Transcurrieron ocho meses entre el momento en que el malware NotPetya paralizó el 10% de los ordenadores de Ucrania y el día en que seis naciones occidentales señalaron públicamente al GRU ruso como responsable[s]. El ataque le costó a Ucrania el 0,5% de su PIB y causó daños por más de 1.000 millones de dólares en todo el mundo. El lapso entre el ataque y la atribución pública abarcó estaciones enteras.
Esa demora refleja el problema central de la atribución cibernética: identificar técnicamente a un atacante y demostrar legalmente la responsabilidad estatal operan en plazos, estándares probatorios y cálculos políticos radicalmente distintos. Cuando los países se acusan mutuamente de ciberataques, desencadenan consecuencias diplomáticas que perduran más allá de cualquier limpieza de malware. Equivocarse en la atribución, o acertar, pero sin pruebas suficientes, puede desestabilizar las relaciones internacionales más que el ataque original.
Qué significa realmente la atribución cibernética
La atribución cibernética es el proceso de identificar quién llevó a cabo un ciberataque, por qué lo hizo y si un gobierno es responsable. A diferencia de una escena del crimen física, donde los investigadores recogen ADN y huellas dactilares, los ataques digitales se canalizan a través de ordenadores comprometidos en múltiples países, emplean comunicaciones cifradas y plantan deliberadamente pruebas falsas.
Los atacantes rara vez operan desde sus propios sistemas. Dirigen sus operaciones a través de servidores secuestrados, redes proxy y redes privadas virtuales, falsificando direcciones IP y manipulando marcas de tiempo en el proceso[s]. Para cuando los investigadores rastrean un ataque hasta su fuente inmediata, suelen encontrar otra víctima en lugar del verdadero perpetrador.
La atribución se divide en tres fases distintas. La atribución técnica identifica las herramientas, la infraestructura y los patrones de comportamiento utilizados en un ataque. La atribución política nombra públicamente a una parte responsable para ejercer presión diplomática. La atribución legal recopila pruebas suficientes para activar la responsabilidad estatal según el derecho internacional[s]. Estos tres tipos sirven a propósitos diferentes y requieren umbrales de prueba muy distintos.
La brecha probatoria entre saber y demostrar
Los Estados suelen basarse en inteligencia clasificada para evaluar la responsabilidad de un ataque: inteligencia de señales, fuentes humanas y análisis forense del código del malware. Aunque esta inteligencia pueda ser políticamente convincente, con frecuencia no cumple con los estándares requeridos para la atribución legal según el derecho internacional[s].
La brecha es estructural. La intención criminal y la motivación estratégica rara vez pueden inferirse solo a partir de indicadores técnicos[s]. Descubrir que un ataque utilizó una cepa particular de malware asociada a un grupo conocido no prueba que un gobierno haya ordenado esa operación específica. Los actores de amenazas roban herramientas entre sí, toman prestadas técnicas y operan a través de contratistas que mantienen una negación plausible.
Es crucial señalar que no existe obligación legal en el derecho internacional de proporcionar públicamente pruebas que respalden una atribución[s]. Esta postura ha sido ratificada por Canadá, Francia, Alemania, Israel, los Países Bajos, Nueva Zelanda, Suecia, Suiza, el Reino Unido y Estados Unidos, entre otros. Los países pueden señalar a un atacante sin demostrarlo públicamente, confiando en que los aliados acepten sesiones informativas clasificadas mientras los adversarios lo niegan todo.
Cuando los atacantes se incriminan mutuamente
Los actores estatales sofisticados no solo ocultan sus identidades; también implican activamente a sus rivales mediante operaciones de bandera falsa. El ataque Olympic Destroyer de 2018 demostró lo efectivo que puede ser este engaño.
Cuando el malware afectó a la ceremonia de apertura de los Juegos Olímpicos de Invierno de Pyeongchang, las pruebas forenses iniciales apuntaban con fuerza a Corea del Norte. Las similitudes en el código y los patrones de infraestructura coincidían con operaciones norcoreanas conocidas. Una investigación más profunda reveló que esas pistas habían sido plantadas deliberadamente[s]. El grupo APT Sandworm de Rusia había insertado fragmentos de código al estilo norcoreano como señuelo para desviar la atribución.
