«Cuando se trata de eliminar el ‘ransomware’ desde la fuente, creo que dimos un paso atrás», asegura un experto
Este reportaje es parte de la serie What’s Next (¿Qué sigue?) de MIT Technology Review, donde se analizan las industrias, tendencias y tecnologías para saber qué esperar en el próximo año.
En el mundo de la ciberseguridad, hay algo seguro: que los hackeos siempre van a más. Esa es la constante inevitable en una industria que se estima que este año gastará unos 150.000 millones de dólares (145.200 millones de euros) en todo el mundo sin poder detener a los hackers, una vez más.
El año pasado se vieron ciberataques del Gobierno ruso dirigidos a Ucrania; más ransomware contra hospitales y escuelas, y también contra gobiernos enteros; una serie aparentemente interminable de costosos criptoataques; y hackeos de alto nivel que sufrieron las compañías como Microsoft, Nvidia y el fabricante de Grand Theft Auto, Rockstar Games, el último hackeo realizado supuestamente por adolescentes.
Todos estos tipos de ciberataques continuarán el próximo año y en un futuro cercano, según los expertos en ciberseguridad que hablaron con MIT Tech Review. Esto es lo que esperamos ver en el próximo año:
Rusia continúa sus operaciones online contra Ucrania
Ucrania fue la gran noticia del año, tanto en ciberseguridad como en otras esferas. La industria centró su atención en el asediado país, que sufrió varios ataques por parte de grupos gubernamentales rusos. Uno de los primeros afectó a Viasat, la empresa estadounidense de comunicaciones por satélite utilizada por civiles y tropas en Ucrania. Ese ciberataque causó «una enorme pérdida en las comunicaciones al inicio de la guerra», según el jefe de la agencia de ciberseguridad defensiva de Ucrania, Victor Zhora.
También ha habido hasta seis ataques contra distintos objetivos ucranianos que involucraban malware wiper, el código informático malicioso diseñado para destruir datos.
Todos estos ataques fueron en apoyo de las operaciones militares, no actos de guerra per se, lo que aún podría significar que la «ciberguerra es un término muy engañoso y que, como tal, no sucederá», afirma Stefano Zanero, profesor asociado del Departamento de Ingeniería Informática del Politecnico di Milano (Italia).
Según Lesley Carhart, investigadora de la empresa de ciberseguridad industrial Dragos y veterana de la Fuerza Aérea de EE UU, , estos ataques muestran que «[la ciberbatalla] es solo una parte de la guerra», que aún puede tener un papel importante, y seguirá teniéndolo”.
«Yo antes decía que casi todo lo que la gente describía como ciberguerra era en realidad ciberespionaje, pero en los últimos años, ese no está siendo el caso«, indica Eva Galperin, directora de ciberseguridad de Electronic Frontier Foundation.
Los temores iniciales eran que los hackeos rusos podrían conducir directamente a daños físicos. Aunque eso no ha sucedido.
Una de las razones por las que los ciberataques no han tenido un papel más importante en la guerra, según Carhart, es porque «en todo el conflicto, vimos que Rusia no estaba preparada para algunas cosas y no tenía un buen plan de juego. Así que no sorprende que veamos eso también en el cibercampo».
Además, bajo el liderazgo de Zhora y su agencia de ciberseguridad, Ucrania ha estado trabajando en sus ciberdefensas durante años y ha recibido el apoyo de la comunidad internacional desde que comenzó la guerra, según los expertos. Finalmente, un giro interesante en el conflicto en internet entre Rusia y Ucrania fue el surgimiento de la cibercoalición internacional descentralizada, conocida como el Ejército de TI (IT Army), que logró algunos hackeos significativos, lo que demuestra que la guerra en el futuro también puede ser librada por los hacktivistas.
El ransomware va desenfrenado, de nuevo
Este año, además de las habituales corporaciones, hospitales y escuelas, las agencias gubernamentales en Costa Rica, Montenegro y Albania también sufrieron graves ataques de ransomware. En Costa Rica, el Gobierno declaró una emergencia nacional por primera vez después de un ataque de ransomware. Y en Albania, el Gobierno expulsó a los diplomáticos iraníes del país tras un ciberataque destructivo. Fue la primera vez que sucedía esto en la historia de la ciberseguridad.
Estos tipos de ciberataques alcanzaron su punto más alto en 2022, una tendencia que probablemente continuará el próximo año, según Allan Liska, investigador dedicado a ransomware en la empresa de ciberseguridad Recorded Future.
«[El ransomware es] no solo un problema técnico, como un ladrón de información u otro malware básico. Tiene implicaciones geopolíticas en el mundo real», advierte Liska. En el pasado, por ejemplo, el ransomware de Corea del Norte llamado WannaCry causó una grave interrupción en el Sistema Nacional de Salud de Reino Unido y afectó a unos 230.000 ordenadores en todo el mundo.
Afortunadamente, no todo son malas noticias en el campo del ransomware. Según Liska, hay algunas primeras señales que apuntan a «la muerte del modelo de ransomware como servicio», donde las pandillas de ransomware arriendan sus herramientas de hackeo. La razón principal, explica el investigador, es que cada vez que una pandilla crece demasiado, «algo malo les pasa».
