Selecciona Edición
Conéctate
Selecciona Edición
Tamaño letra

Rusia, Irán, China y Corea del Norte, detrás del ciberespionaje en España

Expertos del servicio secreto CNI alertan ante el “tsunami de cibersecuestros"

ciberespionaje en España
Entrada de la sede central del Centro Nacional de Inteligencia.

Rusia, Irán, China y Corea del Norte están detrás de algunos de los 36 ciberataques calificados como críticos —los más graves— que Administraciones y empresas estratégicas españolas han sufrido en los últimos meses. Grupos de hackers identificados como APT39 y APT33 (iraníes); Cobalt Gang (norcoreano); APT29 y Snake (rusos), y Emissary Panda (chino), de los que se sospecha que están patrocinados por sus respectivos Estados, han lanzado ataques contra empresas aeronáuticas, bufetes o bancos, además de organismos públicos, según los expertos del Centro Criptológico Nacional, dependiente del Centro Nacional de Inteligencia (CNI).

El Centro Criptológico Nacional (CCN-CERT, siglas estas últimas que corresponden en inglés a Equipo de Respuesta a Emergencias Cibernéticas) fue alertado en enero de que una importante empresa española del sector aeronáutico había sido atacada por APT39, una unidad de hackers a la que los servicios de inteligencia occidentales vinculan con el Estado iraní. El primer ataque —aparentemente contenido— se produjo a finales de 2018, pero los intrusos volvieron a la carga a principios de año. No atacaron directamente a la compañía aeronaútica, con fuertes medidas de ciberseguridad, sino que usaron como puente a una pequeña empresa proveedora, mucho más vulnerable. Aparentemente se limitaron a una primera exploración, aunque los agentes del CCN apenas pudieron intervenir, más allá de asesorar técnicamente, porque la investigación estaba ya en manos de los tribunales.

En febrero, también por aviso de un servicio de inteligencia occidental, se supo que la unidad APT33, también iraní, había iniciado una campaña a escala mundial de ciberataques contra despachos de abogados con clientes internacionales, incluidos bufetes en España.

Son solo dos de los casos que los responsables del Centro Criptológico Nacional han expuesto en las XIII jornadas de ciberseguridad, celebradas esta semana en Madrid, con asistencia de 3.300 expertos de la Administración y el sector empresarial.

Habitualmente se distingue el ciberespionaje, patrocinado por Estados, del cibercrimen, obra de ciberdelincuentes. Sin embargo, a veces la frontera entre ambos se difumina. Es el caso de Cobalt Gang, un grupo de Corea del Norte (un país donde nada se mueve al margen del Estado) que en febrero pasado protagonizó un atraco cibernético contra un banco español. Tras infestar a unos pocos usuarios, consiguió introducirse en SWIFT (la red internacional de transacciones entre entidades financieras) y ejecutar órdenes de pago por importe de nueve millones de euros. Según los responsables del CCN, el banco logró recuperar el dinero. Cobalt Bang ya actuó en España en 2018.

Otro viejo conocido es Snake, un malware (programa malicioso) ruso especializado en espiar a agencias gubernamentales y empresas de defensa occidentales, que actuó presuntamente en la crisis de Crimea, en 2014. Tanto en abril como en julio se detectaron acciones de ese grupo en un organismo gubernamental que ya fue atacado hace cuatro años y que, al no haber hecho una limpieza a fondo, se convirtió en una “víctima recurrente”.

Aunque en los últimos meses no se ha conocido ningún ataque por parte de hackers chinos, en abril del año pasado Emissary Panda sustrajo más de 200 gigabytes de datos de empresas del sector aeronáutico.

Los responsables del CCN no quieren señalar al autor del más grave ciberataque sufrido en España en los últimos años: el que una cabo destinada en el Ministerio de Defensa descubrió en marzo de este año. De momento se le denomina “APT?”, las siglas en inglés de Amenaza Persistente Avanzada y el interrogante sobre el número que remitiría a un hacker. Se trata, según el Departamento de Ciberseguridad del servicio de inteligencia español, de “un ataque muy agresivo” con “un grado de sofisticación no visto hasta ahora”.

