Ciberataques liderados desde gobiernos

Tribuna de Juan Luis Garijo, Regional Sales Director, CrowdStrike.

Durante años, las empresas de ciberseguridad nos hemos dedicado a alertar sobre las motivaciones financieras de la mayoría de los ciberdelincuentes. Las amenazas de divulgación de datos corporativos sensibles ha convertido en millonarios a muchos grupos de criminales, pero la situación en el último año ha cambiado de forma drástica.

Los movimientos geopolíticos en todo el planeta han provocado un ascenso del cibercrimen dirigido desde ciertos gobiernos. El objetivo primordial no es, evidentemente, financiero, sino ideológico o propagandístico: algunos gobiernos buscan menoscabar la confianza de los ciudadanos de otros países hacía sus dirigentes para hacerlos caer. También, generar un clima de aceptación de ciertas actividades o estrategias propias a través de noticias falsas. E incluso, a través del minado de criptomonedas, crear dinero para dar soporte al propio régimen.

En definitiva, aunque las técnicas y los procedimientos puedan ser similares, estamos asistiendo al auge de un nuevo modelo de amenazas que no solo atacan a organismos públicos, sino también a infraestructuras críticas y a las empresas locales en terceros países.

Entre los países más dinámicos en las actividades cibercriminales destacan Rusia, China, Irán y Corea del Norte.

Rusia es uno de los actores predominantes desde hace tiempo. Ya en 2015 se observaron ataques contra centrales eléctricas en Ucrania que afectaron a más de 200.000 ciudadanos. La técnica más común utilizada por este país consiste en el envío de correos electrónicos que incluyen documentos maliciosos o enlaces falsos. En los últimos meses también se han observado tácticas de robo de credenciales con las que consiguen acceder a las organizaciones objetivo.

Por su parte, China ha modificado sus técnicas de intrusión pasando de métodos en los que se necesitaba la interacción de la víctima (que abriera un documento, por ejemplo) a explotar vulnerabilidades en servicios y dispositivos conectados a Internet, como servidores Exchange o VPN.

El ransomware es el plato favorito en Irán. Y se lo sirven, sobre todo, a organizaciones en EEUU, Israel, Oriente Medio y el norte de África. Aprovechan sus estrategias para cifrar redes y conseguir la información de las víctimas, que luego comparten en plataformas de chat o en redes sociales.

Finalmente, Corea del Norte es una los actores más activos en el ecosistema de la ciberdelincuencia mundial. Basa parte de su economía en el minado de criptomonedas utilizando la potencia de dispositivos infectados mediante algún malware instalado en la máquina de la víctima.

Pero estos países no son los únicos. El hecho de que en muchas ocasiones pasen desapercibidas estas actividades y los países obtengan buenos resultados en sus ataques ha llevado a otros gobiernos a desarrollar técnicas cibercriminales. Lo hemos observado últimamente, por ejemplo, en Turquía o Colombia.

En resumen, la industria de la ciberdelincuencia no deja de crecer y de incorporar a nuevos socios, por lo que es fundamental que las empresas se mantengan siempre alerta y cuenten con las soluciones de más alta protección que les permita evitar cualquier ataque de forma efectiva.

Juan Luis Garijo, Regional Sales Director, CrowdStrike