El ciberataque a Sony Pictures desató un torrente de informaciones alarmistas en los medios de comunicación, evocando la imagen de la perfidia norcoreana. Al cabo de un mes, el FBI emitió una declaración declarando al gobierno de Corea del Norte “responsable de estas acciones”. En medio del frenesí mediático, varios senadores y congresistas pidieron medidas duras. John McCain (R-AZ) fanfarroneó: “Es una nueva forma de guerra en la que estamos involucrados y necesitamos reaccionar y reaccionar vigorosamente”.
El presidente Barack Obama anunció que su administración planeaba revisar la posibilidad de colocar a Corea del Norte en la lista de estados que patrocinan el terrorismo, una medida que endurecería aún más las ya duras sanciones contra Corea del Norte. "Causaron mucho daño y responderemos", advirtió Obama sombríamente. "Responderemos proporcionalmente y responderemos en el lugar, momento y forma que elijamos".
En la prisa por dictar sentencia, pocos pidieron pruebas y no se proporcionó ninguna. Los analistas de seguridad informática, sin embargo, expresaron su escepticismo.
En su declaración, el FBI ofreció sólo algunos comentarios para respaldar su atribución de responsabilidad a Corea del Norte. "El análisis técnico del malware de eliminación de datos utilizado en el ataque reveló vínculos con otro malware que el FBI sabe que los actores norcoreanos desarrollaron previamente", informó, incluidas "similitudes en líneas específicas de código, algoritmos de cifrado, métodos de eliminación de datos y redes comprometidas". .” El FBI continuó mencionando que las direcciones IP utilizadas en el hackeo de Sony estaban asociadas con "una infraestructura conocida de Corea del Norte". Las herramientas utilizadas en el ataque "tienen similitudes con un ciberataque de marzo del año pasado contra bancos y medios de comunicación de Corea del Sur, llevado a cabo por Corea del Norte".
El principal problema con las pruebas ofrecidas por el FBI es que son autorreferenciales, y todas ellas apuntan al ataque de 2013 a bancos y medios de comunicación de Corea del Sur llevado a cabo por la banda DarkSeoul. En ese momento, sin proporcionar ninguna evidencia que lo respaldara, Estados Unidos acusó a Corea del Norte de estar detrás de DarkSeoul. En efecto, el FBI argumentó que debido a que Estados Unidos difundió el rumor de la participación de Corea del Norte en el ataque anterior, y parte del código está relacionado, esto prueba que Corea del Norte también es responsable del ataque a Sony. Un rumor señala a otro rumor como “prueba”, haciendo que el argumento carezca de sentido.
Las falacias lógicas son muchas. Hasta la fecha, ninguna investigación ha descubierto la identidad de DarkSeoul y no se sabe nada sobre el grupo. La vinculación de DarkSeoul con Corea del Norte es puramente especulativa. “Un punto que no se puede decir lo suficiente”, enfatiza Risk Based Security, “es que ‘la atribución es difícil’ dada la naturaleza de las intrusiones informáticas y lo difícil que es, en última instancia, rastrear un ataque hasta un individuo o grupo determinado. Los ataques pasados a Sony no han sido resueltos, ni siquiera años después. La idea de que apenas dos semanas después de iniciada la investigación haya una atribución positiva, suficiente para llamar a esto un acto de guerra, parece peligrosa y cuestionable”.
Consideremos algunos de los otros errores de la declaración del FBI. Las direcciones IP codificadas en el malware utilizado en el hackeo de Sony pertenecían a servidores ubicados en Tailandia, Polonia, Italia, Bolivia, Singapur, Cypress y Estados Unidos. El FBI da a entender que sólo la República Popular Democrática de Corea (RPDC, el nombre formal de Corea del Norte) podría haber utilizado estos servidores. El puerto tailandés es un proxy que se utiliza habitualmente para enviar spam y malware. Lo mismo ocurre con los servidores polacos e italianos. Todos los servidores utilizados en el ataque a Sony han sido previamente comprometidos y se encuentran entre las muchas computadoras ampliamente conocidas y utilizadas por piratas informáticos y distribuidores de spam. Cualquier persona con conocimientos puede utilizarlos.
