Este módulo es un recurso para los catedráticos

Ciberespionaje

Aunque no existe una definición única y universal de espionaje, éste se ha descrito como un método de recopilación de datos de inteligencia: en particular, como un «proceso de obtención de información que normalmente no está disponible públicamente, utilizando fuentes humanas (agentes) o medios técnicos (como el hackeo de sistemas informáticos)» (Servicio de Seguridad MI5 del Reino Unido, s. f.). Sin embargo, incluso la recopilación de datos de inteligencia no tiene «una definición internacionalmente reconocida y ejecutable» (Sulmasky y Yoo, pág. 637). Muy por el contrario, parecen existir casi tantas definiciones de inteligencia como expertos a los que se les pide que definan el término (para un estudio completo de las posibles definiciones consulte Warner, 2002). Como argumenta Warner, las definiciones de las operaciones de espionaje generalmente tienden a agruparse en uno de dos campos: «Uno sigue la nomenclatura militar estadounidense del siglo XX y sostiene que la inteligencia es información para los encargados de adoptar decisiones; es cualquier cosa de cualquier fuente que ayude a un líder a decidir qué hacer con un adversario. El segundo campo define la inteligencia como la guerra por medios más silenciosos» (Warner, 2009, pág. 16; para más información sobre estos campos consulte, Shulsky y Schmitt; 2002; Warner, 2002; Der Derian, 1992). Lubin (2018) ofrece una definición más matizada de las operaciones de espionaje. Sostiene que todas ellas abarcan los siguientes cuatro elementos: «(1) la operación consiste en la reunión, el análisis, la verificación y la difusión de información pertinente para el proceso de toma de decisiones de uno o varios Estados, o que sirva de cierto modo a los intereses de algún Estado; (2) la operación es lanzada por agentes de uno o varios Estados, o por aquellos que tengan un nexo suficiente con dicho Estado o Estados; (3) la operación se dirige a uno o varios Estados extranjeros, sus súbditos, asociaciones, corporaciones o agentes, sin el conocimiento o el consentimiento de ese o esos Estados y (4) la operación implica cierto grado de secreto y confidencialidad según las necesidades detrás de la operación o los métodos de recojo y análisis empleados, a fin de garantizar su eficacia» (págs. 206-207).

El ciberespionaje consiste en el uso de las tecnologías de la información y la comunicación (TIC) por parte de personas, grupos o empresas para obtener algún beneficio económico o personal (Maras, 2016; para más información sobre el ciberespionaje para obtener un beneficio económico, consulte Delitos Cibernéticos Módulo 11: Delitos contra la Propiedad Intelectual Propiciados por Medios Cibernéticos). El ciberespionaje también puede ser perpetrado por actores gubernamentales, grupos patrocinados o dirigidos por el Estado u otros que actúan en nombre de un Gobierno, en busca de obtener acceso no autorizado a sistemas y datos en un esfuerzo por recopilar información de inteligencia sobre sus objetivos con el fin de mejorar la seguridad nacional, la competitividad económica o la fuerza militar de su propio país (Maras, 2016). Si bien el espionaje no es un fenómeno nuevo, las TIC han permitido que los esfuerzos de recopilación de datos de inteligencia ilícita dirigidos u orquestados por otros países se realicen a una velocidad, frecuencia, intensidad y escala sin precedentes (Fidler, 2012), así como una reducción de los riesgos asociados a la comisión de espionaje (es decir, ser capturado por el país al que se dirigen los esfuerzos de recopilación) (Ziolkowski, 2013).

