Dragonflypd.com/Sombrero Negro
Viktor Zhora, la cara pública del éxito de Ucrania contra los ciberataques rusos, recibió una bienvenida de héroe a principios de este mes en el escenario de Black Hat, la reunión de ciberseguridad más grande del mundo, en Las Vegas.
«El adversario nos ha entrenado mucho desde 2014», el año en que Rusia anexó Crimea, dijo el vicepresidente del servicio especial de comunicación y protección de la información de Ucrania. “Evolucionamos en el momento de la invasión a gran escala. [in February last year] cuando lo cibernético se convirtió en un componente importante de la guerra híbrida”.
En un evento donde los profesionales de TI pidieron selfies y un hombre lloró sobre su hombro, Zhora también compartió un choque de puños con Jen Easterly, directora de la Agencia de Infraestructura y Ciberseguridad de EE. UU. «Estamos sacando una gran página del manual de Ucrania», afirmó. «Probablemente hemos aprendido tanto de usted como usted está aprendiendo de nosotros».
Pero lejos del centro de atención, los delegados del evento argumentaron que Estados Unidos y sus aliados que han ayudado a financiar las ciberdefensas de Ucrania no han reflexionado sobre la experiencia de Kiev.
Los ejecutivos cibernéticos dijeron al Financial Times que Occidente está luchando por replicar los métodos de colaboración que habían demostrado ser exitosos en el conflicto, quejándose de que, en cambio, están atrapados en obstáculos regulatorios y legales que frustran respuestas rápidas que requieren compartir abiertamente información a menudo sensible o embarazosa. .
«Existe una realidad en Ucrania en la que no creo que la mayoría de Occidente pueda realmente enfrentarse», dijo Matt Olney, director de inteligencia de amenazas e interdicción de Cisco Systems.
Olney relató un momento en que Cisco, que ha estado involucrado en Ucrania durante más de una década, provocó confusión e indignación entre las autoridades estadounidenses con una propuesta para una mejora radical de la seguridad del sistema electoral de un estado.
“Esto es guerra”, explicó el colega ucraniano de Olney al funcionario estatal cuando se le preguntó cómo respondería Kiev a tales demandas. “Yo digo que lo hagan y ellos lo hacen”.
Estados Unidos y sus aliados en Europa y Asia ya están involucrados en ciberagresiones y espionaje de bajo nivel contra Rusia, China, Irán y Corea del Norte. A pesar de los intentos de bloquearlos, los piratas informáticos respaldados por los gobiernos ruso y chino irrumpen periódicamente en los sistemas occidentales y llevan a cabo campañas de desinformación y espionaje.
Dragonflypd.com/Sombrero Negro
El mes pasado, cuando el Departamento de Estado descubrió que los correos electrónicos de funcionarios centrados en China habían sido pirateados, las autoridades afirmaron que habían recibido información inadecuada. Esto llevó al senador de Oregón, Ron Wyden, a solicitar investigaciones federales para presionar a Microsoft, que gestiona los correos electrónicos del Departamento de Estado, a compartir más datos técnicos detrás de la violación.
De manera similar, las autoridades del Reino Unido tardaron 10 meses en informar a millones de sus ciudadanos inscritos en el registro electoral que sus datos habían sido expuestos a un grupo de piratas informáticos aún no identificados que podrían haber estado trabajando en nombre de otro país.
Olney y otros dicen que, cuando se descubren estas violaciones, las empresas y agencias gubernamentales objetivo tardan en compartir esa información, incluidos datos técnicos críticos que desenmascararían intentos de piratería similares en otros lugares.
«Estoy a favor de una transparencia radical», dijo John Shier, alto ejecutivo de Sophos, la empresa de ciberseguridad con sede en el Reino Unido. “Ahí es cuando podemos ser más proactivos. Ahí es cuando podemos asegurarnos de que sabemos que alguien más está pasando por lo mismo que usted, y pueden unirse y asegurarse de que ambos salgan lo más ilesos posible”.
Un obstáculo es la categorización por parte del gobierno de Estados Unidos de ciertos detalles como clasificados. Robert Lee, que dirige la empresa de ciberseguridad Dragos, dijo que ha estado involucrado en casos que no fueron revelados de inmediato porque la información era clasificada.
«Hay algo de verdad», añadió, en la «idea de que los propietarios y operadores de activos simplemente lo mantienen en secreto».
Otro problema es la renuencia de las empresas que cotizan en bolsa a revelar información potencialmente perjudicial por temor al impacto en el precio de sus acciones, lo que ha llevado a Estados Unidos a trabajar en una legislación para abordar el problema. La Cámara de Comercio está disputando nuevas reglas de la Comisión de Bolsa de Valores que requerirán que las empresas que cotizan en bolsa revelen violaciones materiales en un plazo de cuatro días.
Mientras tanto, varias agencias tienen autoridad superpuesta, “creando caos” en lugar de ser disciplinadas, dijo Lee.
«Tenemos al FBI, al DHS y al CISA tropezándose unos con otros gritándose unos a otros», dijo Lee. “Y el sistema interinstitucional [fights] entre bastidores [are] unas 10.000 veces peor que cualquier cosa que se haga pública”.
En un bar durante la conferencia, un funcionario del Departamento de Defensa de Estados Unidos acercó una silla a un grupo de profesionales de la ciberseguridad y preguntó por qué Estados Unidos no ha sido golpeado por ataques complejos y simultáneos.
El funcionario respondió a su propia pregunta: “La disuasión como defensa. Saben que también estamos en sus sistemas y, si nos atacan aquí, apagaremos las luces en Moscú”.
Easterly, el director de CISA, reconoció que todavía se estaba avanzando en materia de transparencia, pero que el temor a ataques de ojo por ojo había mantenido a raya cierto caos.
«Existe cierto temor a una escalada», dijo. “¿Todavía hay personas que acuden ante todo a sus abogados? Sí. Pero estamos empezando a comprender que una amenaza para uno es una amenaza para todos”.
© 2023 The Financial Times Ltd. Todos los derechos reservados. No debe ser redistribuido, copiado ni modificado de ninguna manera.