Los constantes intentos por innovar son característicos de la mayoría de las expresiones terroristas, siendo además notorios los esfuerzos de innovación por parte de aquellos individuos que al asumir una interpretación fundamentalista llegan a aceptar la justificación y realización de acciones violentas en nombre de una causa religiosa y política. Las tendencias que se aprecian al analizar la evolución del terrorismo confirman que la innovación requiere una eficaz labor de prevención y prospectiva con el objetivo último de contención de dicha amenaza terrorista.
Los investigadores de seguridad revelan regularmente vulnerabilidades de software que los piratas informáticos pueden explotar, o incluso haber explotado en el pasado. En algunos casos, son problemas de software que no se han utilizado para piratear o espiar a los usuarios. Los investigadores identifican malware y hacks que se utilizan activamente en la naturaleza. Para cuando publican información sobre los ataques, las empresas cuyo código ha sido atacado ya han publicado actualizaciones para solucionar los problemas. Y los investigadores de seguridad suelen señalar cuando creen que los hacks son demasiado sofisticados para que los lleve a cabo un hacker normal.
Un ejemplo de inversión en la innovación que las empresas hacen es Google quien ejecuta algunas de las operaciones de ciberseguridad más veneradas del planeta:
En los últimos días el MIT Technology Review se enteró de que los piratas informáticos en cuestión eran en realidad agentes del gobierno occidental que realizaban activamente una operación antiterrorista. La decisión de la compañía de detener y publicitar el ataque provocó división interna en Google y generó interrogantes dentro de las comunidades de inteligencia de Estados Unidos y sus aliados.
Derivado de esto, Google genero un proyecto en donde sus dos equipos internos de seguridad Project Zero (PZ) y Threar Analysis Group (TAG) trabajaron para afrontar la situación; por un lado PZ encuentra poderosas vulnerabilidades de seguridad no descubiertas, mientras que su TAG contrarresta directamente la piratería respaldada por gobiernos, incluidos Corea del Norte, China y Rusia.
Como resultado del trabajo conjunto los equipos capturaron un pez inesperadamente grande recientemente: un grupo de piratería “experto” que explota 11 poderosas vulnerabilidades de día cero en solo nueve meses, lo cual es mucho en tan poco tiempo. El software que fue atacado incluyó el navegador Safari en iPhones, pero también muchos productos de Google, incluido el navegador Chrome en teléfonos Android y computadoras con Windows
Uno de los accionamientos fue cerrar regularmente los exploits que están siendo utilizados por gobiernos amigos, pero tales acciones rara vez se hacen públicas.
Lo que genera un debate interno, dado que algunos empleados de Google han argumentado que las misiones antiterroristas deberían estar fuera de los límites de la divulgación pública; otros creen que la empresa estaba enteramente dentro de sus derechos y que el anuncio sirve para proteger a los usuarios y hacer que Internet sea más seguro.
A través de lo realizado por su equipo PZ quienes se dedican a encontrar y parchear vulnerabilidades de día cero y publicar investigaciones técnicas diseñadas para avanzar en la comprensión de las nuevas vulnerabilidades de seguridad y técnicas de explotación en toda la comunidad de investigación.
Ellos han llegado a creer que compartir esta investigación conduce a mejores estrategias defensivas y aumenta la seguridad para todos.
Sin embargo, el anuncio de Google omitió flagrantemente detalles clave, incluido quién fue el responsable de la piratería y quién estaba siendo atacado, así como información técnica importante sobre el malware o los dominios utilizados en la operación. Por lo general, al menos parte de esa información se haría pública de alguna manera, lo que llevó a un experto en seguridad a criticar el informe como un “agujero oscuro”.
Por parte de PZ llego a la conclusión que quién estaba pirateando y por qué nunca es tan importante como las fallas de seguridad en sí mismas argumentó que es demasiado fácil para los piratas informáticos encontrar y usar poderosas vulnerabilidades de día cero y que su equipo enfrenta una batalla cuesta arriba para detectar su uso.
En lugar de centrarse en quién estaba detrás y quién era el objetivo de una operación específica, Google decidió tomar medidas más amplias para todos. La justificación fue que incluso si un gobierno occidental fuera el que explotará esas vulnerabilidades hoy, eventualmente será utilizado por otros, por lo que la opción correcta es siempre corregir la falla hoy.
