Los ataques cibernéticos patrocinados por el estado, suelen estar impulsados por las necesidades estratégicas de cada gobierno en particular. Las amenazas van en aumento, pero también el trabajo de visibilidad global para rastrearlas e identificarlas.
Si bien la mayoría de las acciones de los gobiernos de todo el mundo son bien intencionadas, existen algunas actividades oficialmente sancionadas que tienen un lado mucho más oscuro. Para la mayoría de los estados nación, los grupos de cibercriminales encubiertos de amenazas persistentes avanzadas (APT, por sus siglas en ingles) funcionan también como una herramienta valiosa que opera de manera oculta, robando datos, interrumpiendo operaciones o destruyendo la infraestructura de los enemigos objetivo.
De acuerdo con el Informe de Inteligencia de Amenazas más reciente de NETSCOUT, estos grupos están incrementando. El Equipo de Respuesta y Ingeniería de Seguridad ATLAS de Netscout (ASERT), un grupo selecto de ingenieros e investigadores que representan lo mejor en seguridad de la información, ha realizado un seguimiento activo de aproximadamente 35 grupos APT en todo el mundo. Lo que encontraron es que la actividad de estos grupos se está acelerando, ya que continuamente agregan facetas adicionales de ciberespionaje a su conjunto de herramientas, añadiendo métodos y dirigiéndose a nuevas víctimas.
“Si bien los principales patrocinadores de grupos de APT, como los gobiernos de China, Rusia, Irán y Corea del Norte, son los que más atención reciben, muchos otros países patrocinan sus propios grupos. ASERT tiene conocimiento de aproximadamente 163 grupos en 29 países”, escribe NETSCOUT en un informe.
¿Qué están tratando de lograr los grupos APT?
“Cuando se trata de ataques cibernéticos patrocinados por el estado, estos esfuerzos suelen estar impulsados por las necesidades estratégicas de ese gobierno en particular”, explicó Jill Sopko, investigadora principal de seguridad de ASERT en Netscout. “Es importante recordar que en muchos de los países donde operan estos grupos, el gobierno, la economía y las instituciones religiosas no son necesariamente entidades separadas. El liderazgo centralizado puede estar sujeto a mucho menos escrutinio o responsabilidad, lo que les permite emplear cualquier herramienta disponible para perseguir objetivos nacionales”.
El fin último de los grupos APT varía ampliamente, pero se engloban en los siguientes 4 tipos de objetivos:
Intereses geopolíticos: los gobiernos con inquietudes que involucran a países vecinos comúnmente usan grupos de APT para monitorear y/o infiltrarse en naciones cercanas con el fin de obtener información sobre actividades, intenciones o estrategias económicas o militares.
Robo de propiedad intelectual: los ataques de los grupos APT a menudo tienen el objetivo principal de robar la propiedad intelectual para ayudar a promover los objetivos económicos o militares de la nación anfitriona. El robo de tecnología patentada puede ahorrar miles de millones de dólares en costos de investigación y desarrollo, dando al país ofensor una ventaja competitiva en el mercado o ayudando a cerrar una brecha en la preparación militar. Al robar las comunicaciones confidenciales de otro país o empresa, el grupo APT puede dar a su gobierno una ventaja en las negociaciones, o en una conversación de fusión o adquisición.
Campañas de desinformación: como lo demuestra la reciente interferencia en elecciones libres en todo el mundo, los grupos de APT están utilizando cada vez más las actividades cibernéticas como una herramienta para sembrar la desinformación para influir en la población con derecho a voto en las naciones seleccionadas. Esto generalmente se hace para influir en los votantes a favor de un candidato que sería menos contencioso y más alineado ideológicamente con la causa de la nación anfitriona.
Interrupción y destrucción: los grupos APT también pueden participar en actos destructivos, como la eliminación activa de sistemas de comunicación, sistemas de control industrializados y servicios públicos. Estos también pueden incluir ataques por motivos económicos. Algunos estados nación buscan simplemente demostrar que tienen el poder de causar estragos a otra nación y que funcione como una amenaza suficiente para disuadir las acciones de un enemigo o rival.
La vigilancia global también va en aumento
“La buena noticia es que desde una perspectiva global, la visibilidad de estos grupos APT está mejorando”. Debido a una mayor cooperación de operaciones de datos en todo el mundo, estamos viendo todo el espectro de la actividad de APT. Y como resultado, los países y las empresas están tomando estas amenazas de seguridad mucho más en serio. Estamos viendo más y más organizaciones mirando el riesgo de la cadena de suministro y eso es una victoria para los buenos”, concluyó Sopko
Si bien las amenazas van en aumento, también lo es el trabajo para rastrearlas e identificarlas. La comunidad de seguridad de la información se está uniendo para compartir tácticas, técnicas y procedimientos observados (TTP) para aumentar el conocimiento colectivo. Este tipo de inteligencia y cooperación es absolutamente imprescindible para mitigar las crecientes amenazas.
Fotografía: Jill Sopko, investigadora principal de seguridad de ASERT en Netscout
