En el ámbito de las operaciones en el ciberespacio, la mayor parte de operaciones de ataque o explotación son remotas, es decir, se realizan a través de tecnologías que permiten al actor hostil no estar físicamente cerca de su objetivo: un acceso vía VPN, un correo electrónico o enlace dañino que instala un implante en la víctima, una vulnerabilidad remota explotada exitosamente, etc. Pero un pequeño porcentaje de operaciones requieren un acercamiento físico entre el actor hostil y su objetivo: son las operaciones de proximidad, llamadas también Sneaker Operations o CACO (Close Access Cyberspace Operations).
Cuando no todo estaba conectado a Internet, las operaciones de proximidad eran casi la única vía de acceso a los sistemas o la información del objetivo; para robar información había que colocar un micro o una cámara colándose por la noche en un edificio, modificando una cadena de suministro o situándose en un edificio enfrente de las instalaciones del objetivo, por poner unos ejemplos. Algunas de las acciones de adquisición de inteligencia de señales requerían esta proximidad, y esta proximidad evidentemente implicaba un riesgo significativo de ser neutralizado, con todas las implicaciones que esta neutralización puede tener. Algunos ejemplos muy conocidos de operaciones de proximidad para adquisición de inteligencia de señales implican (presuntamente) a la DGSE francesa implantando micros en los asientos business de los vuelos de Air France entre París y Nueva York, a los soviéticos (presuntamente) regalando un Gran Sello con un implante al embajador estadounidense en la URSS o a alemanes y estadounidenses (presuntamente) manipulando dispositivos de cifra de Crypto AG en la operación Rubicon.
Pero llega un momento en el que tenemos tantas cosas conectadas a Internet que podemos realizar operaciones completas de ataque o explotación a través de la red, de manera remota, sin exponernos físicamente a ser neutralizados -o al menos, exponiéndonos menos-. Por este motivo las operaciones de proximidad empiezan a perder protagonismo frente a las operaciones remotas: en el terreno ciber, las más habituales son éstas, frente a las operaciones que requieren esa proximidad física. Entre otros muchos beneficios, las operaciones remotas entrañan menos riesgos para el actor que las ejecuta y, como hemos dicho, en la mayor parte de casos cumplen con sus objetivos.
No obstante, en algunos casos las operaciones remotas tienen poca probabilidad de éxito, son excesivamente complejas o simplemente no se pueden abordar desde un punto de vista técnico. Es en estos casos en los que pueden entrar en juego las operaciones de proximidad. Como hemos dicho, las operaciones de proximidad son aquellas que requieren una cercanía física con el objetivo. La proximidad puede ser humana, mediante un operador, o mecánica, mediante un dispositivo que se aproxime físicamente al objetivo, como un UXV.
Frente a las operaciones remotas, las operaciones de proximidad apenas han sido analizadas por la industria y la comunidad científica. Apenas hay literatura técnica que las describa o discuta, y por supuesto la información que sale (voluntariamente) de los servicios de inteligencia en relación con sus capacidades es nula. No obstante, sí es público -gracias a los papeles de Snowden- que la NSA estadounidense tiene capacidades para realizar ciber operaciones de proximidad (por ejemplo, COTTONMOUTH o HOWLERMONKEY requieren cierta proximidad para ser implantados), que ejecuta estas operaciones (por ejemplo, a través del programa TAREX) y que colabora con otras agencias de la comunidad estadounidense para realizar dichas operaciones (por ejemplo, dentro del programa Sentry Osprey o a través del Special Collection Service).
Y si la información públicamente disponible en relación con las capacidades de proximidad en el ciberespacio es escasa, la disponible acerca de las propias operaciones de proximidad aún lo es menos. La única operación de este tipo que ha visto la luz ha sido la realizada por el GRU ruso en La Haya, contra la Organización para la Prohibición de las Armas Químicas (Organisation for the Prohibition of Chemical Weapons), en 2018. Esta operación fue neutralizada por la inteligencia holandesa y sus detalles expuestos públicamente por el director del MIVD.
Adicionalmente a los servicios de inteligencia, grupos ligados al ciber crimen también disponen de capacidades de proximidad, y las propias empresas proveedoras ofrecemos también servicios de auditoría física que implican acciones de proximidad (lo que se llama black team). No tan habituales ni tan demandados como los servicios remotos, pero necesarios en ocasiones.
Los dos elementos que definen las operaciones de proximidad en el ciberespacio son la aproximación que realiza el actor hostil a su objetivo y el artefacto técnico que emplea para la acción (bug o implante). La aproximación tiene tres características fundamentales: la relación entre actor hostil y objetivo (intruso o insider), el transporte utilizado para la acción (humano o mecánico) y el punto donde se ejecuta el compromiso (cadena de suministro u operación). Por su parte, el artefacto también tiene tres características fundamentales: el tipo de implante (hardware, software o sin implante), la proximidad con el objetivo (directo o cercano) y la interacción con éste (pasiva o activa). Con estos elementos podemos caracterizar las operaciones de proximidad en el ciberespacio y también las operaciones de proximidad dirigidas a la adquisición de inteligencia de señales.
Esta caracterización sencilla de las operaciones de proximidad, o las acciones de proximidad en general, no se contempla de manera especial en MITRE ATT&CK, donde tampoco se hace hincapié en tácticas o técnicas que puedan abordarse con acciones de proximidad. MITRE ATT&CK únicamente cita algunas técnicas particulares que implican o pueden implicar proximidad: por ejemplo, “Hardware Additions” para el acceso inicial o ”Exfiltration Over Physical Medium” para el caso de la exfiltración. Aunque esta falta de foco en las operaciones de proximidad por parte de la principal referencia a la hora de identificar tácticas y técnicas hostiles (y sus contramedidas) puede tener una explicación lógica, y es que es más probable ser víctima de una operación remota que serlo de una operación de proximidad, al no estar referenciadas en este marco de trabajo, algunas organizaciones no las considerarán entre sus amenazas y por tanto no desplegarán salvaguardas para mitigarlas.
Resumiendo, una operación de proximidad es, como su nombre indica, aquella que requiere cierta proximidad entre actor hostil y objetivo: un actor hostil que accede a las instalaciones de su objetivo para implantar un router, ese mismo actor que rompe la cadena de suministro para implantar ese mismo router, ese mismo actor utilizando un UAV para comprometer una WiFi del objetivo… Hoy en día tenemos un nivel de conectividad muy elevado, lo que favorece el éxito de las operaciones remotas y por tanto reduce el número de operaciones de proximidad. No obstante, éstas existen, alguna es públicamente conocida, y diferentes actores (servicios, grupos delincuenciales, empresas…) tienen capacidades para desarrollarlas cuando se evalúan como la mejor opción.
Por último, una curiosidad sobre las operaciones de proximidad: el concepto “proximidad” no está definido en ningún sitio (o no lo he encontrado). ¿Qué es “proximidad”? ¿Contacto directo? ¿Un metro? ¿Un kilómetro? Sin entrar en formalismos, podemos definir como “proximidad” la distancia física entre un actor hostil y su objetivo que permite a éste detectar o neutralizar a dicho actor hostil. Aunque habitualmente esta distancia es del orden de metros, con los mecanismos de transporte mecánicos, por ejemplo, con un dron, esta distancia puede incrementarse hasta los kilómetros.