Hackers de Rusia, Irán, China y Corea del Norte estuvieron detrás de algunos de los 36 ciberataques calificados como los más críticos sufridos por Administraciones y empresas estratégicas españolas en los últimos meses, dijeron expertos dependientes del Centro Nacional de Inteligencia (CNI) de España.
Estas fueron las afirmaciones de los ponentes del Centro Criptológico Nacional (CCN-CERT), quienes relataron esta semana los resultados de sus investigaciones en las XIII jornadas de ciberseguridad, celebradas en Madrid, informó El País.
Los sistemas de hackers identificados como APT39 y APT33, vinculados con Irán, el Cobalt Gang, relacionado con Corea del Norte, los sistemas APT29 y Snake de los rusos, y el Emissary Panda chino, lanzaron en el último año ataques contra empresas aeronáuticas, bufetes o bancos, además de organismos públicos. Los investigadores sospechan que los mismos estados vinculados a estos hackers están patrocinando los respectivos ataques.
A finales de 2018, una importante empresa española del sector aeronáutico fue atacada por sistema APT39, una unidad de hackers vinculada con el Estado iraní. Los expertos del CCN-CERT fueron alertados y el ataque fue presuntamente contenido. Un nuevo ataque en 2019, a través de una pequeña empresa proveedora hizo que el caso se derivara a los tribunales, añade el informe de El País.
En febrero de 2019, otro sistema de hackers presuntamente iraní, el APT33, inició una campaña a escala mundial contra despachos de abogados de clientes internacionales, incluidos los bufetes de España.
Cobalt Gang, el grupo de Corea del Norte, en febrero pasado protagonizó un atraco cibernético contra un banco español, reporta el medio español, y tras infestar a unos pocos usuarios, consiguió introducirse en SWIFT, la red internacional de transacciones entre entidades financieras. Desde ahí ejecutó órdenes de pago por importe de nueve millones de euros.
Los responsables del CCN-CERT dijeron que el banco logró recuperar el dinero, añade el informe. Cobalt Bang también había actuado en España en 2018.
El reporte también nombra a Snake, un malware o programa malicioso ruso especializado en espiar a agencias gubernamentales y empresas de defensa occidentales. En abril y julio se detectaron acciones de Snake en un organismo gubernamental que ya fue atacado hace cuatro años. Se cree que el nuevo ataque sucedió al no haber hecho una limpieza a fondo. Este malware ruso habría presuntamente actuado en la crisis de Crimea, en 2014.
Sobre el Emmissary Panda chino, se sabe que en abril de 2018 sustrajo más de 200 gigabytes de datos de empresas del sector aeronáutico.
Según Carlos Abad, Jefe de Área de Sistemas de Alerta y Respuesta a Incidentes del Centro Criptológico Nacional, una adecuada respuesta a incidentes se debería apoyar “en procedimientos bien establecidos, herramientas adecuadas, y en la experiencia y conocimiento de sus integrantes”, sin embargo lo que se ha estado advirtiendo este año en la vida real, es que hay “tecnologías desconocidas u obsoletas e informaciones sin contrastar que inundan”.
La labor de prevención se dificulta “con el terreno de juego embarrado”, escribió Abad al presentar su ponencia en las Jornadas.
Abad señaló que en su discurso no solo mencionaría a los principales actores e incidentes a los que se han enfrentado en 2019, sino también a aquellas técnicas diferenciales usadas por cada de ellos. Además mostraría “las carencias, pormenores, presión y obstáculos que condicionan la respuesta a incidentes”.
El jefe de Sistema de Alerta previamente había previamente anunciado que este año en España habrían más ataques más avanzados al sector salud, bancario y comercio electrónico.
“Por otra parte el ransonware dirigido también ya es una realidad-donde la intrusión y el rescate solicitado se adapta al tipo de víctima”, destacó.
A partir de septiembre pasado, el CCN se ha convertido en una especie de unidad de emergencias informáticas como consecuencia del “tsunami de ransomware”, reportó también El País. Esto se habría producido a escala mundial.
Un ejemplo divulgado de Ransonware lo vivió la empresa Noruega-Norsk Hydro, uno de los mayores productores de aluminio del mundo, que luchó el 19 de marzo para contener un ataque cibernético, el cual detuvo partes de su producción.
La empresa que no podía encender su ordenador de sobremesa ni acceder a los archivos ni ejecutar los pasos de la producción. El ataque comenzó en los Estados Unidos a finales del 18 de marzo y se intensificó de la noche a la mañana, afectando a los sistemas de TI en la mayoría de las actividades de la empresa y obligando al personal a publicar actualizaciones a través de los medios sociales.
Abad también mencionó que no hay que olvidar de protegerse de los ataques DdoS. Explicó que los routers domésticos serán el objetivo de muchos actores como medio para lanzar ataques de amplia escala o para anonimizar la infraestructura operativa del atacante, ya sea botnets, hide behind the noise, etc.
“Los fabricantes deben mejorar la política y frecuencia de actualización de los dispositivos”, dijo el experto.
También hay que considerar que “se verán ataques más avanzados contra entornos móviles y cloud, así como sistemas de control industrial”.
España, según El País, está investigando además el ataque de “APT?”, las siglas en inglés de Amenaza Persistente Avanzada, el más grave ciberataque sufrido en España en los últimos años que descubrió el Ministerio de Defensa en marzo de este año.
El ATP? “es un ataque a gran escala, subrepticio, sofisticado, continuo y dirigido a los ordenadores de una organización para recopilar datos para un propósito específico. Se diferencia de otros ataques informáticos en que no intenta capturar rápidamente grandes cantidades de datos y luego venderlos o explotarlos rápidamente. Es un ataque lento y metódico diseñado para recopilar información a lo largo del tiempo sin detección. Puede que nunca sepa cuando su sistema fue comprometido por primera vez”.
Un juez, dice el medio español, se ha hecho cargo de la investigación y hasta la fecha se ha identificado a quienes, voluntariamente o no, facilitaron el acceso a la red de propósito general de Defensa. Algunos expertos sugieren que los autores últimos del ataque están muy probablemente en Rusia.
***
Descubra
¿Cuántos países realmente comunistas hay en el Mundo?
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
