ASD Information Warfare Division

Lectura en audio de este perfil.

Resumen

La División de Guerra de Información (IWD) es el brazo ciberofensivo de la Dirección Australiana de Señales (ASD), establecida formalmente el 1 de julio de 2017 como una dirección equivalente dentro de la ASD, junto con la División de Inteligencia de Señales y el Centro Australiano de Ciberseguridad (ACSC). La IWD opera la capacidad ciberofensiva de Australia, llevando a cabo operaciones de ataque a redes informáticas contra objetivos extranjeros autorizados bajo directiva del gobierno australiano, y realiza operaciones cibernéticas conjuntas con los socios Five Eyes de Estados Unidos (NSA TAO) y el Reino Unido (GCHQ JTRIG).¹

La IWD es institucionalmente distinta de las otras divisiones operativas de la ASD: la División de Inteligencia de Señales realiza la recolección y reporte de señales extranjeras (la misión convencional de inteligencia de señales (SIGINT)); el Centro Australiano de Ciberseguridad realiza la defensa de redes informáticas frente a amenazas a las redes del gobierno australiano y de infraestructura crítica; y la IWD lleva a cabo específicamente operaciones ciberofensivas. La separación institucional entre estas misiones — y específicamente la separación entre la misión defensiva del ACSC y la misión ofensiva de la IWD — fue una elección deliberada de diseño institucional destinada a preservar la posición operativa y reputacional del ACSC como un recurso nacional de ciberdefensa de confianza para las organizaciones no gubernamentales australianas.²

La IWD no ha sido rastreada bajo una designación APT canónica en las taxonomías de los proveedores de la industria de inteligencia de amenazas — el perfil operativo australiano se ha solapado sustancialmente con el registro operativo conjunto más amplio de Five Eyes, y la actividad atribuida a Australia generalmente no ha emergido como un grupo distintivo en el seguimiento de actores de amenazas de la industria. La identidad institucional se establece directamente a través de reconocimientos del gobierno australiano y no a través de trabajo externo de atribución de amenazas.³

Historia y orígenes

La capacidad ciberofensiva de Australia es anterior al establecimiento formal de la IWD. La ASD operó una unidad ciberofensiva al menos desde principios de la década de 2010 bajo disposiciones institucionales previas, cuya forma institucional específica no se divulga públicamente. El Defence White Paper de 2016 reconoció públicamente por primera vez la capacidad ciberofensiva de Australia, y la posterior Cyber Security Strategy de 2016 y la 2017 Independent Intelligence Review (la L'Estrange Review) recomendaron la consolidación formal de la capacidad en una dirección dedicada dentro de la ASD. La IWD se estableció el 1 de julio de 2017 sobre la base de esas recomendaciones.⁴

El diseño institucional de la IWD refleja sustancialmente el modelo institucional del United States Cyber Command, con adaptaciones para el entorno institucional y legal australiano. Específicamente, la autoridad operativa ciberofensiva de la IWD se ejerce bajo directiva del Ministro de Defensa (el equivalente institucional australiano del Secretario de Defensa de Estados Unidos), con la asignación de tareas operativas sujeta a autorización bajo el Intelligence Services Act 2001 y las sucesivas directivas ministeriales.⁵

Huella operativa (documentada)

La huella operativa de la IWD que se atestigua públicamente es parcial — una porción sustancialmente mayor de la huella operativa de la unidad se mantiene en el registro operativo clasificado australiano de lo que se divulga públicamente. Los principales elementos operativos documentados públicamente incluyen:

Operaciones contra la infraestructura mediática y de reclutamiento del Estado Islámico (2016–2018). El programa operativo más extensamente reconocido públicamente de la IWD (y de la unidad predecesora). El gobierno australiano — a través de la declaración parlamentaria de seguridad nacional del entonces Primer Ministro Malcolm Turnbull (23 de noviembre de 2016) y mediante reconocimientos posteriores de sucesivos Ministros de Defensa — reconoció públicamente las operaciones ciberofensivas de la ASD contra la infraestructura en línea de producción y distribución mediática del Estado Islámico durante el período posterior a 2014 de Mosul / Raqqa. Las operaciones apuntaron específicamente a la infraestructura mediática de la Amaq News Agency del IS, a la red de distribución por canales de Telegram del IS y a la infraestructura de divulgación para reclutamiento y radicalización del IS. Los reconocimientos australianos se coordinaron con reconocimientos públicos paralelos del United States Cyber Command sobre operaciones conjuntas contra el mismo conjunto de objetivos.⁶

