Geopol¨ªtica y ciberespionaje: una radiograf¨ªa de las bandas de ¡®hackers¡¯ que arremeten contra occidente

Las operaciones cibern¨¦ticas est¨¢n cambiando la geopol¨ªtica mundial, o por lo menos as¨ª lo perciben los expertos europeos en ciberseguridad. Los gobiernos de Rusia, China, Ir¨¢n y Corea del Norte han sido vinculados, tanto por Estados Unidos y Reino Unido, pero tambi¨¦n por empresas como Microsoft, a organizaciones de hackers que han emprendido cientos de campa?as de espionaje, sabotaje y desinformaci¨®n en los ¨²ltimos a?os. En este contexto, un portavoz de la OTAN asegura a este peri¨®dico que la ciberdefensa se ha convertido en una las ¡°principales prioridades¡± de la alianza, comprobando la creciente importancia de este sector en el tablero de ajedrez global.

¡°Los aliados de OTAN han dejado claro que China y Rusia representan las mayores amenazas cibern¨¦ticas respaldadas por el Estado y han atribuido una serie de incidentes cibern¨¦ticos a grupos asociados con estos dos pa¨ªses. El Kremlin tambi¨¦n est¨¢ participando en una campa?a coordinada de actos hostiles contra pa¨ªses de la alianza, incluidos sabotajes, ciberataques y desinformaci¨®n¡±, explica el portavoz de la OTAN a EL PA?S. Los gobiernos de China y Rusia han negado de forma reiterada y enf¨¢tica cualquier conexi¨®n con alguna de estos grupos de ciberdelincuentes.

En concreto, el portavoz de la alianza atl¨¢ntica detalla que los ciberataques suelen tener como objetivo destruir infraestructuras cr¨ªticas, interferir con los servicios gubernamentales, extraer inteligencia y robar propiedad intelectual. Adem¨¢s, la OTAN ya ha designado el ciberespacio como ¡°dominio de guerra¡±, y ha reconocido que las campa?as cibern¨¦ticas adversas ¡°podr¨ªan desencadenar la cl¨¢usula de defensa colectiva¡± de la Alianza.

La telara?a de estos grupos de amenazas persistentes (conocidos como APTs, por sus siglas en ingl¨¦s) es compleja y opaca. En general, los expertos coinciden en que comprobar los lazos entre un Estado y una de estas organizaciones de forma definitiva es una tarea casi imposible, ya que a menudo estos actores cubren su rastro con evidencia falsa. Sin embargo, hay un consenso entre los gobiernos occidentales y las entidades del sector en que existe suficiente evidencia para poder asumir ciertas conexiones.

El centro de investigaci¨®n Cyberpeace Institute se?ala que, entre las organizaciones m¨¢s relevantes y peligrosas, los grupos de hackers Sandworm, Fighting Ursa (APT 28) y Cloaked Ursa (APT29) han sido vinculados con agencias de inteligencia de Rusia por distintas instituciones; mientras que Comment Panda (APT1), Double Dragon (APT41), Bronze Vinewood (APT31) han sido relacionadas con el aparato estatal chino. Asimismo, otro pu?ado de organizaciones han tendr¨ªan lazos con Ir¨¢n y Corea del Norte, y se calcula que globalmente hay por lo menos unas 150 organizaciones de este tipo.

En este contexto, la Uni¨®n Europea incluy¨® el 24 de junio a seis nuevos cibercriminales en su lista de sanciones econ¨®micas y de movilidad. En total, los Veintisiete ya han aplicado este tipo de medidas sobre 12 entidades y 14 individuos vinculados a operaciones digitales en contra de la infraestructura y las instituciones europeas, seg¨²n confirman fuentes del Consejo Europeo a EL PA?S. Por su parte, Estados Unidos y Reino Unido aplicaron sanciones contra individuos chinos vinculados a APT31 en marzo y acusaron a Pek¨ªn de patrocinar el ciberespionaje, aunque el Gobierno de Xi Jinping ha negado enf¨¢ticamente estas acusaciones.

Modus operandi

Los hackers se aprovechan de errores en el software y de las vulnerabilidades humanas para poder infiltrar las redes de sus adversarios. Richard De la Torre, director de marketing de productos t¨¦cnicos de la firma de ciberseguridad Bitdefender, explica que estos grupos muchas veces suelen iniciar sus operaciones a trav¨¦s de correos electr¨®nicos infectados y dirigidos a objetivos de alto valor. Una vez la persona los abre y la red ha sido corrompida, los ciberdelincuentes ejecutan sus programas maliciosos o pueden realizar ataques inform¨¢tico para bloquear los esfuerzos de defensa.

¡°Por ejemplo, el grupo Sandworm envi¨® documentos de Microsoft Office infectados a empleados espec¨ªficos con acceso de alto nivel que trabajaban en la red el¨¦ctrica ucraniana. Una vez que se establecen dentro de la organizaci¨®n, se esparcen de forma lateral para infectar sistemas cr¨ªticos. Se establecen conexiones de control que facilitan el reconocimiento y la filtraci¨®n de datos¡±, detalla el experto.

