Rusia, Irán, China y Corea del Norte, detrás del ciberespionaje en España

  13 Diciembre 2019    Leído: 1387
Rusia, Irán, China y Corea del Norte, detrás del ciberespionaje en España

Expertos del servicio secreto CNI alertan ante el “tsunami de cibersecuestros".

Rusia, Irán, China y Corea del Norte están detrás de algunos de los 36 ciberataques calificados como críticos —los más graves— que administraciones y empresas estratégicas españolas han sufrido en los últimos meses. Grupos de hackers identificados como APT39 y APT33 (iraníes); Cobalt Gang (norcoreano); APT29 y Snake (rusos), y Emissary Panda (chino), de los que se sospecha que están patrocinados por sus respectivos Estados, han lanzado ataques contra empresas aeronáuticas, bufetes o bancos, además de organismos públicos, según los expertos del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI).

El Centro Criptológico Nacional (CCN-CERT, siglas estas últimas que corresponden en inglés a Equipo de Respuesta a Emergencias Cibernéticas) fue alertado en enero de que una importante empresa española del sector aeronáutico había sido atacada por APT39, una unidad de hackers a la que los servicios de inteligencia occidentales vinculan al Estado iraní. El primer ataque —aparentemente contenido— se produjo a finales de 2018, pero los intrusos volvieron a la carga a principios de año. No atacaron directamente a la compañía aeronaútica, con fuertes medidas de ciberseguridad, sino que usaron como puente a una pequeña empresa proveedora, mucho más vulnerable. Aparentemente se limitaron a una primera exploración, aunque los agentes del CCN apenas pudieron intervenir, más allá de asesorar técnicamente, porque la investigación estaba ya en manos de los tribunales.

En febrero, también por aviso de un servicio de inteligencia occidental, se supo que la unidad APT33, también iraní, había iniciado una campaña a escala mundial de ciberataques contra despachos de abogados con clientes internacionales, incluidos bufetes en España.

Son solo dos de los casos que los responsables del Centro Criptológico Nacional han expuesto en las XIII jornadas de ciberseguridad, celebradas esta semana en Madrid, con asistencia de 3.300 expertos de la Administración y el sector empresarial.

Habitualmente se distingue el ciberespionaje, patrocinado por estados, del cibercrimen, obra de ciberdelincuentes. Sin embargo, a veces la frontera entre ambos se difumina. Es el caso de Cobalt Gang, un grupo de Corea del Norte (un país donde nada se mueve al margen del Estado) que en febrero pasado protagonizó un atraco cibernético contra un banco español. Tras infestar a unos pocos usuarios, consiguió introducirse en SWIFT (la red internacional de transacciones entre entidades financieras) y ejecutar órdenes de pago por importe de nueve millones de euros. Según los responsables del CCN, el banco logró recuperar el dinero. Cobalt Bang ya actuó en España en 2018.

Otro viejo conocido es Snake, un malware (programa malicioso) ruso especializado en espiar a agencias gubernamentales y empresas de defensa occidentales que actuó presuntamente en la crisis de Crimea, en 2014. Tanto en abril como en julio se detectaron acciones de ese grupo en un organismo gubernamental que ya fue atacado hace cuatro años y que, al no haber hecho una limpieza a fondo, se convirtió en una “víctima recurrente”.

Aunque en los últimos meses no se ha conocido ningún ataque por parte de hackers chinos, en abril del año pasado Emissary Panda sustrajo más de 200 gigabytes de datos de empresas del sector aeronáutico.

Los responsables del CCN no quieren señalar al autor del más grave ciberataque sufrido en España en los últimos años: el que una cabo destinada en el Ministerio de Defensa descubrió en marzo de este año. De momento se le denomina “APT?”, las siglas en inglés de Amenaza Persistente Avanzada y el interrogante sobre el número que remitiría a un hacker.Se trata, según el Departamento de Ciberseguridad del servicio de inteligencia español, de “un ataque muy agresivo” con “un grado de sofisticación no visto hasta ahora”.

Un juez se ha hecho cargo de la investigación, con apoyo de especialistas informáticos de la Guardia Civil, e incluso se ha identificado a quienes, voluntariamente o no, facilitaron el acceso a la red de propósito general de Defensa (WAN PG), pero los expertos señalan que los autores últimos del ataque están muy probablemente en Rusia.

A partir de septiembre pasado, el CCN se ha convertido en una especie de unidad de emergencias informáticas como consecuencia del “tsunami de ransomware [cibersecuestros]” que, según sus responsables, se ha producido a escala mundial.

La actual oleada de cibersecuestros (la exigencia de un rescate para desbloquear los archivos previamente encriptados por un virus) se inició en la ciudad norteamericana de Del Río —Texas— en enero, para extenderse luego por EE UU y saltar a Europa. El CCN ha abierto unos 25 expedientes con el nombre genérico de Emotet, por el nombre del troyano diseñado inicialmente para el robo de datos bancarios, que ha afectado a ayuntamientos, como los de Jerez de la Frontera y Bilbao; o empresas, como la Cadena SER o Everis.

Los responsables del CCN descartan que exista coordinación entre estos ataques, que atribuyen a distintos grupos de ciberdelincuentes aunque usen malware similares, y desaconsejan el pago de rescates. Advierten de que se han dado casos en los que, a pesar de cobrar, los hackers no desbloquean los ordenadores de sus víctimas. La oleada de ramsonware (han crecido un 500% respecto a 2018) ha dado lugar a situaciones insólitas, como el de un ciberataque cuyo verdadero objetivo era desviar la atención y borrar las huellas de un fraude previo.

“Mientras [los hackers] solo teman al fracaso, carecerán de motivos para dejar de intentarlo. No pierden nada”, advirtió ayer en la clausura del foro sobre ciberseguridad la directora interina del Centro Nacional de Inteligencia (CNI), Paz Esteban.

elpais


Etiquetas: Rusia   Irán   China   CoreadelNorte