La Casa Blanca dice que la Sección 702 es fundamental para la ciberseguridad, pero la evidencia pública es escasa
PorTonya Riley
2 de junio de 2023
Desde que la administración Biden se pronunció a favor de reautorizar la Sección 702 de la Ley de Vigilancia de Inteligencia Extranjera en febrero, la comunidad de inteligencia ha señalado la creciente amenaza de ciberataques extranjeros en los EE. UU. como un argumento clave a favor de la controvertida herramienta de vigilancia.
Los funcionarios han hecho declaraciones amplias y generales, señalando aplicaciones de gran alcance que incluyen frustrar múltiples ataques de ransomware contra infraestructura crítica de EE. UU., descubrir que un adversario extranjero ha pirateado información confidencial relacionada con el ejército estadounidense y descubrir un ataque cibernético contra sistemas federales críticos.
Sin embargo, 15 años después de la historia de la Sección 702, los ejemplos desclasificados de frustración de ciberataques son escasos. En los poco más de tres meses que la administración de Biden ha estado abogando públicamente por la renovación de la Sección 702, no ha mencionado un solo incidente público específico en el que se haya utilizado la Sección 702, a pesar de un término marcado tanto por amplios ataques cibernéticos como bien publicitados. derribos de piratas informáticos extranjeros.
Esa falta de transparencia y especificidad no parece estar ayudando a la administración de Biden en lo que probablemente será una batalla cuesta arriba para que el Congreso vuelva a autorizar la autoridad antes de que finalice en diciembre. Incluso algunos de los mayores partidarios de la autoridad han expresado su frustración.
"Ya sea para ayudar a identificar a las víctimas para que puedan ser notificadas del ataque o ayudar a identificar a los actores de ransomware, 702 ha sido invaluable en los últimos años", dijo el senador Mark Warner, D-Va., a CyberScoop en un correo electrónico. "Sin embargo, me frustra que aún no se hayan hecho públicos más de estos convincentes ejemplos".
La oficina de Warner confirmó que la comunidad de inteligencia ha compartido ejemplos de la importancia cibernética de la herramienta en entornos clasificados, pero se negó a dar más detalles.
"Si bien es importante que no arriesguemos las fuentes y los métodos, también es fundamental que le expliquemos al pueblo estadounidense lo que se perderá y cómo sería cada vez más vulnerable a los ciberdelincuentes y gobiernos extranjeros si se permitiera que expirara esta autoridad", dijo el escribió el presidente de Inteligencia del Senado.
Adam Hickey, exfiscal general adjunto de la división de seguridad nacional del Departamento de Justicia, se hizo eco de las preocupaciones de Warner. "Creo que están peleando con una mano detrás de la espalda", dijo Hickey, ahora socio del bufete de abogados Mayer Brown. "Por un lado, no quiere que las mismas personas que representan una amenaza entiendan sus capacidades, porque trabajarán en torno a ellas... Por otro lado, no quiere ser tan cuidadoso para evitar ese riesgo que pierde la autoridad misma".
La reticencia tampoco está ayudando a la comunidad de libertades civiles, que ha desafiado las afirmaciones persistentes de la comunidad de inteligencia de que cualquier reforma a la Sección 702 que retrase a los investigadores pondría en peligro la seguridad nacional de Estados Unidos.
“Si eso es lo que va a decir el FBI, no solo es útil para cibernéticos, sino que es útil de esta manera preventiva, de esta manera muy rápida, creo que esta afirmación debe poder respaldarse con algunos ejemplos”, dijo. Jake Laperruque, subdirector del Proyecto de Seguridad y Vigilancia del Centro para la Democracia y la Tecnología.
La Sección 702 se aprobó por primera vez en 2008 como una enmienda a FISA, presentada inicialmente como una herramienta clave en la lucha de Estados Unidos contra el terrorismo. La autoridad permite que el gobierno de EE. UU. recopile las comunicaciones basadas en EE. UU. de no estadounidenses fuera del país. La recopilación de datos de ciudadanos estadounidenses utilizando la Sección 702 está prohibida, pero dichos datos a menudo se barren en la vigilancia en "recopilación incidental". Estos datos pueden ser buscados por el FBI bajo ciertos requisitos legales.
Si bien la cantidad de búsquedas del FBI de datos 702 ha fluctuado con el tiempo, la cantidad de búsquedas relacionadas con la ciberseguridad ha aumentado constantemente. En una entrevista reciente con CyberScoop, un alto asesor del FBI confirmó que "alrededor de la mitad" o una "pluralidad" de las búsquedas en la base de datos de la Sección 702 realizadas por la agencia hoy se relacionan con la investigación de ciberataques maliciosos patrocinados por el estado. Si bien el asesor no pudo decir cuánto fue el aumento con respecto a años anteriores, dijo que reflejaba un cambio general en el trabajo de la agencia hacia más investigaciones cibernéticas.
