Por. Fernando Velásquez, K+LAB -Fundación Karisma.
Accede a la publicación original de esta entrega especial haciendo clic aquí.
En esta entrega especial del Laboratorio de Seguridad y privacidad digital de Fundación Karisma, K+LAB, le acompañamos a entender y a aprender un poco más sobre el ransomware, su importancia y ejemplos en la geopolítica actual, la ciberguerra, su historia, protagonistas y mucho más.
Prepárese para descubrir uno de los caminos de la guerra en el mundo digitalizado, para entender lo que sucede más allá de nuestro rincón en el mundo. Acompáñenos a explorar lo que está sucediendo en la guerra de Ucrania y en el contexto global.
En una próxima entrega esperamos conectar esto con las regulaciones locales de la política nacional de seguridad digital.
Contenido de esta entrada
- Introducción
- El negocio del ransomware, su historia y su funcionamiento
- La infraestructura crítica y el ransomware
- La ciberguerra
- Rusia contra Ucrania: el ejemplo más reciente
- El ransomware: ¿un aliado táctico para la guerra y la política?
- Los actores del conflicto, las APTs o las nuevas unidades especiales del ciberconflicto en el mundo
- Y… en Latinoamérica
- El Ransomware un ejemplo local: Blackbyte encripta los sistemas del INVIMA en Colombia
Introducción
Ciber criminales y grupos de hackers patrocinados por gobiernos han hecho de la infraestructura crítica uno de sus blancos preferidos. Hackear infraestructura tecnológica que controla servicios esenciales supone ventajas estratégicas para participantes en un conflicto político, territorial o armado, o puede representar copiosas sumas de Bitcoin en la billetera digital de quien se dedica a este tipo de extorsiones (incluso puede ser la combinación de las dos).
El ransomware es una pieza de software que encripta o bloquea los datos de un sistema informático con el fin de exigir un rescate por su recuperación. Pero la extorsión no termina allí, porque normalmente en el proceso de tomar control de los sistemas ajenos, es posible extraer gran cantidad de información como bases de datos, información financiera, confidencial o relacionada con propiedad intelectual que luego es usada para intentar obtener más dinero a cambio de no publicar el material exfiltrado. A veces incluso pueden vender la información en el mercado negro.
Desde la guerra actual entre Rusia y Ucrania, las tensiones en el Medio Oriente, hasta acciones criminales de menor escala en escenarios Latinoamericanos, el ransomware- una pieza de software que encripta o bloquea los datos de un sistema informático con el fin de exigir un rescate por su recuperación-, cuando se dirige a atacar infraestructuras críticas de un Estado, también puede llegar a tener el impacto de un misil en un escenario de conflicto geopolítico.
La peligrosa mezcla de incentivos económicos, políticos y militares que supone atacar infraestructuras y actividades críticas conectadas a internet, es una amenaza a la vida, la salud, la estabilidad y la seguridad de las personas y debe ser tomada en serio para mitigar los daños que ya han sido provocados y los que inevitablemente se provocarán.
Hospitales, plantas de tratamiento de agua, oleoductos, aerolíneas, empresas de logística, sistemas de transporte, proveedores de servicios y productos tecnológicos, entidades estatales, por mencionar algunos, han sido víctimas de ciberataques que no solo implican el robo de información importante sino que, cada vez con más frecuencia, terminan con sistemas bloqueados o saboteados impidiendo que presten sus servicios, afectando notablemente el normal desarrollo de la sociedad.
La fuga de datos personales que luego son usados en otros delitos o contextos e incluso provocando daños que pueden llegar a la muerte de personas es otra consecuencia frecuente de estos ataques.
¿Cuáles son estas amenazas? y ¿qué podemos hacer?
El negocio del ransomware, su historia y su funcionamiento
Grupos como Blackbyte tienen páginas en la deep web (onion services) o simplemente en la internet normal donde exponen a sus víctimas, anunciando su hackeo junto con cuentas regresivas públicas mostrando el tiempo que queda antes de publicar la información robada.
En la página de Blackbyte se ve, entre otros, un equipo de fútbol americano, empresas de minería, petróleo, de automatización de procesos y más. Hasta la fecha de la publicación de este artículo no hay mención al INVIMA.
