Geopolítica y ciberespionaje: una radiografía de las bandas de ‘hackers’ que arremeten contra occidente

Las operaciones cibernéticas están cambiando la geopolítica mundial, o por lo menos así lo perciben los expertos europeos en ciberseguridad. Los gobiernos de Rusia, China, Irán y Corea del Norte han sido vinculados, tanto por Estados Unidos y Reino Unido, pero también por empresas como Microsoft, a organizaciones de hackers que han emprendido cientos de campañas de espionaje, sabotaje y desinformación en los últimos años. En este contexto, un portavoz de la OTAN asegura a este periódico que la ciberdefensa se ha convertido en una las “principales prioridades” de la alianza, comprobando la creciente importancia de este sector en el tablero de ajedrez global.

“Los aliados de OTAN han dejado claro que China y Rusia representan las mayores amenazas cibernéticas respaldadas por el Estado y han atribuido una serie de incidentes cibernéticos a grupos asociados con estos dos países. El Kremlin también está participando en una campaña coordinada de actos hostiles contra países de la alianza, incluidos sabotajes, ciberataques y desinformación”, explica el portavoz de la OTAN a EL PAÍS. Los gobiernos de China y Rusia han negado de forma reiterada y enfática cualquier conexión con alguna de estos grupos de ciberdelincuentes.

En concreto, el portavoz de la alianza atlántica detalla que los ciberataques suelen tener como objetivo destruir infraestructuras críticas, interferir con los servicios gubernamentales, extraer inteligencia y robar propiedad intelectual. Además, la OTAN ya ha designado el ciberespacio como “dominio de guerra”, y ha reconocido que las campañas cibernéticas adversas “podrían desencadenar la cláusula de defensa colectiva” de la Alianza.

La telaraña de estos grupos de amenazas persistentes (conocidos como APTs, por sus siglas en inglés) es compleja y opaca. En general, los expertos coinciden en que comprobar los lazos entre un Estado y una de estas organizaciones de forma definitiva es una tarea casi imposible, ya que a menudo estos actores cubren su rastro con evidencia falsa. Sin embargo, hay un consenso entre los gobiernos occidentales y las entidades del sector en que existe suficiente evidencia para poder asumir ciertas conexiones.

El centro de investigación Cyberpeace Institute señala que, entre las organizaciones más relevantes y peligrosas, los grupos de hackers Sandworm, Fighting Ursa (APT 28) y Cloaked Ursa (APT29) han sido vinculados con agencias de inteligencia de Rusia por distintas instituciones; mientras que Comment Panda (APT1), Double Dragon (APT41), Bronze Vinewood (APT31) han sido relacionadas con el aparato estatal chino. Asimismo, otro puñado de organizaciones han tendrían lazos con Irán y Corea del Norte, y se calcula que globalmente hay por lo menos unas 150 organizaciones de este tipo.

En este contexto, la Unión Europea incluyó el 24 de junio a seis nuevos cibercriminales en su lista de sanciones económicas y de movilidad. En total, los Veintisiete ya han aplicado este tipo de medidas sobre 12 entidades y 14 individuos vinculados a operaciones digitales en contra de la infraestructura y las instituciones europeas, según confirman fuentes del Consejo Europeo a EL PAÍS. Por su parte, Estados Unidos y Reino Unido aplicaron sanciones contra individuos chinos vinculados a APT31 en marzo y acusaron a Pekín de patrocinar el ciberespionaje, aunque el Gobierno de Xi Jinping ha negado enfáticamente estas acusaciones.

Modus operandi

Los hackers se aprovechan de errores en el software y de las vulnerabilidades humanas para poder infiltrar las redes de sus adversarios. Richard De la Torre, director de marketing de productos técnicos de la firma de ciberseguridad Bitdefender, explica que estos grupos muchas veces suelen iniciar sus operaciones a través de correos electrónicos infectados y dirigidos a objetivos de alto valor. Una vez la persona los abre y la red ha sido corrompida, los ciberdelincuentes ejecutan sus programas maliciosos o pueden realizar ataques informático para bloquear los esfuerzos de defensa.

