Era domingo, cerca de las 6 de la mañana. Repentinamente recibo cinco mensajes SMS de número desconocido, en los que pedían ayuda desesperadamente. El emisor indicaba que sus cuentas de WhatsApp, Twitter y bancaria fueron hackeadas la noche anterior.
Tras el último mensaje, acepté recibir su llamada, pensaba que quizá se trataba de una llamada de extorsión, pero resultó que en verdad conocía a la persona que pedía apoyo, era una plegaria de ayuda legítima; se trataba de una de las ejecutivas más importantes y exitosas de México y Estados Unidos, con una destacada trayectoria en finanzas.
Probablemente todos conocemos a alguien de nuestros amigos cuya cuenta de WhatsApp fue hackeada y utilizada por ciberdelincuentes para obtener acceso a sus contactos, cuentas bancarias, redes sociales e información privada y confidencial de su teléfono. Este fue uno de los ataques más comunes durante todo el año pasado en México, Estados Unidos y Latinoamérica, mucho más de lo que podemos imaginar.
Esta forma de ataque, aunque nos resulte familiar, fue muy diferente a los de los años anteriores, y en mucho se debe a que los ciberdelincuentes cada día son más especializados, con más experiencia y con el uso de mejores herramientas que hacen posible acceder a cualquier tipo de teléfonos, correo electrónico, e inclusive sistemas corporativos. Tal es el caso de los ataques cibernéticos masivos en México (SEDENA), Australia (Optus), Estados Unidos (Uber) y Costa Rica (Conti), cuatro de los ciberataques más grandes que vivimos durante 2022.
México (SEDENA)
El hackeo de SEDENA-papers –por parte del grupo “Guacamaya”– filtró un total de 4 millones de correos electrónicos de la Secretaría de Defensa Nacional de México, que supervisa el Ejército y la Fuerza Aérea del país. La eventualidad originó preocupación en la reunión bilateral sobre temas de seguridad entre México y Estados Unidos en Washington D.C., ya que el ataque fue dirigido específicamente a la infraestructura militar mexicana.
Además, tras estos sucesos, se reconoció el riesgo de que información sensible, relacionada con las operaciones de campo para el combate al crimen organizado trasnacional, sea expuesta en los foros de la dark web.
Es claro que todos los gobiernos son vulnerables a ser hackeados y exhibidos, lo cual fácilmente puede socavar su credibilidad ante otras naciones y su propia población, lo que escala la ciberdelincuencia a un riesgo de seguridad nacional.
Lecciones aprendidas del hackeo a SEDENA:
Los gobiernos necesitan un centro de coordinación y respuesta a emergencias cibernéticas, ligado a sus sistemas de defensa nacional, donde se puedan implementar protocolos de monitoreo e identificación. Esto con el fin de mejorar las prácticas de resiliencia, proporcionar políticas, recursos y capacidad de respuesta de una manera pronta, efectiva y contundente a incidentes o ataques cibernéticos que pongan en riesgo la seguridad del país.
Australia (Optus)
Optus es la compañía de telecomunicaciones más grande de Australia y una de las declaraciones que se pueden leer en su página es: “Seguridad cibernética es nuestra prioridad y lo haremos mejor”.
Se trata de una declaración audaz, dado que hasta 10 millones de personas podrían verse afectadas por la intrusión a sus sistemas y acceso no autorizado a las bases de datos que sufrieron durante 2022, lo que equivale a aproximadamente 40% de toda la población australiana.
Optus no anunció oficialmente la causa del hackeo, sin embargo, los expertos informaron que la intrusión maliciosa se dio a través de API, una interfaz de programación de aplicaciones, por medio de la cual el hacker vulneró los datos y códigos de acceso de los clientes sin ninguna restricción. Sabemos que los ciberataques son más sofisticados cuando utilizan efectivamente las vulnerabilidades humanas (humanware) y tecnológicas (hardware/software).
Tras el ataque, Optus tuvo que reservar 95 millones de dólares para cubrir las costosas consecuencias de este robo de datos.
Lecciones aprendidas del hackeo a Optus:
Evaluar todos los riesgos de seguridad en software y hardware para resolverlos lo antes posible, y proporcionar capacitación continua a todo el personal para desarrollar una cultura de seguridad, acompañada de higiene digital. Sólo así se pueden mitigar y prevenir ciberataques.
La responsabilidad de la prevención también corresponde a los usuarios, por ende, cuando se perciba que hay algo mal en los sistemas o estaciones de trabajo, se debe proceder con un reporte a los encargados de la seguridad cibernética.