El atraco al Banco de Bangladesh mostró el mismo patrón, pero a la inversa. Durante la investigación del robo de 81 millones de dólares, los analistas encontraron cadenas de código en ruso en el malware, un aparente intento de desviar las culpas. Los artefactos lingüísticos eran inconsistentes con el resto del código; finalmente, se identificó al Grupo Lazarus de Corea del Norte como responsable[s].
Las consecuencias de una desorientación exitosa van más allá del desperdicio de recursos investigativos. Enfrentamientos diplomáticos, erosión de la confianza en el intercambio internacional de inteligencia y la posibilidad de responder contra el Estado equivocado son algunas de las secuelas[s]. Cuando un Estado responde con contramedidas tras atribuir erróneamente un ataque, comete un acto internacionalmente ilícito por su cuenta[s].
El kit de herramientas de respuesta diplomática
El Centro Nacional de Seguridad Cibernética del Reino Unido describe tres formas de respuesta a la atribución. La atribución diplomática nombra públicamente a un Estado para ejercer presión y tranquilizar a los aliados. La atribución de justicia penal implica acusar a individuos y publicar pruebas, lo que efectivamente prohíbe a los nombrados viajar a países aliados. La atribución correctiva publica indicadores técnicos para ayudar a las organizaciones a defenderse[s].
Incluso con el mayor nivel de confianza, los gobiernos pueden abstenerse de hacer atribuciones por razones políticas[s]. La protección de la inteligencia, las negociaciones diplomáticas y el momento estratégico influyen en la decisión de hacer público un hallazgo. Estados Unidos sentó un precedente en 2014 al atribuir el ataque a Sony Pictures a Corea del Norte, demostrando que podía hacerse de manera segura sin exponer los métodos de investigación[s].
El patrón desde entonces ha sido consistente: los ataques causan miles de millones en daños, la atribución tarda meses o años, y las respuestas formales suelen centrarse en medidas específicas como el congelamiento de activos y la prohibición de viajar. WannaCry y NotPetya causaron daños por miles de millones de dólares en todo el mundo, pero podrían haber resultado en medidas punitivas más duras que el congelamiento de activos[s]. La respuesta estándar de Rusia es emitir negaciones, hacer contraacusaciones y cambiar de tema[s].
El panorama fragmentado de la atribución
A diferencia de muchas áreas del derecho internacional, no existen estándares ampliamente aceptados que regulen la atribución cibernética. Los países discrepan sobre la carga de la prueba, las respuestas adecuadas e incluso las definiciones fundamentales de lo que constituye un ciberataque que requiere atribución[s].
La capacidad de atribución de la UE depende en gran medida del intercambio de inteligencia con Estados Unidos y el Reino Unido. Mientras que la alianza Five Eyes coordina la atribución y la designación pública con rapidez, los procesos de la UE tardan meses o años entre un incidente y la implementación de sanciones[s]. Para cuando Europa responde formalmente, el momento diplomático a menudo ya ha pasado.
Las empresas comerciales de ciberseguridad añaden otra capa de complejidad. Un aviso conjunto de septiembre de 2025 de 23 agencias gubernamentales de ciberseguridad, inteligencia y aplicación de la ley de varios continentes identificó intrusiones en la infraestructura global de telecomunicaciones patrocinadas por el Estado chino. La actividad relacionada coincidía parcialmente con cinco nombres comerciales: Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 y GhostEmperor[s]. El aviso señalaba explícitamente que las convenciones de nomenclatura de atribución comercial no se correlacionan uno a uno con la comprensión gubernamental[s].
Esta fragmentación significa que los métodos de detección forense varían entre organizaciones, los estándares probatorios en los tribunales difieren de las evaluaciones de inteligencia, y las filtraciones de datos gubernamentales pueden recibir atribución meses antes de su divulgación pública.