“Nuestro uso de la autoridad en el FBI y en toda la comunidad de inteligencia se inclina mucho más hacia la cibernética ahora que hace cinco años”, dijo el asesor principal del FBI. "Parte de ese uso de esta autoridad refleja su valor y el hecho de que estamos haciendo más trabajo en este campo y estamos viendo que las amenazas cibernéticas aumentan con el tiempo".
Si bien el asesor del FBI no pudo compartir ningún ejemplo específico, hay algunos datos limitados sobre cómo se han mostrado los datos de la Sección 702 en las investigaciones cibernéticas. Por ejemplo, en su informe anual de transparencia de 2022, la ODNI escribió que de los 3,4 millones de búsquedas realizadas por el FBI en 2021, casi dos millones estaban relacionadas con una investigación sobre un supuesto intento de hackers rusos de acceder a infraestructura crítica. Las búsquedas ayudaron a identificar posibles víctimas, dijeron las autoridades en ese momento.
La cantidad de búsquedas del FBI disminuyó drásticamente en 2022, en parte debido a una nueva metodología utilizada por el FBI para contar las búsquedas.
“Los ataques cibernéticos ocurren a mayor escala. Y, por lo tanto, la cantidad de información recopilada y consultada sobre los ataques cibernéticos es proporcionalmente mayor”, dijo Tom Bossert, exasesor de Seguridad Nacional de los Estados Unidos bajo la administración Trump. "Puedes imaginar cientos de miles de intentos de ataques cibernéticos en un período de tiempo determinado, y quizás solo cinco llamadas telefónicas de terroristas en ese mismo período".
En sus inicios, la Sección 702 fue catalogada como una poderosa herramienta antiterrorista, lo que reflejaba el enfoque de la comunidad de inteligencia en ese momento. De hecho, algunos de los mayores éxitos desclasificados del programa implican frustrar complots terroristas y acabar con sus líderes. Más recientemente, el verano pasado, la inteligencia de la Sección 702 condujo a una operación exitosa contra el líder de al-Qaeda, Ayman al-Zawahiri.
Fue solo en 2017, en medio del último debate de renovación, que la ciberseguridad comenzó a tomar un papel más destacado, con ejemplos de intentos frustrados de ransomware que eclipsaron las referencias a ISIS y otras células terroristas. Ahora, a menudo ocupa los primeros lugares cuando se discuten las amenazas que los estados-nación representan para la patria. En su evaluación anual de amenazas de 2023, la Oficina del Director de Inteligencia Nacional colocó a China, Rusia, Corea del Norte e Irán y sus capacidades cibernéticas entre las principales amenazas para la nación.
Bossert, quien estuvo a cargo de los esfuerzos de la administración Trump para asegurar una reautorización en 2017, ve la nueva estrategia en parte como un reflejo del enfoque cambiante de la comunidad de seguridad nacional. “Creo que mucha gente percibirá que la amenaza cibernética es real y está siempre presente. Y menos personas encontrarán que la amenaza terrorista es tan urgente”, dijo. "Y me gustaría pensar que eso se debe a que pasamos 20 años enfrentando ese problema y poniendo controles en su lugar".
Los funcionarios dicen que parte de la razón por la que la Sección 702 se ha vuelto tan valiosa para frustrar a los actores extranjeros es la naturaleza complicada de los ataques cibernéticos. En la mayoría de los casos, los atacantes utilizan la infraestructura estadounidense como un nenúfar para objetivos domésticos. Los funcionarios de inteligencia a menudo han señalado esto como un desafío al tratar de seguir la actividad de actores extranjeros en suelo nacional, y lo señalaron como un "punto ciego" que contribuyó a que no se detectaran los piratas informáticos rusos durante el ataque a SolarWinds.
La Sección 702, dicen, llena restaura esa visibilidad. "Es una autoridad que nos permite cobrar contra una entidad extranjera conocida que elige usar la infraestructura de los EE. UU.", dijo el director de seguridad cibernética de la NSA, Rob Joyce, a una multitud en la Conferencia RSA en abril. “Y así se asegura de que no ofrezcamos las mismas protecciones a los actores maliciosos extranjeros que están en nuestra infraestructura que a los estadounidenses que viven aquí”.
“No puedo hacer seguridad cibernética en el alcance y la escala que lo hacemos hoy sin esa autoridad”, agregó.
