RANSOMWARE O UNA “CIBERGUERRA FRÍA”

La llamada “Generación X”, creció en un mundo donde Estados Unidos y Rusia, mantenían una carrera tecnológica y de armamento, así como un choque constante ideológico y militar, a la que se llamó Guerra Fría. Ese esquema de conflicto cambió y actualmente contemplamos una nueva etapa de Guerra Fría, una ciberguerra, con la finalidad de conseguir ventajas competitivas en el mapa geopolítico mundial.

Últimamente escuchamos de modo reiterado el término ransomware, definiéndolo  como  un ataque a un medio o plataforma computacional que introduce un malware en ella, con la finalidad de encriptar la totalidad o una parcialidad de los archivos y utilidades que tienes en ella e impidiendo a los usuarios acceder a su sistema o a sus archivos personales. Posteriormente, el atacante exige el pago de un rescate para poder acceder de nuevo a ellos, generalmente solicitudes de pagos en Bitcoin.

Está resultando ser el más dañino de todos las modalidades de ciberataque; no es en vano la preocupación manifestada de modo reiterado por el  Foro Económico Mundial sobre este tema, revisando los datos aportados en su informe  “5 urgent actions in the fightback against ransomware”, donde se describen que solo en Estados Unidos durante el año 2020 hubo 2.400 casos de ransomware, con un costo para las víctimas de 350 millones de dólares, por lo que a nivel mundial se ha constituido una “Ransomware Task Force” para buscar combatirlo y prevenirlo, uno de sus integrantes Palo Alto Networks en su informe del 17 de marzo del año en curso expone que a nivel mundial desde enero de 2020 a enero de 2021 el ransomware causó daños por 312.393 millones de dólares, con un crecimiento exponencial del 171% con relación al año 2019.   

Junto a ese tipo de delito, durante el 2020 se comprobó el diseño y puesta en práctica de herramientas tecnológicas para ejecutar estos ciberataques. Como vemos, es una actividad delictiva, que genera millones de ingresos para los delincuentes, atacando instituciones privadas y gubernamentales, que merece la atención de todos los países por quedar demostrada la escasa preparación para prevenir estos ataques. Así vemos la Orden Ejecutiva del 12 de mayo de 2021, suscrita por el Presidente Biden en Estados Unidos, donde ordena el incremento de la ciberseguridad en las agencias federales, implementando la estructura de seguridad conocida como Confianza Cero o en inglés Zero Trust.

Esquema de los ataques por ransomware en Estados Unidos en 2020 (Foro Económico Mundial)

No obstante, trasladándolo al ámbito geopolítico, las tecnologías disruptivas han llegado para quedarse y para cambiar nuestra percepción de la geopolítica también. El año 2020, sirvió para empezar a develar la ciberguerra en desarrollo: Israel sufrió un ciberataque en sus estructuras de distribución de agua por parte de Irán, y luego uno de los principales puertos iraníes fue objeto de una ataque de represalia por parte de Israel dejándolo inoperativo por varios días. De modo curioso se ha visto cómo en el transcurso del año 2021 varias estructuras industriales en Irán han sufrido desperfectos ocasionando incendios o explosiones. Además se produjeron ciberataques a los servicios de agua en los estados de Florida y California con la finalidad de envenenar el agua de consumo humano.

Este año la tendencia de ransomware aumentó y la tecnificación en su elaboración y alcance crecen en la misma medida, así encontramos el muy difundido por medios de comunicación ataque contra Colonial Pipeline paralizando el servicio de distribución de gasolina en la costa este de Estados Unidos, ataque en contra de JBS Foods que bloqueó la operación de las plantas de la compañía en Estados Unidos y Australia, ataque en contra de los principales hospitales de Irlanda, todos durante el mes de mayo de este año, y en el mes de julio encontramos el ataque a Kaseya que afectó a 1.500 de empresas  en 17 países, por lo que algunos lo consideran el mayor ransomware registrado hasta ahora. Recientemente se ha producido el ataque en el Distrito de Anhalt-Bitterfeld, en Alemania que afectó los equipos de computación del gobierno regional y de todos los comercios del lugar, lo que ha originado en ese país la primera declaratoria de ciber-catástrofe, con la finalidad de ayudar a los afectados.  

Qué pasaría, si lo que ves como una actividad delictiva, en algún momento empieza a ser patrocinada por un Estado y en ese momento descubres que los personajes que imaginas sentados en un cuarto solos frente a un monitor, actúan de modo colaborativo, donde cada cual aporta su conocimiento en función de obtener un lucro, pero que finalmente tiene un efecto político o social.

El efecto social, se aprecia de inmediato con los anteriores ejemplo: envenenamiento o suspensión de servicios de agua, suspensión de servicios portuarios o del gas, imposibilidad de efectuar ventas o cobrar impuestos y el considerado peor: suspensión de actividades hospitalarias; sin lugar a dudas todos generan efectos directos sobre la salud o la economía de los pobladores de esos países.   

Ahora pasemos al efecto político y geopolítico, las potencias envueltas en esta nueva Guerra Fría, han destinado parte de sus recursos a dotar a grupos de expertos con recursos para el desarrollo de herramientas sofisticadas para ciberataques. En Estados Unidos encontramos a Equation Group, colectivo señalado por crear los exploits con las que fueron atacadas las centrifugadoras del sistema de investigación nuclear en Irán y de otros ataques a nivel mundial, están directamente relacionados con la Agencia de Seguridad Nacional (NSA) por su siglas en inglés; en Rusia tenemos a Nobelium, implicado en el escándalo de Solar Winds y recientemente se le señala de haber hackeado los sistemas de la Agencia para la Cooperación Internacional (USAID) por sus siglas en inglés, actúan bajo responsabilidad del servicio de inteligencia exterior  de Rusia conocido como el FSB; en cuanto a China se debe hablar del APT10 un grupo que trabaja bajo órdenes de la Seguridad de Estado en China, actualmente dos de sus miembros se encuentran solicitados por la justicia de Washington por sus actividades, entre las que se encuentra espionaje farmacéutico para las vacunas del COVID-19.