La atribución en un entorno político cambiante
En los últimos meses, se ha observado una ola de atribuciones públicas en Europa. Alemania atribuyó un ataque de agosto de 2024 contra el control de tráfico aéreo a APT28 y una operación de desinformación dirigida a sus elecciones de febrero de 2025 a Storm-1516[s]. El Reino Unido sancionó a las empresas chinas I-Soon e Integrity Tech por su presunto papel en actividades maliciosas dirigidas a más de 80 entidades gubernamentales, públicas y del sector privado; el Ministerio de Asuntos Exteriores de China denunció las sanciones como políticamente motivadas[s]. Dinamarca acusó a Rusia de orquestar ataques contra una empresa de suministro de agua y sitios web electorales[s].
Estas atribuciones sirven más para ejercer presión diplomática que para garantizar la rendición de cuentas legal. La atribución cibernética pública señala que los ataques están siendo rastreados y recordados, incluso cuando las consecuencias formales siguen siendo limitadas.
Mientras tanto, la política estadounidense está cambiando. Las administraciones anteriores mantenían una ambigüedad deliberada sobre las capacidades cibernéticas ofensivas, rara vez confirmaban operaciones para preservar la flexibilidad diplomática. La Estrategia Cibernética de 2026 de la Administración Trump adopta el enfoque opuesto, reclamando públicamente operaciones cibernéticas para señalar capacidad[s]. A diferencia de la estrategia de Biden, que nombró a China y Rusia como amenazas estratégicas e interactuó con campañas como Volt Typhoon y Salt Typhoon, la estrategia actual no menciona a ningún adversario estatal[s].
Cuando los Estados fomentan la participación del sector privado en operaciones ofensivas sin definir su alcance, la línea entre la acción privada y la acción sancionada por el Estado se vuelve imposible de trazar[s]. Esto socava directamente el marco de atribución, que depende de una responsabilidad estatal clara.
Lo que la atribución cibernética no puede resolver
Las operaciones cibernéticas de Corea del Norte ilustran los límites de la atribución. Estas campañas combinan el espionaje dirigido por el Estado con actividades delictivas: el robo de criptomonedas, la vulneración de cadenas de suministro y los esquemas de trabajadores de TI ilícitos financian directamente las prioridades estatales. Los marcos legales existentes asumen distinciones claras entre el espionaje, el crimen y el conflicto armado[s]. Corea del Norte opera en los tres ámbitos simultáneamente.
La disuasión en el ciberespacio no surgirá de condenas más enérgicas. Surgirá de respuestas consistentes basadas en el comportamiento, que reflejen cómo funcionan realmente las operaciones cibernéticas[s]. Nombrar y avergonzar no ha cambiado de manera fiable el comportamiento de los adversarios tras una década de aplicación constante. Rusia y China, ambos frecuentemente señalados en operaciones cibernéticas patrocinadas por el Estado, siguen operando a través de ecosistemas de contratistas que les proporcionan negación plausible.
La atribución cibernética sigue siendo una decisión política nacional, no un hallazgo técnico[s]. La ciencia forense identifica a los probables perpetradores. El derecho internacional determina la responsabilidad. La diplomacia decide si se dice algo al respecto. La brecha entre estas tres funciones explica por qué ataques de miles de millones de dólares producen prohibiciones de viajar, por qué las pruebas se acumulan en archivos clasificados mientras los países lo niegan todo públicamente, y por qué el campo minado diplomático no muestra señales de despejarse.
Taxonomía de la atribución: de los IOC a la responsabilidad estatal
La atribución cibernética se divide en capas tácticas, operativas, estratégicas y legales[s]. La atribución táctica analiza artefactos: direcciones IP, hashes de malware, dominios de comando y control. La atribución operativa examina patrones de ataque, sincronización y reutilización de infraestructura. La atribución estratégica identifica a la entidad política o la motivación detrás de las operaciones. La atribución legal prepara pruebas que cumplen con el estándar de prueba para la responsabilidad estatal según el derecho internacional.
El Marco de Atribución de Unit 42 estructura esta progresión mediante un sistema de promoción. Los clústeres de actividad, grupos de eventos que comparten indicadores técnicos comunes, se promueven a grupos de amenazas temporales tras al menos seis meses de observación consistente y mapeo mediante el Modelo Diamante. Los actores de amenazas nombrados reciben designación formal solo después de una evaluación estructurada utilizando el Sistema de Almirantazgo para calificar la fiabilidad de la fuente y la credibilidad de la información[s].