Otro ejemplo de esto es una campa?a revelada por la firma de ciberseguridad Palo Alto Networks el a?o pasado. Desde la compa?¨ªa de ciberseguridad aseguran que al menos 30 entidades militares, diplom¨¢ticas, gubernamentales y privadas de pa¨ªses de la OTAN fueron el objetivo de campa?as de correos maliciosos de Fighting Ursa en un total de 14 pa¨ªses entre 2022 y 2023. Espec¨ªficamente, 26 de los objetivos eran europeos, entre ellos embajadas y ministerios de Defensa, Asuntos Exteriores, Interior y Econom¨ªa, as¨ª como al menos una Fuerza de Despliegue R¨¢pido de la OTAN.

Recientemente, la Palo Alto Networks tambi¨¦n present¨® un informe que asegura que organizaciones de hackers chinos realizaron operaciones de ciberespionaje contra otros pa¨ªses asi¨¢ticos, entre ellos Laos, Camboya, Myanmar, Filipinas, Jap¨®n y Singapur. La firma revel¨® en noviembre que, seg¨²n sus investigaciones, un grupo chino sin identificar ha estado llevando a cabo una campa?a contra entidades pol¨ªticas de Oriente Medio, ?frica y Asia desde al menos finales de 2022. ¡°Un an¨¢lisis de la actividad de este actor de amenazas revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales. El actor de amenazas realiz¨® esfuerzos de recopilaci¨®n de inteligencia a gran escala, aprovechando t¨¦cnicas poco comunes de exfiltraci¨®n de correo electr¨®nico contra servidores comprometidos¡±, recoge el an¨¢lisis de la compa?¨ªa.

Los analistas de Mandiant, la subsidiaria de Google orientada a la seguridad digital, explican que las ciberbandas chinas destacan por ser sigilosas. ¡°La actividad de ciberespionaje desde China ha evolucionado de forma significativa en los ¨²ltimos a?os, alej¨¢ndose de las operaciones ruidosas y f¨¢ciles de atribuir para centrarse m¨¢s en el sigilo. Las inversiones en tecnolog¨ªa han brindado apoyo a exitosas campa?as contra objetivos gubernamentales, militares y econ¨®micos en los Estados miembros de la OTAN y aumentado el desaf¨ªo para los defensores¡±, expresaba John Hultquist, analista jefe de Mandiant Intelligence en un an¨¢lisis reciente.

En cuanto a Ir¨¢n, Bitdefender informa de que los grupos cibercriminales ShroudedSnooper y Cobalt Sapling, que han sido vinculados con el Ministerio iran¨ª de Inteligencia y Seguridad, han estado involucrados en m¨²ltiples ataques dirigidos telecomunicaciones y entidades gubernamentales en el Medio Oriente y especialmente en Israel. Por otro lado, el grupo norcoreano Lazarus ha destacado por la virulencia de sus ataques de ransomware y su ataque contra la empresa Sony en 2014.

Los objetivos de las campa?as realizadas por estos grupos pueden ser muy distintos. Seg¨²n los expertos consultados, esto depende de los intereses de su pa¨ªs de origen o de las agencias de inteligencia a las que est¨¦n vinculados. ¡°Normalmente, son operaciones relacionadas con la obtenci¨®n de informaci¨®n que les proporcione una ventaja geoestrat¨¦gica al pa¨ªs al que est¨¢n vinculados estos grupos. No obstante, tambi¨¦n encontramos motivaciones econ¨®micas, como algunas de las campa?as realizadas por grupos afines al gobierno de Corea del Norte para conseguir financiaci¨®n con la que superar el bloqueo econ¨®mico¡±, explica Josep Albors, director de investigaci¨®n y concienciaci¨®n de ESET Espa?a, compa?¨ªa de software de ciberseguridad.

Los especialistas en ciberseguridad tambi¨¦n resaltan que una forma de diferenciar a los grupos patrocinados por un estado de las organizaciones de ciberdelincuentes a la hora de realizar un peritaje es identificar sus objetivos. ¡°La mayor motivaci¨®n de las bandas criminales es hacer dinero tan r¨¢pido y f¨¢cil como sea posible. Por el contrario, las organizaciones patrocinadas por estados lo que buscan es infiltrar la infraestructura del enemigo tanto tiempo como sea posible. Buscan recolectar informaci¨®n o averiguar c¨®mo es que sus objetivos van a afrontar ciertas situaciones geopol¨ªticas,¡± explica Jens Monrad director de inteligencia de amenazas para Europa, Oriente Pr¨®ximo y ?frica de Mandiant. En la subsidiaria de Google destacan que en el caso de los grupos de activistas inform¨¢ticos las acciones se asemejan m¨¢s a las de una ¡°muchedumbre furiosa¡±, lo que les diferencia de los grupos patrocinados por estados.