Por ejemplo, los grupos de ransomware REvil y DarkSide/BlackMatter fueron atacados por varios gobiernos. Conti, una pandilla rusa de ransomware, se deshizo internamente cuando un investigador ucraniano filtró chats internos horrorizados por el apoyo público de Conti a la guerra. Por último, LockBit también sufrió la filtración de su código.
«Vemos que muchos de los afiliados deciden que tal vez no quieren ser parte de un gran grupo de ransomware porque todos tienen una diana en la espalda, lo que significa que esa persona también podría tener otra diana, y solo quieren llevar a cabo su ciberdelito», señala Liska.
«Los adversarios están empezando a darse cuenta de que no quieren estar bajo un nombre específico que atraiga la atención del Gobierno de EE UU, o de otros socios internacionales», resalta Katie Nickels, directora de inteligencia de Red Canary.
Además, tanto Liska como Brett Callow, investigador de seguridad de Emsisoft y especialista en ransomware, , enfatizan que la acción policial -incluida la cooperación internacional entre gobiernos-, fue más frecuente y efectiva este año, lo que sugiere que quizás los gobiernos estén comenzando a avanzar contra el ransomware.
Sin embargo, la guerra en Ucrania puede dificultar la cooperación internacional. En enero de este año, el Gobierno ruso indicó que estaba cooperando con EE UU cuando anunció el arresto de 14 miembros de REvil, así como la incautación de ordenadores, coches de lujo y más de 5 millones de dólares (4,8 millones de euros). Pero esta cooperación sin precedentes no duró. Tan pronto como Rusia invadió Ucrania, no pudo continuar la cooperación con el Gobierno de Vladimir Putin.
«Cuando se trata de eliminar realmente el ransomware desde la fuente, creo que, desafortunadamente, dimos un paso atrás», opina Christine Bejerasco, directora de tecnología de la compañía de ciberseguridad WithSecure.
El criptomundo sigue siendo lo que era
La criptomoneda no solo fluyó desde las víctimas del ransomware a los hackers; en 2022, también fluyó directamente de los criptoproyectos y las empresas Web3. Este año, se generalizaron los hackeos de criptodivisas, que han estado ocurriendo desde que se inventaron las criptomonedas, y los hackers robaron al menos 3.000 millones de dólares (2.899 millones de euros) en criptomonedas durante 2022, según Chainalysis, empresa de rastreo de blockchain. (Elliptic, otra empresa de tracking de criptomonedas, estimó el robo total en 2.700 millones de dólares, o 2.609 millones de euros).
Hubo más de 100 víctimas de las criptomonedas a escala mundial; en la actualidad, existen webs y cuentas de Twitter dedicadas específicamente a monitorizar estos ataques, que parecían ocurrir casi a diario. Quizás el más significativo de todos fue el hackeo del protocolo Nomad, donde un hacker encontró una vulnerabilidad y comenzó a drenar esos fondos. Como las transacciones del hacker eran públicas, otros se dieron cuenta y simplemente copiaron y pegaron el exploit, lo que condujo al «primer robo descentralizado» de la historia. Hace solo unas semanas, los hackers accedieron al servidor donde la plataforma del intercambio de criptomonedas Deribit tenía sus billeteras, sacando 28 millones de dólares (27 millones de euros).
También hubo buenas noticias en el criptomundo. Stephen Tong, cofundador de la empresa de seguridad blockchain Zellic, ha afirmado que una «gran nueva ola » de profesionales de la ciberseguridad seguirá llegando a la criptoindustria y creará «la infraestructura, las herramientas y las prácticas necesarias para hacer las cosas de manera segura».
Tal Be’ery, veterano de ciberseguridad que ahora trabaja como CTO de la app de criptobilletera ZenGo, resalta que existen «bloques de construcción» para que las soluciones de ciberseguridad sean específicas para las criptomonedas y las blockchains, que «insinúan que el futuro sería más seguro».
«Creo que empezaremos a ver algunos indicios de soluciones en 2023», resalta Be’ery, «pero la ventaja la seguirán teniendo los atacantes».
Un conjunto de atacantes que tuvo un gran éxito este año fue el grupo conocido como Lapsus$. Los hackers atacaron a los proveedores de la cadena de suministro de software como Okta, la empresa que gestiona el acceso y la identidad a otras empresas. Eso permitió a los hackers infiltrarse en algunas empresas de renombre como Microsoft, Nvidia y Rockstar Games.
«Los atacantes buscan el camino de menor resistencia, y uno de esos caminos son algunos proveedores de infraestructura «, asegura Zanero, quien destaca que los ataques a la cadena de suministro son tanto el presente como el futuro, porque algunos proveedores, especialmente las empresas de ciberseguridad, tienen una gran presencia en varias industrias.
«Los adversarios siguen teniendo un impacto significativo, sin tener que usar necesariamente habilidades avanzadas», concluye Nickels.