El ransomware no es nuevo, hay registros de su existencia desde 1989 cuando fueron enviados por correo postal, disquetes que contenían un virus informático conocido como AIDS que infectó y encriptó una cantidad considerable de computadores del sector de la salud que creían haber recibido información de la OMS sobre el SIDA. Sin embargo en aquellos tiempos, los rescates debían ser pagados a cuentas bancarias en paraísos fiscales, que de cualquier forma dejaba muy expuestos a los extorsionistas.
Con la aparición en 2009 del Bitcoin y otras criptomonedas, esto dejó -en parte- de ser un problema y la industria criminal del ransomware explotó. Se estima que las pérdidas que le generó al mundo el ransomware en el 2021 fueron de $20.000 millones de dólares.
La infraestructura crítica y el ransomware
Los sistemas del INVIMA encargados de nacionalizar mercancía son lo que podría llamarse infraestructura crítica, ya que –como lo define la OCDE– soporta actividades críticas, cuya interrupción podría tener serias consecuencias en:
- La salud, la estabilidad y la seguridad de los ciudadanos,
- El efectivo funcionamiento de servicios esenciales para la economía y la sociedad, así como del gobierno, o
- La economía y la prosperidad social en un sentido amplio.
Los Grupos de ransomware se han dado cuenta que atacar actividades críticas puede ser mejor negocio que atacar las pequeñas empresas, porque las actividades críticas no dan espera. El incidente del oleoducto Colonial en Estados Unidos hackeado por el grupo DarkSide es una muestra de esto. La compañía pagó el rescate lo antes posible para que los daños económicos y sociales no escalaran más de lo que el mero ataque ya había provocado: el desabastecimiento de combustible en varias zonas del sur-oriente estadounidense.
Durante 2021, en plena pandemia, varios grupos, notablemente TrickBot, decidieron atacar masivamente la infraestructura tecnológica de hospitales en Estados Unidos creando caos en varios de ellos y lo más preocupante, la muerte de pacientes.
En enero el senado argentino sufrió un ataque con ransomware que inhabilitó el funcionamiento de la entidad por varias semanas y el DANE en Colombia al parecer sufrió el mismo tipo de ataque en noviembre del año pasado, dejando sus servicios fuera de línea. Por dos semanas aproximadamente, el país quedó sin estadísticas esenciales para la toma de decisiones.
Es evidente que hay una amenaza grave sobre todas las actividades críticas en el mundo y Latinoamérica no es la excepción. De hecho, es un blanco atractivo ya que su desarrollo tecnológico es considerablemente inferior al estadounidense, europeo o asiático y esto lógicamente se traduce, entre otras cosas, en menos seguridad digital. Por otro lado, la pandemia aceleró procesos tecnológicos donde se juntaron la corrupción con el afán, para un resultado de sistemas mediocres altamente vulnerables.
La ciberguerra
Rusia contra Ucrania: el ejemplo más reciente
Durante la reciente invasión rusa a Ucrania, además de los ya tradicionales ataques de denegación de servicio a páginas del gobierno Ucraniano, la compañía ESET detectó un virus informático que bautizó con el nombre de HermeticWiper en cientos de computadores, cuya funcionalidad no es espiar ni encriptar información sino destruirla de plano, inhabilitando los sistemas. Reportes dan cuenta de entidades gubernamentales y financieras ucranianas afectadas. En enero, ya Ucrania había sido atacada con una variante de este malware.
Por su parte el gobierno Ukraniano ha solicitado a los hackers locales a través de foros de hacking del bajo mundo, que se unan a la defensa cibernética del país. Grupos hacktivistas internacionales como Anonymous o los Cyber-Partisanos de Bielorusia han respondido al llamado y han declarado la infraestructura crítica de Rusia -y de sus amigos- como blanco de sus ataques habiendo afectado ya al canal de noticias ruso RT y el sistema de trenes de Bielorusia.
