La ciberguerra ha evolucionado de lo teórico a lo ominoso. ConsejoTecnologico.com se adentró en uno de los juegos de guerra de defensores contra hackers que está ayudando a los países a prepararse para defenderse.
En la entrada de una habitación de techos bajos con una iluminación de franjas muy dura, Klaid Magi parece cansado. Detrás de él, el desorden sugiere que este no ha sido un día normal en la oficina. Los contenedores están repletos de latas de Coca-Cola vacías, los escritorios están cubiertos con envoltorios de aperitivos, y la habitación probablemente olía mucho más fresco unas horas antes.
El equipo de Magi, un pequeño grupo de unos dos docenas de expertos en seguridad, deambulan entre las filas de ordenadores y pizarras repletas de notas, recuperándose poco a poco de un día pasado como la última defensa de una pequeña nación contra un ciberataque masivo.
El trabajo habitual de Magi es dirigir el Equipo de Respuesta a Emergencias Informáticas de Estonia, pero hoy ha estado a cargo de proteger al país ficticio de Berylia de agresores desconocidos.
El equipo de defensores, que opera desde una torre en un suburbio de la capital estonia, Tallin, es sólo uno de los muchos que participan en un ejercicio internacional de ciberdefensa destinado a prepararlos para enfrentarse a la realidad.
El ejercicio de dos días, organizado por un grupo de expertos en ciberdefensa afiliado a la OTAN, tiene como objetivo poner a prueba las habilidades de estos equipos en la defensa de una amplia gama de tecnologías, desde PCs y servidores hasta sistemas de control de tráfico aéreo.
«Toda la infraestructura que tenemos estaba de alguna manera bajo ataque», dijo Magi.
«En la vida real nunca verás un par de miles de ciberataques al día, así que obviamente fue un día duro», añadió.
Es el final del primer día del juego (a diferencia de una ciberguerra real, el juego es un poco más civilizado y se ajusta a las horas de trabajo estándar) y el equipo estonio, considerado uno de los más fuertes, siente que ha capeado la tormenta hasta ahora, logrando proteger los sistemas de la base aérea ficticia que están defendiendo.
«Este es nuestro trabajo diario y nada nos impresiona», dijo Magi.
Pero hay mucho más por venir en el segundo día.
*****
Al otro lado de Tallin están los malos que causan todos los problemas para el equipo de Magi.
No es nada personal, también están causando estragos para los otros 18 equipos defensores en el juego de guerra conocido como Escudos Bloqueados.
Durante los dos días que duró el juego, el salón de baile de un hotel del centro de la ciudad sirvió como centro neurálgico del ejercicio, con chaquetas de cena y vestidos de fiesta que dieron paso durante unos días a expertos en seguridad cibernética con camisetas brillantes y el ocasional uniforme militar.
También era la base de los atacantes -conocido como el Equipo Rojo- y parecía el papel: una sala cavernosa dominada por una pantalla gigante.
La habitación, llena de camisetas rojas, en su mayoría hombres hackers, era tranquila y profesional, lo que contradice un poco el despiadado bombardeo que este equipo está llevando a cabo.
Mehis Hakkaja era el severo jefe del Equipo Rojo. «Soy un buen tipo», insistió con una sonrisa, pero estaba claro que le gustaba el desafío del ejercicio.
Menciono la visita al equipo azul estonio. «¿Parecían cansados?», preguntó. «Más vale que lo sean».
*****
El ejercicio de los Escudos Bloqueados se lleva a cabo desde 2010, y el escenario suele basarse en la protección del país de Berylia, un nuevo miembro ficticio de la OTAN que flota en algún lugar del Atlántico norte y que tiene una difícil relación con el estado rival de Crimsonia.
La ubicación de este rival entrometido, Crimsonia, nunca queda del todo clara en el escenario. Pero nadie que participe en el ejercicio tiene muchas dudas de que se encuentra en algún lugar del este de Europa.
Locked Shields está dirigido por el Cooperative Cyber Defence Centre of Excellence (CCD COE) de la OTAN y se presenta como el mayor y más complejo ejercicio internacional de defensa de redes técnicas, en el que participan 900 participantes de 25 países. Este año había 18 selecciones nacionales, además de un equipo de la propia OTAN.