Estados Unidos (Uber)
Este caso fue ejecutado por un adolescente afiliado a “Lapsus$”, quién logró comprometer la autenticación multifactorial del sistema, al implementar un código malicioso ejecutable que consistía en bombardear a un usuario con una solicitud de autenticación.
El usuario autorizado terminó por aceptar una de las solicitudes, lo que permitió al pirata informático obtener acceso a la VPN de la compañía. Una vez con los accesos necesarios y desde dentro de la red privada de Uber, el criminal cibernético modificó la configuración de seguridad y localizó un script de PowerShell que contenía credenciales del sistema de administración de cuentas privilegiadas para acceder a múltiples herramientas y áreas de almacenamiento que albergaban millones de datos de usuarios y conductores de Uber.
El caso se convirtió inmediatamente en el hackeo más grande en la historia de la empresa.
Lecciones aprendidas del hackeo a Uber:
No se puede confiar solamente en la autenticación de factor múltiple (MFA) para proteger los activos críticos, es necesario implementar principios como “zero trust” con el mínimo de accesos necesarios, e implementar monitoreo automatizado para detección temprana de intrusiones cibernéticas e inclusive identificar cualquier comportamiento inusual.
De esta manera se implementan los más altos niveles de seguridad en estándares internacionales y se garantizan las mejores prácticas de seguridad cibernética.
Costa Rica (Conti)
El grupo Conti es considerado por las agencias de inteligencia de Estados Unidos como un APT (Advanced Persistent Treath) o Amenaza Avanzada Persistente, con origen en Europa del Este, vinculado al Gobierno ruso.
El 17 de abril de 2022, Conti logró causar la interrupción más grande de operaciones financieras en la historia de Costa Rica. Atacó al Ministerio de Finanzas y logró paralizar las importaciones y exportaciones del país, obligando al Gobierno a declararse en estado de emergencia nacional.
Posteriormente se registró un segundo ataque a finales de mayo de 2022, que tuvo como objetivo el Fondo de Seguridad Social. Se le catalogó como una forma de contraataque por las sanciones que se le impusieron a Rusia tras el estallido del conflicto armado en Ucrania.
Ciertamente, los ataques cibernéticos emprendidos por grupos ultra nacionalistas, activistas y por actores patrocinados por estados hostiles están aumentando tanto en frecuencia como en impacto desde el inicio del conflicto, en febrero de 2022.
Lecciones aprendidas del hackeo a Conti
Si tomamos en cuenta que las infecciones iniciales en este caso tuvieron lugar cuando un miembro del personal abrió un archivo adjunto de correo electrónico infectado con malware, las lecciones aprendidas tienen que ver con los siguientes puntos:
1.- La necesidad de una capacitación continua del personal sobre la seguridad cibernética para reducir la probabilidad de que el malware ingrese a la red y los sistemas críticos.
2.- La necesidad de un monitoreo efectivo, pues hubo una ventana de dos meses para detectar el ataque antes de que se detonara el ransomware.
El año 2022 dejó grandes lecciones en materia de ciberseguridad. Aprendimos que los delincuentes cibernéticos ya no son los actores comunes del pasado y hoy en día están más capacitados en el uso de programas que los hacen más efectivos en sus vectores de ataque.
También observamos el crecimiento de grupos patrocinados por estados como lo son el caso del grupo Conti, de Europa del Este, que no es otra cosa que un ejército cibernético especializado en ataques a gobiernos e instituciones financieras con ransomware para obtener ganancias económicas que puedan ser utilizadas para conflictos armados internacionales. Los ataques cibernéticos del 2022 fueron mucho más sofisticados comparados con años anteriores.
De los Autores:
Israel Reyes Gómez. Experto internacional en ciberseguridad, seguridad nacional y estrategia cibernética. Actualmente, es consultor internacional para organizaciones en Estados Unidos, Europa, Latinoamérica, Australia y Nueva Zelanda. Recientemente, participó en el documental de National Geogrpahic DARK WEB como Subject Matter Expert.
Dra. Ekaterina Kostioukhina. Es graduada de la Universidad de Harvard y autora del libro Ciberpsicología, conflicto cibernético o democracias hackeadas. Es profesora invitada en el Massachusetts Institute of Technology MIT, y miembro del Parliamentary and Intelligence Security Forum de Washington DC. También se desempeña como líder de opinión en los medios de comunicación más importantes de Estados Unidos y México.Email: [email protected]
