Internacional

Cumbre OTAN: las ciberamenazas que afronta la Alianza

La Alianza tiene el reto de frenar las ciberactividades maliciosas perpetradas por agentes patrocinados por gobiernos, hacktivistas y delincuentes.

John Hultquist, analista jefe de Mandiant Intelligence.

13 minutos

Agentes alentados por gobiernos, hacktivistas y delincuentes buscan socavar el orden internacional con ciberamenazas.

Coincidiendo con una cumbre histórica de los miembros y socios de la Organización del Tratado del Atlántico Norte (OTAN), es importante hacer balance de uno de sus retos más urgentes: las ciberamenazas. La Alianza se enfrenta a un aluvión de ciberactividades maliciosas de todo el mundo, perpetradas por agentes patrocinados por gobiernos, hacktivistas y delincuentes envalentonados como para cruzar todas las líneas y realizar actividades que antes se creían improbables o inconcebibles. Además de los objetivos militares, la OTAN debe tener en cuenta los riesgos que las amenazas híbridas, como las ciberactividades maliciosas, plantean a los hospitales, la sociedad civil y otros objetivos, lo que podría afectar a la resiliencia en determinadas situaciones. La guerra de Ucrania está, sin duda, relacionada con la intensificación de las ciberamenazas, aunque muchas de estas amenazas seguirán creciendo por separado y en paralelo.

"La guerra de Ucrania está, sin duda, relacionada con la intensificación de las ciberamenazas"

 

La OTAN debe luchar contra ciberagentes maliciosos agresivos y encubiertos que tratan de recabar información, que se preparan para atacar o ya atacan infraestructuras críticas, y que trabajan para socavar la Alianza con complejos planes de desinformación. Para proteger a sus clientes, Google sigue de muy cerca las ciberamenazas, incluidas las que se desgranan en este informe. No obstante, esto es solo la punta de un iceberg mucho más masivo y en constante evolución.

Ciberespionaje

Los adversarios de la OTAN llevan tiempo tratando de aprovechar el ciberespionaje para conocer la disposición política, diplomática y militar de la Alianza, así como para robar sus tecnologías de defensa y secretos económicos. De hecho, la inteligencia sobre la Alianza será particularmente importante en los próximos meses. La cumbre de este año es un período de transición, con el nombramiento de Mark Rutte como nuevo secretario general y una serie de adaptaciones que se espera que se pongan en práctica para reforzar la postura de defensa de la Alianza y su apoyo a largo plazo a Ucrania. Si el ciberespionaje de los agentes de amenazas tiene éxito, podría socavar la ventaja estratégica de la Alianza e informar a los líderes adversarios sobre cómo anticiparse y contrarrestar las iniciativas e inversiones de la OTAN.

El ciberespionaje busca robar las tecnologías de defensa

Agentes de todo el mundo con diversas capacidades tienen a la OTAN como blanco de sus actividades de ciberespionaje. Muchos se siguen basando en métodos técnicamente sencillos, pero operativamente eficaces, como la ingeniería social. Otros han evolucionado y elevado sus técnicas de espionaje a niveles que los convierten en adversarios formidables incluso para los defensores más experimentados.

APT29 (ICECAP)

El grupo APT29, que varios gobiernos atribuyen públicamente al Servicio de Inteligencia Exterior (SVR) ruso, se centra en gran medida en la recopilación de inteligencia diplomática y política, principalmente de Europa y los Estados miembros de la OTAN. APT29 ha estado implicado en múltiples y notorios ataques a empresas tecnológicas, diseñados para obtener acceso al sector público. El año pasado, Mandiant observó que APT29 se dirigía a empresas tecnológicas y proveedores de servicios informáticos de países miembros de la OTAN para facilitar los ataques a terceros y a la cadena de suministro de software de organizaciones gubernamentales y políticas. Este agente es un gran experto en entornos en la nube y es especialmente hábil en lo que respecta a ocultar sus huellas, lo que dificulta su detección y seguimiento, y hace que sea muy difícil de eliminar de las redes comprometidas.

"El Servicio de Inteligencia Exterior ruso recopila inteligencia diplomática y política, principalmente de Europa y los Estados miembros de la OTAN"

 

APT29 también cuenta con un largo historial de campañas de phishing personalizado contra miembros de la OTAN, centradas sobre todo en entidades diplomáticas. En varias ocasiones, ha logrado acceder a agencias ejecutivas de Europa y EE.UU. Asimismo, los hemos visto atacar activamente a partidos políticos de Alemania y EE.UU., probablemente con el objetivo de recabar información sobre sus futuras políticas una vez en el gobierno.