Ejercicios como este han ido creciendo en escala en los últimos años, ya que ha quedado claro que la guerra cibernética ha pasado de lo que es en gran medida teórico a lo que es preocupantemente probable.
Muchos gobiernos están gastando grandes sumas de dinero en el desarrollo de su capacidad para hacer la guerra a los sistemas digitales, siendo Estados Unidos, Rusia y China los más avanzados en sus capacidades. Incidentes como el ataque a la red eléctrica en el oeste de Ucrania en 2015, que provocó un apagón que dejó a cientos de miles de personas sin electricidad, han demostrado la eficacia del uso de ataques digitales contra infraestructuras críticas.
Este año, los Equipos Azules defensores tuvieron que desempeñar el papel de un equipo de seguridad informática de respuesta rápida que ha llegado para proteger la principal base aérea militar de Berylia de los ciberataques.
Los equipos tienen que defender todo lo que pueda encontrar en una oficina estándar, incluyendo PCs con Windows, Macs, Linux y servidores de correo electrónico y archivos. También deben proteger los sistemas que controlan la red eléctrica y planificar las operaciones aéreas militares, incluidos los aviones teledirigidos de vigilancia militar y los controladores lógicos programables conectados al suministro de combustible de la base aérea. El objetivo es reforzar la idea de que cada sistema dentro o fuera de la red podría ser un punto de partida para los atacantes.
El juego técnico, luchando contra oleada tras oleada de ciberataques, fue el punto principal del ejercicio, y fue la forma en que los equipos anotaron la mayoría de sus puntos.
Rain Ottis, jefe del equipo blanco organizador del juego, explicó: «Es técnico, es práctico. La mayor parte del juego que tenemos está en ordenadores reales, enfrentándose a amenazas realistas, tratando con oponentes realistas. Es fuego vivo. En realidad tenemos un oponente vivo. En realidad tomarán el control de un servidor, tal vez lo desfigurarán o harán lo que el objetivo diga que tienen que hacer».
A lo largo de los años, Locked Shields se ha ampliado para incluir un juego de comunicación, donde los equipos tienen que responder a las solicitudes de entrevistas y poner al día a los berlineses sobre su respuesta al ataque, y un juego legal donde los abogados de los equipos tienen que averiguar si los ataques infringen la ley y qué hacer al respecto. Además, hay un juego de estrategia de mesa, que intenta imitar el papel de los altos mandos militares y civiles que tienen que averiguar cómo responder a los ataques, situándolo en el «gran contexto geopolítico», según uno de los actores.
«A nivel técnico tienes que preocuparte por cosas como el malware, o alguien que dañe tu sitio web, o’¿por qué se cayó mi sistema de energía? En el juego estratégico hay preguntas sobre si esto sucedió en la vida real se consideraría un uso de la fuerza o un ataque armado», dijo Ottis. «¿Es algo por lo que vale la pena ir a la guerra?»
Para añadir a la complejidad, los controladores del juego no están manejando sólo una Berylia ficticia, sino hasta 20 versiones separadas apiladas, porque mientras cada equipo se enfrenta a la misma serie de amenazas, pueden encontrar diferentes problemas y diferentes elementos del escenario en diferentes momentos. Esto significa que el juego se desarrolla por separado y a un ritmo diferente para cada equipo, dependiendo de las decisiones que tomen. No es de extrañar entonces que uno de los equipos que dirigen el juego eligiera a la Tardis, que viaja en el tiempo, como su mascota no oficial.
*****
Todo ello desde la sala de control del salón de baile, a la que ConsejoTecnologico.com tuvo un amplio acceso durante todo el ejercicio.
A los equipos que dirigen los diferentes elementos del juego se les asignan sus propias camisetas de colores y bancos de PCs. El rojo es para el equipo atacante; el verde es para el equipo de infraestructura que mantiene el juego en marcha; y el blanco es para los equipos de comunicaciones y legales y otros que ejecutan los escenarios.
«Este es nuestro trabajo diario y nada nos impresiona.» Klaid Magi, Equipo de Respuesta a Emergencias Informáticas de Estonia Hay
otro equipo que se sienta justo fuera de la sala de control.
