joe ordenado
Corresponsal de ciberseguridad, BBC
La empresa de seguridad cibernética Crowdstrike ilustra las mayores amenazas de los piratas informáticos con dibujos animados.
Un ataque cibernético que infectó iPhones en una empresa de tecnología rusa se atribuye a piratas informáticos del gobierno de EE. UU. ¿Podrían el ataque y la respuesta del gobierno ruso reescribir la narrativa de quiénes son los buenos y los malos en el ciberespacio?
Camaro Dragon, Fancy Bear, Static Kitten y Stardust Chollima: estos no son los últimos superhéroes de las películas de Marvel, sino los nombres que reciben algunos de los grupos de hackers más temidos del mundo.
Durante años, estos equipos cibernéticos de élite han sido rastreados de pirateo en pirateo, robando secretos y causando interrupciones supuestamente por orden de sus gobiernos.
Las empresas de seguridad cibernética incluso han creado imágenes de dibujos animados de ellos.
Camaro Dragon: la última ilustración de Checkpoint de un presunto grupo chino que piratea a los trabajadores de asuntos exteriores europeos.
Usando puntos en un mapa mundial, los especialistas en marketing de estas empresas advierten periódicamente a los clientes sobre el origen de estas “amenazas persistentes avanzadas” (o APT), por lo general Rusia, China, Corea del Norte e Irán.
Pero partes del mapa permanecen visiblemente vacías. ¿Por qué es tan raro oír hablar de grupos de hackers occidentales y ataques cibernéticos?
Un importante hackeo en Rusia, descubierto a principios de este mes, podría proporcionar algunas pistas.
defensores bajo ataque
Desde su escritorio con vista al Canal de Moscú, el trabajador de seguridad cibernética observó cómo extraños pings comenzaban a registrarse en la red Wi-Fi de la empresa.
Docenas de teléfonos móviles del personal enviaban información simultáneamente a partes extrañas de Internet.
Pero esto no era una empresa ordinaria.
Kaspersky, con sede en Moscú, es la empresa cibernética más grande de Rusia.
Esto era La empresa cibernética más grande de Rusia, Kasperskyque investigaba un posible ataque a sus propios empleados.
“Obviamente, nuestras mentes fueron directamente al software espía, pero al principio estábamos bastante escépticos”, dice el investigador jefe de seguridad Igor Kuznetsov.
“Todo el mundo ha oído hablar de poderosas herramientas cibernéticas que pueden convertir los teléfonos móviles en dispositivos de espionaje, pero pensé en esto como una especie de leyenda urbana que le sucede a otra persona, en otro lugar”.
Después de un cuidadoso análisis de “varias docenas” de iPhones infectadosKuznetsov se dio cuenta de que su corazonada había sido correcta: de hecho, habían descubierto una gran y sofisticada campaña de piratería de vigilancia contra su propio personal.
El tipo de ataque que encontraron es una cuestión de pesadilla para los ciberdefensores. Los piratas informáticos habían inventado una forma de infectar iPhones simplemente enviando un iMessage que se elimina automáticamente una vez que se inyecta el malware en el dispositivo.
“Wham, estás infectado y ni siquiera lo ves”, dice Kuznetsov.
“Operativo de reconocimiento”
Todo el contenido de los teléfonos de las víctimas se enviaba a los atacantes a intervalos regulares. Se compartieron mensajes, correos electrónicos e imágenes, incluido el acceso a cámaras y micrófonos.
Siguiendo una vieja regla de Kaspersky de no culpar, Kuznetsov dice que no están interesados en saber desde dónde se lanzó este ataque de espionaje digital.
“Los bytes no tienen nacionalidadescada vez que se culpa a un determinado país por un ciberataque, se hace con un propósito”, dice.
Pero el gobierno ruso no está tan preocupado por eso. El mismo día que Kaspersky anunció su hallazgo, los servicios de seguridad rusos emitieron un boletín urgente diciendo que habían “descubierto una operación de reconocimiento del servicios de inteligencia de EE.UU. Hecho con dispositivos móviles Apple.
El servicio de ciberinteligencia ruso no nombró a Kaspersky, pero afirmó que “varios miles de teléfonos” pertenecientes a diplomáticos rusos y extranjeros habían sido infectados.
Incluso el boletín acusó a manzana ayudar activamente en la campaña de piratería. Apple niega estar involucrada.
El presunto culpable, la Agencia de Seguridad Nacional de EE. UU. (NSA), le dijo a la BBC que no tenía comentarios.
Kuznetsov insiste en que Kaspersky no se coordinó con los servicios de seguridad rusos y que el boletín del gobierno los tomó por sorpresa.
La NSA tiene piratas informáticos de élite que trabajan para los EE. UU.
Esto sorprenderá a algunos en el mundo de la ciberseguridad: el gobierno ruso parecía estar emitiendo un anuncio conjunto con Kaspersky para lograr el máximo impacto, el tipo de táctica que utilizan cada vez más los países occidentales para exponer campañas de piratería y fuertes señalamientos con el dedo.
El mes pasado, el gobierno de EE. UU. emitió un anuncio conjunto con Microsoft: se detectaron piratas informáticos del gobierno chino acechando dentro de las redes eléctricas en los territorios de EE. UU.
