La idea de que los gobiernos y los ejércitos utilicen malware como “arma” en contextos de tensión geopolítica fue una incipiente teoría que comenzó a materializarse a partir de 2010 con el crecimiento de los ataques dirigidos utilizando malware, donde probablemente los ataques fueron patrocinados por un Estado nación. Y lamentablemente son varios los ejemplos que podemos encontrar en 2022 en los que se ha utilizado malware como arma de propagación masiva para generar desestabilización, principalmente a partir del conflicto entre Rusia y Ucrania. El conflicto geopolítico entre ambos países dejó en claro el potencial de las amenazas informáticas y provocó que se tome algo más de conciencia sobre los riesgos y el alcance de los ataques a infraestructuras y servicios críticos a nivel global.
Este artículo forma parte de la serie Tendencias en ciberseguridad para el 2023: ¿en las puertas de una nueva revolución de Internet?
Ataques a infraestructuras críticas: una constante en los últimos años
Cuando hablamos de infraestructuras críticas nos referimos a sistemas, tanto digitales como físicos, que brindan servicios esenciales para la sociedad y que su afectación por un ciberataque puede llegar a provocar un impacto grave sobre la seguridad, economía, política, energía, salud, comunicaciones, transporte, o cualquier otro sector crítico de un país.
El primer hito en torno a los ataques a este tipo de infraestructuras se remonta al 2010 con la aparición de Stuxnet, un malware que explotaba una vulnerabilidad zero-day para la ejecución de código malicioso alojado en un dispositivo USB. Posteriormente se conocieron sus derivados, incluidos Duqu y Flame.
El código de Stuxnet contaba con instrucciones para realizar ataques específicos a sistemas de control industrial SCADA (Supervisory Control And Data Acquisition), los cuales son utilizados en operaciones que van desde el control automático de edificios inteligentes hasta el control de sistemas en plantas de energía nuclear. Se trató de un ataque dirigido y del primer malware descubierto apuntando a sistemas de control industrial. Pero esté fue solo uno de otros tantos que surgieron después.
En 2012 se conoció el troyano BlackEnergy, el cual fue utilizado para realizar ataques DDoS, campañas de ciberespionaje y ataques de destrucción de información. BlackEnergy se utilizó en diversas campañas contra organizaciones de todo tipo, incluidas las gubernamentales, diplomáticas, de medios de comunicación, de transporte, pero el ataque más notable fue contra la red eléctrica de Ucrania el 23 de diciembre de 2015. En esa oportunidad alrededor de la mitad de los hogares de una región ucraniana llamada Ivano-Frankivsk se quedaron sin electricidad durante horas. Los ataques utilizando BlackEnergy se intensificaron desde finales de 2013 y principios de 2014.
Dos años después, en 2014, se detectó otro malware diseñado para atacar sistemas industriales de fabricantes de aplicaciones industriales y máquinas en Europa y los Estados Unidos. Se trataba de Havex, un troyano de acceso remoto (RAT) capaz de recolectar datos de sistemas de control industrial. El ataque fue aparentemente un intento de recolectar inteligencia necesaria para ejecutar posteriormente ataques dirigidos a infraestructuras utilizando hardware de los fabricantes seleccionados.
En 2016 la red eléctrica de Ucrania se vio afectada por otro ciberataque que dejó durante una hora sin suministro eléctrico a una parte de su capital, Kiev. El malware utilizado en esta oportunidad fue denominado Industroyer. Esta amenaza es capaz de controlar los interruptores de subestaciones eléctricas utilizando protocolos de comunicación industrial implementados en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas de infraestructura crítica, como agua y gas.
En los años siguientes continuaron evolucionando las herramientas utilizadas para atacar sectores como el energético o financiero y en 2017 llegó NotPetya. Un disruptivo y falso ransomware que mostraba un mensaje de rescate, pero que su verdadera intención no era obtener ganancias económicas, sino interrumpir y generar caos. Y la realidad es que lo logró, ya que paralizó a toda Ucrania: las personas no podían pagar en las terminales de punto de venta de los supermercados o comprar gasolina en las estaciones de servicios, con todo lo que eso implica. Si esto no era suficiente, unas horas después su potencial destructivo comenzó a distribuirse a nivel global. Esto fue posible debido a que NotPetya se propagó como un gusano utilizando el exploit EternalBlue (el mismo que utilizó el ransomware WannaCry), convirtiéndose en una amenaza global.
Ataques a infraestructuras críticas en la actualidad: las consecuencias del conflicto geopolítico entre Rusia y Ucrania
El 24 de febrero de 2022 comenzó la guerra entre Rusia y Ucrania. Sin embargo, el día anterior, apenas unas horas antes de la invasión rusa a tierras ucranianas, se detectó actividad ofensiva en el ámbito digital. ESET y otras compañías de ciberseguridad detectaron en varias organizaciones de alto perfil en Ucrania la actividad de un malware del tipo wiper llamado HermeticWiper. El objetivo principal de este código malicioso era borrar datos de las organizaciones víctimas. Por esta intención es que suele describirse al malware del tipo wiper como “destructivo”.