Otra cuestión es si se utilizaron o no estas máquinas. Los piratas informáticos suelen utilizar máquinas proxy con direcciones IP falsas para engañar a los investigadores. Ningún pirata informático utiliza sus propios ordenadores para lanzar un ataque. Los sistemas vulnerables son secuestrados para enrutar el tráfico. Que el FBI señale direcciones IP revela un malentendido fundamental de la ciberseguridad o un intento cínico de engañar deliberadamente al público.
El hackeo de Sony guarda similitudes con el ciberataque Shamoon de 2012 contra computadoras pertenecientes a Saudi Aramco. Los responsables de aquel ataque tampoco han sido nunca identificados, aunque Estados Unidos acusó a Irán sin aportar ninguna prueba. Utilizando la lógica del FBI, se podría argumentar con la misma facilidad que el hackeo de Sony fue obra de Irán. Una acusación infundada se utiliza para reforzar otra. Como materia probatoria, no tiene ningún valor. También debe recordarse que en 1998, Estados Unidos culpó a Irak por el hackeo de Solar Sunrise a las computadoras del Departamento de Defensa, sólo para que finalmente se revelara que fue obra de unos pocos adolescentes.
Las similitudes en el código entre el hackeo de Sony y los ataques anteriores de Shamoon y DarkSeoul tampoco indican una responsabilidad compartida. El malware está disponible gratuitamente en el mercado negro. Los piratas informáticos operan comprando o tomando prestado y luego modificando software comúnmente disponible, incluidos componentes legales y ilegales. El código se comparte entre los piratas informáticos en foros y el malware se ensambla vinculando varios elementos.
Uno de los componentes utilizados en el ciberataque a Sony fue la biblioteca RawDisk de EldoS, una aplicación comercial que permite el acceso directo al hardware de Windows sin pasar por la seguridad. Cualquiera puede comprar legalmente este software. No hay nada que lo vincule con la RPDC.
"Hay una gran cantidad de malware que se comparte entre diferentes grupos, y todo el malware se crea sobre malware más antiguo", informa Brian Martin de Risk Based Security. “También se basan en herramientas de piratería. Por ejemplo, encontrará mucho malware que utiliza fragmentos de código de herramientas populares como Nmap. ¿Eso significa que el tipo que escribió Nmap es un autor de malware? No. ¿Significa que trabaja para Corea del Norte? No."
Robert Graham, de Errata Security, considera las pruebas ofrecidas por el FBI como “una completa tontería. Parece que han llegado a una conclusión y están tratando de hacer que la evidencia coincida”. Graham añade: “No hay nada único en el software. Sabemos que los piratas informáticos comparten malware en foros. Todos los piratas informáticos del mundo tienen todo el código fuente disponible”.
Trojan-Destover, el malware utilizado en el ciberataque a Sony, incluía al menos seis componentes utilizados anteriormente por Shamoon y DarkSeoul. "Incluso en escenarios tan dañinos, las herramientas del ciberatacante se reutilizan", señala Sariel Moshe de CyActive. “Para ellos, si funcionó una vez, modifíquelo un poco y volverá a funcionar. El ataque a Sony demuestra claramente que este método funciona bastante bien”. De hecho, si bien Shamoon y DarkSeoul son los predecesores más comúnmente mencionados del hack de Sony, se cree que este software se ha utilizado en varias ocasiones en el pasado contra múltiples objetivos.
El software utilizado en el ciberataque a Sony es atípico para un estado nación. "Es una diferencia de calidad de día y de noche", dice Craig Williams del Grupo de Investigación e Inteligencia de Seguridad Talos de Cisco. "El código es simplista, no muy complejo y no muy confuso".
