El éxito de los ataques cibernéticos destructivos y de alto perfil contra operadores de infraestructura nacional crítica (CNI) ha llamado claramente la atención de actores de amenazas de estados-nación cada vez más agresivos o grupos de amenazas persistentes avanzadas (APT), que los están incorporando constantemente en sus libros de jugadas como una valiosa arma de guerra híbrida.
El año pasado, los ataques dirigidos a CNI pasaron de representar el 20 % de todos los ataques a estados-nación al 40 %, según datos extraídos de la telemetría de Microsoft, revelados el 4 de noviembre en la tercera edición anual de Redmond. Informe de defensa digital de Microsoft.
Hablando antes de la publicación del informe, Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente de Microsoft, dijo que gran parte de este aumento estaba claramente relacionado con la guerra en Ucrania.
“Pero no se limita solo a los esfuerzos de Rusia en Ucrania. Hemos visto a todos los actores de los estados-nación enfocarse cada vez más en sus operaciones de espionaje y recopilación de información en operaciones de infraestructura crítica en todo el mundo”, dijo.
Burt dijo que Microsoft vio que los actores del estado-nación se volvieron cada vez más agresivos en su actividad, y aunque es importante señalar que la mayoría de los ataques cibernéticos respaldados por el estado-nación todavía se llevan a cabo con el propósito de recopilar información e inteligencia y robar datos, causando poca Los daños permanentes a excepción de los egos de los equipos de seguridad, los crecientes volúmenes de ataques altamente disruptivos e incluso destructivos son claramente más problemáticos.
“Ciertamente también vemos ataques destructivos, y es preocupante que esos ataques destructivos no se limiten a Ucrania y los esfuerzos de Rusia en Ucrania, sino que también estamos viendo otros. Por ejemplo, actores de Irán participando en ataques destructivos, especialmente contra Israel”, dijo Burt. “La creciente disposición de los actores del estado-nación a usar armas cibernéticas con fines destructivos es claramente una tendencia, y una tendencia preocupante”.
En términos de victimología, los datos del informe muestran que el Reino Unido sigue siendo uno de los países más atacados por los actores del estado-nación, como cabría esperar razonablemente; sin embargo, EE. UU. es el foco de la actividad más hostil por cierto margen.
“En China, hemos visto un enfoque real de los actores chinos en el último año en… la recopilación de inteligencia del sudeste asiático en particular, y diría que en el Sur Global, países como Namibia y Mauricio, Trinidad y Tobago y otros. ”, dijo Burt.
“Irán, de nuevo mucho enfoque en las actividades con Israel, pero… durante el año los vimos expandir activamente su zona de operaciones fuera del Medio Oriente… a otras regiones”.
“Con Rusia, es realmente una actividad global que depende de sus objetivos de recopilación de inteligencia. Ciertamente, la mayoría de sus ataques fuera de Ucrania… se han centrado en los Estados Unidos. Pero hemos visto un enfoque en los países de la OTAN y especialmente en los países fronterizos como los estados bálticos. [Estonia, Latvia and Lithuania]. Nosotros [also] vio una mayor actividad en los países nórdicos después de que anunciaran su intención de que un par de esos países se unieran a la OTAN”, agregó.
La creciente disposición de los actores del estado-nación a usar armas cibernéticas con fines destructivos es claramente una tendencia, y una tendencia preocupante.
Tom BurtMicrosoft
El aumento de la actividad china es probablemente una consecuencia de un régimen más enérgico que busca establecer una influencia regional sobre los vecinos de China y contrarrestar la actividad estadounidense en el sudeste asiático. También se ha observado apuntar a países que han respaldado o firmado su Iniciativa Belt and Road. Se sabe que China se ha vuelto particularmente experta en encontrar, compilar, acumular y usar zero-days, posiblemente ayudado por una ley recientemente introducida que requiere que las entidades chinas informen las vulnerabilidades que descubren al gobierno antes de compartirlas.
