fbpx

El año de la ciberinseguridad

ciberseguretat_cibertseguridad

También puedes leer este artículo en: Català

El 8 de diciembre pasado la empresa norteamericana FireEye hizo público que unos intrusos se habían colado en sus sistemas informáticos y se habían llevado copias de sus herramientas y datos internos. La revelación era bastante preocupante porque FireEye se dedica a la ciberseguridad, las herramientas son las que utiliza para probar la resistencia de los sistemas de sus clientes a los ciberataques en busca de agujeros para poder taparlos antes de que lo hagan los malos, y los datos correspondían a la información acumulada en uso de las herramientas citadas. Todos los indicios sobre el origen del ataque apuntaban hacia Rusia, y más en concreto hacia hackers que trabajan habitualmente para el estado ruso. Malas noticias para la reputación de FireEye.

Pero la alarma en EEUU se disparó cinco días más tarde, el domingo 13, cuando los medios comenzaron a difundir que al menos seis ministerios del gobierno Trump -los de Comercio, Tesoro, Seguridad Nacional, Energía y Justicia-, diversos organismos oficiales como la Agencia de Seguridad Nuclear y multitud de corporaciones, hasta un total de 18.000, habían sufrido el mismo ataque. Algunas de las víctimas son del sector TIC, tales como Intel, Cisco y Microsoft. Este último asegura que los intrusos no se llevaron ningún dato de los usuarios, pero reconoce que pudieron acceder al código fuente de algunos de sus productos de software, el equivalente digital a la mítica fórmula de la Coca-Cola. El departamento de Justicia estima que se accedió a los buzones de correo electrónico de un 3% de sus 115.000 funcionarios, y el diario The Wall Street Journal añade que también se vio comprometido el sistema de archivo de documentos judiciales, muchos de ellos de carácter confidencial.

El origen del ataque

El análisis posterior de todos estos ciberataques ha determinado que se llevaron a cabo mediante un único punto débil: una actualización del software Orion de monitorización de redes producido por la empresa texana SolarWinds, que cuenta entre sus clientes con la mayoría de grandes corporaciones y organismos oficiales de EEUU, además de muchas de otros países. En octubre de 2019 los hackers rusos penetraron a los sistemas de SolarWinds -el nombre de la cual ha acabado dando nombre a todo el incidente- y contaminaron Orion con código malicioso que dejaba abierta una puerta falsa en las redes de los 18.000 clientes cuando actualizaban el producto. Actualmente se investiga si la intrusión en SolarWinds se produjo mediante TeamCity, un producto de verificación de software creado por la empresa JetBrains, con sede en la República Checa.

Aún no se conoce la magnitud de la tragedia. Que un sistema tenga un agujero de seguridad no implica que alguien lo haya aprovechado. También debe de haber lugares donde se haya entrado para curiosear sin encontrar nada de interés. Pero el hecho de que, por ejemplo, empresas del sector energético utilicen Orion para gestionar sus redes de distribución de electricidad no invita precisamente a la calma sabiendo que los años 2015 y 2016 Rusia hackeó varias subestaciones eléctricas de Ucrania y dejó sin corriente cientos de miles de ciudadanos durante horas en pleno invierno. Se cree que esos ataques también sirvieron para perfeccionar técnicas que ahora se podrían aplicar contra otros estados y dieron lugar a nuevos episodios cada vez más destructivos de esta tercera guerra mundial que lleva años en marcha y en la que los informáticos y los datos han tomado el puesto de los soldados y las bombas.

Como es natural, Rusia no es el único estado que practica la guerra digital. Los mismos EE.UU., víctimas en esta ocasión, se dedican también con gran intensidad. Y ya en el año 2012, hackers vinculados al gobierno chino sustrajeron de la empresa madrileña Telvent, filial de la francesa Schneider, documentación sobre los sistemas industriales que controlan oleoductos, gasoductos y redes de distribución de agua de todo el mundo.

Las mafias también se digitalizan

A todos estos ciberataques entre estados, que por decirlo de algún modo tienen lugar en el sector público, hay que añadir una intensa actividad privada, en forma de ataques que buscan obtener rendimiento económico. En los últimos años se ha consolidado como formato más lucrativo del llamado ransomware, que consiste en penetrar en los sistemas de organismos y empresas y cifrar su información, por lo que sólo se pueda volver a acceder utilizando una clave de descifrado que, naturalmente, se ofrece a cambio del pago de un rescate en alguna criptomoneda imposible de rastrear.

La mayoría de los ataques de ransomware se llevan a cabo incluyendo enlaces maliciosos en mensajes de correo o aplicaciones web que parecen inofensivas. Inicialmente eran bastante indiscriminados ya menudo afectaban incluso usuarios particulares, pero últimamente se han centrado en víctimas corporativas e institucionales que no se pueden permitir una interrupción de la actividad provocada por la pérdida de datos y por ello pueden estar más dispuestas a pagar un rescate. Un ejemplo son las cinco grandes compañías de seguros que operan en España y han estado semanas o meses sin poder atender normalmente a sus clientes.

Actualmente el sector sanitario es objetivo preferente de los ciberdelincuentes, con consecuencias que al menos en una ocasión ya han sido fatales: en septiembre, el secuestro de los sistemas del hospital universitario de Düsseldorf (Alemania) obligó a desviar una paciente de urgencias a un otro centro, donde llegó muerta por culpa del tiempo adicional de traslado. No consta que pasara nada tan dramático en el reciente cibersecuestro de la red del hospital público Moisès Broggi de Sant Joan Despí (Barcelona), pero las autoridades catalanas han declinado dar muchos detalles sobre el alcance de esta intrusión.

En plena pandemia de coronavirus, los malhechores han visto una potencial mina de oro en la industria que debe proporcionar las vacunas. Se sabe que empresas farmacéuticas, laboratorios de investigación y empresas de logística, especialmente las especializadas en preservación de la cadena del frío, están siendo atacadas con regularidad, incluso desde meses antes de los primeros resultados positivos en los ensayos clínicos. Todo ello denota un alto nivel de profesionalización de los ciberdelincuentes, que quizás se entenderá mejor sabiendo que la mayoría de los hackers no son sencillamente informáticos emprendedores que descubrieron una manera muy lucrativa de rentabilizar sus habilidades, sino que en realidad suelen trabajar para las mafias de toda la vida -Rusas, italianas, sudamericanas, chinas-, que a partir de un momento dado decidieron ampliar sus actividades delictivas tradicionales con líneas de negocio digitales, pasando de traficar con personas o sustancias ilegales a hacerlo con datos ajenos, que pueden llegar a ser más rentables.

Publicdo en el diari Ara
20210111