“¿Quién me atacó?” El papel de la ciberdiplomacia en la atribución de un ataque cibernético

Lograr una atribución perfecta en un contexto de actores difusos, y operaciones de bandera falsa, escapa más allá de las capacidades técnicas y estratégicas de la mayoría de los estados. En este contexto, establecer una línea base legal sobre la cual construir regulaciones es un paso importante. Es aquí donde juega un importante papel la ciberdiplonacia.    

Al igual que en otros esfuerzos diplomáticos, la ciberdiplomacia funciona mediante la creación de alianzas estratégicas con otros países del mundo para mejorar la acción colectiva y la cooperación contra las amenazas compartidas, reuniendo coaliciones de ideas afines sobre cuestiones políticas vitales; compartiendo información e iniciativas nacionales y confrontando a los malos actores. Pero, sobre todo, busca establecer la delgada línea entre hacer responsable a otro Estado de haber realizado un ciberataque, y que el ataque utilice servicios tecnológicos relacionados al Estado para perpetrarse.

Tradicionalmente, la atribución cibernética se refiere a asignar la responsabilidad de un ataque a un agresor o grupo de atacantes y, posteriormente, revelar su identidad en el mundo real. Sin embargo, cuando se habla de atribución cibernética entre estados, revelar la identidad del atacante no es suficiente. La atribución cibernética internacional es un proceso complejo que reúne y prueba dos capas diferentes de investigación: técnica y estratégica.

La atribución técnica se ocupa de las pruebas directas del ciberataque, es decir, las pruebas forenses digitales, como estudiar el código malicioso y el software utilizado en el ataque; la actividad de la red durante el evento, el sistema detrás de él, y direcciones IP, por ejemplo.

Los técnicos también investigarán el tipo de objetivo, qué vulnerabilidades explotó el software malicioso, cómo ingresó al sistema de la víctima, y qué buscaba el intruso. Debido a las operaciones de bandera falsa y las técnicas de suplantación de identidad, las posibilidades de lograr una atribución técnica perfecta son relativamente bajas. Cuanto más elaborado es el ataque, más difícil es atribuirlo. Sin embargo, incluso, la atribución técnica perfecta solo llegará hasta la identificación de la técnica detrás del ataque.

Es por esto, que cuando vemos leemos en las noticias como grandes estados se acusan entre sí de conducir ataques, involucra contextos geo-políticos que no necesariamente aplican para todos los países. La mayoría de las veces, las organizaciones son víctimas de grupos cibercrimales que buscan única y exclusivamente un beneficio económico a través del pago de rescates para recuperar sus informaciones, y que, simplemente, son parte de un botín que se encontraba al descubierto a través de las vulnerabilidades por falta de controles de ciberseguridad y que los atacantes, ni tontos ni perezosos, aprovechan.

¡Mucho cuidado! El hecho de identificar durante un incidente un indicador técnico que apunte a un servicio tecnológico alojado en otro Estado, no quiere decir que este se encuentre detrás. El realizar afirmaciones de este tipo puede alborotar avispas en el ciberespacio con efectos diplomáticos y relaciones bilaterales importantes. Una de las reglas más importantes de la atribución de ataques cibernéticos es que “desde donde dice claramente que proviene, rara vez lo es”.