El 23 de febrero de 2022, el mundo de la ciberseguridad incursionó en una nueva era, la era de la guerra híbrida cuando Rusia lanzó ataques tanto físicos como digitales en contra de Ucrania. El Informe de Defensa Digital de Microsoft de este año, proporciona nueva información sobre estos ataques y la creciente agresión cibernética originada por los líderes autoritarios en todas partes del mundo.
Durante el año pasado, los ciberataques dirigidos a infraestructuras críticas aumentaron del 20% de todos los ataques de Estado nación detectados por Microsoft a un impresionante 40%. Esta alza se debió en gran parte al objetivo de Rusia de dañar la infraestructura ucraniana y al espionaje agresivo dirigido a los aliados de Ucrania, incluyendo los Estados Unidos. Rusia también aceleró sus intentos de comprometer a las compañías de TI para interrumpir u obtener inteligencia de los clientes gubernamentales de esas compañías en los países miembros de la OTAN. El 90% de los ataques rusos detectados por Microsoft el año pasado se dirigieron a los estados miembros de la OTAN, y el 48% de dichos ataques se dirigieron a compañías de TI establecidas en los países miembros de la misma.
¿Ha cambiado la modalidad de ataque?
- Los ciberdelincuentes iraníes escalaron sus ataques después de la transición del poder presidencial. Lanzaron ataques destructivos contra Israel, así como operaciones de ransomware y hack-and-leak (robo y filtración de datos) a otros adversarios regionales como Estados Unidos y la Unión Europea, incluyendo infraestructuras críticas estadounidenses como las autoridades portuarias. En al menos un caso, Microsoft detectó un ataque disfrazado de ataque de ransomware cuya intención era borrar datos israelíes. En otro, un delincuente iraní ejecutó un ataque que activó las sirenas de emergencia por ataque aéreo en Israel.
- Mientras Corea del Norte emprendía su periodo más agresivo de pruebas de misiles en el primer semestre del 2022, uno de sus ciberdelincuentes lanzó una serie de ataques para robar tecnología a investigadores y compañías aeroespaciales del mundo. Otro ciberdelincuente norcoreano obtuvo acceso a las agencias de noticias globales que escriben sobre el país y a diversos grupos cristianos. Y un tercer ciberdelincuente continuó intentando, sin éxito, irrumpir en las compañías de criptomonedas para robar fondos en apoyo a la difícil situación económica que atraviesa su país.
- China incrementó sus ciberataques de espionaje y robo de información en un intento por ejercer más influencia regional en el sudeste asiático y contrarrestar el creciente interés de los Estados Unidos. En febrero y marzo, un ciberdelincuente chino dirigió ataques contra 100 cuentas afiliadas a una prominente organización intergubernamental en el sudeste asiático cuando la organización anunció una reunión entre el gobierno de Estados Unidos y líderes regionales. Justo después de que China y las Islas Salomón firmaran un acuerdo militar, Microsoft detectó malware de un ciberdelincuente chino en los sistemas del gobierno de las Islas Salomón. China también utilizó sus capacidades cibernéticas en campañas dirigidas a países en vías de desarrollo, incluyendo Namibia, Islas Mauricio y Trinidad y Tobago, entre otros.
Muchos de los ataques provenientes de China tienen la capacidad de encontrar y compilar vulnerabilidades del día cero: agujeros sin parches en el software que pasan desaparecidos por la comunidad de seguridad. La recopilación de estas vulnerabilidades por parte de China parece haberse expandido inmediatamente después de una nueva ley que exige a las entidades en China reportar al gobierno las vulnerabilidades que descubren antes de compartirlas con otros.
Aunque resulta tentador enfocarse en los ataques de Estado nación como las actividades cibernéticas más interesantes del año pasado, sería un error ignorar otras amenazas, especialmente la ciberdelincuencia que afecta a más usuarios en el ecosistema digital que los ataques de Estado nación.