Operaciones cibernéticas conjuntas Five-Eyes. El personal de la IWD está integrado operativamente con NSA TAO y GCHQ JTRIG en operaciones cibernéticas conjuntas Five-Eyes. La asignación operativa específica no se divulga públicamente, pero está reconocida en sucesivos materiales públicos del Departamento de Defensa Australiano y de la Office of National Intelligence.⁷

Apoyo defensivo al ACSC. Aunque la misión principal de la IWD es ofensiva, la División también proporciona apoyo técnico especializado a las operaciones defensivas del ACSC, particularmente la ingeniería inversa de familias de malware atribuidas a actores extranjeros y el apoyo en investigación de atribución para el trabajo de rastreo de actores de amenazas del ACSC.⁸

Operaciones contra el cibercrimen (post-2022). La directiva ministerial de noviembre de 2023 amplió el mandato de la IWD para incluir operaciones ciberofensivas contra infraestructura cibercriminal internacional que opera contra objetivos australianos, incluyendo específicamente operadores de ransomware que han apuntado a organizaciones de infraestructura crítica australianas. Los incidentes de robo de datos de Medibank Private (2022) y Latitude Financial (2023) — ambos atribuidos por la ASD a infraestructura cibercriminal alineada con Rusia — estructuraron sustancialmente el argumento institucional para el mandato ampliado.⁹

Estado

La existencia institucional de la IWD y su mandato operativo general son reconocidos públicamente en sucesivas publicaciones del gobierno australiano. El Director General de la ASD es el rostro público del registro operativo de la IWD. La asignación operativa específica y las herramientas no se divulgan públicamente.¹⁰

Véase también

• Dirección Australiana de Señales — servicio matriz
• NSA TAO — socio operativo conjunto Five-Eyes
• GCHQ JTRIG — socio operativo conjunto Five-Eyes
• Designación APT — contexto de convenciones de nomenclatura

Fuentes y lecturas adicionales

1. Página oficial de la organización de la Australian Signals Directorate; Australian Department of Defence, 2017 Independent Intelligence Review (L'Estrange Review, julio de 2017) — la documentación fundacional de diseño institucional de la IWD.
2. L'Estrange Review, op. cit.; análisis académico posterior del diseño institucional de la ASD en Australian Journal of International Affairs.
3. Perfiles de actores de amenazas de Mandiant, CrowdStrike y Microsoft — ninguno de los cuales rastrea un grupo APT distintivo atribuido a Australia en el período contemporáneo.
4. Australian Department of Defence, 2016 Defence White Paper; 2016 Cyber Security Strategy; L'Estrange Review, op. cit.
5. Intelligence Services Act 2001 (Cth) y sucesivas directivas ministeriales a la ASD; análisis académico en Public Law Review y Federal Law Review.
6. Primer Ministro Malcolm Turnbull, declaración parlamentaria de seguridad nacional (23 de noviembre de 2016) — el reconocimiento fundacional del gobierno australiano de las operaciones ciberofensivas de la ASD contra el IS; reconocimientos posteriores por los Ministros de Defensa Marise Payne y Christopher Pyne (2017–2019). Reconocimiento coordinado de Estados Unidos por el Comandante del United States Cyber Command, General Paul Nakasone, en sucesivos testimonios ante el Congreso (a partir de 2018).
7. Informes públicos periódicos de la Office of National Intelligence (anteriormente la Office of National Assessments); materiales publicados por el Australian Department of Defence sobre la cooperación Five-Eyes.
8. Perfiles públicos de actores de amenazas del Australian Cyber Security Centre (actualización plurianual); serie ACSC Annual Cyber Threat Report de la ASD.
9. Australian Department of Defence, declaración pública sobre la directiva ministerial de noviembre de 2023; reportajes posteriores en The Australian y The Sydney Morning Herald.
10. Sucesivos discursos públicos del Director General de la ASD (incluidos los pronunciados ante el Australian Strategic Policy Institute); materiales oficiales de organización de la ASD.