Los informes de ciberataques maliciosos y dirigidos son cada vez más comunes en todo el mundo. A principios de febrero por ejemplo, Las agencias de seguridad de Australia revelaron que estaban investigando un intento de pirateo en el parlamento del país. y no había descartado que otro país estuviera detrás.

A medida que se descubren ataques más complejos y potencialmente dañinos a los sistemas de infraestructura nacional críticos, Los llamados son cada vez más fuertes para que las reglas internacionales gobiernen este frente de batalla emergente.

Los esfuerzos hacia el control de las armas cibernéticas se han centrado predominantemente en un modelo en el que las "armas" se relacionan con el código armado:herramientas de piratería específicas o las vulnerabilidades de software que las habilitan. Se han hecho intentos para reducir la proliferación y propagación de lo que se denominan "exploits de día cero", las fallas en el código de un programa que permiten a atacantes maliciosos interferir con los sistemas que los ejecutan.

Una reciente exposición de Reuters de las operaciones de un ala clandestina de la Autoridad Nacional de Seguridad Electrónica (NESA) de los Emiratos Árabes Unidos (EAU) expuso otro componente de los ataques cibernéticos ofensivos:la experiencia. Este problema despertó más atención internacional cuando el FBI anunció cargos a mediados de febrero contra Monica Witt, un ex analista de la Fuerza Aérea de EE. UU., acusado de espionaje y desertar a Irán.

Mercenarios cibernéticos

La investigación de Reuters detalló cómo algunos ex empleados de la Agencia de Seguridad Nacional de EE. UU. (NSA), operativos con experiencia en técnicas de penetración digital, recopilación de inteligencia en línea y operaciones cibernéticas ofensivas, fueron contratados a través de una empresa con sede en Maryland para trabajar para los Emiratos Árabes Unidos.

La investigación hace mención específica a una de las herramientas, Karma, que estos contratistas emplearon en nombre de los Emiratos Árabes Unidos contra objetivos específicos. Esta herramienta de piratería permitió a sus operadores obtener acceso remoto y sin invitación al teléfono Apple de un objetivo a través de una falla no especificada que ahora se cree que Apple ha solucionado. Reuters informó que los objetivos de estos ataques iban desde activistas de derechos humanos, a los periodistas estadounidenses.

El artículo planteó preguntas sobre si estos contratistas podrían haber proporcionado a sus empleados de NESA capacidades cibernéticas avanzadas desarrolladas por su antiguo empleador. la NSA. Pero el subtexto de la investigación de Reuters es que la experiencia de estos exoficiales de inteligencia es tan atractiva para sus nuevos empleadores como cualquier herramienta que puedan traer consigo.

En un artículo separado, examinando específicamente el Karma, Reuters alega que fue comprado por el gobierno emiratí a un proveedor fuera del país. En efecto, los Emiratos Árabes Unidos habían contratado a un equipo de ingenieros especialistas desempleados que no podían traer las herramientas que habían usado en los EE. UU. entonces les compró las herramientas que necesitaban para hacer el trabajo. Esto sugiere que se requieren dos componentes para equipar a cualquier estado o grupo con capacidad cibernética avanzada:las herramientas y la experiencia.

Herramientas y experiencia

Se están realizando esfuerzos globales para gobernar las herramientas utilizadas en los ciberataques, como la Comisión Global sobre la Estabilidad del Ciberespacio, que introdujo una serie de normas internacionales sobre el uso del ciberespacio para promover la estabilidad de Internet y las buenas prácticas de todos los involucrados. Otros esfuerzos se han realizado a nivel legislativo, como adiciones específicas al Acuerdo de Wassenaar, un arreglo de control de exportaciones que busca reducir la difusión de tecnologías civiles que pueden ser utilizadas militarmente. Pero la experiencia de los ciberoperativos hasta ahora ha recibido una atención limitada.

En el escenario descrito por Reuters, NESA y su Proyecto Raven no podrían haber funcionado sin las herramientas o la experiencia. La herramienta en sí, Karma, y ​​la experiencia y los conocimientos necesarios para usarla y capacitar a otros para que lo hagan. ambos requieren una inversión significativa.

Los peligros de la inversión estatal en la recopilación de fallas de software y la creación de herramientas poderosas que luego explotan estas debilidades previamente desconocidas se demostraron dolorosamente a través de la filtración de la vulnerabilidad almacenada por la NSA. EternalBlue. Esta fue la columna vertebral del ataque WannaCry, que llegó a los titulares internacionales en 2018 a través de su impacto en el NHS británico y otros servicios comerciales y gubernamentales internacionales.

Pero deberían aumentar las preocupaciones sobre la capacidad que los estados invierten en los conjuntos de habilidades de las personas que descubren y luego aprovechan las fallas en el software que alimentan nuestras vidas cada vez más interconectadas y dependientes de Internet. Los gobiernos de todo el mundo se están preparando para lo que ven como el próximo dominio de la guerra tratando de reclutar talentos existentes para proyectos gubernamentales o capacitando a la próxima generación de expertos en seguridad cibernética que esperan que les brinde una ventaja.

Existe el riesgo de que en los esfuerzos globales que se centran en el uso de herramientas cibernéticas por parte de los estados y la explotación de vulnerabilidades en el código de programación, se está desarrollando una brecha legislativa y de gobernanza. Esto podría hacer que los estados inviertan en la formación de los ciberespías, saboteadores o soldados del futuro solo para encontrar esas habilidades críticas y la capacidad que brindan siendo apresadas por el mejor postor.

Este artículo se ha vuelto a publicar de The Conversation con una licencia de Creative Commons. Lea el artículo original.