Sabotajes, esp¨ªas y robo de datos: la guerra invisible por la vacuna de la covid que se libra en el ciberespacio

Los servicios de inteligencia y las empresas de ciberseguridad llevan desde principios de 2020 librando una guerra invisible. Los enemigos son organizaciones de cibercriminales interesadas en obtener informaci¨®n sensible sobre la vacuna de la covid, sabotear su desarrollo o distribuci¨®n, extorsionar a quienes la producen, robar datos sanitarios sobre la ciudadan¨ªa o aprovechar el boom informativo para estafar a la gente. No est¨¢ claro qui¨¦n est¨¢ ganando la batalla, la amenaza es constante. Empresas farmac¨¦uticas, almacenes, centros de investigaci¨®n, ministerios de Sanidad, hospitales, la propia Agencia Europea del Medicamento¡­ Nadie se escapa.

Algunos de estos ciberataques han trascendido; otros no han salido a la luz. El secretismo es la norma en los asuntos de seguridad cibern¨¦tica: nadie quiere revelar sus vulnerabilidades, y menos si afectan a la ansiada vacuna. EL PA?S ha contactado con todas las farmac¨¦uticas que est¨¢n desarrollando las vacunas que se distribuyen en Europa o que est¨¢n pendientes de recibir el visto bueno de la Comisi¨®n Europea para hacerlo (Pfizer, Moderna, AstraZeneca, Janssen y CureVac), pero ninguna ha querido hablar sobre los ataques que ha recibido ni sobre las medidas de refuerzo que han implementado en materia de ciberseguridad.

¡°Hasta la fecha, no hemos sufrido accesos no permitidos a los datos que manejamos como compa?¨ªa, pero no nos relajamos¡±, se?alan excepcionalmente desde AstraZeneca. En noviembre del a?o pasado se hizo p¨²blico que investigadores del laboratorio brit¨¢nico y de la Universidad de Oxford involucrados en el desarrollo de la vacuna recibieron falsas ofertas de trabajo que inclu¨ªan software malicioso con el objetivo de entrar en sus ordenadores. Parece ser que la intrusi¨®n no prosper¨®.

El ataque contra AstraZeneca y la Universidad de Oxford se atribuye al norcoreano Lazarus, uno de los grupos de ciberespionaje m¨¢s conocidos. Recientemente, en febrero, Corea del Sur acus¨® a Corea del Norte de tratar de hackear all¨ª a Pfizer para robarle informaci¨®n de la vacuna. Seg¨²n la multinacional rusa de ciberseguridad Kaspersky, Lazarus estar¨ªa tambi¨¦n detr¨¢s de este incidente, que adem¨¢s habr¨ªa comprometido el pasado mes de octubre a ¡°un Ministerio de Sanidad¡± y a ¡°una compa?¨ªa farmac¨¦utica que se encuentra desarrollando una vacuna contra la covid-19¡±.

Este cibercomando no est¨¢ solo. La norcoreana Velvet Cholima rob¨® tambi¨¦n informaci¨®n sobre la vacuna en Estados Unidos, Reino Unido y Corea del Sur, y su organizaci¨®n hermana Labyrinth Cholima trat¨® de torpedear varias plantas estadounidenses de producci¨®n de vacunas, seg¨²n la empresa de ciberseguridad CrowdStrike. El grupo ruso Cozy Bear, por su parte, fue acusado en verano por Estados Unidos, Canad¨¢ y Reino Unido de haber lanzado una campa?a que trat¨® de robar informaci¨®n relacionada con el desarrollo y prueba de las vacunas en las que se trabajaba en ese momento. La vietnamita Ocean Buffalo, la iran¨ª Static Kitten y varios agentes chinos tambi¨¦n han llevado a cabo ataques sensibles de este tipo.

Amenazas en Espa?a

Pero no hace falta salir al extranjero en busca de casos de ciberespionaje: el Centro Nacional de Inteligencia (CNI) revel¨® en septiembre que hackers chinos hab¨ªan conseguido sustraer informaci¨®n relacionada con la vacuna que preparan investigadores espa?oles. La directora del CNI, Paz Esteban, alert¨® ya por entonces de ¡°una campa?a, especialmente virulenta, no solo en Espa?a, contra laboratorios que trabajan en la b¨²squeda de una vacuna para la covid-19¡±.