Ciberespionaje desde China

La actividad de ciberespionaje desde China ha evolucionado de forma significativa en los últimos años, alejándose de las operaciones ruidosas y fáciles de atribuir para centrarse más en el sigilo. Las inversiones técnicas han aumentado el desafío para los defensores y brindado apoyo a exitosas campañas contra objetivos gubernamentales, militares y económicos en los Estados miembros de la OTAN.

El ciberespionaje chino se apoya cada vez más en técnicas como:

Enfocarse en el borde de la red y explotar vulnerabilidades de día cero en dispositivos de seguridad y otras infraestructuras de red con conexión a internet, para reducir las oportunidades de detección de los defensores. Al recurrir menos a la ingeniería social, estos operadores han reducido las probabilidades de ser identificados por usuarios o controles relacionados. En 2023, estos agentes explotaron 12 zero days (vulnerabilidades de software o hardware que el proveedor desconoce, sin parche o solución disponible y que pueden explotarse antes de poder tratarse), muchos de los cuales se encontraban en productos de seguridad situados en el borde de la red. Estos productos suelen carecer de capacidad de detección en el punto final, lo que los convierte en una cabeza de puente ideal en las redes comprometidas.

Usar redes de cajas de retransmisión operativas (ORB) para ocultar el origen del tráfico malicioso. Los agentes de amenazas ocultan su tráfico malicioso a través de proxies, que actúan como intermediarios entre ellos e internet. Aunque estos proxies pueden rastrearse de forma fiable, los agentes están ahora grandes redes efímeras de ORB de proxies compartidos y comprometidos. Estas redes son muy difíciles de rastrear y complican la capacidad de los defensores para compartir información sobre la infraestructura.

Reducir las oportunidades de detección de los defensores mediante Living-off-the-Land. Algunos agentes no recurren al malware y aprovechan otros métodos para realizar intrusiones. Estas técnicas Living-off-the-Land utilizan herramientas, características y funciones legítimas que están disponibles en el sistema para atravesar las redes y realizar una actividad maliciosa. Los defensores están en seria desventaja sin la capacidad de detectar malware y son menos capaces de compartir información sobre la actividad relacionada.

Estas técnicas no solo las aprovechan los agentes de amenazas chinos. Los agentes rusos como APT29, APT28 y APT44 también las han utilizado.

Agentes rusos y chinos están detrás de muchos ataques.

Ciberataques disruptivos y destructivos

Los ciberataques disruptivos y destructivos han aumentado, con consecuencias directas e indirectas para la alianza de la OTAN. En los últimos años, los agentes estatales iraníes y rusos han demostrado estar dispuestos a realizar estos ataques contra miembros de la OTAN, aunque escondan sus manos tras falsos frentes que se atribuyen públicamente el mérito de las operaciones. Por ejemplo, Mandiant describió un ataque destructivo en 2022 contra el gobierno de Albania del que se atribuyó la autoría a un supuesto grupo hacktivista llamado “HomeLand Justice”, aunque finalmente el gobierno de Estados Unidos atribuyó el ataque a agentes iraníes.

Algunos agentes estatales también están comprometiendo la infraestructura crítica de los miembros de la OTAN en la preparación de futuras alteraciones, al tiempo que ponen sobre la mesa su capacidad para llevar a cabo complejos ataques contra sistemas tecnológicos operativos altamente sensibles en Ucrania. Esta actividad demuestra que estos agentes tienen los medios y la motivación para perturbar infraestructuras críticas de la OTAN.

"Algunos agentes estatales también están comprometiendo la infraestructura crítica de los miembros de la OTAN"

 

Además de los ciberataques de agentes estatales, las alteraciones causadas por hacktivistas y delincuentes ya no son una molestia que pueda ignorarse con facilidad. El resurgimiento mundial de los hacktivistas ha provocado ataques significativos contra los sectores público y privado, y la actividad criminal se ha vuelto tan devastadora que ya es un asunto de seguridad nacional.

APT44 

APT44 ha estado implicado en muchos de los ciberataques disruptivos más notorios del mundo, incluido el ataque destructivo global NotPetya, los ataques a los Juegos Olímpicos de Pieonchang y varios apagones en Ucrania. Este agente, vinculado a la inteligencia militar rusa, ha realizado disrupciones técnicamente complejas de tecnologías operativas sensibles, así como ataques destructivos con amplios efectos. La mayoría de los ataques disruptivos en Ucrania se han atribuido a APT44 y, desde que empezó la guerra. se ha relacionado a este agente con ataques limitados en países de la OTAN.

