HP ha anunciado los resultados de un nuevo estudio académico –Estado nación, ciberconflicto y la red de beneficios– que muestra que los ciberataques dirigidos o financiados por estados (también conocidos como ataques del estado nación) son cada vez más frecuentes, diversos y directos, lo que nos acerca más a un punto de “ciberconflicto avanzado” que en cualquier otro momento desde la creación de Internet.
El informe, realizado por el Dr. Mike McGuire, profesor titular de Criminología de la Universidad de Surrey (Reino Unido), donde ha colaborado HP, destaca que se ha producido un aumento del 100 % de los incidentes “significativos” del estado nación entre 2017 y 2020. El análisis de más de 200 incidentes de ciberseguridad asociados a los ataques del estado nación desde 2009 también muestra que la empresa es ahora el objetivo más deseado (35 %), seguido de la ciberdefensa (25 %), los medios de comunicación y las telecomunicaciones (14 %), los organismos gubernamentales y reguladores (12 %) y las infraestructuras críticas (10 %).
Además del análisis de los incidentes cibernéticos dirigidos o financiados por estados, la investigación también se basa en la recopilación de información de primera mano de fuentes de la dark web o internet oscura y en las consultas con un panel de expertos formado por 50 destacados profesionales de campos relevantes (como la ciberseguridad, la inteligencia nacional, el gobierno, el mundo académico y las fuerzas policiales). Las conclusiones dibujan un claro panorama de escalada de tensiones, apoyado por estructuras cada vez más complejas que se entrecruzan con la economía clandestina del cibercrimen, denominada Web of Profit. Entre las principales conclusiones se encuentran:
· El 64 % del panel de expertos señaló que en 2020 se produjo una escalada de tensiones “preocupante” o “muy preocupante”, y el 75 % afirmó que la COVID-19 presentaba una “oportunidad significativa” para que los ataques del estado nación lo aprovecharan.
· Los ataques a la “cadena de suministro” experimentaron un aumento del 78 % en 2019; entre 2017 y 2020 se produjeron más de 27 ataques distintos a la cadena de suministro que podrían asociarse con ataques del estado nación.
· Más del 40 % de los incidentes analizados implicaban un ataque a activos que tenían un componente físico y otro digital -por ejemplo, un ataque a una planta de energía-, un fenómeno denominado “hibridación”.
· Las tácticas utilizadas por los ataques del estado nación para adquirir datos de IP relacionados con la COVID-19 parecen haber sido probadas por los ciberdelincuentes. Lo que es llamativo es la forma en la que esos ataques se han convertido en beneficiarios y contribuyentes de la Web of Profit que constituye la economía de la ciberdelincuencia.
· Hay pruebas de que los ataques dirigidos o financiados por estados están “almacenando” vulnerabilidades de Día Cero, mientras que el 10-15 % de las ventas de los vendedores de la dark web van a compradores “atípicos”, o a aquellos que actúan en nombre de otros clientes, como los agentes de los ataques del estado nación.
“Cuando observamos la actividad de un ataque dirigido o financiado por estados gracias a los resultados de este informe, no nos sorprende que hayamos asistido a una escalada de este tipo de sucesos en el último año; este tema lleva presente desde hace un tiempo”, comenta el Dr. Mike McGuire, profesor titular de Criminología en la Universidad de Surrey. “Los atacantes del estado nación están dedicando mucho tiempo y recursos a conseguir una ventaja estratégica en el ámbito cibernético para promover sus intereses nacionales, su capacidad de recopilación de información y su fuerza militar mediante el espionaje, la interrupción y el robo. Los intentos de obtener datos de propiedad intelectual sobre vacunas y los ataques contra las cadenas de suministro de software demuestran hasta dónde están dispuestos a llegar los atacantes del estado nación para lograr sus objetivos estratégicos”.
“Los conflictos de los ataques del estado nación tienen lugar sin razón aparente, como demuestra el hecho de que las empresas son las víctimas más comunes dentro de los hitos analizados”, comentó Ian Pratt, Director Global de Seguridad para Sistemas Personales de HP. “Tanto si son un objetivo directo como un trampolín para acceder a objetivos mayores, como hemos visto con el ataque creciente a la cadena de suministro contra SolarWinds, las organizaciones de todos los tamaños deben ser conscientes de este riesgo. A medida que el alcance y la sofisticación de los ataques del estado nación sigue aumentando, es de vital importancia que las organizaciones inviertan en seguridad que les ayude a adelantarse a estas amenazas en constante evolución”.