Los intentos de phishing y el software de rescate sólo pueden tener éxito si alguien en la organización es lo suficientemente imprudente como para abrir un documento o hacer clic en un enlace dudoso. ¿Y quién sería tan tonto como para hacer clic en un archivo adjunto aleatorio de una dirección de correo electrónico extraña en medio de un juego de ciberguerra?
Afortunadamente para los atacantes, y desafortunadamente para los defensores, a cada Equipo Azul se le asigna un conjunto de usuarios finales virtuales que son lo suficientemente confiados (o estúpidos) como para hacer clic en todo tipo de archivos adjuntos infectados con virus y proporcionar a los chicos malos una de sus formas de entrar. Para añadir al caos, estos usuarios virtuales sin pistas se quejarán al Equipo Azul de que no pueden acceder a su correo electrónico u otros servicios (porque acaban de derribarlos haciendo clic en ransomware), causando aún más trabajo y molestias para que los equipos defensores se despejen.
No hay camisetas azules a la vista: la mayoría de los equipos defensores tienen su sede en sus países de origen. Estos equipos pueden tener entre 20 y 60 miembros; la mayoría, al igual que el equipo estonio de Magi, son una mezcla de expertos en seguridad civil y militar. Algunos equipos están llenos de veteranos de escudos bloqueados anteriores, mientras que otros son completamente nuevos.
Descargue este artículo en formato PDF (se requiere registro gratuito.
*****
El juego comienza de una manera que los equipos no pueden esperar -no con un virus informático nunca visto antes- rasgando sus sistemas, sino con un documento con afirmaciones falsas de que los berlineses están construyendo armas prohibidas. Mientras los equipos tratan de averiguar qué está pasando, comienza el resto del bombardeo.
Hay un zumbido constante en la sala de control cuando el juego está en marcha, pero también está controlado; ciertamente no hay porras cuando uno de los equipos pierde un sistema.
Es fácil quedar atrapado en el juego, sentir a los equipos cuando pierden un avión teledirigido o cuando luchan para evitar que su red eléctrica se apague, mientras tratan de decidir quién los ataca y cuál es la situación legal, incluso si los equipos están a cientos o miles de kilómetros de distancia.
Sobre la parte superior de todos los grupos se cierne un avión teledirigido gigante que se mece suavemente con la brisa de las conversaciones ocasionalmente acaloradas de los equipos de abajo, los espejos en la parte inferior de sus largas alas que reflejan las brillantes pantallas que hay debajo.
Este dron no es el único recordatorio de la batalla virtual que se está librando. Alrededor de los bordes de la sala se encuentran algunos de los sistemas que ayudan a hacer el juego más real para los equipos, tanto para los atacantes como para los defensores.
En una esquina hay una pizarra blanca llena de un juego de cajas de metal gris del tamaño de una casa, excepto por unas luces verdes y rojas parpadeantes en la parte inferior. Estos son cerebros de zánganos.
Estas unidades de control de drones piensan que están dentro del cuerpo de un dron volando alrededor del espacio aéreo berilo. Se supone que los drones trazan una ruta sobre el centro de Berylia, pero si los hackers del Equipo Rojo toman el control, entonces el dron se desviará en espiral sobre Berylia (malo) o incluso entrará en el espacio aéreo internacional (muy malo. Peor aún, los hackers pueden secuestrar el flujo de video de vigilancia del avión no tripulado y reemplazarlo con algo más, como dibujos animados (también muy malos y embarazosos.
Otro tablero muestra un conjunto de 20 controladores lógicos programables, que representan el sistema en la base aérea utilizada para reabastecer de combustible a los aviones. Si los hackers pueden entrar en esto, pueden abrir la válvula y derramar combustible en el suelo, y después de eso sólo hace falta una chispa para crear el caos.
Raimo Peterson, director de la rama de tecnología del CCD COE, señaló que estos no son sólo para mostrar. «Puede que parezcan maquetas o juguetes,[pero] son sistemas reales sacados del campo.
«Si se habla del sistema de red eléctrica, entonces sí, es el mismo software de red eléctrica y el mismo sistema de red eléctrica que se utiliza en la transmisión de energía», dijo, y el mismo sistema de aviones teledirigidos utilizado en operaciones militares en todo el mundo. «Es un equipo real con el que estamos jugando.
