En el artículo anterior, hablamos de la necesidad de un cambio de paradigma en la ciberseguridad. Hoy nos dedicamos al tema «Cuando hackear es un asunto de estado». Analizaremos en profundidad el papel de los Estados (en defensa, pero también en ataque) en el ámbito de la ciberseguridad.
La serie completa consta de 15 artículos:
Publicados – Artículo 1, Artículo 2, Artículo 3, Artículo 4, Artículo 5, Artículo 6, Artículo 7, Artículo 8, Artículo 9, Artículo 10, Artículo 11, Artículo 12, Artículo 13, Artículo 14, Artículo 15.
Introducción
La mayoría de los ciberataques bloqueados en el primer semestre de 2022 proceden de China, Corea del Norte, Irán, Rusia, Estados Unidos e India. Italia y los Países Bajos completaron los ocho primeros puestos hasta octubre de 2022.
Es importante señalar que el país de origen de un ataque no tiene por qué corresponderse con la nacionalidad del autor o grupo de la amenaza.
En la mayoría de los casos, el país de origen del ataque no se corresponde con el país de origen del autor de la amenaza. Los actores de las amenazas aprovechan las VPN anónimas, los ToR y los servidores comprometidos como hosts de salto para realizar sus ataques. El país de origen de un ataque se elige en función de la ubicación de la víctima, o en función del país que el actor de la amenaza quiere ver atribuido durante las operaciones de falsa bandera.
Una guerra que ya no es tan secreta
Octubre es el Mes de Concienciación sobre la Ciberseguridad, pero la ciber-vigilancia es algo que debería practicarse durante todo el año. Por desgracia, el vector de la amenaza sigue empeorando, y la piratería informática es ahora un dominio en el que se desarrolla una nueva forma de guerra. Queda por saber la magnitud de la participación activa de los estados en una guerra cibernética y dónde consiguen algunos de esos Estados entrenar a sus equipos cibernéticos para llevar a cabo estos hackeos.
No obstante, hay evidencias fuertes, que sugieren que China y Rusia, en particular, cuentan con programas de formación cibernética para servir los fines del estado.
China cuenta con un vasto Centro Nacional de Ciberseguridad en Wuhan, que al parecer se extiende a lo largo de 15 kilómetros cuadrados, y que se supone que forma a la próxima generación de expertos en ciberataques.
En Rusia, hemos visto pruebas de que el grupo Fancy Bear de amenazas persistentes avanzadas (APT) patrocinado por el Estado se utiliza para detectar talentos en las escuelas. Con su afiliación directa con el ejército ruso y el FSB, también hay una alta probabilidad de que Rusia reclute a ciber-expertos del ejército. Es importante señalar que la mayoría de las grandes naciones cuentan actualmente con operaciones cibernéticas ofensivas, pero los países que realmente destacan en términos de empleo de hackers son China, Rusia y Corea del Norte.
1. China: un semillero de piratas informáticos
China continúa lanzando ciberataques a gran escala, lo que incluye el robo de propiedad intelectual. Más de un tercio de todos los ciberataques se producen en China, donde el Ejército Popular de Liberación (EPL) emplea incluso unidades militares especializadas en el ataque y la defensa de redes.
Una estimación de la revista Foreign Policy sugirió que el «ejército de hackers» de China podría tener más de 100.000 efectivos, más grande que el tamaño de la fuerza militar real de muchas nacione. Los grupos APT como APT41 utilizan el ciber-espionaje para apoyar los objetivos económicos, políticos y militares a largo plazo de China. Estos ataques son a menudo dirigidos a víctimas cuidadosamente seleccionadas.
En China, hay una miríada de grupos patrocinados por el Estado con capacidades ofensivas cibernéticas. Recientemente, al intensificarse la amenaza de guerra en Taiwán, se han detectado varios ataques a la infraestructura de Taiwán, que podrían ser precursores de una invasión.
Teniendo en cuenta cómo sigue entrenando a la próxima generación, es probable que la amenaza de China no haga sino aumentar.
