Tácticas CNA: una primera propuesta

Hoy toca un artículo doctrinal y algo metafísico…. Vamos, algo denso. Avisados estáis :)

Dentro las operaciones CNO (Computer Network Operations) encontramos tres tipos de capacidades o acciones: CND, CNA y CNE (Defensa, Ataque y Explotación respectivamente); mientras que CND trata obviamente de la defensa de entornos tecnológicos frente a ataques también tecnológicos -no contra un misil que impacta en un CPD-, las operaciones y capacidades CNE se focalizan en la adquisición y explotación de información a través de redes y ordenadores: lo que actualmente estamos denominando ciberespionaje. Por su parte, CNA, Computer Network Attack, hace referencia a lo que en muchas ocasiones se identifica con las operaciones puramente destructivas (las famosas “4D”: disrupt, deny, degrade and destroy).

Cualquier actor que ejecute operaciones CNO desarrolla TTP (Tácticas, Técnicas y Procedimientos) para lograr sus objetivos; sin entrar en las definiciones más formales de la literatura militar estadounidense, las tácticas especifican qué hace un actor, las técnicas especifican cómo una táctica se implementa y los procedimientos definen una implementación particular -dependiente incluso de la persona que las aplica- de ésta; este enfoque, de un nivel más alto a un nivel más operativo, modela el comportamiento de un actor, algo parecido a lo que habitualmente se denomina su modus operandi.

Como estas TTP son determinantes para modelar las amenazas, por ejemplo las APT, facilitando así su conocimiento -y la atribución de sus acciones-, se ha realizado mucho trabajo para identificar y estructurar las TTP (realmente, más las dos “T” que la “P”); sin duda, el mayor esfuerzo o uno de los mayores es el ligado a MITRE ATT&CK, fuente pública de información sobre las técnicas y tácticas de actores hostiles avanzados. Pero este esfuerzo, incluido el enorme trabajo realizado por MITRE, se ha focalizado más en las tácticas y técnicas ligadas a CNE que en las ligadas a CNA; de hecho, hasta este mismo año, ATT&CK apenas referenciaba estas últimas, y en estos momentos únicamente se identifica una táctica denominada “Impact” que agrupa todas las técnicas destructivas identificadas, desde el defacement hasta el wiping o destrucción de información.

¿A qué puede ser debida esta falta de atención sobre las tácticas y técnicas “destructivas”? Quizás dos motivos lo traten de justificar: el primero, que la mayor parte de acciones ligadas a actores avanzados se refieren a ciberespionaje, CNE, y el segundo, que casi cualquier operación CNA seria requiere previamente de una operación CNE en el objetivo, para robarle información, conocerlo y hacerle así más daño. No obstante, en especial durante los últimos años, las operaciones CNA de actores avanzados -por ejemplo, APT28- están saliendo a la luz y cobran cada vez más protagonismo, sobre todo si tenemos en cuenta los ataques de estos actores contra sistemas esenciales para la sociedad, incluyendo sistemas de control capaces de causar un impacto físico severo en el objetivo.

Es necesaria la identificación y estructuración de las tácticas y técnicas ligadas a operaciones CNA, tan necesaria como lo es en el ámbito CNE; se ha desarrollado muy poco trabajo en dicha tarea, al menos en comparación con las tácticas y técnicas CNE, siendo necesario en ocasiones acudir a trabajos relativos a ataque electrónico (EA), una capacidad dentro de Electronic Warfare, disciplina al mismo nivel que CNO dentro del ámbito de las operaciones de información.

Podemos empezar por la parte más sencilla: las tácticas. ¿Cuáles son las tácticas ligadas a CNA? Antes hemos hablado de las “4D”: la degradación, la interrupción, la denegación y la destrucción. La degradación de un objetivo deniega su acceso u operación hasta cierto nivel, representado habitualmente por un porcentaje; si ese porcentaje es del 100%, se habla de interrupción, una denegación de acceso u operación completa pero temporal. Por ejemplo, una denegación de servicio distribuida contra un servidor web puede simplemente degradar el acceso al mismo o interrumpirlo por completo, pero cuando cesa el ataque el servidor vuelve a ser accesible sin problemas (de ahí el factor temporal de la definición); al contrario, un ataque de destrucción contra un objetivo deniega el acceso u operación completa e irreparablemente: no puede ser devuelto a su estado correcto sin reconstruirlo por completo.

¿Dónde está entonces la “denegación” como táctica dentro de CNA? Las doctrinas modernas ya no consideran esta “D” como una táctica, sino como una especie de metatáctica, de objetivo a cumplir, que puede ser conseguido gracias a las anteriores; dicho de otra forma, podemos denegar el acceso u operación de un objetivo degradándolo, interrumpiéndolo o destruyéndolo. La denegación es, así, un término “paraguas” para hacer referencia a las tácticas puras dentro de CNA: degradación, interrupción y destrucción.

Aparte de estas “3D”, de nuevo en la doctrina más reciente, aparece una táctica adicional para las operaciones CNA: la manipulación, el control o cambio de la información, los sistemas que la tratan, o las redes del objetivo de manera que dicha manipulación apoye las necesidades del atacante (en este caso, la denegación en cualquiera de sus modalidades: destrucción, interrupción o degradación). ¿Cuál es la diferencia, entonces, entre una manipulación que degrade o una degradación? Muy sutil: principalmente, la manipulación no es perceptible de forma inmediata, no es sencilla de detectar. Una denegación de servicio distribuida (interrupción o degradación) o el cifrado irreversible de unos archivos (destrucción) son identificados por la víctima de forma casi inmediata… si la táctica utilizada por el atacante hubiera sido la manipulación, el impacto habría sido seguramente más prolongado y difícil de percibir, y por tanto a priori mucho más dañino.

En resumen, cuando hablamos de operaciones o capacidades CNA tenemos cuatro grandes tácticas a considerar: la degradación, la interrupción, la destrucción y la manipulación. ¿Y las técnicas para ejecutar cada una de ellas? El estudio es ahora más complejo, con menos referencias todavía y, por tanto, un trabajo en proceso para un próximo post…

Ver también en: