EE UU ofrece hasta 10 millones de d¨®lares por la identificaci¨®n de cualquier ciberataque ruso contra infraestructuras cr¨ªticas

M¨¢s de la mitad de los equipos de cibercrimen son respaldados por los Estados (el 49%) o son terroristas (5%) que utilizan internet como armas de ¨²ltima generaci¨®n. Sus objetivos son los datos sensibles, principalmente de defensa, o la irrupci¨®n en entidades fundamentales para el desarrollo de la vida cotidiana, como las infraestructuras cr¨ªticas (sanitarias, financieras o redes de suministro). Algo m¨¢s de una cuarta parte (26%) son activistas que tienen como objetivo influir en procesos pol¨ªticos y sociales mientras un 20% rastrea la red en busca de dinero, seg¨²n el informe (The cyberthreat handbook, Manual de la ciberamenaza) de las compa?¨ªas de seguridad Thales y Verint. Los primeros y mayoritarios son los que m¨¢s preocupan a los pa¨ªses occidentales ante la guerra en Ucrania. Estados Unidos ofrece hasta 10 millones de d¨®lares (8,95 millones de euros) por ¡°informaci¨®n sobre las operaciones cibern¨¦ticas patrocinadas por el Estado ruso y dirigidas a la infraestructura cr¨ªtica¡±. Se busca ¡°la identificaci¨®n o ubicaci¨®n de cualquier persona que, act¨²e bajo la direcci¨®n o el control de un Gobierno extranjero y participe en actividades cibern¨¦ticas maliciosas¡±, seg¨²n recoge la Agencia de Ciberseguridad e Infraestructuras (CISA, por sus siglas en Ingl¨¦s). Las invasiones en la red siguen una estrategia precisa, parecida a la militar, de nueve pasos.

La asesora de seguridad nacional de EE UU Anne Neuberger ha advertido que, ¡°durante la ¨²ltima d¨¦cada, Rusia ha utilizado el ciberespacio como una parte importante de su actividad militar m¨¢s all¨¢ de sus fronteras¡±. Ante esta amenaza, los servicios de ciberseguridad intentan ¡°apuntalar¡± las defensas y trabajar con ¡°socios y aliados para interrumpir la actividad cibern¨¦tica maliciosa¡±.

Keren Elazari, una pirata inform¨¢tica que termin¨® como investigadora de la Universidad de Tel Aviv (Israel), asegura que los ciberataques atentan contra infraestructuras cr¨ªticas no solo para vulnerar las defensas de un pa¨ªs, sino tambi¨¦n para ¡°minar la confianza en nuestro sistema de vida¡±. Elazari, experta en detectar fallos de seguridad en sistemas inform¨¢ticos, advierte que no son las grandes entidades las m¨¢s vulnerables, como demuestran los centenares de ataques anuales a entidades locales y de vulneraciones de seguridad en sistemas de transporte y compa?¨ªas.

Y tambi¨¦n supone un coste econ¨®mico. Un informe de Juniper Research calcula que los ataques en internet costar¨¢n hasta cinco billones de euros en dos a?os.

Seg¨²n el informe de Thales y Verint los grupos m¨¢s virulentos y entrenados ni siquiera tienen necesidad de desarrollar programas maliciosos propios (malware), sino que utilizan los creados y compartidos por otros, como los dise?ados por grupos de origen chino, o los comprados en el internet oscuro (dark web), sitios ocultos a los que solo se puede acceder mediante un navegador especializado.

Las estrategias de un ciberataque incluye nueve acciones, seg¨²n recoge la CISA y en las que coinciden las principales empresas de seguridad. Son parecidas a las de incursiones f¨ªsicas en un conflicto b¨¦lico, pero, en este caso, el campo de batalla es inform¨¢tico.

Reconocimiento. Consiste en t¨¦cnicas para recopilar informaci¨®n de forma activa o pasiva, desde credenciales de inicio de sesi¨®n hasta informaci¨®n sobre la identidad de la v¨ªctima, que puede ser individual o colectiva.

