Cada día que pasa la guerra híbrida, en donde el campo de batalla también es internet, está llevando al mundo a una guerra fría, esta vez cibernética. Todos los días se producen cientos de ataques informáticos, que secuestran datos de las empresas, y luego piden un rescate por desencriptar esos datos
Sesudos analistas de seguridad llevan lustros advirtiendo que ya los conflictos bélicos no se desarrollarán en los campos de batalla y entre soldados pertrechados con armas de fuego.
Esos mismos analistas han acuñado el término de «amenazas híbridas» para explicar cómo serán las próximas guerras; también hablan de una nueva guerra fría, que sobre todo se está viviendo en el ciberespacio.
En un entorno, y ahora más con el desarrollo de la tecnología 5G, donde todo está conectado con todo, teniendo como «autopista» la fibra óptica, todo es atacable, desde una red de oleoductos – recordemos el problema que tuvo la empresa norteamericana Colonial Pipeline – hasta una tienda de barrio.
Independece Day
El argumento da casi para la película homónima que interpretase hace ya bastantes años Will Smith, ya que un grupo de hackers, conocidos como REvil, aprovecharon el 4 de julio para atacar a 1.500 empresas en todo el mundo.
REvil aprovechó que todas ellas utilizaban el mismo software de IT y una vulnerabilidad en el mismo para intentar «hacer caja» robándoles miles de datos y encriptándolos.
Acto seguido se pusieron en contacto con esas 1.500 compañías para exigir un rescate por sus datos; una vez pagado, REvil enviaría la «llave» para poder recuperar esos datos.
Las víctimas fueron desde varios colegios en Nueva Zelanda hasta una cadena de supermercados suecos, exigiendo a todas esas empresas un rescate global de 70 millones de dólares norteamericanos.
Ransomware, el tipo de ataque más habitual en EE. UU.
El 30% de los ataques que se producen en el país que gobierna Joe Biden es de ese tipo y consiste en entrar en el sistema informático de la empresa que se quiere atacar.
Una vez «dentro» del sistema informático de la empresa o institución los cibercriminales cifran los datos con alguna utilidad, borran todos esos datos y piden un rescate por la recuperación de esa información.
Este tipo de ataques ha crecido de manera exponencial durante la administración de Donald Trump, a quien se acusa de que en la anterior campaña electoral contra Obama se nutrió de información del Partido Demócrata proporcionada por hackers rusos.
El primer gran ataque se produjo contra el Departamento de Estado de la era Obama, a lo que esa administración respondió con un plan para acabar con la ciberdelincuencia, independientemente en qué país estuviesen los piratas informáticos.
Se creó un departamento dotado para la guerra cibernética e incluso se destacaron agentes en los países donde más habitualmente se atacaba a las redes informáticas de Estados Unidos, aunque finalmente todo quedó en agua de borrajas.
El gobierno norteamericano evaluó la posibilidad de que si se daba respuesta a los cibercriminales, estos pudiesen practicar el tiro por elevación y atacar a infraestructuras críticas, como pueda ser la red eléctrica.
Tirar a todo lo que se mueve
Parece ser el leitmotiv de los ciberdelincuentes que atacan a intereses norteamericanos, unos grupos muy bien organizados, cuyos ataques siempre parten de determinados países – Rusia y Corea del Norte – y que muchas veces tienen detrás a la inteligencia, civil y militar, de esos países.
Pero en lo que han variado su actuación es que hasta hace relativamente poco tiempo atacaban únicamente a los gobiernos de los países y a sus grandes empresas, cuando ahora sus objetivos son variados.
De los 65.000 ataques que tiene contabilizados la empresa de ciberseguridad Recorded Future, el 75% afectó a la pequeña y mediana empresa, además con pingües beneficios que llegaron en el 2020 a los 350 millones de dólares.
Además, el tema va a más, ya que en el 2020 se produjeron un 300% de actos de ciberdelincuencia que en año anterior.
Una operativa protocolizada
De la actuación de los ciberdelincuentes que se dedican al secuestro de datos por ransonware, se ha podido extraer los puntos comunes que tiene ese tipo de actividades delictivas.
Siempre cuando el usuario está trabajando con su ordenador, salta un pop up que le informa que su ordenador ha sido secuestrado, y en un correo electrónico posterior se le informa de qué manera puede recuperar los datos, cuyos originales han sido borrados.
Las peticiones de rescate casi siempre son de entre un 10% y un 40% del valor de los datos que han sido secuestrados, y por lo general el paso se realiza en un «monedero» de bitcoins que suele encontrar en la «web oscura».
De esa manera, remitir la a dark web hace que el destino donde va a ir ese dinero en bitcoins sea muy difícil de rastrear, pudiendo ir muchas veces a financiar a organizaciones criminales o terroristas.
Cambio de objetivos
A medida que la ciberdelincuencia se ha ido «profesionalizando», han ido variando los objetivos, atacando a industrias o empresas donde saben que pueden obtener un sustancioso rescate económico.
Al mismo tiempo, son menos los ataques a instalaciones sanitarias y educativas, porque los hackers saben que dichas organizaciones suelen tener muy poco «músculo» financiero.
Por lo general las empresas, normalmente grandes empresas, pueden sufrir un menoscabo enorme cuando alguien se ha apropiado de sus datos por lo que por lo general suelen pagar a los ciberdelincuentes.
Uno de los casos más sonados fue el ataque por ransomware a JBS, la empresa cárnica más grande de los Estados Unidos de América, que pagó 11 millones de dólares por recuperar sus ordenadores.
El otro gran desfalco se produjo también por un ataque de ransomware a Colonial Pipeline, el gasoducto principal que distribuye gasolina y diésel en la Costa Este de Norteamérica.
En este último caso Colonial pagó casi 5 millones de dólares por poder volver a acceder a sus ordenadores y los datos que había en ellos.
Según el FBI, ambos ataques tienen como origen REvil, y gracias a la acción del Buró Federal de Investigaciones, Colonial pudo 2,3 millones de dólares que todavía no habían desaparecido en la «web oscura».
Guerra híbrida
Es lo que parece el ataque a Ucrania, oscuro objeto de deseo para el Kremlin, ya que un ataque, que tuvo origen en Rusia, con el ransomware NotPetya anuló durante siete minutos casi 13.000 ordenadores.
Durante esos eternos 420 segundos muchas infraestructuras en Ucrania dejaron de funcionar, desde los cajeros automáticos en todo el país hasta los medidores de radiación que está funcionando en Chernóbil.
El ataque también tuvo como objetivo anular la red eléctrica por lo que Maersk, la primera consignataria de contenedores del mundo perdió 300 millones de dólares y la farmacéutica Merck 870 millones de dólares.
Fuente – EL PAÍS
Imagen – Stock Catalog / Robert Couse – Baker / Brian Cantoni / Boskampi / Peter Kaminski / Georgia National Guard
Hablemos de Tecnologías 