A medida que los hackers se han ido organizando, el impacto de sus actividades cibernéticas ha aumentado. La ciberdelincuencia de bajo nivel -el robo de tarjetas de crédito, etc.- sigue siendo un problema, pero la atención se está desplazando hacia premios más grandes.
Ahora estamos siendo testigos de un serio aumento en la actividad de la Amenaza Persistente Avanzada (APT, por sus siglas en inglés). Estas brechas a largo plazo, de técnicas mixtas, dan a los grupos organizados de hackers grandes cantidades de poder virtual no sólo para robar, sino también para perturbar significativamente los negocios y la economía en general.
También estamos viendo el surgimiento del grupo APT, bandas organizadas de expertos en seguridad y codificadores altamente cualificados, capaces de diseñar sofisticados ataques digitales a gran escala. Sin embargo, además de llevar a cabo sus propias actividades delictivas, los grupos de APT como CozyBear, Sofacy y Turla pueden ser contratados por cualquier persona con suficiente dinero.
La guerra en línea
Cada estado establecido mantiene ahora una especie de ejército cibernético, encargado de la defensa de los recursos nacionales. Pero estas unidades también están equipadas con las herramientas necesarias para atacar cuando sea necesario.
El uso de las fuerzas estatales en la guerra cibernética es raramente obvio - el actual conflicto en Crimea entre Rusia y Ucrania es uno de los pocos ejemplos en los que dos países pueden teniendo una guerra digital abiertamente.
Pero de la misma manera que los ejércitos a menudo utilizaban las fuerzas mercenarias para adquirir nuevas habilidades, conocimientos y mano de obra, los gobiernos están buscando a terceros para que les ayuden con sus ofensivas en línea. A menudo esto significa formar alianzas con los grupos de APT, particularmente para actividades que pueden violar la Convención de Ginebra. Otras veces pueden recurrir a hackers conocidos a los que se les ha concedido inmunidad a cambio de ayuda en el futuro. Incluso pueden contratar a trabajadores independientes a través de empresas matrices legítimas para que ayuden a desarrollar software de rescate/malware.
Estas alianzas han dado lugar a la "piratería informática patrocinada por el Estado", actividades que desestabilizan las naciones, sus economías y sus infraestructuras en beneficio de sus enemigos. Se sospecha que el brote del programa de rescate NotPetya de 2017 es un ejemplo de trastorno económico patrocinado por el estado.
Los grupos APT y la brecha MeDoc
NotPetya resultó ser devastador para la economía ucraniana, ya que desconectó varios bancos y activos clave de infraestructura. En el centro del brote se encontraba MeDoc, el creador del programa de contabilidad más popular de Ucrania.
El análisis forense sugiere que un grupo de APT obtuvo acceso a la red MeDoc y pasó varios meses analizando el código de producto y lograron descifrar la aplicación. Este conocimiento se utilizó para infectar las actualizaciones de productos MeDoc con el software de rescate NotPetya.
El proceso habría llevado meses a un equipo multidisciplinar de desarrolladores cualificados para planificar y coordinar, investigando las debilidades defensivas y el código inseguro. Todo ello sin ser detectado hasta mucho después de que la herramienta de rescate se hubiera desplegado e instalado en los ordenadores de los clientes a través del sistema de actualización de aplicaciones MeDoc.
Armar un ataque como NotPetya habría sido muy caro. Pero dado el efecto en la economía ucraniana, la inversión habría merecido la pena.
Desestabilizar la nación más poderosa del mundo
Rusia es definitivamente el jugador más abierto en el escenario de la guerra cibernética. Las investigaciones sobre las elecciones presidenciales de 2016 en EE.UU. siguen desenterrando pruebas de interferencia respaldada por el Estado, y el FBI y la CIA afirman abiertamente que sus actividades pueden haber ayudado a inclinar a los votantes hacia Donald Trump y el Partido Republicano.
Se sabía que el grupo APT Cozy Bear (aparentemente con la ayuda del gobierno ruso) había penetrado en la red del Comité Nacional Demócrata (DNC), robando información relacionada con los partidarios de Hillary Clinton, por ejemplo. Los hackers parecen haber utilizado un correo electrónico de spearphishing para engañar a un empleado de DNC para que instalara malware que luego se utilizó para comprometer la red desde dentro hacia fuera: una maniobra clásica de APT.
La investigación del FBI sugiere que los hackers rusos habían estado accediendo a la red de la DNC durante más de un año antes de que la seguridad fuera finalmente reforzada, bloqueándolos.
Los negocios son la guerra
Sin embargo, no son sólo las naciones las que participan en actividades para desestabilizar las economías. Los grupos de APT son "mercenarios", disponibles para cualquiera que tenga suficiente dinero.
Los efectos económicos masivos de un escenario NotPetya también podrían aprovecharse para generar beneficios, devaluando una moneda específica, por ejemplo. Saber que esa divisa bajará de precio nos da la oportunidad de protegernos de ella y de embolsarnos un beneficio considerable en el proceso.
Sin embargo, los ataques de la APT no se dirigen únicamente a las cuentas bancarias. El creciente valor de la información significa que los hackers ahora se dirigen a los almacenes de datos por sí mismos. Al acceder a información confidencial, los delincuentes pueden evaluar la estrategia y el rendimiento de la empresa, utilizando esa información para comprar y vender acciones con fines de lucro, una forma moderna de abordar las estafas con información privilegiada. Alternativamente, estos conocimientos pueden venderse a los competidores y a terceros, permitiéndoles manipular los precios de las acciones o robar la propiedad intelectual y la cuota de mercado.
Prácticamente todas las grandes empresas son un blanco potencial para un ataque de APT desestabilizador de la economía.
La revisión de los códigos internos es crucial
Los ataques de APT se basan en una serie de vectores o angulos de ataque diferentes, lo que significa que la protección de su empresa contra ellos es un esfuerzo multidisciplinar. Muchas organizaciones se centran en la defensa perimetral, y con toda la razón.
Pero como el incidente del MeDoc destacó, el código interno también puede ser convertido en arma como parte de un ataque a la cadena de suministro. El ciclo de vida del desarrollo de software de MeDoc ha crecido orgánicamente con el tiempo, dejando vacíos en su planificación e implementación de seguridad que luego fueron explotados por los hackers.
Para evitar problemas similares, su empresa necesita implementar un ciclo de vida de desarrollo de software seguro (SSDLC). Por ejemplo, al integrar la seguridad en cada etapa del proceso de desarrollo de software, puede reducir el potencial de que una herramienta de APT entre en su cadena de suministro. Las revisiones de código también serán una parte importante de sus medidas de seguridad proactivas, ya que le ayudarán a identificar las lagunas, los errores y el código malicioso antes de su implementación en su entorno de producción o en sus clientes.
Para obtener más información sobre las amenazas de APT y sobre cómo gestionarlas y prevenirlas con SSDLC, póngase en contacto con nosotros.