2. Corea del Norte: un pequeño país con una potente fuerza de hackers
2021 se consideró un año destacado para los hackers norcoreanos, que supuestamente robaron 400 millones de dólares en criptomoneda, y 2022 fue sin duda aún mejor, ya que los ciberagentes que operan desde corea del norte, supuestamente sustrajeron unos 600 millones de dólares de una startup de juegos de criptomoneda el pasado mes de marzo.
El hackeo es cada vez más importante para Corea del Norte, y ahora busca aumentar sus esfuerzos.
Se ha denunciado que Corea del Norte, hace pruebas de aptitud y empieza a entrenar a niños desde los 11 años. Luego esas habilidades se utilizan para ransomware (utilizando programas de secuestro de la infraestructura informática) y/o robo de criptomoneda para financiar otros programas para el gobierno o el ejército.
Corea del Norte también es notable en que ahora es la única nación en el mundo cuyo gobierno es conocido por llevar a cabo, de forma abierta, piratería criminal para obtener ganancias monetarias.
Grupos infames de ciberdelincuentes norcoreanos como Lazarus y APT38 son famosos por sus vínculos con el Estado. Lazarus es particularmente prolífico y se ha hecho un nombre por sí mismo con ataques a Sony, el ciber atraco del Bangladesh Bank, WannaCry y recientemente dirigidos a compañías energéticas estadounidenses. Los hackers norcoreanos empleados por el estado ayudan a eludir las sanciones internacionales. Los ingresos del cibercrimen son canalizados directamente al programa de armas nucleares de la nación.
3. Irán – Grupo cuasi-gubernamental
El Ciberejército iraní de la República Islámica tiene una conexión conocida con Teherán, e incluso ha jurado lealtad al Líder Supremo de la nación. También se cree que la Guardia Revolucionaria Islámica inició los planes para el grupo ya en 2005, mientras que posiblemente estuvo comandado por Mohammad Hussein Tajik hasta su muerte a principios de 2020.
La Guardia Revolucionaria Islámica también ha declarado que tenía el cuarto mayor poder cibernético entre los ciberejércitos del mundo. Recientemente, piratas informáticos vinculados al gobierno iraní han estado atacando a personas especializadas en asuntos de Oriente Próximo, seguridad nuclear e investigación genómica como parte de una nueva campaña de ingeniería social diseñada para robar información sensible.
Sin embargo, los esfuerzos de pirateo de Irán podrían utilizarse ahora contra el gobierno, ya que la emisora estatal del país fue pirateada recientemente mientras las protestas por reformas y mayores derechos para las mujeres se apoderan de la nación de Oriente Medio. Parece que Irán podría tener dificultades para controlar a la bestia que ha creado.
4. Rusia – una superpotencia en hacking
Moscú lleva más tiempo que Estados Unidos centrándose en las competencias STEM (ciencia, tecnología, ingeniería y matemáticas), y ha dado sus frutos.
Rusia tiene la mitad de población que EEUU y produce seis veces más graduados en ingeniería, donde salen algunos que utilizan sus habilidades para ataques cibernéticos patrocinados por el Estado. Esto sitúa a Rusia entre las mayores amenazas cibernéticas.
Rusia ya ha utilizado anteriormente ataques cibernéticos contra sus adversarios, y recientemente, contra Ucrania. Rusia podrá aumentar el uso de la guerra cibernética para conseguir una posición de destaque en el tablero mundial de la ciberguerra.
De la misma forma, la amenaza de que Rusia intente influir en el resultado de las elecciones de cualquier país es bastante real, especialmente a medida que continúan difundiendo desinformación a través de las redes sociales.
Ya hay pruebas sólidas de que grupos de ciberespionaje como Sandworm y Fancy Bear están asociados a las fuerzas armadas rusas (GRU). Los ataques famosos de estos grupos incluyen los ataques a la red eléctrica ucraniana en 2015 y los ataques NotPetya de 2017. También se destacan los numerosos intentos de entorpecer procesos políticos en todo el mundo. Estos objetivos sugieren que los motivos de estos grupos están alineados con los objetivos políticos y militares del estado.
