¿Es posible un tratado en ciberguerra Internacional?

En la “guerra convencional”, encontramos acuerdos internacionales como el Convenio de Ginebra, el Tratado de no proliferación de armas nucleares, la Convención sobre la prohibición del desarrollo, la producción y el almacenamiento de armas bacteriológica, la Convención sobre prohibiciones o restricciones del empleo de ciertas armas convencionales…

Todas estas convenciones internacionales se basan en algo primordial: la identificación casi inequívoca de los autores/responsables. Los países están sometidos a inspecciones (más o menos amplias) y vigilancia tanto interna como externa, de manera que no puedan eludir su responsabilidad ante ciertas acciones realizadas dentro de sus fronteras.

¿Es posible un tratado internacional en el campo de ‘la guerra en el Ciberespacio’?

En el caso de la Ciberguerra, ¿Qué distingue las acciones de un país de las de otro? Usar la ubicación de direcciones IP para atribuir una acción no es realmente viable, sólo es un leve indicio. Para la cuestión de la atribución, podemos contar con otras posibilidades: el análisis del software utilizado en el ataque (normalmente malware), o el análisis de la capacidad, en el caso de que un país no tenga los conocimientos y la infraestructura para hacer ciertos ataques. Estas son las vías que se siguen, por ejemplo, en el análisis del tan nombrado stuxnet (sí, ya hablaremos de él más adelante) o de la operación Aurora (en un futuro también se hablará de ella).

A cualquier experto le queda claro, que no es muy difícil ocultar estos rastros o, mejor, dejar rastros falsos. Por si alguien no tiene claro como se haría, aquí va un ejemplo:

Supongamos que el país A quiere ‘mapear’ la red de datos de telefonía de una maxi compañía del país F, obteniendo así más información de la misma para poder inutilizar o interceptar sus comunicaciones en un futuro cercano. Para infiltrase en sus sistemas, usan múltiples ataques, uno de ellos puede ser un ‘0day’ que instala un virus en la red que se distribuye por la misma mandando información de vuelta al centro de control.
Como quiero pasar desapercibido hago lo siguiente:

- Lanzo el ataque (usando redes inalámbricas abiertas o crackeables, locutorios,…) desde un país C.

- El 0day usado, está preparado para las versiones de la aplicación vulnerable de los países F e I.

- El malware usado tiene en su interior una cadena sin cifrar en el idioma del país C.

- Además tiene otras cadenas cifradas (rutas internas del sistema operativo por ejemplo) para las versiones de los países F e I.

Mucha gente acusará seguro al país I del ataque, afirmando que pretendía que pareciera culpable el país C. Si además elijo estos países con cierta mala idea, ¡mejor!


A partir de este punto, si queremos descubrir quién nos ha atacado, tenemos que salir del Ciberespacio (y no digo Internet a propósito) y recurrir a la inteligencia convencional (que puede también usar tácticas de ciberinteligencia):

- Análisis de las consecuencias.

- Usar otras vías, además de la forense, para encontrar nuevos indicios.

- Análisis del objetivo (¿Quién tiene un móvil para realizar este ataque?).

Cada vez que escucho comentarios del estilo “los chinos, o la gente del este, ha hecho esto o lo otro”, pienso ¿Y cómo lo saben?...

Para poder atribuir sin dudas un ataque a sistemas informáticos, se exige un gran compromiso, no solo a nivel político entre gobiernos, sino a nivel operativo entre las distintas fuerzas de seguridad, así como a nivel técnico, con nuevos estándares y proveedores e investigadores a la cabeza. Por supuesto, debe de existir una voluntad real de querer solucionar el problema de atribuir un ataque ;).

En esta situación veo totalmente imposible, a día de hoy un tratado sobre la guerra en el ciberespacio. Los países han de seguir confiando los unos en los otros…

(¿Relaciones de confianza? Próximamente….)

Leonardo Nve.