Las autoridades espa?olas son conscientes de ello. Pusieron en marcha un dispositivo especial de vigilancia digital el 15 de marzo de 2020, coincidiendo con el confinamiento. Coordinado por el Consejo Nacional de Ciberseguridad, en el que participan los ministerios de Interior, Defensa, Asuntos Econ¨®micos y Transformaci¨®n Digital, Exteriores y Sanidad, el dispositivo vigila posibles amenazas, intrusiones, robos de informaci¨®n, espionaje o intentos de estafa. A finales del a?o pasado, con el inicio de la campa?a de vacunaci¨®n, se reforz¨® la colaboraci¨®n con empresas farmac¨¦uticas y todas las que participan en la cadena de suministro: almacenamiento y transporte de vacunas, cadena de fr¨ªo, etc¨¦tera.

¡°Hemos visto que el motivo de la covid se est¨¢ aprovechando para llegar a la sociedad en general¡±, se?ala Marcos G¨®mez, subdirector de Servicios de Ciberseguridad en Incibe-CERT. Ha habido pocos incidentes relacionados con la covid en el ¨²ltimo a?o (450 de los 90.000 registrados entre el 15 de marzo hasta el 19 de febrero), y la mayor¨ªa son estafas y fraudes a particulares. ¡°Es una cantidad ¨ªnfima. Los incidentes experimentados por las farmac¨¦uticas, cuyo n¨²mero no podemos revelar, s¨ª son sensiblemente m¨¢s importantes. No buscan un impacto econ¨®mico, sino informaci¨®n, como patentes de vacunas o robo de informaci¨®n para extorsionarlas¡±, apunta. El Centro Criptol¨®gico Nacional, dependiente de Defensa, cita en su ¨²ltimo informe de tendencias los ataques para secuestrar datos de centros m¨¦dicos y contra los laboratorios y centros de investigaci¨®n como una de sus grandes preocupaciones para este a?o.

M¨¢s que crimen organizado

Los objetivos de los cibercriminales han ido cambiando con el tiempo. En los primeros d¨ªas de la pandemia, los ataques dirigidos (los dise?ados contra personas concretas con puestos de responsabilidad cr¨ªticos) buscaban la adquisici¨®n de informaci¨®n sobre tasas de infecci¨®n o respuestas estatales al tratamiento de la covid-19, concluye un informe de CrowdStrike. Sin embargo, a medida que crecieron los contagios y las muertes, cuando se hizo evidente que conseguir una vacuna era vital, la informaci¨®n cient¨ªfica que pudiera llevar a desarrollarla pas¨® a ser prioritaria. Dar con la cura de la covid se convirti¨® en una competici¨®n internacional. Y, como en toda competici¨®n, siempre hay quien est¨¢ dispuesto a hacer trampas para ganar.

Daniel Creus, analista senior del Equipo de Investigaci¨®n y An¨¢lisis de Kaspersky, divide los ataques relacionados con la covid en dos grandes grupos. ¡°Por un lado, est¨¢n los cibercriminales, los que solo tienen af¨¢n de lucro. Estos han explotado la necesidad social de informaci¨®n sobre vacunas y la covid para darle un halo de veracidad a sus ataques¡±, explica. Aqu¨ª se encuadrar¨ªan todo tipo de estafas: desde la venta de mascarillas que en realidad no existen hasta la compra de supuestas dosis de vacunas.