Si bien la situación de Google es de alguna manera inusual, ha habido casos algo similares en el pasado. La firma rusa de ciberseguridad Kaspersky fue criticada en 2018 cuando expuso una operación cibernética antiterrorista dirigida por Estados Unidos contra miembros de ISIS y Al Qaeda en el Medio Oriente. Kaspersky, al igual que Google, no atribuyó explícitamente la amenaza, pero sin embargo la expuso y la volvió inútil, dijeron funcionarios estadounidenses, lo que provocó que los operativos perdieran el acceso a un valioso programa de vigilancia e incluso pusieran en riesgo la vida de los soldados en tierra.
En 2019, la compañía publicó una investigación sobre lo que pudo haber sido un grupo de piratería estadounidense, aunque nunca se hizo una atribución específica. Pero esa investigación fue sobre una operación histórica. Los recientes anuncios de Google, sin embargo, pusieron el foco en lo que había sido una operación de ciber espionaje en vivo.
¿Quién está protegido?
Las alarmas generadas tanto dentro del gobierno como en Google muestran que la empresa se encuentra en una posición difícil.
Los equipos de seguridad de Google tienen una responsabilidad con los clientes de la empresa y, en general, se espera que hagan todo lo posible para proteger los productos y, por lo tanto, los usuarios que están bajo ataque.
Si bien los diferentes equipos trazan sus propias líneas, PZ se ha hecho un nombre al abordar las vulnerabilidades críticas en todo Internet, no solo las que se encuentran en los productos de Google.
Pero, aunque proteger a los clientes de los ataques es importante, algunos argumentan que las operaciones antiterroristas son diferentes, con consecuencias potencialmente de vida o muerte que van más allá de la seguridad diaria de Internet.
Cuando los piratas informáticos respaldados por el estado en las naciones occidentales encuentran fallas de seguridad cibernética, existen métodos establecidos para calcular los costos y beneficios potenciales de revelar la brecha de seguridad a la empresa afectada. En los Estados Unidos se llama el “proceso de acciones de vulnerabilidades”. A los críticos les preocupa que la inteligencia estadounidense acumule una gran cantidad de hazañas, pero el sistema estadounidense es más formal, transparente y expansivo que lo que se hace en casi todos los demás países del mundo, incluidos los aliados occidentales. El proceso está destinado a permitir que los funcionarios del gobierno equilibren las ventajas de mantener en secreto las fallas para usarlas con fines de inteligencia con los beneficios más amplios de informar a una empresa de tecnología sobre una debilidad para corregirla.
El año pasado, la NSA (National Security Agency son sede en Meryland, EUA) tomó la inusual decisión de atribuirse el mérito de haber revelado una vieja falla en Microsoft Windows. Ese tipo de informe del gobierno a la industria normalmente se mantiene en el anonimato y, a menudo, en secreto.
El nivel de supervisión incluso en las democracias occidentales sobre lo que están haciendo realmente sus agencias de seguridad nacional es, en muchos casos, mucho menor que el que se tiene en Estados Unidos de América.
El hecho de que el grupo de piratas informáticos afectado por la investigación de Google poseyera y utilizara tantas vulnerabilidades de día cero con tanta rapidez podría indicar un desequilibrio problemático. Pero a algunos observadores les preocupa que las operaciones cibernéticas de contraterrorismo en vivo se cierren en momentos potencialmente decisivos sin la capacidad de comenzar rápidamente de nuevo.
Es necesario tomar en cuenta que no todos los países tienen la capacidad para regenerar operaciones completas tan rápido como los EUA y lo que más preocupa es perder repentinamente el acceso a una capacidad de explotación o de ser detectado por un objetivo particularmente alta para las misiones antiterroristas, durante periodos altos de exposición.
REFERENCIAS
Howell O’Neill Patrick, Los principales equipos de seguridad de Google cierran unilateralmente una operación antiterrorista, MIT Technology Review 2021, recuperado: https://www.technologyreview.com/2021/03/26/1021318/google-security-shut-down-counter-terrorist-us-ally/?utm_source=engagement_email&utm_medium=email&utm_campaign=site_visitor.unpaid.engagement&utm_content=03.28.non-subs&goal=0_e2349bbf6b-8d874f154b-161759217&mc_cid=8d874f154b
Smith, Chris, Un hack masivo que Google frustró fue en realidad una operación antiterrorista, BGR, 2021, recuperado: https://bgr.com/2021/03/28/google-project-zero-iphone-android-hack-counterterrorism-western-ally/