“Por ejemplo, el grupo Sandworm envió documentos de Microsoft Office infectados a empleados específicos con acceso de alto nivel que trabajaban en la red eléctrica ucraniana. Una vez que se establecen dentro de la organización, se esparcen de forma lateral para infectar sistemas críticos. Se establecen conexiones de control que facilitan el reconocimiento y la filtración de datos”, detalla el experto.

Otro ejemplo de esto es una campaña revelada por la firma de ciberseguridad Palo Alto Networks el año pasado. Desde la compañía de ciberseguridad aseguran que al menos 30 entidades militares, diplomáticas, gubernamentales y privadas de países de la OTAN fueron el objetivo de campañas de correos maliciosos de Fighting Ursa en un total de 14 países entre 2022 y 2023. Específicamente, 26 de los objetivos eran europeos, entre ellos embajadas y ministerios de Defensa, Asuntos Exteriores, Interior y Economía, así como al menos una Fuerza de Despliegue Rápido de la OTAN.

Recientemente, la Palo Alto Networks también presentó un informe que asegura que organizaciones de hackers chinos realizaron operaciones de ciberespionaje contra otros países asiáticos, entre ellos Laos, Camboya, Myanmar, Filipinas, Japón y Singapur. La firma reveló en noviembre que, según sus investigaciones, un grupo chino sin identificar ha estado llevando a cabo una campaña contra entidades políticas de Oriente Medio, África y Asia desde al menos finales de 2022. “Un análisis de la actividad de este actor de amenazas revela operaciones de espionaje a largo plazo contra al menos siete entidades gubernamentales. El actor de amenazas realizó esfuerzos de recopilación de inteligencia a gran escala, aprovechando técnicas poco comunes de exfiltración de correo electrónico contra servidores comprometidos”, recoge el análisis de la compañía.

Los analistas de Mandiant, la subsidiaria de Google orientada a la seguridad digital, explican que las ciberbandas chinas destacan por ser sigilosas. “La actividad de ciberespionaje desde China ha evolucionado de forma significativa en los últimos años, alejándose de las operaciones ruidosas y fáciles de atribuir para centrarse más en el sigilo. Las inversiones en tecnología han brindado apoyo a exitosas campañas contra objetivos gubernamentales, militares y económicos en los Estados miembros de la OTAN y aumentado el desafío para los defensores”, expresaba John Hultquist, analista jefe de Mandiant Intelligence en un análisis reciente.

En cuanto a Irán, Bitdefender informa de que los grupos cibercriminales ShroudedSnooper y Cobalt Sapling, que han sido vinculados con el Ministerio iraní de Inteligencia y Seguridad, han estado involucrados en múltiples ataques dirigidos telecomunicaciones y entidades gubernamentales en el Medio Oriente y especialmente en Israel. Por otro lado, el grupo norcoreano Lazarus ha destacado por la virulencia de sus ataques de ransomware y su ataque contra la empresa Sony en 2014.

Los objetivos de las campañas realizadas por estos grupos pueden ser muy distintos. Según los expertos consultados, esto depende de los intereses de su país de origen o de las agencias de inteligencia a las que estén vinculados. “Normalmente, son operaciones relacionadas con la obtención de información que les proporcione una ventaja geoestratégica al país al que están vinculados estos grupos. No obstante, también encontramos motivaciones económicas, como algunas de las campañas realizadas por grupos afines al gobierno de Corea del Norte para conseguir financiación con la que superar el bloqueo económico”, explica Josep Albors, director de investigación y concienciación de ESET España, compañía de software de ciberseguridad.

Los especialistas en ciberseguridad también resaltan que una forma de diferenciar a los grupos patrocinados por un estado de las organizaciones de ciberdelincuentes a la hora de realizar un peritaje es identificar sus objetivos. “La mayor motivación de las bandas criminales es hacer dinero tan rápido y fácil como sea posible. Por el contrario, las organizaciones patrocinadas por estados lo que buscan es infiltrar la infraestructura del enemigo tanto tiempo como sea posible. Buscan recolectar información o averiguar cómo es que sus objetivos van a afrontar ciertas situaciones geopolíticas,” explica Jens Monrad director de inteligencia de amenazas para Europa, Oriente Próximo y África de Mandiant. En la subsidiaria de Google destacan que en el caso de los grupos de activistas informáticos las acciones se asemejan más a las de una “muchedumbre furiosa”, lo que les diferencia de los grupos patrocinados por estados.