5. Estados Unidos: preparado para el dominio cibernético
Los ciberataques no son sólo cosa de los países considerados menos democráticos. Estados Unidos mantiene sus propios ciberguerreros de amplio alcance. Entre ellos se encuentra el Mando Cibernético de Estados Unidos, que es uno de los 11 mandos combatientes unificados del Departamento de Defensa de Estados Unidos. Aunque originalmente se creó con una misión defensiva en mente, el Cibercomando se considera cada vez más una fuerza ofensiva.
Estados Unidos tiene sus propios programas que realizan las operaciones de reconocimiento, defensivas y ofensivas. Este año China denunció que ciberagentes estadounidenses habían llevado a cabo ciberataques contra sus intereses. Pekín acusó a la Agencia de Seguridad Nacional de infiltrarse en la infraestructura de telecomunicaciones china para robar datos de los usuarios interceptando la comunicación digital entre varias partes.
El coste del hackeo
Hay multitud de razones por las que la cibernética se ha convertido en un dominio donde se desarrolla esta nueva forma de guerra que dejó de ser secreta, y por las que los estados podrían ser cada vez más agresivos en la forma en que utilizan su potencial tecnológico.
Se han robado billones en propiedad intelectual y se han saqueado miles de millones de riqueza. La red eléctrica y los servicios esenciales están en peligro, donde se pueden incluso perder vidas en hospitales que sean atacados con ransomware.
Tenemos que ir más allá de una postura puramente defensiva y pasar a la defensa activa contra personas y grupos conocidos que están atacando activamente objetivos legítimos y democráticos. No obstante, es muy importante no confundir defensa activa con ofensiva o Hacking Back.
Estos llamamientos están aumentando, simplemente porque los esfuerzos defensivos no están siendo suficientes. Una defensa fuerte de nueva generación podría comenzar con una nueva forma disruptiva de ver la ciberseguridad.
Cuando hackear es un asunto de estado
Desgraciadamente, defenderse de la ciberdelincuencia de los estados-nación es muy difícil. Están bien financiados, son muy sofisticados y capaces de pensar de forma innovadora para encontrar nuevas formas de atacar las redes, utilizando técnicas muy nuevas. Para proteger su infraestructura nacional, sus departamentos gubernamentales y sus empresas, el gobierno y las empresas deben trabajar en conjunto. Tienen que ser proactivos en la protección cibernética y tener visibilidad sobre sus entornos para detectar los cambios y reaccionar con rapidez.
Pasando a asuntos más técnicos y dado que un ciberataque puede tener muchas formas y causar daños en cualquier capa, en el próximo artículo (Artículo 3) hablaremos de la protección de la capa física donde explicaremos cómo proteger el hardware contra los delincuentes.
La serie completa de “Ciberataque – Geografía e Identidad”:
#1 – «Ciberataque – Geografía e Identidad 1 – Cambio de paradigma«
#2 – «Ciberataque – Geografía e Identidad 2 – Cuando hackear es un asunto de estado«
#3 – «Ciberataque – Geografía e Identidad 3 – Primero protege tu hardware«
#4 – «Ciberataque – Geografía e Identidad 4 – Las 57 principales amenazas«
#5 – «Ciberataque – Geografía e Identidad 5 – El aspecto humano de la ciberseguridad«
#6 – «Ciberataque – Geografía e Identidad 6 – La diferencia entre hackers, ciberdelincuentes y ladrones de identidad«
#7 – «Ciberataque – Geografía e Identidad 7 – Las motivaciones de los ciberdelincuentes«
#8 – «Ciberataque – Geografía e Identidad 8 – Vectores del ransomware y cómo evitar convertirse en víctima«
#9 – «Ciberataque – Geografía e Identidad 9 – Reconoce y evita el phishing«
#10 – «Ciberataque – Geografía e Identidad 10 – IA, un salto de gigante en ciberseguridad«
#11 – «Ciberataque – Geografía e Identidad 11 – ¿Hacking Back?«
#12 – «Ciberataque – Geografía e Identidad 12 – Atrapando a los hackers en el acto«
#13 – «Ciberataque – Geografía e Identidad 13 – La ciberseguridad en el núcleo empresarial«
#14 – «Ciberataque – Geografía e Identidad 14 – Nuevas normativas de ciberseguridad en la Unión Europea«
#15 – «Ciberataque – Geografía e Identidad 15 – Defensa Activa«
Página Infografía del ciberataque.