pública.

Cuando se publicó el informe de APT1, fue muy detallado, e incluso destacó al grupo de ciberespionaje del Ejército Popular de Liberación de China conocido como Unidad 61398. Un año después, el Departamento de Justicia de EE. UU. respaldó el informe cuando acusó a cinco oficiales de la unidad por cargos de hackeo y robo de propiedad intelectual de empresas estadounidenses.

"El informe de APT1 cambió fundamentalmente el cálculo de riesgo-beneficio de los atacantes", afirma el investigador alemán de ciberespionaje y autor del libro Attribution of Advanced Persistent Threats (Atribución de amenazas persistentes avanzadas) Timo Steffens.

"Antes de ese informe, las ciberoperaciones se consideraban herramientas casi libres de riesgo", recuerda. El informe no solo planteó hipótesis, sino que documentó de forma clara y transparente los métodos de análisis y las fuentes de datos. Estaba claro que este no fue un hallazgo afortunado único, sino que también se podía aplicar a otras operaciones y ataques.

Las consecuencias de las noticias que acapararon los titulares fueron de gran alcance. Siguió una ola de atribuciones similares, y Estados Unidos acusó a China de robo masivo sistemático. Como resultado, la ciberseguridad fue un tema central de la visita del presidente chino Xi Jinping a Estados Unidos en 2015.

"Antes del informe de APT1, la atribución era como el elefante en la habitación que nadie se atrevía a mencionar", indica Steffens, que añade: "En mi opinión, no solo fue un avance técnico, sino también un logro audaz de los autores y de sus superiores para dar el último paso y hacer públicos los resultados".

Es ese paso final el que ha faltado, ahora que los oficiales de inteligencia ya están bien versados en el aspecto técnico. Para atribuir un ciberataque, los analistas de inteligencia verifican una variedad de datos, incluido el malware que usaron los hackers, la infraestructura o los ordenadores que prepararon para realizarlo, la inteligencia y las comunicaciones interceptadas, y la cuestión de cui bono (¿quién sale ganando?), un análisis geopolítico de la motivación estratégica detrás de los ataques.

Cuantos más datos se puedan examinar, a medida que surgen distintos patrones más fácil se vuelve la atribución. Incluso los mejores hackers del mundo cometen errores, dejan pistas y reutilizan herramientas antiguas que ayudan a identificarlos. Existe una carrera armamentista en curso entre los analistas que encuentran nuevas formas de desenmascarar a los hackers y los propios hackers que intentan cubrir sus huellas.

Pero la velocidad con la que se atribuyó el ataque ruso mostró que los retrasos anteriores en dar nombres no se debieron simplemente a la falta de datos o pruebas. Era un tema político.

Wilde, que trabajó en la Casa Blanca hasta 2019, afirma: "Todo se reduce a una cuestión de voluntad política. Para eso se necesita un liderazgo decisivo en todos los niveles. Mis interacciones con [Anne Neuberger] me llevan a creer que ella es del tipo de gente que puede mover montañas y eliminar la burocracia cuando sea necesario para augurar un resultado. Así es ella como persona".

Wilde argumenta que la posible invasión rusa de Ucrania, que pone en riesgo cientos de miles de vidas, está presionando a la Casa Blanca para que actúe con mayor rapidez.

"La administración parece haberse dado cuenta de que la mejor defensa es un buen ataque preventivo para adelantarse a estas narrativas, 'descartarlas' e inocular a la audiencia internacional, ya sean las ciberintrusiones o las banderas falsas y los pretextos fingidos", considera Wilde.

La atribución pública puede tener un impacto muy real en la ciberestrategia de los adversarios. Puede indicar que están siendo observados e interpretados, y puede imponer costes cuando se descubren las operaciones y deben destruir sus herramientas para comenzar de nuevo. También puede desencadenar acciones políticas como sanciones que van tras las cuentas bancarias de los responsables.

Igual de importante, según Gavin, es que esto representa una señal para la sociedad de que el Gobierno está siguiendo de cerca la ciberactividad maliciosa y que trabaja para abordarla.

"Crea una brecha de credibilidad, especialmente con los rusos y los chinos", indica Gavin, que concluye: "Pueden ofuscar todo lo que quieran, pero el Gobierno de EE. UU. lo está haciendo todo público: una explicación forense de su tiempo y esfuerzos".