lunes, 25 de julio de 2011

Ciberespacio como campo de enfrentamientos

En la propia definición de ciberguerra aparece el termino ciberespacio como el escenario principal de las batallas. Pero este término es demasiado genérico y suele ser usado de forma alegre en la literatura sobre ciberguerra.

Partiremos de la definición de ciberespacio como el conjunto de todas las redes informáticas y los sistemas conectados a ellas.

A día de hoy la red predominante es Internet, pero no hay que olvidar que existen muchas otras (privadas y públicas) y que no todas ellas están conectadas directamente a Internet. Muchas veces estas redes incluso se basan en protocolos de comunicación distintos de los que se utilizan en Internet y que por lo tanto las tácticas de ciberguerra para ellas son muy diferentes.

El principal de los protocolos usados en Internet es el protocolo IP (Internet Protocol), el protocolo base de Internet pero que también es usado habitualmente en redes privadas no conectadas a ella.

Por ejemplo, hace no tantos años la red predominante era la red telefónica. Si, aunque parezca lejano, durante mucho tiempo la mayor parte de las comunicaciones informáticas se realizaban mediante módems que usaban la red telefónica para comunicar ordenadores distantes.

Durante esa época también fueron populares las redes basadas en el protocolo X25. Escenario conocido de operaciones de espionaje durante los últimos años de la guerra fría.

A nivel militar actualmente se intenta evitar en la medida de lo posible el uso de Internet para tareas críticas, aunque la mayoría de redes militares son basadas en IP.

Por ejemplo, el ejército de Estados Unidos que es el que hace un uso más intensivo de redes informáticas cuenta con varias redes globales, entre las más populares:

  • NIPRNET, es la mayor red privada del mundo. Es una red de baja seguridad.
  • SIPRNET, es una red segura totalmente separada de Internet
  • JWICS, red de alto secreto.

Todas ellas utilizan como base el protocolo IP, aunque cuentan con distintas capas de seguridad adicional.

Dentro de las redes que utilizan el protocolo IP es importante destacar que actualmente el protocolo más usado es el IP versión 4 o IPv4, pero que en un futuro se tendería a utilizar IP versión 6 o IPv6 que modifica aspectos claves del protocolo y que cambiaría totalmente la forma de nuestro campo de enfrentamientos.

Luego a un nivel inferior (a nivel de campo) tendríamos lo que son las redes que establecen los sistemas militares (unidades aéreas, navíos, tanques, unidades de mando) que están conectados para intercambiar multitud de información, por ejemplo de donde esta ellos, donde está el enemigo, etc.

Este tipo de redes ad-hoc se suelen denominar como: Datalink, Tactical Datalink, TADIL o TDL y hay un buen puñado de protocolos distintos dependiendo del uso: Link_1, Link_4, Link_16, etc.

La principal conclusión de todo esto es que el termino ciberespacio es demasiado amplio y no debe ser utilizado a la ligera. Tantos las tácticas como las estrategias de ciberguerra deben ser diferentes según el tipo de red concreta en la que se desarrollen los enfrentamientos, no valen soluciones genéricas.

viernes, 15 de julio de 2011

Doctrina de Operaciones en Redes de Computadoras

Buena parte de los ejércitos del planeta están modelados en base a la doctrina y procedimientos de las fuerzas armadas norteamericanas. Esto es así tanto para los países OTAN que toman gran parte de sus estándares militares de los de este país, como de otros países que sin estar alineados en esta organización entran dentro de la esfera de influencia occidental. Por ello es imprescindible para cualquier estudioso de la ciberguerra conocer de qué manera han articulado los Estados Unidos las ciberoperaciones militares.

La doctrina militar norteamericana de ciberguerra viene definida dentro de la publicación conjunta JP 3-13, Information Operations, este documento proporciona la doctrina para la planificación, preparación, ejecución y evaluación de Operaciones de Información (IO, Information Operations). La denominación de publicación conjunta obedece a que se trata de un documento común para el Ejército, Armada, Fuerza Aérea y Cuerpo de Marines norteamericano.

Dentro de la Guerra de Información esta doctrina define cinco núcleos básicos de capacidades, entre los que se encuentra tanto las ciberoperaciones como otras operaciones de corte más tradicional. Son las PSYOPS, la OPSEC, el MILDEC, la EW y las CNO.

Las PSYOPS, Operaciones de Guerra Psicológica (Psychological Operations), suponen el uso de propaganda para influir en las opiniones y comportamiento normalmente del enemigo pero también de aliados o elementos neutrales. Operaciones clásicas de PSYOPS son el uso de panfletos, transmisiones de radio o TV, etc. con el objetivo de desmoralizar al enemigo.