Mientras tanto, la creciente asertividad de Irán se produce después de una reciente transición de poder dentro del régimen del presidente moderado Hassan Rouhani a la línea dura Ibrahim Raisi. Como observó Burt, gran parte de su actividad apunta a Israel, pero también existe la sensación de que Irán está intensificando las operaciones cibernéticas contra los enemigos percibidos del régimen para tratar de obtener concesiones de Tel Aviv y Washington como esfuerzos diplomáticos para revivir el acuerdo nuclear, firmado por el expresidente Barack Obama en 2015 – flaquear.
El otro actor de estado-nación muy activo, Corea del Norte, continúa con su amplio patrón de actividad, apuntando a compañías aeroespaciales para robar tecnología, organizaciones de noticias y medios y grupos cristianos de habla coreana que se manifiestan abiertamente en contra del régimen, y robos de criptomonedas para reforzar su tambaleante economía. Corea del Norte también se ha vuelto más agresiva en la esfera cibernética este año, coincidiendo con un período más agresivo de pruebas de misiles.
Microsoft también informó sobre la actividad de los cibermercenarios. Quizás el más famoso de estos es el desacreditado desarrollador israelí de spyware NSO Group, pero a principios de 2022, Microsoft llamó a la empresa con sede en Austria DSIRF, que supuestamente vendió un malware llamado Subzero que se usa en ataques en todo el mundo, incluso contra el Reino Unido.
“Un mundo donde las empresas del sector privado crean y venden armas cibernéticas es más peligroso para los consumidores, las empresas de todos los tamaños y los gobiernos. Estas herramientas ofensivas se pueden utilizar de manera incompatible con las normas y los valores de la buena gobernanza y la democracia. Microsoft cree que la protección de los derechos humanos es una obligación fundamental y que nos tomamos muy en serio al reducir la ‘vigilancia como servicio’ en todo el mundo”, dijo Microsoft.
“Microsoft ha evaluado que ciertos actores estatales en regímenes democráticos y autoritarios subcontratan el desarrollo o uso de tecnología de ‘vigilancia como servicio’. Así es como evitan la rendición de cuentas y la supervisión, así como adquieren capacidades que serían difíciles de desarrollar de forma nativa”.
El delito cibernético motivado financieramente está en aumento
Que la actividad del estado-nación atraiga el foco de mucho trabajo de alto perfil en el mundo de la seguridad cibernética no sorprende, pero esto de ninguna manera se produce a expensas de la actividad delictiva cibernética más cotidiana y motivada financieramente que podría decirse que es más importante. preocupación para la organización de usuarios finales promedio.
El 2022 Informe de defensa digital de Microsoft descubrió que, en general, el delito cibernético continuó su trayectoria ascendente en 2022, ya que la “industrialización” de la economía criminal clandestina reduce las barreras de entrada al brindar a las personas que de otro modo no se verían atraídas por él un mayor acceso a herramientas e infraestructura de piratería.
Esto es más evidente principalmente en el rápido crecimiento del ransomware como servicio (RaaS), pero Microsoft dijo que también observó un crecimiento constante año tras año en los volúmenes de correo electrónico de phishing, con la pandemia de Covid-19 siendo menos frecuente como señuelo, reemplazado por la guerra en Ucrania, y un aumento “asombroso” de correos electrónicos que se hacen pasar por organizaciones legítimas que buscan donaciones de criptomonedas para apoyar a los civiles y refugiados ucranianos.
El informe completo de 112 páginas, que ahora está disponible para descargar en su totalidad, también incluye más información que nunca sobre los pasos que deben seguir las organizaciones para protegerse de los ataques cibernéticos.
Como siempre, lo más eficaz que se puede hacer es centrarse en lo básico: habilitar la autenticación multifactor (MFA) para proteger las cuentas clave; aplicar parches rápida y frecuentemente; ser intencional sobre quién puede hacer qué en los sistemas de la empresa; e invertir en soluciones de seguridad actualizadas, en particular para terminales, inteligencia de amenazas y capacitación del personal y fomento de la cultura. Las protecciones básicas, dijo Microsoft, aún pueden frustrar el 98% de los ataques.