Varias campañas de ciberespionaje se han atribuido a las amenazas persistentes avanzadas (o APT, en inglés), que se refieren a «grupo(s) con la capacidad y la intención de tener como objetivo de forma persistente y eficaz a una entidad específica» (Maras, 2016, pág. 383; consulte también Lemay et al., 2018). Sin embargo, las APT no limitan sus actos al ciberespionaje, sino que también se han dedicado a la destrucción de sistemas o datos (sabotaje) y a la interrupción de las operaciones. Se han identificado las principales tácticas utilizadas por los autores de ciberespionaje. Entre ellas se incluyen (entre otras) la distribución de programas maliciosos, la ingeniería social, el spear phishing y los ataques de watering hole. Por ejemplo, un programa malicioso conocido como Flame se dirigía a los sistemas informáticos del Gobierno y recogía información de sus objetivos, incluyendo el encendido remoto de las cámaras web y micrófonos de los sistemas infectados; la captura de pantalla de los sistemas infectados y la transferencia o recibo de datos y comandos a través de Bluetooth, entre otros (Bencsáth, 2012). Otro tipo de programa malicioso similar a Flame, llamado Gauss, tenía como objetivo a un Gobierno para fines similares (Zetter, 2012). Gauss fue diseñado para recabar datos sobre las conexiones de red, los controladores y los sistemas de procesos y carpetas, infectar los controladores con programas espía para recabar información de otros sistemas y transmitir esta información a un servidor bajo el control de aquellos que desplegaron el programa malicioso (Bencsáth, 2012).

Otra herramienta que se utiliza mayormente en el ciberespionaje es la ingeniería social, en la que el autor del delito engaña al objetivo para que revele información o realice otra acción. Una táctica de la ingeniería social que se ha utilizado en varios incidentes de ciberespionaje es el spear phishing, el cual consiste en el envío de correos electrónicos con archivos adjuntos o enlaces infectados diseñados para engañar al receptor y que haga clic en los archivos adjuntos o enlaces (discutido en Delitos Cibernéticos Módulo 2 y en Delitos Cibernéticos Módulo 13).

Los autores de los delitos de una presunta campaña de ciberespionaje dirigida por el Estado, conocida como Night Dragon, utilizaron una combinación de tácticas de ingeniería social y programas maliciosos para obtener acceso no autorizado a los sistemas de las empresas de energía mundiales en varios países y obtener información sobre sus operaciones (Kirk, 2011). Se pueden contratar empresas privadas para ayudar en los ataques de ingeniería social. Existen varios informes acerca de que un desarrollador de programas espías ha proporcionado a varios agentes estatales, de varios países, las herramientas y capacidades necesarias para hackear los teléfonos inteligentes utilizando mensajes personalizados y mensajes de WhatsApp (Brewster, 2018). Dicho comercio de software de intrusión, que se ha utilizado en el pasado para abusar de los derechos humanos así como para atacar a periodistas y activistas, está sujeto a ciertos regímenes de control de exportaciones, pero estos son insuficientes y problemáticos (consulte, p. ej., Lin y Trachtman, 2018).

Otra táctica utilizada para obtener acceso no autorizado al objetivo es el ataque watering hole, que es «un ataque mediante el cual un delincuente cibernético vigila y determina los sitios web más frecuentados por los miembros de una organización o grupo concreto e infecta esos sitios con programas informáticos maliciosos en un intento de obtener acceso a sus redes» (Maras, 2016, pág. 382). Por ejemplo, la modificación del widget «pensamiento del día» en el sitio web de Forbes, una revista estadounidense de información y noticias financieras, hizo posible un ataque watering hole dirigido a los usuarios comunes del sitio, en particular a las personas de finanzas y defensa (Peterson, 2012; Rashid, 2012).

Además, las personas con información privilegiada, es decir, las que ya forman parte de la organización, compañía u organismo a la que los autores quieren acceder, también son utilizadas para realizar o facilitar el ciberespionaje. Dichos individuos pueden, intencionalmente o no, revelar información confidencial o sensible a países u otros vinculados de alguna manera con países extranjeros como parte de sus esfuerzos de recopilación de datos de inteligencia (CERT Insider Threat Center, 2016).