¡°Por otro lado tenemos los ataques m¨¢s sofisticados, o amenazas persistentes, que buscan una inteligencia, ya sea a nivel de negocio o de Estado. Su objetivo es conseguir informaci¨®n sensible¡±, ilustra. En esta segunda categor¨ªa entran los grupos de ciberpiratas supuestamente auspiciados por gobiernos, como los citados Lazarus o Cozy Bear. Supuestamente, porque es casi imposible demostrar esa vinculaci¨®n. Conocidos en el sector como APT (amenazas persistentes avanzadas, en sus siglas inglesas), estos grupos est¨¢n muy bien organizados y disponen de much¨ªsimos recursos. ¡°Orquestar una campa?a expr¨¦s, es decir, enterarse de que hay un objetivo interesante y hacer todo el despliegue de malware e infraestructuras de la noche a la ma?ana siguiente, eso est¨¢ al alcance de muy pocos¡±, subraya Creus.

Los ataques de estos grupos se dirigen a individuos que se sabe que est¨¢n en una posici¨®n muy interesante en la cadena de suministro de la vacuna. ¡°No lanzan ataques indiscriminados: saben perfectamente a qui¨¦n tirar. No puedo comentar organismos, m¨¢s all¨¢ de los que se han hecho p¨²blicos¡±, se excusa Creus. ¡°Estos grupos lo que buscan es tener alg¨²n tipo de ventaja competitiva respecto a otros estados: m¨¢s informaci¨®n, saber a qu¨¦ atenerse, conocer la estrategia de vacunaci¨®n de otros¡­ Tambi¨¦n llevan a cabo acciones de sabotaje, lo cual no deja de ser alucinante trat¨¢ndose de un tema sanitario¡±.

Una autor¨ªa difusa

La gesti¨®n de la pandemia se encuentra dentro de lo que se considera la seguridad nacional de los estados. ¡°La vacuna, o la desarrollas, o la compras, o la robas. Y de manera contraria: si ya la ha desarrollado tu adversario antes que t¨², o le pones trampas o se la intentas robar¡±, se?ala Andrea G. Rodr¨ªguez, investigadora en tecnolog¨ªas emergentes en Cidob (Barcelona Centre for International Affairs). ¡°Eso es lo que ha pasado en Europa desde la primavera del a?o pasado, donde se han sucedido ciberataques a farmac¨¦uticas, a supercomputadoras que trabajaban en ello y a las cadenas de suministro¡±.

Las acciones de espionaje cibern¨¦tico tienen la ventaja de que, adem¨¢s de ser silenciosas, son muy dif¨ªciles de atribuir. ¡°Se tarda mucho en detectar la autor¨ªa real de los ciberataques m¨¢s sofisticados. A veces pasan a?os, en algunos casos no se consigue¡±, asegura el hacker Deepak Daswani. ¡°Las APT se rastrean con pistas aportadas por los servicios de inteligencia, correlaciones de muestras, particularidades del c¨®digo, reutilizaci¨®n de partes del mismo, componentes, modus operandi, etc¨¦tera¡±.

¡°A China le hubiera gustado que su vacuna hubiera sido la primera y la hubiese podido vender masivamente por todo el mundo¡±, ilustra Rodr¨ªguez. ¡°La usa como arma diplom¨¢tica: Pek¨ªn est¨¢ donando cantidades masivas de Sinovac a pa¨ªses en v¨ªas de desarrollo o que no pueden pagar las de Moderna, Pfizer o AstraZeneca¡±.

Lo que viene

El campo de batalla del ciberespacio sigue evolucionando. ¡°A medida que las diferentes vacunas que est¨¢n en marcha vayan dando diferentes resultados relacionados con las nuevas variantes del virus que se est¨¢n descubriendo, deber¨ªamos esperar que los investigadores que est¨¢n detr¨¢s de estas vacunas se conviertan tambi¨¦n en ciberobjetivos de los pa¨ªses que compiten por la vacuna¡±, se?ala Chester Wisniewski, Investigador Principal de Sophos.

Nadie puede confiarse. Las cadenas de suministro de estas preparaciones siguen siendo atacadas. Tambi¨¦n los hospitales, que en Francia reciben una media de un ciberataque semanal, lo que ha llegado a provocar la paralizaci¨®n de cirug¨ªas, o que en Alemania se pudieron cobrar una vida. La ciberguerra de la covid no ha acabado.

Puedes seguir a EL PA?S TECNOLOG?A en Facebook y Twitter.