En este conflicto los ataques a las actividades críticas no son nuevos, En 2017 un ransomware denominado NotPetya se diseminó especialmente en Ucrania ya que fue distribuido a través de una vulnerabilidad en un software contable popular en ese país, pero, a diferencia de los “wipers” (borradores de información) más recientes, este cobraba un rescate. Dada la popularidad del software contable y de que este virus se distribuía como un gusano (se distribuía automáticamente de dispositivo en dispositivo), la industria y el gobierno ucranianos se vieron altamente afectados. Como parecía un ataque con motivación económica fue difícil su atribución pero dadas las circunstancias no sería extraño que fuera un acto de sabotaje ruso.
En 2015, durante un ataque militar ruso, la grilla eléctrica ucraniana fue atacada por el grupo Sandworm que está conectado con la agencia de inteligencia rusa GRU y que dejó a más de doscientas mil personas sin fluido eléctrico por entre 1 y 6 horas. Y así podríamos quedarnos por horas enumerando incidentes relacionados con esta guerra híbrida que se libra en el campo y en el ciberespacio.
Por su parte, la inteligencia norteamericana le presentó al presidente Biden un menú de opciones de ciberataques que podrían ser estratégicos en esta guerra, que incluye cortes en las comunicaciones, detener trenes y descarrilarlos o cortar suministros de energía. Si Estados Unidos ejecuta alguno de estos ataques “oficialmente” sería un punto de quiebre y estaremos siendo testigos de la primera ciberguerra. Amanecerá y veremos.
El ransomware: ¿un aliado táctico para la guerra y la política?
Se sabe que hay gobiernos que han usado las mismas técnicas que los criminales para atacar a países enemigos y sabotear sus actividades críticas en un conflicto. De hecho, muchas veces es difícil distinguir si un ataque con ransomware solo tiene motivaciones económicas y no esconde motivaciones políticas en el fondo.
La difusa línea que separa cibercomandos militares, agencias de inteligencia, grupos de ransomware o grupos hacktivistas que operan en la esfera geopolítica mundial se hace cada vez menos visible y muchas veces se hace complicado atribuir un ataque a tal o cual país o grupo, porque a diferencia de los ataques a distancia con misiles, en el mundo cibernético es posible no dejar trazas tan claras y es fácil lavarse las manos culpando a los demás actores.
Los ataques a la infraestructura crítica no son la única acción de la ciberguerra, pero probablemente es una de las más efectiva. En una alta incidencia, afectan a la vida de la población civil y podrían ser considerados actos de guerra.
Los actores del conflicto, las APTs o las nuevas unidades especiales del ciberconflicto en el mundo
Aunque cuando se habla de ciberguerra, Rusia sale hasta en la sopa, obviamente no es el único actor importante. Existe una asimetría en la información que consumimos por estos lados del mundo que nos ciega un poco la perspectiva de los países “no occidentales” en general. Si la desinformación en la era digital tiene un nido, éste está en las acciones de ciberguerra.
Rara vez se atribuye un ataque cibernético a un gobierno directamente sino que normalmente se puede identificar un grupo o APT (Advanced persistent Threat) que puede estar “presuntamente” ligado a un estado o a una entidad de un estado… o no.
Por ejemplo, en octubre del año pasado el sistema de distribución de combustible iraní fue atacado -presuntamente- por hackers israelíes, bloqueando las bombas de gasolina con un mensaje que incluía el teléfono del presidente y causando caos por el desabastecimiento de combustible. Al mismo tiempo varias vallas viales digitales mostraban el mensaje “Khamenei, dónde está mi gasolina?” en referencia al líder supremo Ayatollah Ali Khamenei.
En 2010 Irán fue víctima de uno de los ciberataques más sofisticados de la historia cuando se descubrió que el gusano cibernético Stuxnet logró malograr más de 1000 centrífugas nucleares de la planta de Natanz en Irán. Este gusano, que infectó más de 60 mil computadores alrededor del mundo, solo atacó cuando llegó a la planta nuclear iraní.
De la misma manera Irán ha sido acusado de ciberataques contra la infraestructura crítica de Turquía en 2015 cuando dejó sin electricidad durante 12 horas a 44 provincias turcas y en 2017 por atacar el parlamento británico por 12 horas, entre otros.
