A pesar de que la amenaza cibernética de Rusia comprensiblemente se desvanece en un segundo plano en medio de la guerra en Ucrania, existe una estrategia a más largo plazo que los gobiernos, las organizaciones y la industria deberían implementar para prepararse para los actores cibernéticos del país.
Tenga en cuenta la palabra “preparar”, no “pánico”. A pesar de las capacidades cibernéticas muy sofisticadas de Rusia, todavía existe un conjunto común de técnicas y tácticas que se utilizan en toda su diversa matriz de actores. A primera vista, es esta variación la que causa preocupación, junto con el misterio general de Rusia como entidad. Sin embargo, de manera tranquilizadora, también da motivos para que los equipos de respuesta gubernamentales y los especialistas en seguridad cibernética sean optimistas sobre la resiliencia futura.
Si parte de la estrategia de ataque es simplemente crear una sensación de miedo o incertidumbre, entonces centrarse en los protocolos de protección más rudimentarios y robustos puede eliminar parte de esa indecisión. Esto es algo que Mandiant, líder mundial en ciberdefensa, ha buscado fomentar a través de su guía de endurecimiento dedicada, que ha buscado contextualizar la amenaza rusa real.
Jamie Collier, asesor sénior de inteligencia de amenazas de Mandiant, dice: “La guía de fortalecimiento esencialmente establece algunos controles de seguridad muy comunes mediante el mapeo de los tipos de ataques que hemos visto realizados por Rusia en el pasado.
“En ese sentido, ofrece estrategia a las organizaciones. Las amenazas del estado ruso ciertamente requieren una planificación específica, pero nunca debemos olvidar cuán importantes son los fundamentos de seguridad. Además, al centrarse en técnicas de ataque rusas comunes, las funciones de seguridad pueden reducir significativamente su exposición. En última instancia, el conocimiento de las amenazas destacadas puede y debe empoderar a los defensores de la red”.
La razón de Collier para el optimismo surge a pesar de ver evolucionar el panorama cibernético durante la pandemia, con el ciberespionaje usurpado por el ransomware como el desafío más apremiante.
Agrega: “Los líderes mundiales y los jefes de estado ahora están comenzando a intervenir mucho más directamente para abordar el ransomware como resultado de su proliferación, entendiendo que ahora tiene un impacto crítico no solo en la seguridad de la red, sino también en la seguridad nacional.
“En el contexto de Rusia, esto realmente ha ayudado a las organizaciones, ya que se han visto obligadas a tener estas conversaciones y debates sobre defensa”.
Variedad de amenazas
Esto no es para restar importancia al perfil de Rusia, por supuesto. La guerra en Ucrania ha servido como un recordatorio, si alguna vez fue necesario, de que la amenaza rusa no es solo hablar. No se trata solo de crear una percepción de amenaza potencial. A menudo hay un seguimiento, como hemos visto con innumerables ejemplos cibernéticos en los últimos años, y ahora estamos viendo que se desarrolla en un sentido mucho más físico.
Desde un punto de vista digital, Mandiant ha podido generar una guía de fortalecimiento, ya que observó y analizó la progresión de la actividad de los actores estatales de Rusia durante décadas. A partir de este punto de partida analítico, el objetivo principal de la empresa es traducir este conocimiento en un plan de acción o plan estratégico para que lo sigan los diferentes segmentos de la sociedad.
“Es un proceso complejo específicamente con Rusia, debido a la gran variedad que vemos en sus actividades cibernéticas”, dice Collier.
Inmediatamente alude a las diferentes agencias de inteligencia involucradas en la realización de operaciones cibernéticas, incluyendo la Dirección Principal del Estado Mayor General de las Fuerzas Armadas de la Federación Rusa (GRU), el Servicio Federal de Seguridad (FSB) y el Servicio de Inteligencia Exterior (SVR).
“Todos tienen mandatos bastante diferentes, que se reflejan en los tipos de operaciones cibernéticas que vemos”, dice. “Por ejemplo, el GRU tiende a ser más descarado o ruidoso, lo que refleja una reputación general de ignorar las normas internacionales. Esto se manifiesta en la forma de actores como Sandworm, que continúan siendo noticia hasta el día de hoy.
“Luego tienes algo como SolarWinds, que ha sido vinculado al SVR por más de un gobierno internacional. Este tipo de operaciones muestran un grado impresionante de sigilo y disciplina operativa que se utiliza para dificultar al máximo la respuesta a incidentes”.
Agregando una capa adicional de complejidad a la situación es el hecho de que estas diversas operaciones no están necesariamente unidas entre sí a través de la colaboración o la estrategia. En todo caso, el consenso general apunta más hacia un sentido de competencia entre ellos para ganar el favor de la jerarquía gubernamental de Rusia.
“También conduce a una combinación bastante potente de operaciones de información, además de las acciones tradicionales de seguridad cibernética”, dice Collier. “Lo hemos visto desarrollarse en el contexto de, digamos, las elecciones estadounidenses de 2016, pero en realidad esta combinación diversa de amenazas ha estado ocurriendo durante décadas y se ha desarrollado en una variedad de áreas diferentes. La superposición entre las operaciones de información y la seguridad cibernética es muy interesante”.