El Modelo de Atribución Cibernética de Pahi opera en pistas paralelas: investigando el incidente actual mientras perfila a actores de amenazas conocidos a partir de datos históricos. Al comparar TTP y modus operandi con perfiles establecidos, los analistas identifican inconsistencias. Si un incidente parece originarse en un grupo pero utiliza la infraestructura de otro, el modelo marca una posible bandera falsa[s].
Ofuscación técnica y huellas de comportamiento
Los atacantes rara vez operan desde sus propios sistemas. Dirigen sus operaciones a través de ordenadores comprometidos, servidores proxy y VPN, falsificando direcciones IP y manipulando marcas de tiempo[s]. La infraestructura de múltiples saltos garantiza que rastrear la fuente inmediata lleve a otra víctima en lugar del verdadero perpetrador. Las marcas de tiempo pueden falsificarse, los ajustes de idioma manipularse y las herramientas tomarse prestadas de repositorios públicos de malware.
Las tácticas, técnicas y procedimientos proporcionan una señal de atribución duradera. Los actores de amenazas desarrollan enfoques consistentes en todas sus operaciones: vectores de acceso inicial preferidos, patrones de movimiento lateral, técnicas de exfiltración de datos y mecanismos de persistencia. Estas firmas de comportamiento son más difíciles de falsificar que los artefactos técnicos[s]. Un grupo que normalmente despliega implantes personalizados y de repente usa malware genérico levanta sospechas. Los estilos de codificación, las marcas de tiempo de compilación y las elecciones de bibliotecas de software crean huellas operativas que persisten en todas las campañas.
MITRE ATT&CK mapea los comportamientos observados con técnicas documentadas. Los analistas correlacionan las TTP actuales de un ataque con bases de datos de comportamientos conocidos de actores de amenazas, identificando conexiones con campañas anteriores. Este enfoque ha demostrado ser particularmente valioso para rastrear grupos APT que refinan, en lugar de cambiar por completo, sus métodos operativos.
El perfil técnico de la bandera falsa
Olympic Destroyer demostró la construcción sofisticada de una bandera falsa. El malware afectó a los Juegos Olímpicos de Invierno de Pyeongchang 2018, desactivando el Wi-Fi, la aplicación oficial y los sistemas de transmisión. El análisis forense inicial identificó similitudes en el código y patrones de infraestructura consistentes con operaciones norcoreanas[s]. Una investigación más profunda reveló que el grupo APT Sandworm de Rusia había plantado deliberadamente fragmentos de código al estilo norcoreano.
El atraco al Banco de Bangladesh exhibió el patrón inverso. Aparecieron cadenas de código en ruso en el malware utilizado para robar 81 millones de dólares. Los analistas identificaron los artefactos lingüísticos como inconsistentes con el código base: anomalías estilísticas en la forma en que se escribían los comentarios, desajustes entre la codificación cirílica y la estructura del código circundante. Finalmente, se atribuyó la responsabilidad al Grupo Lazarus[s].
La detección se basa en inconsistencias de comportamiento. Pistas demasiado obvias, cambios repentinos en las herramientas respecto a los patrones establecidos de un actor de amenazas, y anomalías lingüísticas o de sincronización señalan un posible engaño. Los métodos de detección forense deben tener en cuenta la posibilidad de que cada indicador técnico haya sido plantado.
La brecha técnico-legal en la atribución cibernética
La brecha entre la atribución técnica o política, donde las evaluaciones de inteligencia indican una probable responsabilidad, y la atribución legal, que requiere pruebas suficientes para activar la responsabilidad estatal, es particularmente pronunciada en el ciberespacio[s]. Los Estados se basan en inteligencia clasificada de SIGINT, HUMINT y análisis forense. Esta inteligencia puede ser políticamente convincente, pero no cumple con los estándares legales[s].