Un juez se ha hecho cargo de la investigación, con apoyo de especialistas informáticos de la Guardia Civil, e incluso se ha identificado a quienes, voluntariamente o no, facilitaron el acceso a la red de propósito general de Defensa (WAN PG), pero los expertos señalan que los autores últimos del ataque están muy probablemente en Rusia.

A partir de septiembre pasado, el CCN se ha convertido en una especie de unidad de emergencias informáticas como consecuencia del “tsunami de ransomware [cibersecuestros]” que, según sus responsables, se ha producido a escala mundial.

La actual oleada de cibersecuestros (la exigencia de un rescate para desbloquear los archivos previamente encriptados por un virus) se inició en la ciudad norteamericana de Del Río —Texas— en enero, para extenderse luego por EE UU y saltar a Europa. El CCN ha abierto unos 25 expedientes con la etiqueta genérica de Emotet, por el nombre del troyano diseñado inicialmente para el robo de datos bancarios, que ha afectado a Ayuntamientos, como los de Jerez de la Frontera y Bilbao; o empresas, como la cadena SER o Everis.

Los responsables del CCN descartan que exista coordinación entre estos ataques, que atribuyen a distintos grupos de ciberdelincuentes aunque usen malware similar, y desaconsejan el pago de rescates. Advierten de que se han dado casos en los que, a pesar de cobrar, los hackers no desbloquean los ordenadores de sus víctimas. La oleada de ramsonware (han crecido un 500% respecto a 2018) ha dado lugar a situaciones insólitas, como el de un ciberataque cuyo verdadero objetivo era desviar la atención y borrar las huellas de un fraude previo.

“Mientras [los hackers] solo teman al fracaso, carecerán de motivos para dejar de intentarlo. No pierden nada”, advirtió el jueves en la clausura del foro sobre ciberseguridad la directora interina del Centro Nacional de Inteligencia (CNI), Paz Esteban.

Interior sitúa el cibercrimen como su mayor preocupación

ÓSCAR LÓPEZ FONSECA

El Ministerio el Interior ha plasmado en el último año la preocupación del Gobierno por la ciberseguridad en varios documentos estratégicos. La Estrategia Nacional contra el Crimen Organizado —que fijó el pasado febrero los ejes de actuación para hacer frente hasta 2023 a las nuevas formas de delincuencia— señala el cibercrimen y el riesgo de ataques informáticos a gran escala como la mayor preocupación de los expertos policiales. El texto calificaba de “alto” el riesgo de que España sufra ataques informáticos a gran escala contra instituciones públicas y empresas.

En abril, Interior puso en marcha un plan inédito de ciberseguridad para las elecciones del 28-A en el que se contemplaba, por primera vez, el riesgo de “una posible campaña de desinformación para alterar la voluntad del votante”. El documento alertaba también del riesgo de un “ataque informático contra el sistema tecnológico” de recuento de votos y las webs de los partidos. La misma preocupación se recogía en los planes de seguridad activados para las elecciones municipales, autonómicas y europeas del 26 de mayo, y para los comicios del pasado 10 de noviembre.

Otra estrategia nacional, la de la lucha contra el terrorismo, en vigor desde marzo, también hace especial hincapié en el ciberespacio y en su posible instrumentalización por parte de grupos terroristas. Los expertos policiales alertan de su posible uso tanto “como medio para la captación, el adoctrinamiento, el reclutamiento y la difusión de su propaganda” yihadistas como de vía para perpetrar ataques contra infraestructuras críticas. Este documento, que estará en vigor hasta 2023, establece como prioridad “incrementar la protección de las redes telemáticas con el fin de dificultar la utilización de Internet y los sistemas de comunicación a través de la red como instrumento u objetivo del terrorismo y del extremismo violento”.

Se adhiere a los criterios de The Trust Project Más información >

Más información