Y este anuncio fue seguido rápida y predeciblemente por un coro de acuerdos de los aliados de EE. UU. en el ciberespacio (Reino Unido, Australia, Canadá y Nueva Zelanda) conocidos como los Cinco Ojos.
La respuesta de China fue una rápida negación, diciendo que la historia era parte de una “campaña de desinformación colectiva” de los países de Five Eyes.
El funcionario del Ministerio de Relaciones Exteriores de China, Mao Ning, agregó la respuesta habitual de China: “El hecho es que USA es el imperio de la piratería“.
“Apuntando a China”
Pero ahora, al igual que Rusia, China parece estar adoptando un enfoque más agresivo para informar piratería occidental.
El medio estatal de noticias diario chino advirtió que los piratas informáticos respaldados por gobiernos extranjeros son ahora la mayor amenaza de seguridad cibernética del país.
Y esa advertencia vino con una estadística de la empresa china 360 Security Technology: había descubierto “51 organizaciones de hackers que apuntar a chinaLa compañía no respondió a las solicitudes de comentarios.
En septiembre pasado, China también acusó a los EE. UU. de piratear una universidad financiada por el gobierno responsable de los programas de investigación aeronáutica y espacial.
“Juego limpio”
“China y Rusia han descubierto lentamente que el modelo occidental de exposición cibernética es increíblemente efectivo y creo que estamos viendo un cambio”, dice Steve Stone, director de Rubrik Zero Labs y extrabajador de ciberinteligencia.
“También diré que creo que eso es algo bueno. No tengo ningún problema con que otros países revelen lo que están haciendo los países occidentales. Creo que es jugar limpio Y creo que es apropiado”.
Muchos descartan la acusación china de que Estados Unidos es el imperio de la piratería como una hipérbole, pero hay algo de verdad en ello.
Según el Instituto Internacional de Estudios Estratégicos (IISS), EE.UU. es lEl único poder cibernético de primer nivel en el mundodependiendo de la capacidad de ataque, defensa e influencia.
El segundo nivel está compuesto por:
• Porcelana
• Rusia
• Reino Unido
• Australia
• Francia
• Israel
• Canadá
El Índice Nacional de Poder Cibernético, compilado por investigadores del Centro Belfer para la Ciencia y Asuntos Internacionales, también considera a EE.UU. como la principal potencia cibernética del mundo.
La investigadora principal del informe, Julia Voo, también ha notado un cambio.
“El espionaje es una rutina para los gobiernos y ahora es muy frecuente en forma de ataques cibernéticos, pero hay una batalla narrativa y los gobiernos se preguntan quién se está comportando de manera responsable e irresponsable en el ciberespacio”, dice.
Compilar una lista de grupos de piratería de “amenazas persistentes avanzadas (APT)” y pretender que no hay grupos occidentales no es una descripción precisa de la realidad, dice.
Los piratas informáticos del Reino Unido operan desde la Sede de Comunicaciones del Gobierno (GCHQ), en Cheltenham
“Leer los mismos informes sobre ataques de piratería desde un solo lado aumenta la ignorancia general”, dice Voo. “La educación general del público es importante, porque aquí es básicamente donde muchas tensiones se desarrollarán entre los estados en el futuro“.
Voo también elogia al gobierno del Reino Unido por publicar su informe de transparencia inaugural sobre las operaciones de la Fuerza Cibernética Nacional. “No es súper detallado, pero más que en otros países”, dice.
“Sesgo de datos”
Pero la falta de transparencia también podría provenir de de las propias empresas de ciberseguridad.
Stone lo llama un “sesgo de datos”: las empresas de ciberseguridad occidentales no ven hacks occidentales porque no tienen clientes en países rivales.
Pero también podría haber una decisión consciente de poner menos esfuerzo en alguna investigación.
“No dudo que probablemente haya algunas empresas que puedan tomar medidas y ocultar lo que pueden saber sobre un ataque occidental”, dice Stone. Pero nunca ha sido parte de un equipo que se contuvo deliberadamente.
Static Kitten es el nombre que recibe un grupo de hackers patrocinado por el gobierno iraní.
El contratos lucrativos de gobiernos como el Reino Unido o los Estados Unidos. también son una importante fuente de ingresos para muchas empresas de ciberseguridad.
Como lo expresa un investigador de seguridad cibernética de Medio Oriente: “El sector de inteligencia de seguridad cibernética está fuertemente representado por proveedores occidentales y muy influenciado de los intereses y necesidades de sus clientes”.
El experto, que pidió permanecer en el anonimato, es uno de más de una docena de voluntarios que contribuyen regularmente a Google Sheet de APT, una hoja de cálculo en línea de visualización gratuita que rastrea todos los casos conocidos de amenazas, independientemente de su origen. .
Tiene una pestaña para las APT “OTAN” (para los países miembros de la Organización del Tratado del Atlántico Norte), con nombres como Longhorn, Snowglobe y Gossip Girl, pero el experto admite que está bastante vacía en comparación con las pestañas de otras regiones. y países.
“Menos ruido”
Él dice que otra razón de la falta de información sobre los ataques cibernéticos occidentales podría deberse a que a menudo son más sigilosos y causar menos daños colaterales.
“Las naciones occidentales tienden a hacer…
EL IMPARCIAL, ahora en su versión en web online, es el periódico líder al Noroeste de México y en Sonora, con una cobertura informativa oportuna y veraz en materia de noticias de actualidad y relevantes.