Sabotajes, espías y robo de datos: la guerra invisible por la vacuna de la covid que se libra en el ciberespacio

Los servicios de inteligencia y las empresas de ciberseguridad llevan desde principios de 2020 librando una guerra invisible. Los enemigos son organizaciones de cibercriminales interesadas en obtener información sensible sobre la vacuna de la covid, sabotear su desarrollo o distribución, extorsionar a quienes la producen, robar datos sanitarios sobre la ciudadanía o aprovechar el boom informativo para estafar a la gente. No está claro quién está ganando la batalla, la amenaza es constante. Empresas farmacéuticas, almacenes, centros de investigación, ministerios de Sanidad, hospitales, la propia Agencia Europea del Medicamento… Nadie se escapa.

Algunos de estos ciberataques han trascendido; otros no han salido a la luz. El secretismo es la norma en los asuntos de seguridad cibernética: nadie quiere revelar sus vulnerabilidades, y menos si afectan a la ansiada vacuna. EL PAÍS ha contactado con todas las farmacéuticas que están desarrollando las vacunas que se distribuyen en Europa o que están pendientes de recibir el visto bueno de la Comisión Europea para hacerlo (Pfizer, Moderna, AstraZeneca, Janssen y CureVac), pero ninguna ha querido hablar sobre los ataques que ha recibido ni sobre las medidas de refuerzo que han implementado en materia de ciberseguridad.

“Hasta la fecha, no hemos sufrido accesos no permitidos a los datos que manejamos como compañía, pero no nos relajamos”, señalan excepcionalmente desde AstraZeneca. En noviembre del año pasado se hizo público que investigadores del laboratorio británico y de la Universidad de Oxford involucrados en el desarrollo de la vacuna recibieron falsas ofertas de trabajo que incluían software malicioso con el objetivo de entrar en sus ordenadores. Parece ser que la intrusión no prosperó.

El ataque contra AstraZeneca y la Universidad de Oxford se atribuye al norcoreano Lazarus, uno de los grupos de ciberespionaje más conocidos. Recientemente, en febrero, Corea del Sur acusó a Corea del Norte de tratar de hackear allí a Pfizer para robarle información de la vacuna. Según la multinacional rusa de ciberseguridad Kaspersky, Lazarus estaría también detrás de este incidente, que además habría comprometido el pasado mes de octubre a “un Ministerio de Sanidad” y a “una compañía farmacéutica que se encuentra desarrollando una vacuna contra la covid-19”.

Este cibercomando no está solo. La norcoreana Velvet Cholima robó también información sobre la vacuna en Estados Unidos, Reino Unido y Corea del Sur, y su organización hermana Labyrinth Cholima trató de torpedear varias plantas estadounidenses de producción de vacunas, según la empresa de ciberseguridad CrowdStrike. El grupo ruso Cozy Bear, por su parte, fue acusado en verano por Estados Unidos, Canadá y Reino Unido de haber lanzado una campaña que trató de robar información relacionada con el desarrollo y prueba de las vacunas en las que se trabajaba en ese momento. La vietnamita Ocean Buffalo, la iraní Static Kitten y varios agentes chinos también han llevado a cabo ataques sensibles de este tipo.

Amenazas en España

Pero no hace falta salir al extranjero en busca de casos de ciberespionaje: el Centro Nacional de Inteligencia (CNI) reveló en septiembre que hackers chinos habían conseguido sustraer información relacionada con la vacuna que preparan investigadores españoles. La directora del CNI, Paz Esteban, alertó ya por entonces de “una campaña, especialmente virulenta, no solo en España, contra laboratorios que trabajan en la búsqueda de una vacuna para la covid-19”.

Las autoridades españolas son conscientes de ello. Pusieron en marcha un dispositivo especial de vigilancia digital el 15 de marzo de 2020, coincidiendo con el confinamiento. Coordinado por el Consejo Nacional de Ciberseguridad, en el que participan los ministerios de Interior, Defensa, Asuntos Económicos y Transformación Digital, Exteriores y Sanidad, el dispositivo vigila posibles amenazas, intrusiones, robos de información, espionaje o intentos de estafa. A finales del año pasado, con el inicio de la campaña de vacunación, se reforzó la colaboración con empresas farmacéuticas y todas las que participan en la cadena de suministro: almacenamiento y transporte de vacunas, cadena de frío, etcétera.

“Hemos visto que el motivo de la covid se está aprovechando para llegar a la sociedad en general”, señala Marcos Gómez, subdirector de Servicios de Ciberseguridad en Incibe-CERT. Ha habido pocos incidentes relacionados con la covid en el último año (450 de los 90.000 registrados entre el 15 de marzo hasta el 19 de febrero), y la mayoría son estafas y fraudes a particulares. “Es una cantidad ínfima. Los incidentes experimentados por las farmacéuticas, cuyo número no podemos revelar, sí son sensiblemente más importantes. No buscan un impacto económico, sino información, como patentes de vacunas o robo de información para extorsionarlas”, apunta. El Centro Criptológico Nacional, dependiente de Defensa, cita en su último informe de tendencias los ataques para secuestrar datos de centros médicos y contra los laboratorios y centros de investigación como una de sus grandes preocupaciones para este año.

