Con el paso de los años y la aplicación de nuevas tecnologías, las amenazas se han vuelto mucho más complejas, adaptándose a las medidas de seguridad tomadas por los diferentes actores. En este sentido aparece, por ejemplo, el spear phishing. La idea vendría a ser la siguiente, si el phishing es “echar las redes y ver quién pica” el spear phishing (“pesca con lanza”) consiste en apuntar a un objetivo concreto. Para ello se investiga a la víctima en sus redes sociales, su entorno y en todo lo que se pueda encontrar para poder personalizar lo más posible los emails de la campaña. Dos ejemplos relevantes son los ataques contra el Departamento de Justicia de EE.UU en 2016. En esta campaña, varios trabajadores recibieron correos que parecían provenir de colegas o superiores del departamento solicitando información confidencial. Otro ataque famoso por su repercusión internacional fue el que se realizó contra John Podesta, jefe de campaña de Hillary Clinton. Este recibió un email indicando una alerta de seguridad de Google y le invitaba a cambiar la contraseña del correo. Al hacer click en el enlace, puso la información de inicio de sesión en una página falsa, lo que permitió a los atacantes acceder a su buzón de correo electrónico, que acabó publicado en WikiLeaks. Los ataques dirigidos a altos cargos dentro de una organización, como este también es conocido como whale phishing («caza de ballenas»). Las filtraciones que sufrieron organismos españoles como la DGT parece ser que comenzaron de esta forma.
Llegan los secuestros de datos
En los últimos años uno de los tipos de ataque con más repercusión ha sido el ransomware, que consiste en encriptar los datos de una organización para pedir un posterior rescate. La ventaja para los delincuentes que efectúan estas acciones es que no necesitan infiltrarse y sacar los datos de la empresa, sino que estos quedan dentro, pero completamente inutilizados. Además, cobrar un rescate es más rápido que robar información y buscar un comprador.
El primer ataque de este tipo se realizó en 1989 y tenía la forma de un virus de tipo troyano llamado “AIDS”, que pasaba de disquete en disquete. Fue creado por el biólogo Joseph Popp, que pedía un rescate de 189 dólares que había que mandar a un apartado de correos de Panamá para poder recuperar los datos. Aunque sin duda la primera gran campaña moderna fue en 2013 con el virus CryptoLocker. Este infectaba correos electrónicos y se replicaba enviando emails maliciosos a todos los contactos de la víctima. Fue la primera vez que se usó un sistema de encriptación fuerte y, a cambio de la recuperación de los datos, se pedía un pago en bitcoin.
Años más tarde, en 2017, llegaría WannaCry, que usaba una vulnerabilidad de Windows para propagarse, la conocida como EternalBlue (no confundir con la pantalla azul de la muerte). Este fue un exploit desarrollado por la National Security Agency (NSA) para poder ejecutar software en máquinas remotas y que fue descubierto por el grupo de hackers Shadow Brokers. Esta fue la primera vez que se utilizaba una puerta trasera creada por una agencia gubernamental para realizar un ataque.
A día de hoy, uno de los más peligrosos es, sin duda, Ryuk. Esta no es una única aplicación, sino que es todo un sistema y una metodología conocida como APT (Advanced Persistent Threat o amenaza persistente avanzada). Este es un tipo de ataque dirigido a objetivos concretos y para ello lo primero que se hace es preparar la filtración en el sistema haciendo un reconocimiento de la víctima recopilando datos de información pública, ingeniería social o análisis de redes sociales. Una vez recogida la información necesaria, se comienza una campaña de spear phishing cuyo objetivo es instalar software malicioso en ordenadores que estén dentro de la organización a atacar. Este software sirve como puerta de entrada y que se utilizará para comenzar el despliegue, abriendo otras puertas para asegurar el acceso en el futuro. A continuación comienza una escalada de privilegios para poder moverse con una mayor libertad y poder pasar a la siguiente fase, consistente en un movimiento lateral dentro de la red. Esto consiste en ir reconociendo y mapeando los sistemas internos, pero sin tocar nada para pasar completamente desapercibidos. Después pueden ocurrir dos cosas distintas. Los atacantes pueden hacer una exfiltración que puede ser de datos altamente sensibles, pero también puede ser propiedad intelectual o bases de datos de clientes. Ryuk, además, encripta los datos dejando notas para que las víctimas puedan hacer el pago y recuperarlos. Se cree que detrás de este software está el grupo ruso Wizard Spider o Grim Spider, basándose en el código fuente de un virus anterior, Hermes, creado en Corea del Norte por el grupo Lazarus. Este grupo es conocido por estar detrás del ataque al Banco Central de Bangladesh, según Symantec y Kaspersky Lab.
Una novedad que ha aparecido en los últimos años ha sido el RaaS (Ransom as a Service), por el que los creadores de un sistema de secuestro alquilan sus servicios a terceros para que sean estos los que realizan la operación.
Entran los gobiernos
El intento de la NSA por controlar ordenadores de forma remota salió catastróficamente mal. Fue la primera vez que se supo que un gobierno quería tener una forma de tener acceso a máquinas de una forma remota, sin embargo no fue la última vez en la que un gobierno ha tratado de hacer algo similar. En España, por ejemplo, estamos muy familiarizados con el software Pegasus, desarrollado por la compañía israelí NSO Group, y que ha sido utilizado para espiar a periodistas, activistas y políticos en varios países del mundo por distintos gobiernos.
