El conflicto entre israelíes y palestinos volvió a cobrar protagonismo hace unas semanas. Como en tantas otras ocasiones, los ataques de cohetes lanzados desde Gaza obtuvieron como respuesta varios bombardeos de las Fuerzas de Defensa de Israel (IDF).

Estos intercambios no resultarían sorprendentes si no fuera por un hito que puede tener importantes repercusiones al sentar precedente: una de las operaciones de las IDF no se desencadenó como respuesta de Israel tras recibir el impacto una bomba Palestina, sino tras detectar acciones de ciberataque por parte de Hamás.

De acuerdo con el General de Brigada Ronen Manelis, portavoz de las IDF, el bombardeo sobre el edificio en el que se ubicaba el centro de operaciones de los supuestos hackers palestinos, eliminó sus capacidades de ciberguerra. Además, el comandante de la Ciberdivisión de las IDF matizó que el ciberataque de la organización palestina se habría producido el día anterior con “la intención de perjudicar la calidad de vida de los israelíes”. Las IDF no especificaron más detalles sobre cuáles eran en concreto los objetivos del ciberataque, pero algunos analistas como Seth Cropsey, del Think Tank Hudson, consideran que estaba dirigido a infraestructuras críticas israelíes.

Ciberguerra- estados- cytomic

Ciberguerra sin fronteras_

El bombardeo de las IDF no es la primera respuesta militar física ante un ciberataque, ya que en 2015 las fuerzas armadas de EEUU eliminaron a un ciberatacante del ISIS.  Sin embargo, sí puede considerarse como la primera intervención militar ante un ciberataque de otro territorio. Este factor de la autoría es muy relevante, ya que la ciberguerra despierta dudas sobre cómo deben afrontarla los estados.

En el ámbito de las guerras convencionales, las normas sobre cómo abordar las relaciones entre estados beligerantes existen desde hace siglos. Tras la Paz de Westfalia, los estados crearon tratados y normas internacionales para la prevención de conflictos y para que, en caso de producirse, se llevaran a cabo de la forma más limitada y proporcional posible.

Pero la ciberguerra es un capítulo mucho más complejo: el ciberespacio tiene las fronteras más difusas, los ciberatacantes no se reconocen ni se comportan igual que los soldados castrenses y cuentan ahora con nuevas armas, como aplicaciones goodware y scripts, que pueden pasar desapercibidas por los sistemas de ciberdefensa. Sin embargo, algunas de ellas pueden ser igual o más peligrosas que el arsenal explosivo.

Acción y reacción_

En la práctica ocurre que no es sencillo determinar la legitimidad o el grado de la reacción a un ciberataque. Sobre todo en un entorno de guerras híbridas en el que el daño de los ciberataques puede trascender los sistemas y equipos y afectar a infraestructuras críticas, hasta el punto de poner en peligro vidas humanas.

En primer lugar, identificar el origen exacto del ciberataque es un proceso complejo y cuya atribución, en muchas ocasiones, corresponde a grupos cuya vinculación con los estados no puede probarse a ciencia cierta. Como ha ocurrido frecuentemente con los ciberataques entre potencias durante los últimos años.

Pero incluso en el caso de que la responsabilidad estatal estuviera probada, los profesores universitarios y expertos en legislación digital Vasileios Karagiannopoulos y Mark Leiser explican que un ataque militar como respuesta a un ciberataque supondría una violación del artículo 2.4 de la Carta de las Naciones Unidas, que protege la integridad territorial y las estructuras políticas.  La excepción a este punto es el derecho a la autodefensa: el estado agredido que pretende responder debe alegar que se defiende ante un “ataque armado”.

Mejores soluciones, menor tiempo, mejores decisiones_

Puesto que la guerra -y la ciberguerra- son, como dijo el teórico militar Carl Von Clausewitz, la continuación de la política por otros medios, corresponde a los gobernantes decidir cuál es la respuesta óptima ante ciberataques de gran magnitud.

Para ello, los estados necesitan que sus ciberejércitos y SOCs cuenten con soluciones avanzadas y preparadas para identificar y dar respuesta a todo tipo de ciberamenazas en el menor tiempo posible, especialmente aquellas de difícil detección. Aún más si tenemos en cuenta que muchos de los nuevos tipos de ciberataques no son detectados y ahora el tiempo medio para detectar las brechas alcanza los 175 días, según un informe de M-Trends.

Como Cytomic Orion, la solución de Threat Hunting e Incident Response que permite a los SOCs acelerar el proceso de identificación, investigación, contención y resolución de ciberamenazas avanzadas que utilizan técnicas Living-off-the-Land (LotL) como scripts o código ya instalado, y ataques de hackers.

Gracias a la estandarización de los procesos de investigación, a la visibilidad detallada que proporciona nuestra telemetría y a la agilidad de acceso y análisis a la inteligencia de datos, los equipos de threat hunters pueden reducir drásticamente el tiempo medio de detección (MTTD) y de remediación (MTTR) de los incidentes.

De esta manera, con mejores soluciones, estandarización de sus procesos y menor tiempo para identificar y remediar las amenazas, los SOCs pueden tomar decisiones fundadas en datos, establecer protocolos y tomar acciones al respecto.

Leave a Reply