Además de la casilla de “variedad”, la casilla de “gravedad” también está muy marcada, como lo demuestra el ejemplo de las elecciones estadounidenses. Los Juegos Olímpicos y Paralímpicos de Tokio 2020 son otro ejemplo citado con frecuencia que desencadena recordatorios de la amenaza por un lado, pero que quizás también sesga los planes de respuesta por el otro.
Tales eventos de alto perfil han dado a los actores estatales rusos una personalidad y una seriedad que no siempre reflejan los verdaderos niveles de vulnerabilidad. Esto a menudo distrae a las organizaciones de centrarse en lo que realmente necesitan proteger y, sobre todo, en cómo protegerlo.
Collier explica: “¿Soy un gobierno extranjero en el que Rusia estará interesada en recopilar información de inteligencia? ¿Soy una organización de medios donde una amenaza puede venir en forma de operaciones de información? ¿Soy un gran evento deportivo? ¿Soy una organización líder en la industria? ¿Soy un eslabón clave en una cadena de suministro?
“Sí, hay amenazas elevadas en diferentes áreas, por lo que creo que es importante que las organizaciones se centren un poco más en lo que es importante para ellas, en lugar de en todas las diversas amenazas rusas que existen. A menudo consideramos las capacidades cibernéticas rusas como una amenaza holística y que lo abarca todo, sin embargo, es posible que solo debamos centrarnos en ciertos elementos del aparato de inteligencia ruso, según nuestro sector y geografía”.
La incertidumbre sesga la respuesta
Más que ser solo un ejercicio tecnológico, la amenaza del actor estatal ruso representa como resultado un esfuerzo psicológico. Saber dónde se encuentran los peligros, resistir la tentación de reaccionar de forma exagerada y causar pánico, saber que la amenaza es lo suficientemente grave como para no subestimarla nunca, y luego implementar protocolos de defensa personalizados, es una cuerda floja delicada para caminar.
Tal vez incluso pueda reflejarse en la guerra de Ucrania, donde la respuesta del resto del mundo, y en particular de los países de la OTAN, ha sido criticada en algunas partes por ser demasiado cuidadosa. La volatilidad, el misterio y la variedad de Rusia hacen que cualquier reacción precipitada sea una perspectiva nerviosa en cualquier contexto. Y esos dos mundos incluso se han cruzado en los últimos años, cortesía de una operación de un actor estatal que impactó en el sector de servicios financieros de Ucrania.
Collier dice: “Fue un ataque fácil de casi ignorar o pasar por alto, dado que DDoS [distributed denial of service] Los ataques son relativamente sencillos, con pasos de mitigación bien conocidos. Sin embargo, junto con la operación DDoS, se enviaron mensajes de texto reales a los ciudadanos ucranianos informándoles que su banco estaba fuera de línea. Esto fue simplemente para crear una sensación de malestar personal y alentarlos a situaciones frustrantes para tratar de resolver en persona.
“Crear incertidumbre es parte del proceso de ser temido, lo que en última instancia distorsiona la respuesta requerida o la creación de una defensa eficaz”.
Vigilancia sin pánico
Entonces, ¿cómo es una defensa efectiva?
Afortunadamente, en este sentido, mientras muchos luchan o buscan la respuesta correcta, hay quienes han estado analizando la amenaza durante tanto tiempo que han surgido patrones y ahora es evidente un panorama de defensa.
Collier lo llama el “ciclo de vida del ataque”, que informa cada etapa de cada método de ataque, por medio de técnicas, controles, tácticas y respuesta requerida. Incluso con ataques más complejos, como SolarWinds, que son extremadamente difíciles de detectar, todavía hay rasgos familiares que pueden combatirse con los protocolos de defensa básicos mencionados anteriormente.
Es aquí donde un enfoque unido funciona mejor. Collier señala que las redes gubernamentales son críticas en términos de tener una visibilidad general de los entornos de las víctimas. Mientras tanto, los especialistas del sector privado y de defensa cibernética ofrecen una visión más personalizada de las redes específicas y los impactos del sector.
Fusionar el panorama general con información personalizada forma la plataforma complementaria perfecta para que las organizaciones construyan una defensa guiada por la estrategia, no por el pánico.
Collier concluye: “Convierte la perspectiva de una construida alrededor de tratar de prepararse para cada eventualidad, a una construida protegiendo lo que es más importante y contra las amenazas más relevantes.
“Por supuesto, este debería ser el caso en cualquier contexto, pero es especialmente importante frente a los actores estatales rusos, dada la variedad única de amenazas y los aspectos psicológicos involucrados.
“Realmente podemos eliminar gran parte de nuestra exposición a los ataques con solo hacer lo básico correctamente. Y este pragmatismo contribuye en gran medida a erradicar parte del miedo más amplio.
“Dado el clima actual, tenemos que ser humildes en términos de sacar grandes conclusiones estratégicas o escalar los niveles de miedo. Con suerte, esta visión más sostenible y simplificada del panorama de amenazas puede lograr un equilibrio entre estar alerta, sin causar pánico”.