Ya he hablado del sistema APT. Este es uno de los formatos más populares entre los grupos que pueden estar ligados a gobiernos. El primer ataque de este tipo fue el realizado por el grupo APT1 a varias industrias del mundo con intención de robar propiedad intelectual y datos sensibles de diversas industrias, incluyendo tecnología, telecomunicaciones y defensa. Se cree que este grupo está vinculado al Ejército Popular de Liberación chino. Fue identificado por la firma de seguridad Mandiant en 2013. Muy activos son también APT28 APT29, dos grupos de hackers con vínculos con los servicios de espionaje rusos y que están detrás del robo de información sensible a gobiernos, think tanks y empresas. Un ataque con un objetivo mucho más claro fue el que se realizó con el gusano Stuxnet, creado por los gobiernos de Estados Unidos e Israel conjuntamente, para sabotear las centrifugadoras de la planta de enriquecimiento de uranio en Natanz, Irán.
Los ciberataques se han convertido en una parte fundamental en ámbitos de guerra o bien cuando lo que se busca es la desestabilización de un país, como las agresiones contra la red eléctrica ucraniana en 2015 y 2016 y que se extienden a 2024, atribuidos ampliamente a grupos vinculados con Rusia. En este mismo sentido se puede hablar de las campañas de desinformación que ocurrieron durante la campaña electoral de 2016. Lo cierto es que señalar de forma directa a una nación por el ataque realizado a una organización o al gobierno de otro país suele ser muy complicado, ya que normalmente son operaciones muy bien estructuradas que borran los rastros y las pruebas que se consiguen sobre en ataque, en la mayoría de los casos son puramente circunstanciales.
Internet de las cosas, zombies y criptomonedas
A internet se le han ido sumando cada vez más elementos. Si al principio solo eran servidores y algunos terminales, poco a poco se añadieron más ordenadores, luego teléfonos, y ya encontramos una larga lista entre la que encontramos electrodomésticos, dispositivos de localización, asistentes de domótica, relojes, sistemas de monitorización de salud, vehículos… y casi cualquier cosa que se te pueda ocurrir. Con tantos pequeños elementos llegando a la red, no podían tardar en ser el objetivo de algún tipo de ataque y en 2016 aparece Mirai, un malware que se dedica a escanear internet buscando cualquier artefacto, como cámaras o routers domésticos, que tenga el usuario y contraseña por defecto o débiles. Una vez que encuentra uno, instala un pequeño programa en memoria, lo que significa que si el dispositivo es reiniciado el malware desaparece, y a continuación pasa a formar parte de la botnet de sus controladores.
Es importante tener claro lo que es un bot, porque es algo que estamos oyendo mucho. Proviene de la palabra robot y es un pequeño software que hace una tarea concreta en respuesta a algún evento. Por ejemplo, recibes un email con una invitación a una reunión y un pequeño programa ha leído ese email y te avisa media hora antes de forma automática y sin intervención. Sin embargo, un bot también puede ser un programa que ayude a controlar tu ordenador o dispositivo sin que te des cuenta. Una botnet es una red de bots preparados para hacer una misma tarea simultáneamente, como el envío de spam o DDoS. A parte del riesgo que supone que alguien pueda entrar en una webcam esta, además, se puede usar para realizar un ataque, como el que sufrió la web Krebs on Security, uno de los mejores blogs sobre seguridad, y que ha sido uno de las mayores agresiones DDoS registradas hasta ahora.
Los creadores de Mirai fueron detenidos y están cumpliendo una pena de prisión, sin embargo liberaron el código, de forma que ahora existen diversas variantes de este sistema completamente libres y a disposición de todo el mundo.
Otro uso de una botnet es el cryptojacking, que es una amenaza cada vez más común. Las criptomonedas se crean con complejos cálculos matemáticos que necesitan de tiempo y, claro, de electricidad para mantener las máquinas encendidas. Así que los atacantes instalan bots de forma maliciosa en ordenadores ajenos para que sean estos los que se dediquen a minar monedas. Como casi siempre, esto comienza con una campaña de phishing, aunque también se han usado servicios web para instalar este tipo de software. La máquina infectada comienza a hacer los cálculos y a enviar a un monedero digital las criptomonedas resultantes. Así, uno de los ataques más lucrativos hasta hoy ha sido el de la botnet Smominru en 2017. Esta estaba integrada por más de medio millón de máquinas y generó millones de dólares a sus creadores. Los problemas para las víctimas son una caída en el rendimiento de su máquina, pero también un mayor consumo eléctrico, recalentamiento y el riesgo de tener una puerta de entrada oculta abierta en su ordenador.
La historia de la ciberseguridad comenzó de una forma sencilla, con curiosos que querían tener conocimientos más profundos de tecnología o con bromas y con el paso de los años se ha desarrollado, yendo por delante de los sistemas de seguridad e impulsando novedades importantes. Ya estamos viendo ataques de phishing que usan IA para personalizar los emails o las campañas a la reputación usando deepfakes en las redes sociales, es muy difícil de imaginar cual es el futuro de la ciberseguridad ya que el pensamiento lateral y el uso creativo de la tecnología de los atacantes hacen difícil saber cuál será el siguiente tipo de riesgo al que nos enfrentemos. Solo tener presente que cualquiera de nosotros puede ser una víctima y que la información y la precaución son las mejores armas para defendernos.
Deja una respuesta