EE UU ofrece hasta 10 millones de dólares por la identificación de cualquier ciberataque ruso contra infraestructuras críticas

Las estrategias de una invasión en la red son similares a las de una incursión física en un territorio.

Más de la mitad de los equipos de cibercrimen son respaldados por los Estados (el 49%) o son terroristas (5%) que utilizan internet como armas de última generación. Sus objetivos son los datos sensibles, principalmente de defensa, o la irrupción en entidades fundamentales para el desarrollo de la vida cotidiana, como las infraestructuras críticas (sanitarias, financieras o redes de suministro). Algo más de una cuarta parte (26%) son activistas que tienen como objetivo influir en procesos políticos y sociales mientras un 20% rastrea la red en busca de dinero, según el informe (The cyberthreat handbook, Manual de la ciberamenaza) de las compañías de seguridad Thales y Verint. Los primeros y mayoritarios son los que más preocupan a los países occidentales ante la guerra en Ucrania. Estados Unidos ofrece hasta 10 millones de dólares (8,95 millones de euros) por “información sobre las operaciones cibernéticas patrocinadas por el Estado ruso y dirigidas a la infraestructura crítica”. Se busca “la identificación o ubicación de cualquier persona que, actúe bajo la dirección o el control de un Gobierno extranjero y participe en actividades cibernéticas maliciosas”, según recoge la Agencia de Ciberseguridad e Infraestructuras (CISA, por sus siglas en Inglés). Las invasiones en la red siguen una estrategia precisa, parecida a la militar, de nueve pasos.

La asesora de seguridad nacional de EE UU Anne Neuberger ha advertido que, “durante la última década, Rusia ha utilizado el ciberespacio como una parte importante de su actividad militar más allá de sus fronteras”. Ante esta amenaza, los servicios de ciberseguridad intentan “apuntalar” las defensas y trabajar con “socios y aliados para interrumpir la actividad cibernética maliciosa”.

Keren Elazari, una pirata informática que terminó como investigadora de la Universidad de Tel Aviv (Israel), asegura que los ciberataques atentan contra infraestructuras críticas no solo para vulnerar las defensas de un país, sino también para “minar la confianza en nuestro sistema de vida”. Elazari, experta en detectar fallos de seguridad en sistemas informáticos, advierte que no son las grandes entidades las más vulnerables, como demuestran los centenares de ataques anuales a entidades locales y de vulneraciones de seguridad en sistemas de transporte y compañías.

Y también supone un coste económico. Un informe de Juniper Research calcula que los ataques en internet costarán hasta cinco billones de euros en dos años.

Según el informe de Thales y Verint los grupos más virulentos y entrenados ni siquiera tienen necesidad de desarrollar programas maliciosos propios (malware), sino que utilizan los creados y compartidos por otros, como los diseñados por grupos de origen chino, o los comprados en el internet oscuro (dark web), sitios ocultos a los que solo se puede acceder mediante un navegador especializado.

Las estrategias de un ciberataque incluye nueve acciones, según recoge la CISA y en las que coinciden las principales empresas de seguridad. Son parecidas a las de incursiones físicas en un conflicto bélico, pero, en este caso, el campo de batalla es informático.

Reconocimiento. Consiste en técnicas para recopilar información de forma activa o pasiva, desde credenciales de inicio de sesión hasta información sobre la identidad de la víctima, que puede ser individual o colectiva.

Acceso inicial. Es la utilización de diversos vectores de entrada, en especial, cualquier debilidad del servidor de acceso. Según la CISA, con estas vulnerabilidades se obtienen credenciales para acceder a los dominios y cuentas en la nube [servidores remotos conectados a internet]. Otro modo de obtener estas llaves es el phishing, envíos de correos fraudulentos con enlaces que permiten la ejecución de programas maliciosos en un sistema local o remoto. La empresa Antispam Lab ha alertado este viernes del envío masivo de mensajes de correo electrónico falsos a clientes de una entidad financiera con importante presencia en EE UU, Reino Unido, Unión Europea y Corea del Sur con el objetivo de robar información personal y credenciales en línea.

Persistencia. Si se consigue, la siguiente estrategia es la persistencia mediante técnicas para mantener el acceso a las redes pese a reinicios, cambios en las credenciales y otras interrupciones encaminadas a deshabilitar el acceso fraudulento. Durante este tiempo, los atacantes estudian los datos y todos los sistemas, fases conocidas como de “entendimiento del entorno” y “recolección”.

Evasión de defensa. Una vez dentro, el atacante cuenta con la posibilidad de que los servicios de seguridad detecten la intromisión, por lo que desarrollan técnicas para evitarla. Para ello, ocultan o cifran sus comandos ejecutables y archivos. También recurren a la desinstalación o deshabilitación de programas de seguridad. “A veces, algunos ataques son una distracción para que los servicios de seguridad no se centren en el verdadero”, resalta Kazari.

Escalada de privilegios. Si el atacante consigue entrar, permanecer y eludir los sistemas de seguridad, el siguiente objetivo es obtener permisos de nivel superior aprovechando debilidades del sistema, errores de configuración y vulnerabilidades. Con estos nuevos privilegios, puede acceder o crear una copia de las bases de datos para robar información y claves de dispositivos, usuarios y derechos de acceso.

Descubrimiento. La usurpación de claves que tienen amplio acceso a los sistemas permite a los atacantes desentrañar la red interna, copiar archivos y directorios e identificar las ubicaciones específicas de la información que necesitan para el objetivo final: inhabilitar toda la arquitectura. También pueden identificar los dominios asociados (como los de proveedores de confianza) para ampliar su ataque con lo que se conoce como “movimiento lateral”.

Colección. Todos los pasos anteriores le llevan a recopilar no solo la información en sí, sino también las fuentes de la misma. En este sentido, el atacante puede aprovechar repositorios para extraer datos valiosos. La CISA destaca como uno de los objetivos el SharePoint, una plataforma de colaboración empresarial, formada por productos y elementos de programas que incluyen funciones de colaboración, módulos de administración de procesos y de búsqueda así como las plataformas de administración de documentos.

Mando y control. Con toda la información acumulada y las máximas credenciales para actuar en el sistema, el ataque pasa a la fase de mando y control, cuando se imita el tráfico normal para comunicarse entre los sistemas que ya manipula y aprovecha para obtener datos y transferirlos. En esta fase, para encubrir el tráfico malicioso, se encadenan múltiples proxies, servidores, programas o dispositivos que hacen de intermediario en las peticiones de recursos que realiza un usuario.

Impacto. Es el momento en el que la consecución de todas las fases anteriores permite interrumpir o comprometer los sistemas atacados con la destrucción, inhabilitación, sustracción, manipulación o falsificación de datos y sistemas.

Raúl Limón - El Pais