Más que crimen organizado

Los objetivos de los cibercriminales han ido cambiando con el tiempo. En los primeros días de la pandemia, los ataques dirigidos (los diseñados contra personas concretas con puestos de responsabilidad críticos) buscaban la adquisición de información sobre tasas de infección o respuestas estatales al tratamiento de la covid-19, concluye un informe de CrowdStrike. Sin embargo, a medida que crecieron los contagios y las muertes, cuando se hizo evidente que conseguir una vacuna era vital, la información científica que pudiera llevar a desarrollarla pasó a ser prioritaria. Dar con la cura de la covid se convirtió en una competición internacional. Y, como en toda competición, siempre hay quien está dispuesto a hacer trampas para ganar.

Daniel Creus, analista senior del Equipo de Investigación y Análisis de Kaspersky, divide los ataques relacionados con la covid en dos grandes grupos. “Por un lado, están los cibercriminales, los que solo tienen afán de lucro. Estos han explotado la necesidad social de información sobre vacunas y la covid para darle un halo de veracidad a sus ataques”, explica. Aquí se encuadrarían todo tipo de estafas: desde la venta de mascarillas que en realidad no existen hasta la compra de supuestas dosis de vacunas.

“Por otro lado tenemos los ataques más sofisticados, o amenazas persistentes, que buscan una inteligencia, ya sea a nivel de negocio o de Estado. Su objetivo es conseguir información sensible”, ilustra. En esta segunda categoría entran los grupos de ciberpiratas supuestamente auspiciados por gobiernos, como los citados Lazarus o Cozy Bear. Supuestamente, porque es casi imposible demostrar esa vinculación. Conocidos en el sector como APT (amenazas persistentes avanzadas, en sus siglas inglesas), estos grupos están muy bien organizados y disponen de muchísimos recursos. “Orquestar una campaña exprés, es decir, enterarse de que hay un objetivo interesante y hacer todo el despliegue de malware e infraestructuras de la noche a la mañana siguiente, eso está al alcance de muy pocos”, subraya Creus.

Los ataques de estos grupos se dirigen a individuos que se sabe que están en una posición muy interesante en la cadena de suministro de la vacuna. “No lanzan ataques indiscriminados: saben perfectamente a quién tirar. No puedo comentar organismos, más allá de los que se han hecho públicos”, se excusa Creus. “Estos grupos lo que buscan es tener algún tipo de ventaja competitiva respecto a otros estados: más información, saber a qué atenerse, conocer la estrategia de vacunación de otros… También llevan a cabo acciones de sabotaje, lo cual no deja de ser alucinante tratándose de un tema sanitario”.

Una autoría difusa

La gestión de la pandemia se encuentra dentro de lo que se considera la seguridad nacional de los estados. “La vacuna, o la desarrollas, o la compras, o la robas. Y de manera contraria: si ya la ha desarrollado tu adversario antes que tú, o le pones trampas o se la intentas robar”, señala Andrea G. Rodríguez, investigadora en tecnologías emergentes en Cidob (Barcelona Centre for International Affairs). “Eso es lo que ha pasado en Europa desde la primavera del año pasado, donde se han sucedido ciberataques a farmacéuticas, a supercomputadoras que trabajaban en ello y a las cadenas de suministro”.

Las acciones de espionaje cibernético tienen la ventaja de que, además de ser silenciosas, son muy difíciles de atribuir. “Se tarda mucho en detectar la autoría real de los ciberataques más sofisticados. A veces pasan años, en algunos casos no se consigue”, asegura el hacker Deepak Daswani. “Las APT se rastrean con pistas aportadas por los servicios de inteligencia, correlaciones de muestras, particularidades del código, reutilización de partes del mismo, componentes, modus operandi, etcétera”.

“A China le hubiera gustado que su vacuna hubiera sido la primera y la hubiese podido vender masivamente por todo el mundo”, ilustra Rodríguez. “La usa como arma diplomática: Pekín está donando cantidades masivas de Sinovac a países en vías de desarrollo o que no pueden pagar las de Moderna, Pfizer o AstraZeneca”.

Lo que viene

El campo de batalla del ciberespacio sigue evolucionando. “A medida que las diferentes vacunas que están en marcha vayan dando diferentes resultados relacionados con las nuevas variantes del virus que se están descubriendo, deberíamos esperar que los investigadores que están detrás de estas vacunas se conviertan también en ciberobjetivos de los países que compiten por la vacuna”, señala Chester Wisniewski, Investigador Principal de Sophos.

Nadie puede confiarse. Las cadenas de suministro de estas preparaciones siguen siendo atacadas. También los hospitales, que en Francia reciben una media de un ciberataque semanal, lo que ha llegado a provocar la paralización de cirugías, o que en Alemania se pudieron cobrar una vida. La ciberguerra de la covid no ha acabado.

Puedes seguir a EL PAÍS TECNOLOGÍA en Facebook y Twitter.