En octubre de 2022, un agente tras el cual se sospecha que se oculta APT44 desplegó el ransomware PRESSTEA (alias Prestige) contra entidades logísticas de Polonia y Ucrania. Este ransomware no se pudo desbloquear y se convirtió de hecho en un ataque destructivo; la actividad pudo haberse diseñado para señalar la capacidad del grupo para amenazar las líneas de suministro que transportan armamento letal a Ucrania. Con esta operación, APT44 demostró estar dispuesto a utilizar una capacidad disruptiva de forma intencionada contra un país miembro de la OTAN, lo que refleja la voluntad de asumir riesgos de este grupo.

Hacktivistas

El resurgimiento mundial de la piratería informática por motivos políticos, o hacktivismo, está vinculado en gran medida a puntos de tensión geopolítica como la invasión rusa de Ucrania. A pesar de centrarse en gran medida en los Estados miembros de la OTAN, estos agentes han tenido efectos hasta ahora efectos poco sólidos. Muchas operaciones no logran causar interrupciones duraderas y, en el fondo, están diseñadas para atraer la atención y crear una falsa impresión de inseguridad.

A pesar de sus limitaciones, no se puede ignorar por completo a estos agentes. Sus ataques suelen atraer la atención de los medios de comunicación de los países afectados, y sus métodos podrían crear graves consecuencias en determinadas circunstancias. Los ataques de denegación de servicio distribuidos (DDoS) —uno de sus métodos preferidos— son relativamente superficiales, aunque podrían aprovecharse durante acontecimientos como las elecciones para tener un mayor impacto. Además, algunos hacktivistas, como el grupo prorruso Cyber Army Russia Reborn (CARR), están llevando a cabo ataques más sustanciales contra infraestructuras críticas. CARR, que mantiene turbios lazos con APT44, ya ha interrumpido los suministros de agua en instalaciones de EE.UU., Polonia y Francia en una serie de incidentes sencillos pero ostentosos.

"Los ataques de los hacktivistas suelen atraer la atención de los medios de comunicación de los países afectados"

 

Ciberdelincuentes

Las interrupciones que causa el ransomware por motivos económicos ya están causando graves consecuencias en las infraestructuras críticas de los países de la OTAN, provocando interrupciones de atención al paciente en hospitales, escasez de energía y cortes en servicios gubernamentales. Aunque algunos delincuentes han prometido no atacar estas infraestructuras críticas, otros muchos no tienen problema en hacerlo. Las instituciones sanitarias de EE.UU. y Europa han sido repetidas veces el blanco tanto de delincuentes de la órbita rusa que buscan obtener beneficios económicos como de agentes estatales norcoreanos que pretenden financiar sus actividades de espionaje. La capacidad de estos agentes para operar desde jurisdicciones con una aplicación laxa de la ciberdelincuencia o acuerdos de extradición, junto con la naturaleza lucrativa de los ataques de ransomware, sugiere que esta amenaza seguirá agravándose en un futuro próximo.

Desinformación y operaciones de información

Las operaciones de información se han convertido en una característica constante de la actividad de las ciberamenazas en la última década, en continuo crecimiento a medida que los conflictos y las tensiones geopolíticas se han intensificado. Estas operaciones abarcan una gran cantidad de tácticas, desde la manipulación de las redes sociales por parte de “granjas de trolls” hasta complejos planes que implican intrusiones en la red. Las operaciones de información rusas y bielorrusas se han dirigido especialmente contra los Estados miembros de la OTAN, con el objetivo principal de socavar la unidad y los objetivos de la Alianza.

Algunos agentes del ciberespionaje que se centran sobre todo en la recopilación de inteligencia encubierta también participan en operaciones de información. Grupos como APT28 y COLDRIVER se han aprovechado públicamente de la información robada en campañas de hackeo y filtración, mientras que otros agentes, como UNC1151, han empleado sus capacidades de intrusión en otras complejas operaciones de información. Con ello pretenden manipular la opinión pública, sembrar discordia y promover programas políticos mediante la difusión de información falsa y engañosa.

"Las operaciones de información rusas y bielorrusas se han dirigido especialmente contra los Estados miembros de la OTAN"

 

En Google, hemos trabajado arduamente en los productos, equipos y regiones para contrarrestar estas actividades cuando infringen nuestras políticas e interrumpen las campañas de operaciones de información abiertas y encubiertas. Algunos ejemplos de ello son la interrupción de canales de YouTube, blogs, cuentas de AdSense y dominios eliminados de las plataformas de Google News, tal y como informamos trimestralmente en el Boletín del TAG.

Las operaciones buscan debilitar a la OTAN

Las operaciones de Prigozhin 

A pesar de la muerte de su patrocinador, los remanentes del imperio de la desinformación del fallecido empresario ruso Yevgeny Prigozhin siguen funcionando, aunque de una forma mucho menos efectiva. Estas campañas supervivientes siguen promoviendo la desinformación y otros discursos prorrusos en múltiples plataformas de redes sociales, más recientemente con un énfasis en plataformas alternativas, en múltiples regiones.

