NotPeyta, 驴un acto de ciberguerra?

El ataque NotPetya 驴fue malware? Ransomware? 驴destructor de informaci贸n? Algo devast贸 los sistemas inform谩ticos en toda Ucrania y luego se extendi贸 a otros pa铆ses, infectando y cerrando firmas de abogados, supermercados, agencias de publicidad, cajeros autom谩ticos y hospitales.


D铆as despu茅s del ataque, investigadores en seguridad inform谩tica todav铆a est谩n tratando de averiguar qu茅 es exactamente NotPetya. Sin embargo, independientemente del an谩lisis t茅cnico final, la gran pregunta sigue siendo: 驴Fue NotPetya un acto de ciberguerra? Ransomware? 驴destructor? 驴Qu茅 fue realmente?

En este punto, est谩 claro que NotPetya es malware, 驴pero es ransomware o un destructor de informaci贸n? Aqu铆 es donde las cosas empiezan a complicarse.

NotPetya no es exactamente un destructor de discos duros, pero ciertamente no es ransomware tampoco. El problema es que NotPetya no elimina datos con una intenci贸n clara como un limpiador, digamos, como Shamoon y KillDisk. NotPetya tampoco cifra archivos con la intenci贸n de exigir un rescate por las claves de descifrado como lo har铆a el ransomware normal.

NotPetya encierra los archivos y se deshace de la llave, asegurando que las v铆ctimas nunca puedan recuperar sus sistemas. De esta manera, los archivos cifrados son sometidos b谩sicamente a un m茅todo de borrado. Por lo tanto, se podr铆a decir que una infecci贸n ransomware que no deja posibilidad alguna de recuperaci贸n y el descifrado de archivos es equivalente a un limpiador.

Por ahora, la mayor铆a de los investigadores de seguridad insisten que esto fue un trabajo de borrado. Matt Suiche fundador de Comae Technologies public贸 un an谩lisis titulado: “Petya.2017, un trabajo de borrado y no de Ransomware”; por otro lado, Kaspersky Labs public贸 otro similar denominado: “ExPetr / Petya / NotPetya es un limpiador, no Ransomware”

Sin embargo, considero que NotPetya se describe mejor como un ataque h铆brido o tal vez uno de tipo ransom-wiper-ware

驴Ataque cibern茅tico dirigido contra Ucrania?

Habiendo establecido que no sabemos c贸mo clasificar el ataque, vamos a sumergirnos en aguas a煤n m谩s turbias. 驴Fue NotPetya un ataque cibern茅tico dirigido contra Ucrania? En los 煤ltimos meses, vimos el objetivo de CrashOverride y derribar la red el茅ctrica de Ucrania, seguido de cuatro ataques maliciosos sucesivos y altamente enfocados en Ucrania que estaban vestidos para parecer un ransomware. Estos incluyen XData, PSCrypt, NotPetya y un ataque a煤n sin nombre descubierto por el investigador de seguridad Malware Hunter, que fue dise帽ado para parecerse a WannaCry, pero de hecho es algo completamente nuevo.

Este cuarto ataque tambi茅n parece haber utilizado un m茅todo de entrega similar a XData y NotPetya: los servidores de actualizaci贸n de M.E.Doc, un popular paquete de software de contabilidad ampliamente utilizado en Ucrania. Aunque M.E.Doc lo niega vehementemente, Microsoft y Talos, entre otros, han se帽alado a la compa帽铆a como la fuente de la distribuci贸n inicial de NotPetya.

NotPetya ha sido el ataque inform谩tico m谩s devastador hasta el momento, con el vector de entrega altamente dirigido a infectar a las empresas y v铆ctimas corporativas en Ucrania. El problema con un malware como este es que una vez que se libera en la naturaleza, puede propagarse a otros sistemas, redes y pa铆ses por s铆 solo. Entonces, 驴estaba dirigido o no? La respuesta es inconclusa “probablemente” en este punto.

Sin una atribuci贸n positiva, el creciente consenso es que la responsabilidad recae en un actor estatal o suplente. Un n煤mero de investigadores de seguridad l铆deres han sugerido esto, incluyendo el NATO Cooperative Cyber Defence Centre of Excellence que emiti贸 una declaraci贸n el 30 de junio confirmando:

“NotPetya probablemente fue lanzado por un actor estatal o un actor no estatal con apoyo o aprobaci贸n de un estado. Otras opciones son poco probables. La operaci贸n no fue demasiado compleja, pero aun as铆 compleja y costosa de haber sido preparada y ejecutada por hackers no afiliados por el bien de la pr谩ctica. Los delincuentes cibern茅ticos tampoco est谩n detr谩s de esto, ya que el m茅todo para recaudar el rescate estaba tan mal dise帽ado que el rescate probablemente ni siquiera cubr铆a el costo de la operaci贸n “.

Esto nos lleva de nuevo a la pregunta inicial. Si probablemente fue lanzado por un actor estatal o un sustituto y que probablemente estaba dirigido a Ucrania, y probablemente estaba destinado a causar da帽os econ贸micos generalizados e indiscriminados, 驴NotPetya fue un acto de ciberguerra?