Cuatro archivos utilizados en el ataque fueron compilados en una máquina configurada en idioma coreano. Ese hecho no prueba nada, señala el analista de seguridad informática Chris Davis. “Esa es una evidencia bastante débil. Pude compilar código de malware que usara afrikáans y cuya marca de tiempo coincidiera con JoBerg en unos cinco segundos”. Cualquier hacker razonablemente competente cambiaría la configuración del idioma para desviar a los investigadores. Si Corea del Norte hubiera llevado a cabo este ataque, ciertamente habría dado el paso básico de cambiar la configuración del idioma en la máquina utilizada para compilar el código. ¿Qué pasa con el resentimiento de Corea del Norte por la comedia vulgar y de mal gusto de Sony Picture? La entrevista, que retrata el asesinato del líder de la RPDC, Kim Jong-un? Es dudoso que a los estadounidenses les divierta más una comedia extranjera sobre el tema del asesinato de un presidente estadounidense que a los norcoreanos una comedia extranjera sobre el tema del asesinato de un presidente estadounidense. La entrevista.
Entre los correos electrónicos filtrados por el ciberataque a Sony se encontraba un mensaje de Bruce Bennett de Rand Corporation. Bennett fue consultor de la película y se opuso a atenuar el final de la película. "He sido claro en que el asesinato de Kim Jong-un es el camino más probable hacia el colapso del gobierno de Corea del Norte", escribió, añadiendo que la filtración del DVD de la película en Corea del Norte "hará que se piense realmente". En otro mensaje, el director ejecutivo de Sony, Michael Lynton, respondió: “Bruce habló con alguien de alto rango en el estado (de manera confidencial). Estuvo de acuerdo con todo lo que has estado diciendo. Todo." Lynton también se estaba comunicando con Robert King, enviado especial de Estados Unidos para cuestiones de derechos humanos de Corea del Norte, con respecto a la película. Los medios occidentales retratan la reacción de Corea del Norte ante La entrevista como demasiado sensible e irracional, mientras que funcionarios estadounidenses y un consultor de Rand Corporation vieron que la película tenía el potencial de inspirar el asesinato en la vida real de Kim Jong-un. La escena del asesinato de Kim no estaba destinada simplemente al llamado entretenimiento. Los medios de comunicación se apresuraron a atribuir el hackeo de Sony a la RPDC, basándose en su reacción ante la película de Sony. Sin embargo, una mirada más cercana al ciberataque revela un culpable más probable. El grupo que se responsabiliza del hack se hace llamar Guardianes de la Paz y en uno de los archivos de malware también se utiliza el nombre alternativo de Apóstoles de Dios. En el ataque inicial, no se hizo ninguna referencia a la película, ni se mencionó en correos electrónicos posteriores que los atacantes enviaron a Sony. En cambio, los piratas informáticos intentaron extorsionar: “Queremos una compensación monetaria. Pague el daño o Sony Pictures será bombardeada en su totalidad”.
En una entrevista con CSO Online, una persona representada como perteneciente a Guardianes de la Paz dijo que el grupo es “una organización internacional… no bajo la dirección de ningún estado”, e incluía miembros de varias naciones. “Nuestro objetivo no es la película La entrevista como sugiere Sony Pictures”, escribió el hacker, pero mencionó que el estreno de una película que tenía el potencial de amenazar la paz era un ejemplo de la “codicia de Sony Pictures”.
Durante las dos semanas posteriores al ciberataque, los medios de comunicación insistieron en el tema de la culpabilidad de Corea del Norte. Sólo después de ese momento los Guardianes de la Paz (GOP) hicieron su primera referencia pública a La entrevista, negando cualquier conexión con la RPDC. Pasó otra semana más antes de que el Partido Republicano denunciara la película y amenazara con atacar los cines que la proyectaran.
Parece que la narrativa de la participación de Corea del Norte repetida hasta la saciedad por los medios de comunicación y el gobierno de Estados Unidos presentó un regalo a los piratas informáticos demasiado tentador para dejarlo pasar. El Partido Republicano aprovechó el tema dominante y logró solidificar la tendencia a culpar a la RPDC, con el efecto de garantizar que ninguna investigación perseguiría al grupo. Por su parte, la administración Obama optó por aprovechar la oportunidad para reforzar su política anti-Corea del Norte en lugar de perseguir a los culpables.