Campo de guerra digital

Los expertos consultados coinciden las operaciones patrocinadas por países en el ámbito digital están creciendo de forma exponencial debido a la actual inestabilidad geopolítica. “Los grupos de hackers desempeñan un papel cada vez más destacado en los conflictos actuales y en las zonas de mayor tensión. Por ejemplo, hemos visto la creación de nuevos programas maliciosos específicamente creados para el conflicto entre Rusia y Ucrania. Otro ejemplo es la formación de un grupo de voluntarios conocido como el ejército informático ucraniano, que ha seguido realizando diversos ciberataques en nombre de Ucrania durante la guerra en curso”, asegura Ari Novik, analista de malware de Cybeark Labs. En esta línea, los expertos de CyberPeace Institute calculan que un total de 3.255 ciberataques y operaciones han sido ejecutados por al menos 126 actores rusos contra Ucrania desde 2022.

“Desde un punto de vista de costes es más sencillo realizar este tipo de operaciones que al enviar a una persona a otro país como espía. Estos agentes podrían ser capturados y supondría un riesgo para el país que les envía. En el entorno digital se pueden lograr objetivos similares corriendo muchos menos riesgo”, apunta Monrad.

De la Torre, de lla empresa de ciberseguridad Bitdefender, concuerda en que el escenario actual proporciona “abundante combustible” para los ciberdelincuentes patrocinados por estados. De hecho, el experto destaca que el Informe de investigación de brechas de seguridad de datos de Verizon para 2023 muestra que el 20% de los ataques o infiltraciones son realizados por organizaciones de hackers patrocinadas por estados. Y anticipa que tanto en las próximas elecciones de interés mundial como en los Juegos Olímpicos podrían verse distintas campañas por parte de estos grupos de ciberdelincuentes patrocinados por estados.

En está línea, el experto añade que un ejemplo reciente de como este tipo de operaciones están cambiando los conflictos globales se dio en diciembre de 2023, cuando el mayor proveedor de telecomunicaciones de Ucrania, Kyivstar, quedó paralizado por un ciberataque que se atribuye a ciberdelincentes rusos. “En represalia, los piratas informáticos ucranianos atacaron la planta de servicios de agua más grande de Rusia, encriptando datos e interrumpiendo con éxito operaciones”, detallan desde Bitdefender.

Respuesta de occidente

Los expertos aseguran que gobiernos occidentales están cooperando para desarrollar su resiliencia cibernética, concretamente a través de organizaciones como la Unión Europea y la OTAN. Los Veintisiete presentaron su Estrategia de Ciberseguridad a finales de 2020 y la ha ido ampliando continuamente para incluir diferentes leyes, como la Ley de Cibersolidaridad propuesta en abril de 2023. Asimismo, tras la invasión a Ucrania, la Comisión Europea puso en marcha la Política de Ciberdefensa de la UE para ayudar a impulsar sus capacidades cibernéticas. A estas iniciativas se suman la coordinación, los ejercicios y las actividades capacitación de la OTAN, a través de los cuales los expertos de los estados miembros aprenden a reaccionar ante estas situaciones.

No obstante, los expertos consideran que aún hay mucho campo por recorrer. “En el mundo occidental se sigue evaluando como responder a estas amenazas. Algo que se debate, por ejemplo, es las respuestas proporcionales a estos ataques. La OTAN ya reconoce el ámbito digital como un dominio de guerra y se está considerando cómo reaccionar. Sin embargo, todavía se tiene que determinar cómo hacerlo sin necesariamente escalar la situación. Aún no se ha encontrado la forma, o por lo menos no se ha comunicado abiertamente”, advierte Monrad “Sin embargo, las organizaciones europeas están mejorando su forma de responder y quizás esto es algo en lo que deberían enfocarse los gobiernos”, añade.

Aun así, Monrad no descarta que occidente cuente con organizaciones similares patrocinadas por sus propios gobiernos. “Todos los estados desarrollados han reconocido que estas tecnologías se han convertido en herramientas para actividades disruptivas, por lo que es altamente probable que todos lo estén haciendo. Lo que sí es habría que destacar es que en Europa existe mucha más transparencia para saber cómo se están utilizando los presupuestos y esto nos permite observar si se están financiando este tipo de ataques”, concluye.