La clara motivación político-militar de estos ataques deja entrever que son resultado de conflictos geopolíticos. Sin embargo, la atribución de estos incidentes normalmente se le adjudica a un APT o a un grupo de hackers pertenecientes a una unidad -conocida o presunta- de ciberdefensa de un estado.
- Cozzy Bear (APT29), Fancy Bear (APT28) o sandworm son APTs rusos, con serios indicios de estar ligados a agencias de inteligencia del país.
- China tiene la PLA Unit 61398 (APT1) y la PLA Unit 61486 (APT2) que son conocidas unidades del ejército presuntamente dedicadas a atacar infraestructura crítica de Estados Unidos, Europa y Japón, o por ejemplo el APT40 también conocido como: BRONZE MOHAWK, FEVERDREAM, G0065, Gadolinium, GreenCrash, Hellsing, Kryptonite Panda, Leviathan, MUDCARP, Periscope, Temp.Periscope o Temp.Jumper que parece estar ligado al Departamento de seguridad del estado de Hainan, al sur de China.
- Corea del norte tiene, entre otros, a Lazarus Group (APT38) famoso por robar y lavar criptomonedas,
- Israel tiene la unidad 8200 oficialmente adscrita a los servicios de inteligencia de ese país y acusada del ataque al programa nuclear iraní.
- En Estados Unidos está Equation Group, asociado con la NSA y del cual no se conoce un “APT#” probablemente porque el término “APT” fue acuñado por la fuerza aérea de los Estados Unidos.
Este listado es solo una muestra de los APTs catalogados alrededor del mundo, donde la mayoría pertenece a países que no son del club de occidente, lo cual se explica por la asimetría en la información anteriormente mencionada y no porque los ataques sucedan en una sola vía.
Y… en Latinoamérica
A diferencia del ransomware con motivaciones económicas, Latinoamérica no parece estar en la mira de APTs internacionales… por ahora. De hecho, no se registran APTs latinoamericanos ligados a servicios de inteligencia o estados y los pocos que hay son grupos que, al parecer, solo se dedican a estafar.
Por el lado del hacktivismo de la región, aunque se han registrado incidentes de denegación de servicio y la publicación de información confidencial o privada durante momentos de tensión social, no se han registrado ataques a la infraestructura crítica con fines políticos.
El Ransomware un ejemplo local: Blackbyte encripta los sistemas del INVIMA en Colombia
El 6 de febrero de 2022 se supo de un ataque informático a los sistemas del INVIMA en Colombia y casi un mes después no parece haberse solucionado. Los procedimientos de importación de alimentos, medicamentos e insumos médicos, dependientes de los sistemas del INVIMA se están haciendo manualmente generando demoras y sobrecostos que golpean cadenas de producción y suministro a todos los niveles. Se han tomado medidas de emergencia y se han habilitado sistemas temporalmente pero la solución definitiva no se ve a la vista.
Todo indica que el grupo de ransomware Blackbyte encriptó una cantidad considerable e importante de los sistemas del INVIMA y por lo que podemos suponer deben estar extorsionando a esta institución condicionando la recuperación de su infraestructura tecnológica al pago de una suma importante en Bitcoin.
Blackbyte es uno de los varios grupos que ofrecen Ransomware as a Service (RaaS), es decir, ofrecen el servicio y el software para encriptar infraestructuras o equipos informáticos a hackers que previamente han tomado control de redes de computadoras -corporativas o estatales- y se encargan del cobro del rescate. Si el rescate es pagado, reparten el botín con el grupo de hackers que penetró inicialmente las defensas de la entidad.
Si por algún motivo esta entrada no es accesible para tí, por favor escríbenos a comunicaciones@karisma.org.co y haremos los ajustes que estén a nuestro alcance para que puedas acceder al contenido.
Indícanos el título del contenido en el asunto del correo, por ejemplo: Entrega especial: ¿hacia dónde apuntan las armas digitales?
Es fundamental poner el tema en la agenda y nutrir la conversación. ¿Trabajas en un medio de comunicación? Escríbenos a comunicaciones@karisma.org.co.