Hay fuertes indicios de que el ciberataque involucró a uno o más empleados o ex empleados de Sony descontentos, que probablemente trabajaban con piratas informáticos experimentados. El malware utilizado contra Sony se había modificado para incluir rutas de archivos y nombres de servidores codificados. Los nombres de usuario y las contraseñas del administrador del sistema también estaban codificados. Sólo alguien que tuviera acceso completo con privilegios de administrador del sistema a la red informática de Sony podría haber obtenido esta información.
El Partido Republicano podría haber pirateado el sistema de Sony meses antes para recopilar esos datos. Pero es más probable que alguien con conocimiento de la configuración de red de Sony haya proporcionado la información. Argumentando en contra de la posibilidad de que información crítica haya sido desviada previamente mediante un hack, el experto en ciberseguridad Hemanshu Nigam observa: “Si terabytes de datos salieran de las redes de Sony, sus sistemas de detección de redes se habrían dado cuenta fácilmente. También le llevaría meses a un hacker descubrir la topografía de las redes de Sony, saber dónde se almacenan los activos críticos y tener acceso a las claves de descifrado necesarias para abrir los filtros que se han filtrado”.
La motivación más probable del ataque fue la venganza por parte de empleados actuales o anteriores de Sony. "Mi dinero está en un (posiblemente ex) empleado de Sony descontento", escribió Marc Rogers de CloudFlare. “Quien haya hecho esto busca venganza. La información y el acceso que tenían podrían haberse utilizado fácilmente para retirar dinero; sin embargo, están haciendo todo lo posible para quemar a Sony. Basta pensar en lo que podrían haber hecho con las contraseñas de todas las cuentas financieras de Sony”. Los estados nacionales nunca llevan a cabo operaciones de piratería informática tan ruidosas. Su objetivo es infiltrarse silenciosamente en un sistema y obtener información sin ser detectados. Sony no tenía datos que hubieran sido de interés para un estado nación. El blogger de seguridad informática The Grugq escribió: “No veo que la RPDC utilice este tipo de recurso valioso en lo que es esencialmente un ataque insignificante contra una empresa que no tiene valor estratégico”. Habría sido imprudente que un equipo norcoreano llamara la atención. El especialista en ciberseguridad Chris Davis dice: “Toda la actividad que se informó me recuerda a Script Kiddie. No es un ataque avanzado patrocinado por el estado”. Davis añade: “Bueno, la estúpida imagen del esqueleto que pusieron en todas las pantallas de las estaciones de trabajo dentro de Sony… no es algo que haría un ataque patrocinado por el estado…. ¿CUALQUIER actor patrocinado por el estado que se precie usaría algo tan tonto como eso? El consenso entre los expertos en ciberseguridad es claro, sostiene Davis. "La teoría predominante que veo en las listas de correo cerradas de seguridad es la de un grupo de Internet de empleados de Sony despedidos".
Tras la investigación de su empresa de ciberseguridad, Kurt Stammberger de Norse se hace eco de esa opinión. “Sony no sólo fue hackeada. Esta es una empresa que fue esencialmente bombardeada desde adentro. Estamos muy seguros de que este no fue un ataque planeado por Corea del Norte y que personas internas fueron clave para la implementación de uno de los ataques más devastadores de la historia”.
"Lo que llama la atención es lo bien que supieron explotar las vulnerabilidades de Sony", informa Nimrod Kozlovski de JVP Labs. “El malware en sí no es creativo ni nuevo; Hay muchos actores que podrían haber manifestado este ataque en particular”. Los piratas informáticos “sabían más sobre la empresa, Sony, y sus vulnerabilidades de lo que sabían o necesitaban saber sobre la piratería informática”.
Como indicación de la verdadera motivación del hacker, cabe señalar que las primeras comunicaciones se centraron en un tema diferente al de la película de Sony. El contenido de un correo electrónico enviado por el Partido Republicano al IDG News Service se refiere a la reestructuración de Sony, en la que miles de empleados perdieron sus puestos de trabajo: “Sony y Sony Pictures han cometido una terrible discriminación racial y violaciones de derechos humanos, una tiranía indiscriminada y una reestructuración en los últimos años. . Ha causado daños a muchas personas, algunas de las cuales se encuentran entre nosotros. Hoy en día, Sony Pictures está a punto de aprovecharse de los débiles con un plan de otra reestructuración indiscriminada para su propio beneficio. Este se convirtió en un motivo decisivo para nuestra acción”. En un correo electrónico a The Verge, el Partido Republicano escribió: “Queremos igualdad. Sony no…. Trabajamos con otro personal con intereses similares para ingresar”.