Por otro lado, puede mencionarse el APT40 señalado de espionaje para China, por parte de Estados Unidos, la Unión Europea, Reino Unido y la OTAN. Sus actividades se dirigieron a contratistas de defensa, centros de educación, sector farmacéutico, empresas tecnológicas, entes gubernamentales entre otros. Finalmente debe mencionarse el Grupo Winnti, organización cibercriminal del que se tiene conocimiento desde el año 2012. Ha venido desarrollando desde esa época herramientas para realizar ciberataques, entre los afectados podemos encontrar empresas como Basf, Henkel,  Bayer, Siemens, Roche, Team Viewer, Thyssenkrupp, desarrolladores de juegos de video en Corea y Taiwán que fueron víctimas de ransomware durante el año 2020 o fabricantes de semiconductores en Taiwán.

De todos los mencionados, el Grupo Winnti es el más llamativo, la rápida evolución de la tecnología ha generado más nichos de negocio para este grupo criminal y según los últimos informes ha mutado en un desarrollador neto de herramientas para ciberataques, con las cuales otros ciberdelincuentes chinos están ejecutando ataques. Se estima que este grupo facilita sus herramientas a APT10 y APT40 para ejecutar sus ataques, con lo que se está produciendo un proceso de colaboración y división de objetivos dentro del entorno criminal, así como un crecimiento en el intercambio comercial en la dark web.

Timeline de ataques de Winnti Group en Alemania (QuoIntelligence)

Este proceso de colaboración, aún no está muy claro como se establece; lo que  salta a la vista, es que se requieren muchos recursos y un gran equipo de ingeniería de software para la construcción y mantenimiento de las herramientas que se están utilizando. Ello ha llevado a que se piense que el gobierno de China, de modo solapado y encubierto, está dotando a esta organización con equipos y desarrollos de software para que ejecuten sus trabajos. De ser cierta esa apreciación, estamos ante una operación de muchos años en proceso donde se han ejecutado espionaje para la extracción de información en el desarrollo de software y hardware, medicamentos, invenciones industriales, procesos militares, en fin un conjunto de informaciones sensibles y requeridas para el desarrollo de tecnologías por parte de China.

Si bien no existe un prueba cierta de filiación de Winnti con el gobierno Chino, no se conoce de ninguna acción del gobierno de China para atacar y eliminar a este grupo de ciberdelincuentes, por lo que cabe inferir que operan con su consentimiento y colaboración y están sirviendo como un paraguas de servicio para los grupos que hasta ahora sí tienen vinculación al Estado Chino.

Como podemos ver, el uso de este tipo de herramientas tecnológicas está en pleno apogeo. Las potencias predominantes están haciendo uso de ella en función de obtener algún beneficio de orden político o estratégico, en algún momento se ha especulado que el ataque a Kaseya, no fue más que un mensaje velado de Putin a Biden, sobre los términos en que se realizaría la cumbre entre ambos días después. Ésta actuación de los Estados, planteará retos a futuro pues las herramientas que usan los Estados para generar efectos acordes a sus intereses, en cualquier momento podrán ser obtenidas por otros y usadas en su contra tal como pasó en el caso de Equation Group, donde sus herramientas fueron obtenidas y mejoradas por China.

Por ahora solo hemos visto una de las caras de esta ciberguerra, donde las empresas transnacionales son uno de los principales objetivos de los delincuentes, generando muchas pérdidas económicas, sin que  hasta ahora exista algo que regule estos actos a nivel mundial. Incluso existe una división en este sentido; Estados Unidos busca que se cree un convenio internacional para regular este problema, pero países como Rusia o China no lo aceptarían y preferirían actuar de forma unilateral para atender el problema del ransomware.

Lo único claro es que en esta nueva Guerra Fría, ha perdido validez la connotación de fronteras tal como lo concebimos, el aumento en la interconexión de actores públicos y privados en el mundo, trae como consecuencia un incremento en las dimensiones de lo que denominamos como ciberespacio, la relación entre actores definitivamente rompe el esquema de fronteras conocido y genera retos para poder vigilar el cúmulo de operaciones que por ella circulan, sin hablar de las operaciones que se efectúan por la dark web.

No es posible detectar de manera rápida quiénes son los objetivos de ataque y si se trata de una guerra con fines políticos o simplemente para obtener un beneficio económico. Quienes queden sin defensas ante este peligro corren el riesgo de quedar con su aparato productivo totalmente paralizado, pues la cadena de producción de las empresas víctimas de estos ataques ha quedado totalmente inoperante y a expensas de un grupo desconocido que impondrá condiciones para permitir un retorno a la normalidad.

En esta nueva forma de guerra y planteamiento geopolítico, ya no dependemos de lobbies políticos o de capacidad armamentista: los Estados deben enfrentarse a actores no estatales en su mayoría y la única arma que tienen para combatirlos es la inversión en seguridad cibernética, en ese proceso ya empezamos a ver cómo la población se verá muy afectada por el secuestro de sus datos personales, o porque sufren las consecuencias del secuestro de sistemas que controlan la infraestructura de la que dependen.

NOTA: Los planteamientos e ideas contenidas en los artículos de análisis y opinión son responsabilidad exclusiva, en cada caso, del analista, sin que necesariamente representen las ideas de GEOPOL 21. 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s