El discurso que propagan estas operaciones piden el desmantelamiento de la OTAN e insinúan que la Alianza es una fuente de inestabilidad mundial. También critican a los dirigentes de los Estados miembros de la OTAN. Los principales acontecimientos geopolíticos, como el lanzamiento de la invasión a gran escala de Ucrania por parte de Rusia en 2022 y otras prioridades estratégicas rusa, influyen de manera significativa en el contenido que estas campañas promueven. El apoyo continuo de la OTAN y sus Estados miembros a Ucrania ha convertido a la Alianza en un objetivo principal, tanto directa como indirectamente, por su implicación en cuestiones percibidas como desafiantes para los intereses estratégicos de Rusia.

Ghostwriter/UNC1151

La campaña de operaciones de información Ghostwriter, vinculada a Bielorrusia al menos parcialmente, lleva activa desde 2016 como mínimo, y se ha dirigido principalmente a los vecinos de Bielorrusia: Lituania, Letonia, Polonia y, en menor medida, Ucrania. La campaña recibe apoyo técnico de UNC1151, un grupo de ciberespionaje conocido por sus actividades maliciosas. Ghostwriter, famoso por sus operaciones de ciberinfluencia, siempre ha dado prioridad a la promoción de discursos anti-OTAN. Por ejemplo, una operación de Ghostwriter declaró falsamente en abril de 2020 que las tropas de la OTAN eran responsables de llevar el COVID-19 a Letonia.

La actividad de Ghostwriter ha tratado de socavar a los gobiernos regionales y su cooperación en materia de seguridad. Esto incluye operaciones que aprovecharon las cuentas de redes sociales afectadas de personas polacas destacadas para promover contenidos que intentaban empañar la reputación de políticos polacos, incluso mediante la difusión de fotografías potencialmente comprometedoras. Desde 2022, las operaciones observadas de Ghostwriter han mantenido estos objetivos de campaña establecidos, al tiempo que amplían los discursos para incluir la invasión rusa. En abril de 2023, por ejemplo, una operación de Ghostwriter afirmó que Polonia y Lituania estaban reclutando a sus ciudadanos para unirse a una brigada multinacional que se desplegaría en Ucrania.

"Una operación de Ghostwriter declaró falsamente en abril de 2020 que las tropas de la OTAN eran responsables de llevar el COVID-19 a Letonia"

 

COLDRIVER

COLDRIVER es un agente de ciberespionaje ruso que se ha vinculado públicamente a la agencia de inteligencia nacional de Rusia, el Servicio Federal de Seguridad (FSB). El agente realiza con regularidad campañas de phishing de credenciales contra personal notorio de organizaciones no gubernamentales (ONG), así como contra antiguos oficiales militares y de inteligencia. Principalmente, la información que COLDRIVER robó de los buzones de correo de los afectados se ha utilizado en operaciones de hackeo y filtración. La información que COLDRIVER robó se filtró en 2022 en un intento de agravar las divisiones políticas relativas al Brexit en la política del Reino Unido. Antes de ese incidente y de las elecciones británicas de 2019, el agente filtró detalles de los acuerdos comerciales entre Estados Unidos y Reino Unido. El blanco de COLDRIVER son principalmente los países de la OTAN, aunque en 2022 pasó a incluir al Gobierno ucraniano y a organizaciones que apoyan la guerra en Ucrania. En marzo de 2022 también fue la primera vez que las campañas de COLDRIVER se dirigieron a las fuerzas armadas de varios países europeos, así como a un Centro de Excelencia de la OTAN.

Panorama

A diferencia de muchos otros ámbitos de conflicto, el ciberespacio se caracteriza por una actividad agresiva que persiste independientemente del estado de conflicto armado. No obstante, la geopolítica es un motor importante de esta actividad. De manera significativa, la invasión rusa de Ucrania ha coincidido con una actividad cibernética más audaz y temeraria contra los aliados de la OTAN. Es poco probable que estas amenazas se mitiguen a corto plazo.

Los efectos de la ciberactividad maliciosa son amplios; las ciberamenazas pueden afectar a los aliados y socios de la OTAN desde el escenario político-militar hasta los fundamentos económicos y sociales de la Alianza. Contrarrestar estas amenazas, como todo lo que hace la OTAN, requiere un compromiso colectivo de defensa. La OTAN debe confiar en la colaboración con el sector privado de la misma forma que se vale de la fuerza de los miembros que la componen. Además, debe aprovechar su mayor ventaja contra las ciberamenazas —la capacidad tecnológica del sector privado— para arrebatar la iniciativa en el ciberespacio a los adversarios de la OTAN.