«
Dominando el resto de la sala hay un conjunto de pantallas que muestran el estado actual, es decir, los problemas actuales de los equipos.
Una gran pantalla muestra un mapa en vivo de los ataques digitales que se extienden desde Crimsonia hasta los equipos que se extienden por el mapa de Berylia como una versión actualizada del antiguo Missile Command del videojuego. Es bonito, pero no te dice mucho más que que todos los equipos están bajo ataque, todo el tiempo.
Lo que se muestra en el otro banco de pantallas cambia de vez en cuando, para mostrar mejor cómo los hackers del Equipo Rojo están arruinando el día del Equipo Azul.
El Equipo Rojo, dirigido por Hakkaja, se divide en tres grupos principales. El mayor de ellos es conocido como un grupo de amenazas avanzadas persistentes (APT), como los sofisticados hackers respaldados por el Estado. Esto significa colarse silenciosamente en las redes y atacar desde dentro.
Mientras se arrastran, a su lado hay un equipo que se especializa en atacar cosas como los sitios web, un enfoque mucho más ruidoso y obvio que este año incluye el uso de software de rescate contra los equipos. Esto significa que en lugar de simplemente desfigurar o eliminar sitios web, este equipo cifrará los datos y enviará una nota de rescate al Equipo Azul, que tiene que decidir si paga o no.
Un tercer equipo se enfrenta a los cortafuegos y a los sistemas especiales de control industrial y sistemas de drones que los equipos tienen que defender.
«Si se observa el patrón de cómo la mayoría de las empresas están comprometidas, es este enfoque de estilo APT que compromete a una computadora -incluso a una computadora bastante aleatoria- dentro de una organización, lo que le da tanta influencia para moverse. En muchos casos, estos incidentes ni siquiera se notan hasta meses después de que ha ocurrido el compromiso, así que si tienes tiempo para esconderte y pasar desapercibido, puedes extraer muchos datos y crear muchos daños hasta que te atrapen», dijo Hakkaja.
«Es tan realista porque en la vida real, esto es cierto, no se puede proteger todo perfectamente.» Jean-François Agneessens, COE CCD de la OTAN
«La diferencia con el ejercicio es que el Equipo(s) Azul(es) sabe(n) que estamos tras ellos, y todo se analiza mucho más de lo habitual y tenemos muy poco tiempo para alcanzar nuestros objetivos, por lo que tenemos que movernos muy rápido para hacer lo que tenemos que hacer antes de que nos echen».
A veces las pantallas muestran un mapa de la base aérea del Azul y sus sistemas: Si los hackers del Equipo Rojo han conseguido cortar la fuente de alimentación principal, los defensores sólo tienen minutos antes de que se agote la batería de reserva.
La pantalla también podría mostrar los sistemas de radar que el equipo tiene que proteger – mostrando flotas invasoras de aviones fantasma si pierden el control – o el camino del dron que los equipos tienen que mantener bajo control.
Jean-François Agneessens trabajaba para el Equipo Blanco este año, pero antes era el jefe del equipo de la OTAN, por lo que sabe lo que es estar al frente de los ataques.
«Los dos días de fuego vivo son como un año comprimido, así que hay muchos eventos que están ocurriendo simultáneamente y tu equipo es limitado, así que necesitarás una amplia variedad de habilidades», dijo.
Es importante que los equipos entiendan que no pueden proteger todo todo el tiempo, añadió, «lo que creo que lo hace tan realista porque en la vida real, esto es cierto: no se puede proteger todo a la perfección».
Agneessens dijo: «Es completamente agotador, te lo aseguro. Al final del ejercicio, te gustaría celebrar el hecho de que estás vivo después de estos dos días, pero la gente se duerme y tienes que esperar al día siguiente para poder celebrarlo».
El hecho de que los equipos estén en sus propios países defendiendo la infraestructura virtual de otro país ficticio no influye demasiado en la sensación del ejercicio, en gran medida porque así es como funciona la tecnología moderna: rara vez hay un sistema informático ubicado físicamente en la misma sala, o incluso en el mismo edificio que el equipo que lo gestiona.
«Los ataques a los que nos enfrentamos son realistas, están bien organizados, así que no se trata sólo de una simulación de un grupo de script kiddies que intentan entrar en la red y que se detectan fácilmente», dijo.
