LA NUEVA CIBERDELINCUENCIA
'Hackers' con horario de oficina
Los atacantes de ordenadores ajenos se profesionalizan por la intervención de mafias y gobiernos. El idioma, el hoario y el contexto geopolítico resultan claves para atribuir una acción delictiva
Atrás quedaron los tiempos en que el ‘hacker’ era un tipo inquieto que actuaba de madrugada para intentar entrar en sistemas ajenos, solo y por motivaciones que iban desde el reto intelectual, la curiosidad o el gamberrismo, y en casos de directamente delincuencia, el provecho económico. El perfil del cibercriminal (ya no ‘hacker’ clásico) es ahora muchas veces un profesional que cumple un horario, está a las órdenes de otro y sus motivos pasan por el chantaje, el espionaje y el sabotaje político.
¿Los motivos? La cada vez más creciente implicación de la ciberdelincuencia organizada y las nuevas acciones de algunos gobiernos para utilizar los ataques informáticos como arma de guerra.
“Hay tres tipos de delincuentes informáticos: los activistas, las organizaciones criminales y desde hace unos cuatro o cinco años, los estados”, sostiene Vesku Turtia, CEO de Fireeye en España. “Los primeros suelen actuar por motivaciones políticas o ideológicas, como Anonymous; las cibermafias tienen estructuras, tareas diarias, planes de ataque y de negocio para ganar dinero. Hacen un trabajo previo muy importante. Y hemos visto casos de informáticos de empresas lícitas que trabajaban para organizaciones criminales sin que sus jefes lo supieran”, señala. La Guardia Civil reclamaba recientemente más recursos para luchar contra esta ciberdelincuencia organizada.
En el caso de los gobiernos, hay motivaciones como “esponsorizar el ciberespionaje para beneficiar a sus propias empresas, como ha hecho el Gobierno chino; o el de Corea del Norte, que busca provocar conflictos. También está el grupo APT34, que esponsorizados por Irak han atacado centrales nucleares de Oriente Medio con 'malware”, añade Turtia.
Pistas falsas sobre la autoría
Un repaso a algunos de estos grupos los dio David Barroso, el CEO de Countercraft, una de las compañías que participaron en las Jornadas del CCN-CERT la semana pasada en Madrid. El analista evidenció cómo muchos grupos enmascaran su actividad intentando diseminar pistas falsas sobre la autoría, pero cuestiones como el horario, la coincidencia con fechas señaladas en el calendario o el idioma del código los ponen en evidencia.
“Atribuir hoy es casi imposible porque los delincuentes intentan engañar sobre quién hay detrás de cada ataque”, sostuvo Barroso, que puso como ejemplo que muchos ataques son atribuidos a China cuando detrás están grupos rusos. Uno de los más sonados, el de los informativos del canal francés Tele 5, que se atribuyó a grupos yihadistas y luego resultó que estaban detrás el grupo ruso ATP28, uno de los grupos con horario de oficina.
'Wannacry'
"El actual submundo de ciberdelincuentes ha virado hacia servicios automatizados, que ofrecen la oportunidad de participar en actividades ilícitas a un número creciente de novatos", explica Andrei Barysevich, de la consultora Recorded Future. Así se explica también una característica común a los nuevos ataques de cibercriminales, y es el reciclaje de códigos informáticos y el uso de herramientas desarrolladas por otros. En el caso de 'Wannacry', el 'ransomware' que se autorreplicaba aprovechando una vulnerabilidad del protocolo de correo electrónico de Microsoft y que provocó daños en empresas de todo el mundo, parte del código se aprovechó después en 'Petya/NotPetya', pero orientado con otros fines, en este caso, dirigido a empresas ucranianas.
Barroso también recordó casos como el de los 'malware' 'Stutnex', que se pudieron atribuir a Israel, entre otras cuestiones, porque no se activaban ni el viernes ni el sábado, y además el último iba dirigido a centrales nucleares iranís. “Los horarios son una pista, pero hay que tener en cuenta el contexto geopolítico. Hay que esperar a que comentan un fallo, y lo van a hacer porque son humanos”, señala el analista.