Acceso inicial. Es la utilizaci¨®n de diversos vectores de entrada, en especial, cualquier debilidad del servidor de acceso. Seg¨²n la CISA, con estas vulnerabilidades se obtienen credenciales para acceder a los dominios y cuentas en la nube [servidores remotos conectados a internet]. Otro modo de obtener estas llaves es el phishing, env¨ªos de correos fraudulentos con enlaces que permiten la ejecuci¨®n de programas maliciosos en un sistema local o remoto. La empresa Antispam Lab ha alertado este viernes del env¨ªo masivo de mensajes de correo electr¨®nico falsos a clientes de una entidad financiera con importante presencia en EE UU, Reino Unido, Uni¨®n Europea y Corea del Sur con el objetivo de robar informaci¨®n personal y credenciales en l¨ªnea.

Persistencia. Si se consigue, la siguiente estrategia es la persistencia mediante t¨¦cnicas para mantener el acceso a las redes pese a reinicios, cambios en las credenciales y otras interrupciones encaminadas a deshabilitar el acceso fraudulento. Durante este tiempo, los atacantes estudian los datos y todos los sistemas, fases conocidas como de ¡°entendimiento del entorno¡± y ¡°recolecci¨®n¡±.

Evasi¨®n de defensa. Una vez dentro, el atacante cuenta con la posibilidad de que los servicios de seguridad detecten la intromisi¨®n, por lo que desarrollan t¨¦cnicas para evitarla. Para ello, ocultan o cifran sus comandos ejecutables y archivos. Tambi¨¦n recurren a la desinstalaci¨®n o deshabilitaci¨®n de programas de seguridad. ¡°A veces, algunos ataques son una distracci¨®n para que los servicios de seguridad no se centren en el verdadero¡±, resalta Kazari.

Escalada de privilegios. Si el atacante consigue entrar, permanecer y eludir los sistemas de seguridad, el siguiente objetivo es obtener permisos de nivel superior aprovechando debilidades del sistema, errores de configuraci¨®n y vulnerabilidades. Con estos nuevos privilegios, puede acceder o crear una copia de las bases de datos para robar informaci¨®n y claves de dispositivos, usuarios y derechos de acceso.

Descubrimiento. La usurpaci¨®n de claves que tienen amplio acceso a los sistemas permite a los atacantes desentra?ar la red interna, copiar archivos y directorios e identificar las ubicaciones espec¨ªficas de la informaci¨®n que necesitan para el objetivo final: inhabilitar toda la arquitectura. Tambi¨¦n pueden identificar los dominios asociados (como los de proveedores de confianza) para ampliar su ataque con lo que se conoce como ¡°movimiento lateral¡±.

Colecci¨®n. Todos los pasos anteriores le llevan a recopilar no solo la informaci¨®n en s¨ª, sino tambi¨¦n las fuentes de la misma. En este sentido, el atacante puede aprovechar repositorios para extraer datos valiosos. La CISA destaca como uno de los objetivos el SharePoint, una plataforma de colaboraci¨®n empresarial, formada por productos y elementos de programas que incluyen funciones de colaboraci¨®n, m¨®dulos de administraci¨®n de procesos y de b¨²squeda as¨ª como las plataformas de administraci¨®n de documentos.

Mando y control. Con toda la informaci¨®n acumulada y las m¨¢ximas credenciales para actuar en el sistema, el ataque pasa a la fase de mando y control, cuando se imita el tr¨¢fico normal para comunicarse entre los sistemas que ya manipula y aprovecha para obtener datos y transferirlos. En esta fase, para encubrir el tr¨¢fico malicioso, se encadenan m¨²ltiples proxies, servidores, programas o dispositivos que hacen de intermediario en las peticiones de recursos que realiza un usuario.

Impacto. Es el momento en el que la consecuci¨®n de todas las fases anteriores permite interrumpir o comprometer los sistemas atacados con la destrucci¨®n, inhabilitaci¨®n, sustracci¨®n, manipulaci¨®n o falsificaci¨®n de datos y sistemas.

Puedes escribirnos a rlimon@elpais.es, seguir a EL PA?S TECNOLOG?A en Facebook y Twitter y apuntarte aqu¨ª para recibir nuestra newsletter semanal