Por: Tom Burt, vicepresidente corporativo de Clientes, Seguridad y Confianza de Microsoft Corp.

El 23 de febrero de 2022, el mundo de la ciberseguridad incursionó en una nueva era, la era de la guerra híbrida, cuando Rusia lanzó ataques tanto físicos como digitales en contra de Ucrania. El Informe de Defensa Digital de Microsoft de este año proporciona nueva información sobre estos ataques y la creciente agresión cibernética originada por los líderes autoritarios en todas partes del mundo.

Durante el año pasado, los ciberataques dirigidos a infraestructuras críticas aumentaron del 20% de todos los ataques de Estado nación detectados por Microsoft a un impresionante 40%. Esta alza se debió en gran parte al objetivo de Rusia de dañar la infraestructura ucraniana y al espionaje agresivo dirigido a los aliados de Ucrania, incluyendo los Estados Unidos. Rusia también aceleró sus intentos de comprometer a las compañías de TI para interrumpir u obtener inteligencia de los clientes gubernamentales de esas compañías en los países miembros de la OTAN. El 90% de los ataques rusos que detectamos el año pasado se dirigieron a los estados miembros de la OTAN, y el 48% de dichos ataques se dirigieron a compañías de TI establecidas en los países miembros de la OTAN.

Tendencias de infraestructura crítica

Rusia no fue el único país que lanzó acciones políticas y físicas agresivas a través de ciberataques.

Los ciberdelincuentes iraníes escalaron sus ataques después de la transición del poder presidencial. Lanzaron ataques destructivos contra Israel, así como operaciones de ransomware y hack-and-leak (robo y filtración de datos) a otros adversarios regionales como Estados Unidos y la Unión Europea, incluyendo infraestructuras críticas estadounidenses como las autoridades portuarias. En al menos un caso, Microsoft detectó un ataque disfrazado de ataque de ransomware cuya intención era borrar datos israelíes. En otro, un delincuente iraní ejecutó un ataque que activó las sirenas de emergencia por ataque aéreo en Israel.
Mientras Corea del Norte emprendía su periodo más agresivo de pruebas de misiles en el primer semestre del 2022, uno de sus ciberdelincuentes lanzó una serie de ataques para robar tecnología a investigadores y compañías aeroespaciales. Otro ciberdelincuente norcoreano obtuvo acceso a las agencias de noticias globales que escriben sobre el país y a diversos grupos cristianos. Y un tercer ciberdelincuente continuó intentando, sin éxito, irrumpir en las compañías de criptomonedas para robar fondos en apoyo a la difícil situación económica que atraviesa su país.
China incrementó sus ciberataques de espionaje y robo de información en un intento por ejercer más influencia regional en el Sudeste Asiático y contrarrestar el creciente interés de los Estados Unidos. En febrero y marzo, un ciberdelincuente chino dirigió ataques contra 100 cuentas afiliadas a una prominente organización intergubernamental en el Sudeste Asiático cuando la organización anunció una reunión entre el gobierno de Estados Unidos y líderes regionales. Justo después de que China y las Islas Salomón firmaran un acuerdo militar, Microsoft detectó malware de un ciberdelincuente chino en los sistemas del gobierno de las Islas Salomón. China también utilizó sus capacidades cibernéticas en campañas dirigidas a países en vías de desarrollo, incluyendo Namibia, Islas Mauricio y Trinidad y Tobago, entre otros.

Muchos de los ataques provenientes de China tienen la capacidad de encontrar y compilar “vulnerabilidades del día cero”: agujeros sin parches en el software que pasan desaparecidos por la comunidad de seguridad. La recopilación de estas vulnerabilidades por parte de China parece haberse expandido inmediatamente después de una nueva ley que exige a las entidades en China reportar al gobierno las vulnerabilidades que descubren antes de compartirlas con otros.

Aunque resulta tentador enfocarse en los ataques de Estado nación como las actividades cibernéticas más interesantes del año pasado, sería un error ignorar otras amenazas, especialmente la ciberdelincuencia que afecta a más usuarios en el ecosistema digital que los ataques de Estado nación.

