Las armas cibernéticas se definen comúnmente como agentes de malware empleados con fines militares , paramilitares o de inteligencia como parte de un ciberataque . Esto incluye virus informáticos , troyanos , programas espía y gusanos que pueden introducir código malicioso en el software existente, lo que hace que una computadora realice acciones o procesos no previstos por su operador.
Un arma cibernética suele estar patrocinada o empleada por un estado o un actor no estatal , cumple un objetivo que de otro modo requeriría espionaje o el uso de la fuerza , y se emplea contra objetivos específicos. Un arma cibernética realiza una acción que normalmente requeriría un soldado o un espía , y que se consideraría ilegal o un acto de guerra si la realizara directamente un agente humano del patrocinador en tiempos de paz. Las cuestiones legales incluyen la violación de la privacidad del objetivo y la soberanía de su nación anfitriona. [1] Ejemplos de tales acciones son la vigilancia , el robo de datos y la destrucción electrónica o física. Si bien es casi seguro que un arma cibernética resulte en daños financieros directos o indirectos al grupo objetivo, las ganancias financieras directas para el patrocinador no son un objetivo principal de esta clase de agente. A menudo, las armas cibernéticas se asocian con causar daño físico o funcional al sistema que ataca, a pesar de ser software. [2] Sin embargo, no hay consenso sobre lo que constituye oficialmente un arma cibernética. [2]
A diferencia del malware utilizado por los script kiddies para organizar botnets , donde la propiedad, la ubicación física y el rol normal de las máquinas atacadas son en gran medida irrelevantes, las ciberarmas muestran una alta selectividad en uno o ambos de sus usos y operaciones. Antes del ataque, las ciberarmas suelen identificar al objetivo utilizando diferentes métodos. [3] De la misma manera, el malware empleado por los estafadores para el robo de información personal o financiera demuestra una menor selectividad y una distribución más amplia.
Las ciberarmas son peligrosas por múltiples razones. Suelen ser difíciles de rastrear o de defenderse debido a su falta de componentes físicos. [2] Su anonimato les permite ocultarse en sistemas sin ser detectadas hasta que se desencadena su ataque. [4] Muchos de estos ataques explotan los " días cero " (vulnerabilidades en el software que las empresas tienen que solucionar en un día cero). [4] También son significativamente más baratas de producir que las ciberdefensas para protegerse contra ellas. [4] A menudo, las ciberarmas de una fuerza son obtenidas por una fuerza opuesta y luego se reutilizan para ser utilizadas contra la fuerza original, como se puede ver con las ciberarmas WannaCry [5] y NotPetya . [6]
Aunque la prensa utiliza con frecuencia el término arma cibernética , [7] [8] algunos artículos lo evitan y utilizan en su lugar términos como "arma de Internet", "hackeo" o "virus". [9] Los investigadores convencionales debaten los requisitos del término, aunque siguen haciendo referencia al empleo del agente como un "arma", [10] y la comunidad de desarrollo de software en particular utiliza el término con menos frecuencia.
