Durante años, el servicio secreto suizo ha estado recopilando información sobre ciberespías extranjeros, sin ninguna base legal. Pero la cooperación internacional ayuda a evitar los ataques cibernéticos.
El servicio de inteligencia ha intercambiado datos con empresas privadas durante años: la cooperación con las empresas de seguridad informática es importante.
El contraespionaje ocupa un lugar destacado en la lista de deberes del servicio de inteligencia. Si espías extranjeros están espiando a las autoridades o empresas suizas, el Servicio Federal de Inteligencia (FIS) debería poder identificarlo y evitarlo. Pero en el espacio digital, esta pelea solo ha sido posible de forma limitada durante dos buenos años. La práctica anterior tuvo que detenerse porque era ilegal.
Ahora está claro que el FIS no solo obtuvo información sobre ataques cibernéticos sin que se le permitiera hacerlo. También ha compartido datos con firmas privadas de ciberseguridad al respecto. Así lo confirman a la SRF la presidenta de la delegación de auditoría empresarial, la consejera de Estado Maya Graf, y el exjuez federal Niklaus Oberholzer, que realizaron una investigación administrativa. Este hecho anteriormente no era conocido públicamente.
Pero este hecho no es sorprendente. La cooperación internacional se considera la clave para defenderse de los ataques cibernéticos. El intercambio de información entre autoridades estatales, pero también con empresas privadas de TI, permite identificar y prevenir ataques cibernéticos en una etapa temprana y evitar daños. La cooperación también ayuda a asignar ataques cibernéticos a un grupo o país específico.
Las empresas privadas de seguridad informática juegan un papel crucial en esto. Hoy suelen tener más información sobre operaciones de espionaje internacional que la mayoría de los estados. Empresas como Google, con sus servicios en la nube, o Microsoft, con sus soluciones de seguridad para clientes finales, tienen una visión del tráfico de red que los servicios de inteligencia rara vez tienen.
Estas empresas también operan sus propios departamentos de seguridad, que supervisan y rastrean de forma independiente a los grupos de atacantes en la red y analizan su comportamiento. Las empresas individuales, como Mandiant, que ahora pertenece a Google, también realizan atribuciones: atribuyen los ataques a ciertos estados, a veces con mayor precisión que los servicios secretos. Por lo tanto, no es de extrañar que autoridades estatales como el FIS también trabajen con estas empresas de seguridad informática.
Cada atacante tiene su enfoque específico.
En el caso específico, se dice que el FIS se ha preocupado principalmente por ciertos patrones de ataque, como dice una fuente. Se preguntó a las empresas de seguridad cibernética si tenían alguna evidencia de un patrón de ataque similar. El FIS también tuvo que proporcionar información técnica por sí mismo. La gran pregunta es si estos datos contenían información sensible, por ejemplo, sobre la víctima.
La transmisión de esta información sirvió a la seguridad cibernética de Suiza. Sin embargo, sigue siendo un problema porque los datos ya se han obtenido de forma ilícita. Además, el exjuez federal Oberholzer examinó la cooperación con empresas privadas en su investigación. Sin embargo, el departamento de defensa responsable no incluyó esta información en la versión pública del informe.
Al FIS le interesa no dar a conocer demasiados detalles sobre sus métodos de trabajo. Sin embargo, este secretismo aumenta la desconfianza en el trabajo del FIS. El público tiene la impresión de una vigilancia incontrolada del tráfico de Internet. Para colmo, la actividad del departamento cibernético no estaba documentada. Eso abre espacio para la especulación.
Esto también significa que el FIS no solo registró los datos marginales de la comunicación, sino también su contenido. Esto también puede haber incluido datos de terceros no involucrados que, si no estuvieran cifrados, habrían sido visibles. Pero apenas eran de interés para la contrainteligencia.
Servicio de inteligencia recibió imágenes de servidores
También suena preocupante que, según SRF, el FIS también haya recibido una imagen del servidor en más de 50 casos, presumiblemente de proveedores de la nube. Podría haber tres tipos de servidores: servidores de control puro de los atacantes sin más datos de terceros; sobre servidores infectados, por ejemplo, de una empresa que fue víctima de espionaje industrial; o servidores de terceros infectados que los atacantes utilizaron para sus ataques.
Un comunicado de prensa de la delegación de auditoría de enero de 2022 menciona servidores que «habían quedado bajo control extranjero». Eso apunta al último caso. Sucede una y otra vez que los atacantes penetran en los servidores web de terceros, por ejemplo, para usarlos para propagar malware o para controlar sus ataques. Si el FIS ahora ha recibido imágenes de dichos servidores para su análisis, los datos de personas no involucradas también llegaron a su poder.
La investigación realizada por ex jueces federales reveló que las ilegalidades no se cometieron a sabiendas y no eran relevantes bajo la ley penal. Pero mientras no haya más claridad sobre cómo funciona el servicio de inteligencia, también habrá preguntas sin respuesta.