El ciberespionaje ha sido posible gracias a las numerosas herramientas de hacking que están ampliamente disponibles en línea. Entre estas herramientas se encuentran los códigos maliciosos (p. ej., el ataque de día cero, es decir, vulnerabilidades previamente desconocidas que se explotan una vez identificadas, o aquellas que pueden penetrar en los sistemas y burlar los cortafuegos) y los implantes (p. ej., la puerta trasera, el portal secreto utilizado para obtener acceso no autorizado a los sistemas o una herramienta de administración remota [RAT]). Desde 2016, un grupo conocido como Shadow Brokers ha estado liberando herramientas de hacking (Peterson, 2016; Newman, 2018). Una de ellas implica un código malicioso de una vulnerabilidad de Windows (es decir, EternalBlue), que formaba parte del programa secuestrador WannaCry que se dirigía y causaba daños a los sistemas de salud, transporte y otros en todo el mundo (Greenberg, 2017; Graham, 2017).

El Convenio sobre Ciberdelincuencia del Consejo de Europa exige a los Estados signatarios que adopten una legislación que penalice el acceso ilegal a los sistemas informáticos, las redes y los datos, así como la interceptación de datos de comunicaciones, entre otros delitos cibernéticos (consulte Delitos Cibernéticos Módulo 2 Tipos Generales de Delitos Cibernéticos y Delitos Cibernéticos Módulo 3: Marcos Jurídicos y Derechos Humanos). En efecto, los países tienen leyes nacionales que penalizan estas y otras formas de delitos cibernéticos que podrían utilizarse en las iniciativas de recopilación y espionaje. Además, algunos países tienen una prohibición penal general del espionaje (p. ej., en Alemania, los artículos 94-99 del Código Penal alemán; en China, los artículos 110-111 del Código Penal chino). Estas leyes se han utilizado para acusar a los autores del ciberespionaje. A menudo estas acusaciones no conducen a procesos judiciales exitosos a menos que los autores del ciberespionaje estén físicamente ubicados en el país de dicho proceso o en un país que coopere con él (Maras, 2016). Esto se debe, en parte, al hecho de que es poco probable que el país espía extradite a los autores para que sean juzgados, ni que ayude en su investigación. Como resultado, las acusaciones penales nacionales contra ciudadanos extranjeros por ciberespionaje suelen estar diseñadas para identificar públicamente el papel de un Estado en el presunto ciberespionaje e iniciar negociaciones diplomáticas con el país o la región cuyos ciudadanos supuestamente participaron en este acto y el país que fue el blanco.

Es importante señalar que nuestro «sistema contemporáneo de seguridad mundial» depende de un «flujo confiable e incesante de inteligencia hacia la cima de las élites» (McDougal, Lasswell y Reisman, 1973). Como tal, ciertas formas de ciberespionaje patrocinadas por el Estado no solo son inevitables en los asuntos internacionales, sino que también pueden formar parte de los derechos y obligaciones generalmente aceptados de los Estados (Lubin, 2018). De hecho, algunos expertos consideran que «la amplia práctica por parte de un Estado de espionaje en el territorio del Estado objetivo ha creado una excepción a la premisa generalmente aceptada de que las actividades no consentidas atribuibles a un Estado mientras está físicamente presente en el territorio de otro violan la soberanía. Sin embargo, subrayaron que esta excepción es estrecha y se limita únicamente a los actos de espionaje» (Manual de Tallin 2.0: Derecho Internacional Aplicable a las Operaciones Cibernéticas, pág. 19). Trazar una línea entre las formas legítimas e ilegítimas de espionaje cibernético está sujeto a un creciente debate académico. Por ejemplo, Libicki (2017) ha propuesto que la práctica estatal se está moviendo en la dirección de que ciertas formas de robo de la propiedad intelectual serán prohibidas si se utilizan para obtener una mayor ventaja competitiva de las empresas (págs. 3-4).

Siguiente: Ciberterrorismo
Volver al inicio