Según los estudios de brechas de datos de Verizon sobre ataques de espionaje industrial contra el sector privado, el volumen de los ataques perpetrados por actores de estados-nación pasó del 12 por ciento en 2018 al 23 por ciento en 2019 y al 38 por ciento en el de 2020. Por tanto, es innegable que los estados-nación son responsables de cada vez más ciberamenazas.
De hecho, por lo que he presenciado como consultor de ciberseguridad, los estados nacionales se están volviendo cada vez más hábiles a la hora de esconderse, por lo que el alcance de sus actividades podría ser incluso mayor. Los piratas estatales utilizan diversas técnicas: actúan a través de capas y actores proxy, evitan la atribución mediante la manipulación de datos, usan conjuntos de herramientas inteligentes y emplean otros medios para engañar a los analistas forenses (a veces imitando a otros estados-nación o actores criminales). Quizás porque la atribución es cada vez más difícil de mantener, ciertos actores de estado-nación se han vuelto más audaces en sus ataques y han comenzado a apuntar a las infraestructuras críticas.
¿Consecuencias mortales de las ciberamenazas?
Mientras que en el pasado los objetivos de los ciberataques de los estados nacionales eran la inteligencia, influencia, desinformación, propaganda o espionaje industrial y político, la actividad más reciente incluye una preocupante evolución hacia los ciberataques contra las infraestructuras críticas del mundo real, que tienen como objetivo dañar o incluso matar a ciudadanos de los países de destino.
De abril a julio de 2020, los suministros de agua de Israel fueron amenazados tres veces por un actor de estado-nación (se sospecha de Irán). Los controles industriales de las instalaciones de procesamiento de agua israelíes fueron atacados en un intento de alterar la inyección de productos químicos de tratamiento a niveles inseguros. El ataque fue tan desconcertante que provocó un contraataque cibernético contra los iraníes (supuestamente iniciado por Israel) que interrumpió el tráfico portuario en el Puerto de Shahid Rajaee. Después de un ataque estadounidense contra las fuerzas de Hezbolá respaldadas por Irán en Irak, el CISA estadounidense emitió una advertencia a las empresas de servicios públicos para que estuvieran atentas a los contraataques iraníes, seguidos de advertencias adicionales a lo largo del año.
En cuanto a la prevención, el Departamento de Energía de Estados Unidos emitió recientemente una alerta a sus empresas eléctricas para que reforzaran su infraestructura de seguridad de TI y planteó la prohibición del uso de equipos chinos y rusos. La amenaza contra estas infraestructuras críticas en los Estados Unidos se ha visto elevada de tal manera que la Comisión Federal de Regulación de Energía ha comenzado a imponer multas. Las empresas de servicios públicos estadounidenses que no cumplan con los estrictos estándares de fiabilidad de seguridad cibernética de Protección de Infraestructura Crítica (CIP) pueden recibir una multa de hasta 10 millones de dólares.
Investigación del Covid-19
En medio de la epidemia de COVID-19, Estados Unidos, Canadá y Reino Unido informaron sobre los intentos de actores estatales rusos y chinos de robar, manipular e incluso obstruir el desarrollo de la vacuna COVID-19. Las primeras advertencias de dicha actividad provenían de una PSA conjunta del FBI y la CISA a la comunidad de investigación de la vacuna en mayo de 2020. En julio, el Departamento de Justicia de Estados Unidos acusó a dos ciudadanos chinos de trabajar para la República Popular de China. No solo fueron acusados de intento de robo, sino de querer destruir las investigaciones sobre la vacuna realizadas en Estados Unidos, Australia, Bélgica, Alemania, Japón, Lituania, los Países Bajos, Corea del Sur, España, Suecia y Reino Unido.
Con evidencia tangible de la interferencia rusa en las elecciones presidenciales de Estados Unidos en 2016, y tras las advertencias de la inteligencia del país norteamericano acerca de que Rusia, China e Irán podrían haber intentado influir en el resultado de las elecciones de noviembre de 2020, también existe una gran preocupación pública sobre el poder de los estados extranjeros sobre asuntos nacionales. Ni siquiera las agencias del gobierno federal de Estados Unidos, supuestamente seguras, están a salvo de ataques.
Los delincuentes suben la apuesta
Junto a los actores del estado-nación, el uso de ransomware por parte del crimen organizado para bloquear y entorpecer el funcionamiento de empresas y entidades del sector público ha alcanzado un nuevo nivel con la inclusión de la extorsión al conjunto de prácticas que acompañan habitualmente a dichos ataques. Iniciados por el actor estatal y del crimen organizado ruso Evil Corp, «propiedad» de Maksim V. Yakubets e Igor Turashev, estos ataques ahora incluyen el minado de los datos corporativos de las víctimas y la amenaza de venderlos en la Dark Web al mejor postor. Los objetivos de Evil Corp han incluido a la mexicana Petromex, causando importantes problemas logísticos y retrasos en los pagos en todo el país. También incluyen a Garmin, que sufrió un tiempo de inactividad significativo que afectó a los clientes de todo el mundo (incluida la imposibilidad de volar de los pilotos estadounidenses que usan mapas de Garmin en sus aviones). Mientras que Petromex tenía copias de seguridad viables y pudo recuperarse sin pagar los cinco millones de dólares a los atacantes, Garmin finalmente pagó un rescate de 10 millones a través de un intermediario.
En el pasado, las organizaciones criminales centradas en ransomware evitaban objetivos en los que la vida humana corría peligro, pero ahora incluso los hospitales se consideran objetivos aceptables
En septiembre de 2020, un ataque de ransomware en la clínica universitaria alemana de Düsseldorf provocó la muerte de un paciente. Las fuerzas del orden alemanas buscan el enjuiciamiento de los atacantes rusos. La misma banda criminal también está detrás del ataque y derribo a las 250 instalaciones de atención médica de UHS en Estados Unidos.
Si alguna vez tuvimos la impresión de que invertir en ciberseguridad era una decisión financiera basada en el riesgo de pérdida de datos, es hora de reevaluar. Hemos entrado en una era en la que los ataques realmente podrían tener consecuencias devastadoras, ciertamente para la supervivencia de las empresas y ahora incluso para la seguridad y la vida de nuestros ciudadanos.