Buscando aliviar las tensiones, Corea del Norte propuso llevar a cabo una investigación conjunta con Estados Unidos sobre el ciberataque a Sony. Como era de esperar, Estados Unidos rápidamente rechazó la oferta. El portavoz del Consejo de Seguridad Nacional, Mark Stroh, respondió con arrogancia: “Si el gobierno norcoreano quiere ayudar, puede admitir su culpabilidad y compensar a Sony por los daños causados por este ataque”. Difícilmente se puede esperar que Corea del Norte acepte la culpa por un acto que no cometió. Pero llegar a la verdad del asunto era lo más alejado de la mente de la administración Obama. De manera similar, los funcionarios estadounidenses están ignorando las solicitudes de expertos en ciberseguridad para que se les permita analizar el código Destover. "Les preocupa que les demostremos que están equivocados", concluye Robert Graham.
La indignación de la administración Obama por el ataque a Sony contiene más que una pequeña medida de hipocresía. Fueron Estados Unidos quienes lanzaron el ataque Stuxnet que destruyó muchas de las centrífugas nucleares de Irán. De acuerdo a un El Correo de Washington Según un artículo publicado en 2013, dos años antes Estados Unidos llevó a cabo 231 operaciones cibernéticas en todo el mundo. La Agencia de Seguridad Nacional, como ahora es bien sabido, piratea periódicamente redes informáticas y recopila grandes cantidades de datos. El programa GENIE, el Publicación Según informó, se proyectó que habría ingresado e instalado implantes en 85,000 computadoras para finales de 2013. Se informó que la siguiente fase de GENIE implementaría un sistema automatizado que podría instalar "potencialmente millones de implantes" para recopilar datos "y realizar ataques activos". Según el ex subsecretario de Defensa William J. Lynn III, “el debate político ha avanzado de modo que ahora las opciones ofensivas son más prominentes”.
Compárese el tratamiento suave que los medios dieron a los recientes ataques a gran escala a Target, Home Depot y JP Morgan, en los que se robaron millones de tarjetas de crédito e información personal, con la cobertura del ciberataque a Sony Pictures. Es imposible evitar la conclusión de que consideraciones políticas están impulsando el furor mediático por este último caso.
Después de seis años en el cargo, la administración Obama aún tiene que entablar un diálogo o una diplomacia con Corea del Norte. Prefiere mantener un muro de hostilidad, bloqueando cualquier perspectiva de progreso o entendimiento entre las dos naciones.
Los sitios web norcoreanos ya han sido objeto de persistentes operaciones de denegación de servicio. Se desconoce si los ataques fueron lanzados por un equipo cibernético del gobierno de Estados Unidos o por piratas informáticos independientes inspirados en informes de los medios. En cualquier caso, el Presidente Obama ya ha prometido tomar medidas no especificadas contra la RPDC. La responsabilidad real por el ataque a Sony es irrelevante. Con el apoyo de los medios de comunicación, los funcionarios estadounidenses están utilizando el ciberataque como pretexto para aumentar la presión sobre Corea del Norte. Cualquier acción que tome la administración Obama probablemente desencadene una respuesta, y podríamos entrar en un peligroso ciclo de retroalimentación de acción/contrarrestación.
Z
Gregory Elich forma parte de la junta directiva del Instituto de Investigación Jasenovac y del consejo asesor del Instituto de Política de Corea. Es miembro del Comité para la Defensa de la Democracia en Corea del Sur y columnista de La voz de la gente. Es coautor de Matar la democracia: operaciones de la CIA y el Pentágono en el período postsoviético, publicado en ruso. Este artículo se publicó por primera vez en Counterpunch. org.