El FBI y la NSA no están solos al elogiar la herramienta. Esta semana, un alto funcionario del departamento de estado habló sobre cómo la herramienta es fundamental para informar el trabajo de los diplomáticos estadounidenses, incluidos los problemas de ciberseguridad, como el fraude informático de Corea del Norte.
Una parte interesada potencial que la administración de Biden aún tiene que cortejar seriamente en la lucha para renovar la Sección 702 es la industria. El asesor principal del FBI enfatizó cómo la falta de renovación de la autoridad dañaría su capacidad para asesorar a los principales oficiales de seguridad de la información, inundados de advertencias sobre vulnerabilidades, sobre qué amenazas específicas son más urgentes.
"Esta es una de esas cosas que nos permite llegar a sectores específicos e incluso a empresas específicas para decir, mira, esta vulnerabilidad específica es una de la que quieres ocuparte en este momento porque estamos viendo ciertos tipos de actores apuntando a empresas, empresas como tú, usando eso", dijo el asesor principal del FBI. "Vamos a tener una óptica severamente restringida en todas esas cosas si nos vemos obligados a depender únicamente de otras herramientas".
El ex consejero general de la Agencia de Seguridad Nacional, Stewart Baker, ha argumentado que la comunidad de inteligencia debería hacer más para demostrar a la industria cómo pueden beneficiarse de la Sección 702. "Si yo fuera un CISO, me gustaría opinar sobre los tipos de advertencias, los tipos de usos de esta inteligencia en tiempo real, eso sería particularmente útil para mí".
Las empresas deben entender que si la Sección 702 desaparece, también desaparecerá esa inteligencia, dice Bossert. “No deberían pensar en esto solo como una amenaza a la seguridad nacional. Deberían pensar en esto como una amenaza empresarial para su empresa. Y deberían ver al gobierno de EE. UU. como un socio potencial”, dijo."Si esperan que el gobierno de EE. UU. continúe siendo un socio confiable... tienen que entender que la información subyacente que tienen que compartir está en manos del gobierno debido a autoridades como 702".
El asesor principal del FBI le dijo a CyberScoop que la agencia está buscando formas de aumentar la participación de la industria en el tema. "Hay una variedad de diferentes partes interesadas aquí. Y la industria, particularmente cuando hablamos de cibernética, es muy importante", dijo el asesor principal del FBI. "Así que eso es algo que vamos a analizar en el futuro". cómo podemos comenzar a involucrarlos ahora que esto realmente está comenzando a llegar a la cima de la conversación pública, así como a la conversación en Capitol Hill y en otros grupos de interés".
Incluso si hubiera más ejemplos, no está claro si el supuesto valor de la Sección 702 para prevenir estos ataques puede superar las muchas críticas del programa, tanto de los legisladores que ejercen el poder para volver a autorizarlo como de los grupos de libertades civiles que buscan reformar el programa. La mayor parte del rechazo político contra la autoridad se centra en preocupaciones sobre abusos bien documentados de las libertades civiles de Estados Unidos, cuyos ejemplos públicos no tienen nada que ver con ransomware o actores extranjeros que se infiltran en infraestructura crítica.
Por ejemplo, un fallo judicial estadounidense de 2022 recientemente desclasificado encontró que el FBI había buscado indebidamente información sobre estadounidenses en la base de datos FISA 278 000 veces, incluso para espiar campañas políticas y manifestantes. El informe provocó la indignación tanto de los principales demócratas como de los republicanos que insisten en que el programa no puede ser reautorizado sin reformas.
(El FBI argumenta que ha implementado nuevas medidas de cumplimiento desde que ocurrieron esas búsquedas para reducir el uso indebido).
Los funcionarios que abogan por la reautorización de la Sección 702 han sido vagos sobre las reformas que estarían dispuestos a discutir, y en cambio enfatizan que los cambios no deberían disminuir la eficacia de la herramienta. Las reformas buscadas por los defensores y los legisladores pueden hacer precisamente eso, al menos a los ojos de la comunidad de inteligencia. Por ejemplo, el asesor principal del FBI dijo que un requisito de orden judicial, una de las principales solicitudes de los reformadores, dificultaría que la agencia actúe con rapidez para notificar a las víctimas del ransomware.
Laperruque de CDT señaló que los tribunales han reconocido desde hace mucho tiempo las excepciones de emergencia al proceso de orden judicial. Las reformas, como agregar un requisito de orden judicial a la Sección 702, que CDT y otros grupos están defendiendo, no cambiarían eso.
“Eso no va a impedir que la Sección 702 se use para cibernética”, dijo Laperruque. “Evitará que el 702 se use en Black Lives Matter y los miembros del Congreso, que es para lo que hemos visto que se usa el 702 en los últimos años”.
Por