Según el marco del Manual de Tallin, el estándar de atribución para contramedidas es la «razonabilidad»: los Estados deben actuar como lo haría un Estado razonable en circunstancias similares[s]. Esto depende de la fiabilidad, cantidad, inmediatez y especificidad de la información disponible. Pero una atribución errónea seguida de contramedidas constituye un acto internacionalmente ilícito[s]. El riesgo legal de equivocarse limita las opciones de respuesta.
La intención criminal y la motivación estratégica no pueden inferirse solo a partir de indicadores técnicos[s]. Las pruebas técnicas muestran qué sucedió y cómo. No muestran quién lo ordenó ni por qué. Los ecosistemas de contratistas, el intercambio de herramientas entre grupos y las operaciones de bandera falsa rompen la cadena entre los indicadores observados y la responsabilidad estatal.
Fragmentación de la atribución entre múltiples actores
Un aviso de la CISA de septiembre de 2025 ejemplificó el problema de la fragmentación. Veintitrés agencias gubernamentales de ciberseguridad, inteligencia y aplicación de la ley de América del Norte, Europa y Asia-Pacífico atribuyeron intrusiones en la infraestructura global de telecomunicaciones a actores patrocinados por el Estado chino. La actividad relacionada coincidía parcialmente con cinco nombres comerciales: Salt Typhoon, OPERATOR PANDA, RedMike, UNC5807 y GhostEmperor[s]. El aviso señalaba explícitamente que los métodos de seguimiento comercial no se correlacionan uno a uno con la atribución gubernamental[s].
Las operaciones se vincularon a empresas chinas, incluyendo Sichuan Juxinhe Network Technology, Beijing Huanyu Tianqiong Information Technology y Sichuan Zhixin Ruijie Network Technology, que proporcionan productos y servicios a unidades del EPL y el MSS[s]. Ese ecosistema de contratistas complica la atribución al interponer entidades corporativas entre las agencias estatales y las operaciones observadas.
La capacidad de atribución de la UE depende en gran medida del intercambio de inteligencia con los Five Eyes. Los procesos de coordinación en la UE-27 son más lentos: transcurren meses o años entre un incidente y la implementación de sanciones[s]. El lenguaje técnico y legal sigue desalineado entre jurisdicciones, los estándares probatorios en los tribunales difieren de las evaluaciones de inteligencia, y las filtraciones de datos gubernamentales reciben atribución mucho antes de su reconocimiento público.
Implicaciones políticas para la infraestructura de atribución
El marco tripartito del NCSC del Reino Unido estructura las respuestas de atribución: diplomática (nombrar públicamente para ejercer presión), de justicia penal (acusaciones que publican pruebas) y correctiva (publicar IOC para uso defensivo)[s]. Incluso con el mayor nivel de confianza, los gobiernos pueden abstenerse de hacer atribuciones por razones políticas[s].
La Estrategia Cibernética de 2026 de la Administración Trump marca un cambio. Las administraciones anteriores mantenían ambigüedad sobre las capacidades ofensivas para preservar la flexibilidad diplomática. La estrategia actual reclama públicamente operaciones para señalar capacidad[s]. A diferencia de la estrategia de Biden, que nombró a China y Rusia como amenazas estratégicas e interactuó con campañas como Volt Typhoon y Salt Typhoon, la estrategia actual no menciona a ningún adversario estatal[s].
La participación del sector privado en operaciones ofensivas sin un alcance definido hace imposible trazar la línea entre la acción privada y la acción sancionada por el Estado[s]. Esto socava el marco de atribución, que depende de una responsabilidad estatal identificable.
Las operaciones norcoreanas ilustran el fracaso categórico. La empresa criminal dirigida por el Estado, el robo de criptomonedas que financia prioridades estatales, derrota a los marcos legales que asumen distinciones claras entre el espionaje, el crimen y el conflicto armado[s]. La disuasión requiere respuestas basadas en el comportamiento, no condenas dependientes de la atribución[s].
La atribución cibernética sigue siendo una decisión política nacional, no un hallazgo técnico[s]. La ciencia forense identifica a los probables perpetradores. El derecho internacional determina la responsabilidad. La diplomacia decide la divulgación. La brecha estructural entre estas funciones garantiza que la atribución seguirá siendo un campo minado donde la certeza técnica no ofrece ninguna garantía de claridad política.