La raz贸n es muy importante para determinar si fue o no un acto de guerra y de ser as铆, que pasos tomar谩 la OTAN para proteger la seguridad a la que siempre se ha comprometido. La defensa colectiva, tal como se define en el art铆culo 5 del tratado, se reduce a: Un ataque contra un aliado es considerado como un ataque contra todos los aliados. Por lo tanto, un s贸lido s铆 con abundante evidencia tendr铆a graves consecuencias pol铆ticas y militares.

驴Un acto de ciberguerra?

Aunque muchos indicadores muestran que NotPetya era un limpiador disfrazado de ransomware, as铆 como un ataque cibern茅tico dirigido a causar destrucci贸n generalizada en Ucrania por un actor estatal o suplente, sin una definici贸n t茅cnica clara y s贸lo pruebas circunstanciales y sin atribuci贸n clara, 驴puede eealmente ser considerado un acto de ciberguerra?

La OTAN dice, “probablemente no”:

“Si la operaci贸n pudiera vincularse a un conflicto armado internacional en curso, entonces se aplicar铆a la ley de los conflictos armados, al menos en la medida en que las lesiones o da帽os f铆sicos fueran causados 鈥嬧媝or ella y con respecto a la posible participaci贸n directa en hostilidades por parte de hackers civiles, Pero hasta ahora no hay informes de ninguno.

Hay una falta de un elemento coercitivo claro con respecto a cualquier gobierno en la campa帽a, as铆 que la intervenci贸n prohibida no entra en juego. A medida que se van dirigiendo los sistemas gubernamentales importantes, en caso de que la operaci贸n se atribuya a un estado, esto podr铆a considerarse una violaci贸n de la soberan铆a “. – Tom谩拧 Min谩rik, investigador de la CCD de la OTAN

Seamos sinceros. La OTAN no va a hacer una llamada clara sobre qui茅n est谩 exactamente detr谩s de esto en el corto plazo. La cantidad actual de pruebas circunstanciales probablemente no ser铆a suficiente para conseguir ser lo suficientemente concluyente como para llamar a un estado-naci贸n espec铆fico por haber cometido un crimen internacional. Para acercarnos a declarar que esto es un acto de ciberguerra, hay muchos detalles que necesitan ser investigados a fondo y probados y, hasta ahora, no estamos muy cerca de lograrlo.

Si no es un acto de ciberguerra, 驴qu茅 es NotPeyta?

La OTAN saldr谩 perpleja y dir谩 que “[NotPetya] podr铆a ser un hecho internacionalmente il铆cito, que podr铆a dar a los estados objetivo varias opciones para responder con contramedidas”.

Si esto es cierto y la comunidad internacional llega a la conclusi贸n de que NotPetya es un “hecho internacionalmente il铆cito” con arreglo al derecho internacional, podr铆a dar lugar a una respuesta conjunta de la UE en forma de sanciones. El Consejo Europeo emiti贸 un comunicado de prensa al respecto, se帽alando, adem谩s:

La respuesta diplom谩tica de la UE a actividades cibern茅ticas maliciosas har谩 pleno uso de las medidas de la Pol铆tica Exterior y de Seguridad Com煤n, incluidas, en su caso, medidas restrictivas. Una respuesta conjunta de la UE a actividades cibern茅ticas maliciosas ser铆a proporcional al alcance, la escala, la duraci贸n, la intensidad, la complejidad, la sofisticaci贸n y el impacto de la actividad cibern茅tica.

La UE reafirma su compromiso con la soluci贸n pac铆fica de controversias internacionales en el ciberespacio. En este contexto, todos los esfuerzos diplom谩ticos de la UE deben tener como objetivo prioritario promover la seguridad y la estabilidad en el ciberespacio mediante una mayor cooperaci贸n internacional y reducir el riesgo de malentendidos, escalada y conflictos que pueden derivarse de incidentes relacionados con las TIC.

En el caso de que no fuera ni un acto de guerra cibern茅tica ni un “hecho internacionalmente il铆cito”, 驴c贸mo podr铆amos llamarlo ahora? Lauri Lindstr枚m, investigadora de la Secci贸n de Estrategia del COE de la CCD de la OTAN, llegar谩 tan lejos como para decir que se trataba de una “declaraci贸n de poder” y que el ataque era simplemente una “demostraci贸n de la capacidad disruptiva adquirida y disposici贸n a utilizarla”.

驴Declaraci贸n de poder? 驴Qu茅 significa eso? La parte de tecnolog铆a era f谩cil, pero cualquier cosa sobre la capa 7 tambi茅n est谩 por encima de mi nivel de pago y comprensi贸n. Lo que s铆 creo que significa es que nadie sabe realmente qu茅 hacer cuando se trata de cibercriminales como los que perpetraron este ataque.

Desafortunadamente, mientras todo esto sucede, los consumidores, los ciudadanos, las empresas y los gobiernos seguir谩n estando en peligro y deber谩n considerar invertir en una postura de seguridad basada en la visibilidad para que puedan detectar mejor y responder r谩pidamente a todo lo anterior: Ciberataques, actos internacionalmente il铆citos y declaraciones de poder.

Por Kevin Magee, Global Security Strategist de Gigamon


驴Desea suscribirse a nuestro newsletter?

Contacto | Diario TI es una publicaci贸n de MPA Publishing International Ltd.