******
Todas las capas adicionales más allá del juego técnico crean más contexto para el juego técnico y lo hacen más significativo para los equipos.
Es un recordatorio de que no sólo están tratando de proteger un conjunto de servidores o PCs, sino que están tratando de proteger una forma de vida para un país que depende de los servicios en línea.
Pero la expansión del juego también refleja que la ciberguerra no es sólo para arreglar el código de software, es algo que puede afectar a todas las facetas de la sociedad.
Eso es algo que Estonia ya sabe bien. Este año, Locked Shields fue particularmente significativo porque coincidió exactamente con el décimo aniversario de los grandes ciberataques a Estonia en abril de 2007. Era la primera vez que un Estado se veía sometido a un bombardeo de este tipo.
En aquel entonces, después de que las autoridades estonias anunciaran sus planes de trasladar un monumento conmemorativo de la guerra soviética, los sitios web de los bancos, organismos gubernamentales y empresas de telecomunicaciones del país fueron atacados, y muchos de ellos fueron forzados a desconectarse. Estonia recuperó su independencia en 1991 durante el colapso de la Unión Soviética; Tallin está a sólo 200 millas de San Petersburgo.
Los incidentes de 2007 fueron la primera demostración seria de cómo los ataques electrónicos eran capaces de causar problemas reales para una economía avanzada. El think tank cibernético de la OTAN se estableció en Tallin el año siguiente; ya estaba previsto, pero los ataques del «Soldado de Bronce», tal y como se conocían -que estuvieron acompañados de dos días de disturbios-, sin duda aceleraron el proceso.
Los hackers respaldados por los rusos fueron considerados responsables de la interrupción, aunque Rusia negó toda responsabilidad.
No es que los ataques hayan asustado a Estonia de utilizar la tecnología, sino todo lo contrario: el país es uno de los más conectados de Europa e incluso tiene una «residencia electrónica» estonia, que permite a los extranjeros establecer negocios en línea basados en la UE.
«Es técnico, es práctico. La mayor parte del juego que tenemos está en ordenadores reales, enfrentándose a amenazas realistas con oponentes realistas. Es fuego vivo.» Rain Ottis, Profesor Asociado de la Universidad de Tecnología de Tallin
Hace dos décadas, el pequeño país -con pocos recursos naturales, vecinos grandes y aterradores y una población de poco más de un millón- decidió dar prioridad al uso de la tecnología. Introdujo el voto en línea en 2005 y ha invertido en ciberseguridad, el CERT estonio y el COE del CCD, así como en su Cyber Defence League, que está formada por expertos de las empresas de TI, bancos e ISP del país.
Y no es sólo una amenaza histórica para Estonia. A principios de este año llegaron al país 800 soldados del Reino Unido como parte de una campaña de la OTAN para aumentar la»presencia de avanzada», cuyo objetivo era disuadir cualquier agresión rusa. Las tensiones en Europa Oriental han ido en aumento desde la anexión ilegal de Crimea por parte de Rusia en 2014.
Mientras que la puesta en escena de Escudos Bloqueados en el aniversario de los ataques fue una coincidencia según los organizadores (ocurre la misma semana todos los años), sirvió para recordar a muchos que aunque esto era sólo un juego, la realidad no está muy lejos.
Una gran diferencia es que los ataques de 2007 fueron en su mayoría ataques de denegación de servicio: sitios web inundados con tanto tráfico que no podían hacer frente a la situación. Este es uno de los pocos ataques no permitidos en los Escudos Bloqueados, durante los cuales el Equipo Rojo utiliza métodos mucho más sofisticados para bombardear a sus objetivos.
«Hace 10 años, en Estonia, la mayoría de las veces sólo había ataques DDoS, es decir, ataques que paralizaban los sistemas. Pero durante este ejercicio, el DDoS es el único ataque que no se les permite hacer por las reglas. Están tratando de entrar en su sistema, de comprometer sus sistemas, robar sus datos, cambiar sus datos. Ese tipo de incidente no se produjo en 2007, sobre todo fueron ataques DDoS», dijo Magi del Equipo Azul de Estonia, que era administrador de sistemas de red en una empresa de telecomunicaciones del país en el momento de los ataques de 2007.