La OPSEC, Seguridad Operativa (Operations Security), se dedica a identificar que acciones propias pueden ser observadas por el enemigo y hasta qué punto este puede obtener inteligencia de las mismas. Así mismo la OPSEC también se encarga de definir y adoptar medidas para impedir esa recolección de inteligencia.

El MILDEC, Engaño Militar (Military Deception), engloba las tareas encargadas de facilitar al enemigo indicadores falsos que le hagan llegar a conclusiones erróneas sobre la fuerza, intenciones y capacidades propias. Un ejemplo histórico de MILDEC seria la Operación Fortitude durante la segunda guerra mundial con el objetivo de desviar la atención del desembarco sobre Normandía hacia un supuesto desembarco en el Paso de Calè.

La EW, la Guerra Electrónica (Electronic Warfare), implica el dominio del espectro electromagnético. Que incluye tanto la monitorización de las emisiones del enemigo como el uso de medios que van desde perturbadores a misiles anti-radar para limitar su utilización al contrario. Un ejemplo histórico de Guerra Electrónica seria la conocida como Battle of the Beams, también ocurrida durante la segunda guerra mundial, y que se centro en la utilización de sistemas de navegación aérea para facilitar el bombardeo alemán sobre Inglaterra, y los exitosos esfuerzos por interferir y falsear estas emisiones por parte de los ingleses.


Las CNO, Operaciones en Redes de Computadoras (Computer Network Operations). Las CNO se derivan de la creciente utilización de computadoras en red y sistemas de información por parte de organizaciones civiles y militares. Las CNO, junto con la EW, se utilizan para atacar, engañar, degradar, interrumpir, denegar, explotar la infraestructura del enemigo y defender la propia.

Cada uno de los núcleos de capacidades anteriores se subdivide en diversas categorías. Así las CNO que son las que mas nos interesan se dividen a su vez en CNA o Ataque a Redes de Computadoras (Computer Network attack), CND o Defensa de Redes de Computadoras (Computer Network Defense), y en Explotación de Redes de Computadoras o CNE (Computer Network Exploitiation).

El CNA se compone de las medidas adoptadas a través del uso de redes de computadoras para interrumpir, negar, degradar o destruir la información en las computadoras y las redes de computadoras. Acciones de CNA serian las denegaciones de servicio o del hacking de sistemas orientado a poner los mismos fuera de servicio, por ejemplo formateando el equipo una vez alcanzados los privilegios suficientes. El caso del virus Stuxnet, con sus capacidades para atacar hardware de control industrial sería una buena muestra de ciberarma diseñada para una operación CNA.

El CND incluye las acciones tomadas a través del uso de redes de computadoras para proteger, supervisar, analizar, detectar y responder a la actividad no autorizada dentro de los sistemas de información. Formarían parte del CND el uso clásico de medidas de seguridad como antivirus, firewalls, ids, ips, etc.

Finalmente el CNE se compone de las operaciones de apoyo y las capacidades de recolección de inteligencia llevado a cabo a través del uso de las redes informáticas
para recopilar datos de los sistemas del adversario. Un ejemplo de CNE sería una intrusión en una red crítica realizando saltos desde redes públicamente accesibles, con el objetivo de extraer información manejada por esos sistemas. En las operaciones CNE tendrá por tanto especial importancia a la capacidad de que el ataque pase desapercibido el mayor tiempo posible

Una interesante idea que transpira a lo largo de todo documento de doctrina IO es la fuerte interrelación entre los diversos dominios de las operaciones de información, la importancia del uso conjunto de las capacidades y las delgadas líneas que separan un tipo de operación de otro. Pongamos por caso algunos ejemplos:

Supongamos que durante un conflicto militar uno de los contendientes realiza un deface, la modificación de una web publica, del enemigo. ¿Estaríamos ante una operación CNA? ¿Una operación PSYOPS? O mas posiblemente una mezcla de las mismas, una operación PSYOPS realizada mediante las capacidades CNA.

Otro caso que señala el mismo documento es la proliferación de comunicaciones wireless de todo tipo en las redes de computadoras, Wimax, Wifi, UMTS, LTE,… en el plano civil junto con las capacidades de transmisión de datos de banda ancha en las modernas radios militares. Las acciones realizadas contra estos sistemas ¿Estarían dentro del ámbito CNO? ¿O ante operaciones de Guerra Electrónica EW?

Ciertamente estas interrelaciónes dará lugar a mas y mas escenarios de operaciones híbridas en el futuro próximo, algunos de ellos ya los hemos tratado en areopago21 en post como los dedicados a OPSEC en el mundo de la web 2.0 o las operaciones PSYOPS en internet por parte de organizaciones insurgentes.