Campo de guerra digital

Los expertos consultados coinciden las operaciones patrocinadas por pa¨ªses en el ¨¢mbito digital est¨¢n creciendo de forma exponencial debido a la actual inestabilidad geopol¨ªtica. ¡°Los grupos de hackers desempe?an un papel cada vez m¨¢s destacado en los conflictos actuales y en las zonas de mayor tensi¨®n. Por ejemplo, hemos visto la creaci¨®n de nuevos programas maliciosos espec¨ªficamente creados para el conflicto entre Rusia y Ucrania. Otro ejemplo es la formaci¨®n de un grupo de voluntarios conocido como el ej¨¦rcito inform¨¢tico ucraniano, que ha seguido realizando diversos ciberataques en nombre de Ucrania durante la guerra en curso¡±, asegura Ari Novik, analista de malware de Cybeark Labs. En esta l¨ªnea, los expertos de CyberPeace Institute calculan que un total de 3.255 ciberataques y operaciones han sido ejecutados por al menos 126 actores rusos contra Ucrania desde 2022.

¡°Desde un punto de vista de costes es m¨¢s sencillo realizar este tipo de operaciones que al enviar a una persona a otro pa¨ªs como esp¨ªa. Estos agentes podr¨ªan ser capturados y supondr¨ªa un riesgo para el pa¨ªs que les env¨ªa. En el entorno digital se pueden lograr objetivos similares corriendo muchos menos riesgo¡±, apunta Monrad.

De la Torre, de lla empresa de ciberseguridad Bitdefender, concuerda en que el escenario actual proporciona ¡°abundante combustible¡± para los ciberdelincuentes patrocinados por estados. De hecho, el experto destaca que el Informe de investigaci¨®n de brechas de seguridad de datos de Verizon para 2023 muestra que el 20% de los ataques o infiltraciones son realizados por organizaciones de hackers patrocinadas por estados. Y anticipa que tanto en las pr¨®ximas elecciones de inter¨¦s mundial como en los Juegos Ol¨ªmpicos podr¨ªan verse distintas campa?as por parte de estos grupos de ciberdelincuentes patrocinados por estados.

En est¨¢ l¨ªnea, el experto a?ade que un ejemplo reciente de como este tipo de operaciones est¨¢n cambiando los conflictos globales se dio en diciembre de 2023, cuando el mayor proveedor de telecomunicaciones de Ucrania, Kyivstar, qued¨® paralizado por un ciberataque que se atribuye a ciberdelincentes rusos. ¡°En represalia, los piratas inform¨¢ticos ucranianos atacaron la planta de servicios de agua m¨¢s grande de Rusia, encriptando datos e interrumpiendo con ¨¦xito operaciones¡±, detallan desde Bitdefender.

Respuesta de occidente

Los expertos aseguran que gobiernos occidentales est¨¢n cooperando para desarrollar su resiliencia cibern¨¦tica, concretamente a trav¨¦s de organizaciones como la Uni¨®n Europea y la OTAN. Los Veintisiete presentaron su Estrategia de Ciberseguridad a finales de 2020 y la ha ido ampliando continuamente para incluir diferentes leyes, como la Ley de Cibersolidaridad propuesta en abril de 2023. Asimismo, tras la invasi¨®n a Ucrania, la Comisi¨®n Europea puso en marcha la Pol¨ªtica de Ciberdefensa de la UE para ayudar a impulsar sus capacidades cibern¨¦ticas. A estas iniciativas se suman la coordinaci¨®n, los ejercicios y las actividades capacitaci¨®n de la OTAN, a trav¨¦s de los cuales los expertos de los estados miembros aprenden a reaccionar ante estas situaciones.

No obstante, los expertos consideran que a¨²n hay mucho campo por recorrer. ¡°En el mundo occidental se sigue evaluando como responder a estas amenazas. Algo que se debate, por ejemplo, es las respuestas proporcionales a estos ataques. La OTAN ya reconoce el ¨¢mbito digital como un dominio de guerra y se est¨¢ considerando c¨®mo reaccionar. Sin embargo, todav¨ªa se tiene que determinar c¨®mo hacerlo sin necesariamente escalar la situaci¨®n. A¨²n no se ha encontrado la forma, o por lo menos no se ha comunicado abiertamente¡±, advierte Monrad ¡°Sin embargo, las organizaciones europeas est¨¢n mejorando su forma de responder y quiz¨¢s esto es algo en lo que deber¨ªan enfocarse los gobiernos¡±, a?ade.

Aun as¨ª, Monrad no descarta que occidente cuente con organizaciones similares patrocinadas por sus propios gobiernos. ¡°Todos los estados desarrollados han reconocido que estas tecnolog¨ªas se han convertido en herramientas para actividades disruptivas, por lo que es altamente probable que todos lo est¨¦n haciendo. Lo que s¨ª es habr¨ªa que destacar es que en Europa existe mucha m¨¢s transparencia para saber c¨®mo se est¨¢n utilizando los presupuestos y esto nos permite observar si se est¨¢n financiando este tipo de ataques¡±, concluye.