Los ciberdelincuentes siguen actuando como empresas lucrativas sofisticadas

La ciberdelincuencia continúa incrementándose conforme la industrialización de la economía de la delincuencia cibernética reduce la barrera de habilidades y brinda mayor acceso a herramientas e infraestructura. Tan solo en el último año, el número estimado de ataques de contraseña por segundo aumentó en un 74%. Muchos de estos ataques fueron de ransomware, lo que duplicó las demandas de rescate. Sin embargo, estos ataques no se propagaron de manera uniforme por todas las regiones. En Norteamérica y Europa, observamos un descenso en el número de casos de ransomware reportados a nuestros equipos de respuesta respecto al 2021. En contraste, los casos reportados en Latinoamérica aumentaron. Observamos también un incremento anual estable en correos electrónicos de phishing.

Mientras que el tema del COVID-19 fue menos prevalente que en el 2020, la guerra en Ucrania se convirtió en la nueva carnada del phishing, comenzando a principios del marzo de 2022. Los investigadores de Microsoft observaron un incremento alarmante de correos electrónicos que se hacían pasar por organizaciones que solicitaban donaciones de criptomonedas en Bitcoin y Ethereum, supuestamente para apoyar a los ciudadanos ucranianos.

Los ciberdelincuentes extranjeros utilizan técnicas sumamente eficaces —similares a los ciberataques—para ejercer una influencia propagandista que erosione la confianza e impacte la opinión pública a nivel tanto nacional como internacional

Las operaciones de influencia es una nueva sección en nuestro informe de este año debido a las nuevas inversiones en análisis y ciencia de los datos que hemos realizado para abordar esta amenaza. Observamos cómo Rusia se ha esforzado por convencer a sus ciudadanos, así como a los ciudadanos de muchos otros países, de que su invasión de Ucrania está justificada, además de sembrar propaganda que desacredita las vacunas de COVID en occidente y promueve su eficacia en casa. Asimismo, observamos una mayor relación entre estas operaciones y los ciberataques. En particular, las operaciones de influencia utilizan una conocida estrategia de tres etapas:

Las operaciones de influencia cibernética propagan narrativas falsas en el dominio público, al igual que los atacantes propagan malware dentro de la red informática de una organización.
Se lanza una campaña coordinada —por lo general en el momento más oportuno para cumplir los objetivos del atacante— para propagar narrativas a través de los canales de medios sociales y los medios de comunicación respaldados e influidos por el gobierno.
Los representantes y medios de comunicación controlados por el Estado nación amplifican las narrativas dentro de los públicos objetivo.

Esta estrategia de tres etapas se aplicó a finales de 2021, por ejemplo, para apoyar la narrativa falsa de Rusia en torno a las supuestas bioarmas y laboratorios biológicos en Ucrania. Además de Rusia, hemos observado que otros países, incluidos China e Irán, implementan operaciones propagandistas para extender su influencia global en una variedad de temas.

Las buenas prácticas de higiene cibernética siguen siendo la mejor defensa, mientras que la nube proporciona la mejor seguridad física y lógica contra los ciberataques

El informe de este año incluye más recomendaciones para que las personas y las organizaciones puedan protegerse contra los ataques. Lo más importante que deben hacer las personas es prestar atención a lo básico: activar la autenticación multifactorial, aplicar parches de seguridad, elegir cautelosamente quién tiene acceso privilegiado a los sistemas e implementar soluciones de seguridad modernas de cualquier proveedor reconocido. La empresa promedio tiene 3,500 dispositivos conectados que no cuentan con protecciones básicas, y los atacantes se aprovechan. Además, es fundamental detectar los ataques lo antes posible. En muchos casos, el resultado de un ciberataque se determina mucho antes de que este inicie. Los atacantes utilizan ambientes vulnerables para obtener acceso inicial, vigilar y causar estragos por medio de movimientos laterales y cifrado o exfiltración. Por último, como lo indica el informe de este año, no podemos ignorar el elemento humano. Existe una escasez de profesionales de seguridad —un problema que tanto el sector privado como los gobiernos necesitan abordar— y las organizaciones deben incorporar la seguridad como parte de su cultura.