Según informes recientes , un presunto grupo de piratas informáticos de un estado nación con presuntos vínculos con el gobierno iraní lanzó amenazas de muerte a los investigadores que habían detectado su actividad de ciberespionaje. Los investigadores estaban revisando un servidor que creían que estaba asociado con una violación de datos específica cuando recibieron el mensaje “¡¡¡Detente!!! Te mato investigador”. Según el mismo informe, el servidor aparentemente estaba conectado a la infraestructura de comando y control de los atacantes. Activo desde, se ha observado que el grupo conocido como “MuddyWaters” ataca a organizaciones en Georgia, India, Irak, Pakistán, Arabia Saudita, Tayikistán, Turquía y Estados Unidos. Recientemente, se ha observado que MuddyWaters apunta a petróleo y gas.entidades en Medio Oriente. En particular, se cree que el grupo emplea operaciones de “bandera falsa”, similar a lo que se creía que se hizo durante los recientes Juegos Olímpicos , en las que adoptó algunas de las tácticas, técnicas y procedimientos (TTP) de presuntos piratas informáticos chinos para ofuscar la verdadera identidad del grupo.
A primera vista, la amenaza formulada contra los investigadores puede verse como una reacción instintiva al seguimiento por parte del sector privado. Pero esto plantea la posibilidad de a qué podrían recurrir los actores hostiles en el futuro. El sector privado de seguridad informática ha estado investigando agresivamente las actividades de presuntos actores estatales desde, cuando se publicó el primer informe .publicó las actividades de una entidad estatal china. Desde entonces, se han proporcionado al público varios informes posteriores que detallan operaciones de “amenaza persistente avanzada” que detallan TTP y objetivos que en última instancia se han atribuido a actores estatales específicos. Si bien la reacción pública estándar de estos gobiernos ha sido refutar o negar las afirmaciones, citando las dificultades para proporcionar pruebas adecuadas que respalden la atribución, se sabe que se han producido sanciones y supuestos ataques de represalia como resultado de estas acusaciones.
La posibilidad de una escalada de ataques cibernéticos en respuesta a acciones es una preocupación real que ha sido planteada en la prensa. Una de las razones por las que Estados Unidos, por ejemplo, no ha tomado represalias contra la sospecha de participación rusa en las elecciones presidenciales estadounidenses de es no saber cómo dicho adversario puede corresponder a cualquier ataque de represalia contra sus intereses. Esta es una preocupación muy legítima, ya que las actividades en el ciberespacio son todavía relativamente nuevas y los estados nacionales de todo el mundo están tratando ansiosamente de comprar, desarrollar o adquirir una capacidad cibernética ofensiva.
Y aquí es donde el pensamiento puede tener un enfoque demasiado limitado. Una entidad estatal o no estatal no tiene que recurrir al ciberespacio para tomar represalias contra un ataque que haya sufrido en el ciberespacio. No es un acuerdo uno por uno. Amenazar con tomar represalias en el mundo físico proporciona otro vector de ataque potencial que debe considerarse. Después de todo, muchos de los informes APT de proveedores que se publican a menudo contienen los nombres de las personas involucradas en el informe: personas que probablemente tienen una huella en Internet. Estos atacantes pueden descubrir su información de identificación personal y publicarla para que otros la apunten o utilizarla para sus propios fines. Doxxing –o revelar la PII de las víctimas– ha sido durante mucho tiempo un arma en el arsenal hacktivista. En, el Cibercalifato Unidopublicó “listas de asesinatos” de personal militar estadounidense para alentar a los simpatizantes de ISIS y a los lobos solitarios a cometer actos de violencia contra ellos. Aunque hasta la fecha no se conoce ningún ataque resultante de revelaciones como esta, cabe señalar si eso puede suceder en el futuro.
Se ha sospechado que los estados nacionales llevan a cabo ataques físicos contra individuos específicos. Recientemente, se cree que un espía ruso fue envenenado a instancias del gobierno ruso. En, presuntos agentes norcoreanos usaron veneno contra el hermano de Kim Jong Un en un aeropuerto de Malasia. Es cierto que estos ataques no fueron el resultado de una actividad cibernética, pero demuestran que la capacidad está ahí si la intención está presente. Dado que Irán es considerado en gran medida el principal Estado-nación del mundo que apoya el terrorismo, tiene una gran red de agentes a los que recurrir para atacar a individuos que pueda considerar amenazantes para sus intereses. Se sospecha que Irán ha llevado a cabo “asesinatos” en el pasado, afirmación que ha negado.
Por el momento, esto parece ser una amenaza única. Pero la forma en que los estados nacionales responden a los ataques cibernéticos y a los incidentes cibernéticos importantes puede influir en lo que los gobiernos acusados pueden hacer en respuesta a cualquier represalia. Esperemos que esta confluencia entre el ciberespacio y el mundo físico siga siendo teórica y no un presagio de lo que vendrá.
Esta es una publicación invitada escrita por Emilio Iasiello.