Los siguientes agentes de malware generalmente cumplen con los criterios anteriores, han sido mencionados formalmente de esta manera por expertos en seguridad de la industria o han sido descritos de esta manera en declaraciones gubernamentales o militares:
Stuxnet fue una de las primeras y más influyentes armas cibernéticas. [2] [11] En 2010, fue lanzada por Estados Unidos e Israel para atacar las instalaciones nucleares iraníes. [11] [12] Stuxnet se considera la primera arma cibernética importante. [11] Stuxnet también fue la primera vez que una nación utilizó un arma cibernética para atacar a otra nación. [13] Después de los ataques con Stuxnet, Irán utilizó armas cibernéticas para atacar a las principales instituciones financieras estadounidenses, incluida la Bolsa de Valores de Nueva York . [14]
A Stuxnet le siguieron Duqu en 2011 y Flame en 2012. [11] La complejidad de Flame no tenía parangón en ese momento. [1] Utilizó vulnerabilidades en Microsoft Windows para propagarse. [3] Su objetivo específico eran las terminales petroleras iraníes. [7]
En 2017, las filtraciones de datos mostraron que las herramientas de piratería supuestamente seguras utilizadas por agencias gubernamentales pueden ser obtenidas (y a veces expuestas) por terceros. Además, se informó que, después de perder el control de dichas herramientas, el gobierno parece dejar "exploits abiertos para que los reutilicen estafadores, delincuentes o cualquier otra persona, con cualquier propósito". [15] Claudio Guarnieri, un tecnólogo de Amnistía Internacional , afirma: "lo que aprendemos de las revelaciones y filtraciones de los últimos meses es que las vulnerabilidades desconocidas se mantienen en secreto incluso después de que se han perdido claramente, y eso es simplemente irresponsable e inaceptable". [15]
También en ese año WikiLeaks publicó la serie de documentos Vault 7 que contienen detalles de los exploits y herramientas de la CIA con Julian Assange declarando que están trabajando para "desarmarlos" antes de su publicación. [16] [17] El desarme de las armas cibernéticas puede venir en forma de contactar a los respectivos proveedores de software con información de vulnerabilidades en sus productos, así como posible ayuda o desarrollo autónomo (para software de código abierto ) de parches . La explotación de herramientas de piratería por parte de terceros ha afectado particularmente a la Agencia de Seguridad Nacional de los Estados Unidos (NSA). En 2016, la información sobre las herramientas de piratería de la NSA fue capturada por un grupo de piratería chino, ATP3, que les permitió realizar ingeniería inversa de su propia versión de la herramienta. Posteriormente se utilizó contra naciones europeas y asiáticas, aunque Estados Unidos no fue el objetivo. [18] [19] Más tarde ese año, un grupo anónimo llamado " Shadow Brokers " filtró en línea lo que se cree ampliamente que son herramientas de la NSA. [19] [20] No se sabe si estos dos grupos están afiliados, y ATP3 tuvo acceso a las herramientas al menos un año antes de la filtración de Shadow Brokers. [19] Las herramientas filtradas fueron desarrolladas por Equation Group , un grupo de guerra cibernética con presuntos vínculos con la NSA. [19]
Entre las herramientas filtradas por los Shadow Brokers estaba EternalBlue , que la NSA había utilizado para explotar errores en Microsoft Windows. [5] Esto llevó a Microsoft a emitir actualizaciones para protegerse contra la herramienta. [8] Cuando los Shadow Brokers lanzaron públicamente EternalBlue, fue rápidamente utilizado por piratas informáticos norcoreanos y rusos, que lo transformaron en el ransomware WannaCry [5] y NotPetya , [6] respectivamente. NotPetya, que inicialmente se lanzó en Ucrania pero luego se extendió por todo el mundo, encriptaba discos duros y obligaba a los usuarios a pagar una tarifa de rescate por sus datos, a pesar de que nunca devolvió los datos. [6] [9]
En septiembre de 2018, el Departamento de Defensa de los Estados Unidos confirmó oficialmente que Estados Unidos utiliza armas cibernéticas para promover intereses nacionales. [14]
Si bien no se ha regulado completamente el uso de las armas cibernéticas, se han propuesto posibles sistemas de regulación. [2] Un sistema permitiría que las armas cibernéticas, cuando no las utilice un Estado, se sometieran a la legislación penal del país y, cuando las utilice un Estado, a las leyes internacionales sobre la guerra. [2] La mayoría de los sistemas propuestos se basan en el derecho internacional y su aplicación para detener el uso inapropiado de las armas cibernéticas. [2] Teniendo en cuenta la novedad de las armas, también se ha debatido sobre cómo se aplican a ellas las leyes existentes anteriormente, que no se diseñaron teniendo en cuenta las armas cibernéticas. [2]