Estado nación y Web of Profit
Una de las principales conclusiones del informe es que los ataques del estado nación están participando en la Web of Profit y sacando provecho de ella. Estos atacantes están comprando herramientas y servicios en la dark web, mientras que las herramientas desarrolladas por ellos también se están abriendo camino en el mercado negro, como el exploit Eternal Blue que fue utilizado por los hackers de WannaCry en 2017. Casi dos tercios (65 %) del panel de expertos creen que los ataques dirigidos o financiados por estados están ganando dinero con la ciberdelincuencia, mientras que el 58 % afirma que es cada vez más común que este tipo de ataques recluten ciberdelincuentes para cumplir sus objetivos.
Mientras que una quinta parte (20 %) de los incidentes analizados implicaban armas sofisticadas y hechas a medida (como malware dirigido o exploits armados, probablemente desarrollados dentro de programas estatales dedicados a la ciberseguridad), el 50 % incluía herramientas sencillas y de bajo presupuesto que podían adquirirse fácilmente en la dark web. El 50 % de las herramientas utilizadas se crearon para la vigilancia, mientras que el 15 % permiten la incursión en la red y el posicionamiento, el 14 % eran para causar daño o destrucción, y sólo el 8 % para la extracción de datos. Esto sugiere que los ataques del estado nación se centran más en escuchar que en robar, en gran parte debido a sus esfuerzos por permanecer ocultos.
“La economía de la ciberdelincuencia está configurando el carácter de los conflictos entre los ataques del estado nación”, explica el Dr. McGuire. “También se está desarrollando una ‘segunda generación’ de ciberarmas que aprovechan las capacidades mejoradas de la potencia de cálculo, la IA y las integraciones ciberfísicas. Un ejemplo es el malware Boomerang, un malware capturado que puede volverse en contra para operar contra sus propietarios. Los ataques del estado nación también están desarrollando chatbots armados para enviar mensajes de phishing más persuasivos, reaccionar a nuevos eventos y enviar mensajes a través de las redes sociales. En el futuro, también podemos esperar ver el uso de falsificaciones profundas en el campo de la batalla digital, nubes de drones capaces de interrumpir las comunicaciones o participar en la vigilancia, y dispositivos de computación cuántica con la capacidad de romper casi cualquier sistema cifrado”.
¿Habrá algún día un acuerdo factible sobre ciberconflictos?
Para rebajar las tensiones cibernéticas y evitar que los ataques dirigidos o financiados por estados se vean arrastrados a nuevos actos de ciberconflicto, el 70 % del panel de expertos afirma que es necesario crear un tratado sobre los ciberconflictos. Sin embargo, sólo el 15 % señala que cualquier acuerdo llegará en los próximos 5-10 años, mientras que el 37 % apunta a que tardará entre 10 y 20 años. Otro 30 % cree que no hay perspectivas de ningún tratado cibernético en ningún plazo.
“Cualquier perspectiva de un cibertratado dependerá de dos factores clave: el alcance y el consenso”, comenta el Dr. McGuire. “Cualquier tratado tendría que especificar las partes incluidas, el rango de jurisdicciones involucradas y la actividad que cubriría. Los ataques del estado nación también necesitan ponerse de acuerdo sobre los principios que darían forma a cualquier cibertratado, como la limitación de las armas. Pero estos factores pueden ser difíciles de definir y de conseguir: basta con ver la reciente propuesta de tratado sobre ciberdelincuencia presentada ante la ONU. Aunque esta fue aprobada, 60 miembros votaron en contra y 33 se abstuvieron. La falta de consenso internacional haría que cualquier tratado sobre ciberdelincuencia tuviera pocas probabilidades de éxito”.
“Creemos que un cibertratado sería un hito importante. Sin embargo, independientemente de la inminencia de un cibertratado, tanto los particulares como las empresas deben protegerse”, concluye Pratt. “Aunque algunos ataques del estado nación tienen capacidades cibernéticas muy avanzadas, es esencial poner una barrera. Los hackers del estados nación suelen utilizar medios probados para su fin. La forma más fácil, con diferencia, y la más común, es atacar al punto final. Ya sea explotando una vulnerabilidad en una impresora para crear una puerta trasera o utilizando la ingeniería social y el phishing para comprometer un PC, una vez que un atacante posee un dispositivo, éste está dentro y es mucho más difícil de detectar. A partir de ahí, pueden robar las credenciales que necesitan, y algunos permanecen ocultos durante años”.
El estudio Nation States, Cyberconflict and the Web of Profit está disponible para su descarga aquí (no requiere registro).
Ilustración: HP