Descargue este artículo en formato PDF (se requiere registro gratuito.
*****
Durante la segunda tarde, el juego alcanza su clímax: El Equipo Rojo pasa de objetivos específicos a atacar cualquier sistema que pueda alcanzar. Los Equipos Azules están asediados, lanzando todo en su defensa, tratando desesperadamente de mantener la línea.
Y de repente todo ha terminado.
Algunas cervezas llegan de alguna parte, y una botella de brandy. La sala de control se libera y de repente el aire serio se va, y se reemplaza con cháchara y chistes y vasos. La gente se reúne alrededor de las grandes pantallas para averiguar qué equipos perdieron qué sistemas. Incluso los miembros del Equipo Rojo empiezan a aparecer desde su guarida, aunque ahora siguen siendo un poco más serios y reservados.
Más tarde, después de que todo el trabajo de sumar y sumar todos los resultados de los diferentes elementos del juego, queda claro que la República Checa ganó, el equipo estonio de Magi ha conseguido el segundo puesto y un equipo de la OTAN llegó en tercer lugar.
La OTAN también ganó el juego legal, Alemania encabezó los desafíos forenses, mientras que el equipo del Reino Unido obtuvo la puntuación más alta en el juego de las comunicaciones.
Pero, ¿los juegos de guerra como los Escudos Bloqueados no lo entienden?
Mientras que los líderes se han preocupado por los ataques cibernéticos a infraestructuras críticas como las de los Escudos Bloqueados, son los ataques menos obvios los que han causado el daño recientemente, como los ataques de piratería al Comité Nacional Demócrata en vísperas de las elecciones presidenciales de EE.UU. y el pirateo y filtración de correos electrónicos de la campaña Macron justo antes de las elecciones francesas. Al menos ahora mismo, el espionaje y las filtraciones parecen tener un impacto tan grande en la política como un ataque a la red eléctrica.
Entonces, ¿están estos equipos planeando un ataque que puede que nunca llegue e ignorando a los más complicados para defender ataques que en realidad están causando más daño? Le pregunté al elegante director barbudo del CCD COE, Sven Sakkov, si se están entrenando para las amenazas adecuadas.
«Gracias a la formación colectiva que se ha impartido aquí en Tallin a los equipos azules distribuidos por toda Europa, es de esperar que se eviten algunas de las calamidades». Sven Sakkov, Director del COE del CCD de la OTAN
«Cualquier unidad necesita entrenamiento y preferiblemente en el entorno más realista de fuego vivo», dijo, y señaló acontecimientos como los cortes de electricidad en Ucrania occidental como un ejemplo de las amenazas a las que se enfrentan los países.
«El tema de la ciberseguridad es noticia de primera plana, por lo que sospecho que en el futuro veremos más, no menos, y espero que gracias a la formación colectiva que se ha impartido aquí en Tallin a los equipos azules distribuidos por toda Europa, se puedan evitar algunas de las calamidades», dijo.
Pero a pesar de organizar un evento para ayudar a los equipos a defenderse de estos ataques, también advierte que no se debe considerar cada incidente como una ciberguerra.
«Si usted dice que hay una ciberguerra, entonces en el derecho internacional eso significa que hay un conflicto armado entre dos naciones con todas las consecuencias legales y lo que eso implica en términos de autodefensa o autodefensa colectiva», señaló.
«Y si gritamos todo el tiempo y luego nos encontramos en una situación en la que los ciberataques provocan la muerte de personas y la explosión de cosas, ¿cómo lo llamarás entonces? Básicamente, socavamos la terminología».
Después de que el juego terminó, todo fue empacado rápidamente; el salón de baile se convirtió de nuevo en un salón de baile, y Berylia fue empacada para otro año.
Y los equipos volvieron a su vida normal, quizás preguntándose si la próxima vez que se les llame para defender a un país será de verdad.
Descargue este artículo en formato PDF (se requiere registro gratuito.
Suscríbase al boletín de noticias de ConsejoTecnologico.com y no se pierda nunca uno de nuestros reportajes en profundidad y de cerca.
SuscribirseVer todos los boletines de ConsejoTecnologico.com
Crédito de la foto para la imagen del héroe en la parte superior: OTAN