China, EEUU y las APT: La importancia del informe Mandiant

Publicado en Ciencia y Tecnología, Noticias,


Tweet about this on TwitterShare on Google+2Share on Facebook0Share on LinkedIn0

El informe Mandiant va a ser (aun estando en Febrero) una de las noticias del año en lo referente a la seguridad informática. Este informe detalla con claridad las actividades de lo que Mandiant denomina grupo APT1, uno de los más prolíficos en lo relativo a la cantidad y longevidad de sus ataques.

La principal diferencia de este informe con respecto a cualquier otro que haya visto en la comunidad de seguridad informática es el nivel de detalle: Mandiant ofrece una enorme cantidad de información que desvela un gran trabajo (tanto técnicamente como en la cantidad de recursos destinados), y cuya calidad puede considerarse como sólida a nivel técnico.

¿Quién está detrás de APT1?. Como siempre es fácil adivinarlo: China. Pero en lugar de ser una serie de sospechas o de acusaciones sin pruebas fehacientes (como en otros ataques imputados a China como Aurora, ShadyRat o GhostNet entre otras), Mandiant aporta una serie de evidencias con un peso específico importante que implican al gigante chino de forma directa en diversas operaciones de ciberespionaje.

Porque es importante tener en cuenta una cosa: como bien dice Manuel Benet en SecurityArtWork “esto ya no es informática, es política” . Siempre ha sido política, la informática es solo un medio más para conseguir unos objetivos. China desea fervientemente ser la próxima potencia mundial, y una de las cosas que necesita para cumplir su objetivo es capacidad científico tecnológica .

Y esta capacidad de producción de I+D no se genera de la noche a la mañana, por mucho dinero que se gaste en ella. Los científicos, ingenieros y técnicos cuestan años de entrenar, y luego hay que mantenerlos. China lo está haciendo con ganas (como con los programas de repatriación de científicos chinos o la captación de talento extranjero, pasando al patrocinio directo de algunos proyectos de I+D en los que la propiedad intelectual es compartida).

Sin embargo, estas medidas tardarán años en dar fruto. Y algunas tecnologías (como las de uso dual civil/militar o las de alta tecnología) siguen estando totalmente fuera de su alcance. Es por ello por lo que China lleva años recurriendo a los medios tradicionales para obtener información: el espionaje. El MSS (Ministry of State Security, el equivalente a la CIA americana), lleva tiempo infiltrando agentes en universidades americanas o intentando comprar tecnología restringida usando compañías tapadera.

El ciberespionaje es una herramienta más que sirve para cumplir este fin, y con múltiples ventajas: puede ser empleada sin salir de China, existen multitud de blancos posibles y la atribución de los ataques puede ser oscurecida sin mucho problema (eso sin contar con las posibles mezclas de espionaje tradicional con el ciberespionaje, como puede ser poner un malware en el portátil de un hombre de negocios cuando lo ha dejado en su habitación de hotel).

China dispone de una amplia capacidad para la ciberguerra y el ciberespionaje, con una importantísima participación militar. Sin ir más lejos la unidad 61398 mencionada en el informe está asociada al 2º Bureau del 3º Departamento del GSD (General Staff Department). Este Departamento es el encargado de toda la inteligencia de señales del PLA (People’s Liberation Army), siendo un equivalente a la NSA americana, y cuenta con alrededor de 130.000 personas entre expertos en seguridad informática, lingüistas y analistas de inteligencia . El 2º Bureau es uno más de los doce despachos que tiene el Departamento (aunque el más poblado), destinado a la obtención de información principalmente de EE.UU. y Canadá. El 3º Departamento colabora con el 2º (Inteligencia) y el 4º (Guerra Electrónica) para desarrollar técnicas de ciberataque y ciberdefensa.

El MSS también dispone del 11º Bureau (de menor tamaño que la inteligencia militar), y es necesario tener en cuenta los importantes lazos mantenidos con universidades y centros de investigación, así como con gigantes empresariales como Huawei y ZTE (que han tenido más de un encontronazo al presentarse a contratos gubernamentales estadounidenses por sus relaciones con el gobierno chino) .

Como se dice en criminalística, China tiene los motivos, los medios y las oportunidades, por lo que es innegable que esté realizando tareas de ciberespionaje contra otros países y compañías. El informe Mandiant recoge una cantidad ingente de indicios y pruebas que hace difícil que China pueda negar la atribución directa más allá de una negación protocolaria.

Sin embargo, sí que hay que decir que la forma en las que se presentan las conclusiones del informe es manifiestamente mejorable. Hay numerosos errores desde un punto de vista de análisis de inteligencia, como indica Jeff Carr , no se han considerado todas las posibles opciones (un “análisis de hipótesis posibles”), lo que hace que prevalezca el “pensamiento en grupo”, en el que la ausencia de voces discordantes hace que el resultado final sea el que más interese que sea.

No es muy complicado ver detrás del informe unos intereses políticos. La publicación del informe ha generado una ola de protestas en todo EE.UU. exigiendo desde una mejora de la seguridad de los sistemas informáticos a todos los niveles hasta la ejecución de represalias contra China (el nuevo término de moda: “la defensa ofensiva”). Todo este echar brasas al fuego sin duda alguna no perjudicará para nada a Mandiant, que queda posicionada como una de las compañías de seguridad informática más potentes de EE.UU.

Como bien indica David Barroso en LostInSecurity , existe otra segunda lectura: el informe se ha publicado en el momento justo como para promover la resurrección de la CISPA (Cyber Intelligence Sharing and Protection Act) , una ley cuando menos controvertida por la cantidad de poder que deja en manos del gobierno para espiar a quien le plazca.

Desde un punto de vista positivo, la importancia de la publicación del informe, y sobre todo de los datos técnicos, es enorme. A las pocas horas de su publicación ya había conjuntos de reglas para los IDS más populares que permitían detectar estos ataques, lo que hará que sean muy poco eficaces contra las organizaciones que tengan unas buenas políticas de seguridad. Esto va a hacer que los atacantes deban perder tiempo y recursos diseñando nuevas formas de ataque (lo que terminará produciendo ataques más sofisticados, pero es el pan nuestro de cada día).

Y ya no solo por ello, sino porque es la primera vez que una compañía comparte información técnica. Quizás de forma interesada, pero es compartida. Esperamos que este informe sea el primero de muchos que inicien una cooperación entre empresas que tenga como objetivo final la mejora de la seguridad a todos los niveles.

Siendo objetivos, nos da igual quién nos ataque: China, Rusia, EE.UU, Israel. Debemos seguir trabajando día a día en fortalecer nuestros sistemas de información y mejorar en los procesos de detección y respuesta ante incidentes para cumplir con nuestra misión: que no entre nadie.


vía INTECO

Califica esta entrada

Etiquetas: , ,


Deja un comentario

Cuanto es 10 + 8 ?
Please leave these two fields as-is:
IMPORTANTE! Necesitas resolver la operación matemática para poder continuar.

Newsletter

Redes sociales

Centro de soporte

Centro de recursos