Cientos de computadoras en Ucrania fueron comprometidas por HermeticWiper pocas horas después de que una ola de ataques de DDoS dejara fuera de servicio varios sitios web de entidades ucranianas. HermeticWiper fue identificado en poco más de cien equipos de al menos cinco organizaciones y el objetivo era hacer que los sistemas queden inoperativos al corromper los datos e impedir el inicio del sistema, de forma que cualquier los servicios públicos afectado sea inaccesibles.
A nivel técnico, HermeticWiper sobrescribe el registro de arranque maestro (MBR por sus siglas en inglés), la tabla de archivos maestros, los archivos que contienen las claves de registro y borra varias otras ubicaciones en el disco con bytes aleatorios. También desactiva las copias automáticas para dificultar los esfuerzos de recuperación de los defensores. La marca de tiempo del ejecutable sugiere que se compiló el 28 de diciembre de 2021, por lo que el malware se preparó con varios meses de anticipación.
Unas semanas después, el 14 de marzo, la telemetría de ESET identificó la propagación de un tercer wiper (en apenas tres semanas) denominado CaddyWiper en alrededor de una docena de sistemas en un número limitado de organizaciones en el sector financiero ucraniano. Un análisis posterior del malware sugiere que CaddyWiper se compiló el mismo día que se implementó en las redes a las que atacó.
La propagación de CaddyWiper se implementó a través de políticas de grupo, lo que se sugiere que los atacantes tenían control previo de las redes a las que apuntaba, algo que normalmente ocurre en los ataques dirigidos. Técnicamente, este wiper abusa de los controladores del software de partición de disco legítimos.
El 8 de abril, el CERT de Ucrania (CERT-UA) dio respuesta a un incidente cibernético que afectó a un proveedor de energía que fue atacado con una pieza de malware. El análisis del programa malicioso reveló que la amenaza se trataba de una nueva versión de Industroyer, apodada Industroyer 2, ya que comparte similitudes de código con la primera versión. Recordemos que, como mencionamos anteriormente, Industroyer fue el malware que provocó un apagón en 2016 en la capital de Ucrania tras un ataque a una red eléctrica.
En el ataque de abril de 2022, Industroyer2 intentó desplegar adicionalmente otros wipers para amplificar el impacto de la interrupción y a su vez eliminar sus rastros para dificultar la investigación del incidente.
Retomando el tema del uso de malware por parte de actores de amenazas para fines disruptivos, es importante destacar el rol de algunos grupos de actores de amenazas como Sandworm, el cual ha sido vinculado a Rusia, y que tiene un largo historial de ataques a infraestructuras críticas —sobre todo de Ucrania— y se le adjudican los ataques de BlackEnergy, Telebots, NotPetya, Industroyer, e incluso los que en el último año afectaron apuntaron a ucrania, como Industroyer 2, CaddyWiper, o RansomBoggs, entre otros.
¿Ataques a infraestructuras críticas en Latinoamérica?
De acuerdo con los datos de la telemetría de ESET y los trabajos de investigación, aún no se han identificado ataques a infraestructuras críticas que tengan como objetivo primordial la desestabilización en Latinoamérica. Sin embargo, esto no significa que las organizaciones que administran servicios críticos no sean objetivo de ciberataques o que no hayan sufrido algún incidente de ciberseguridad.
De hecho, las organizaciones del sector público y aquéllas pertenecientes a los sectores críticos también se han visto afectadas principalmente por ataques relacionados al ciberespionaje, ransomware y filtraciones de información (cabe aclarar se entiende como organismo gubernamental a cualquier institución o entidad creada para una función específica a cargo de la administración del Estado).
Hasta el momento de escribir este artículo, en diciembre de 2022, el conflicto geopolítico aún continúa y las consecuencias colaterales de esta guerra para el resto de los países aún son difíciles de predecir, pero sí obligan a las organizaciones y gobiernos a estar preparadas a eventuales escenarios que puedan derivar. Como puede ser, por ejemplo, que se produzcan ataques como represalia por decisiones económicas o de otra naturaleza en contra de alguno de los países involucrados en el conflicto.
Campañas de ciberespionaje a organismos de gobierno en América Latina
El laboratorio de investigación de ESET está constantemente descubriendo y analizando nuevas campañas con fines de ciberespionaje alrededor del mundo, incluso algunas que apuntan a organismos gubernamentales en Latinoamérica. En muchos de estos ataques los cibercriminales buscan implantar programas maliciosos que buscan mantenerse ocultos sin ser detectados el mayor tiempo posible para realizar distintas acciones maliciosas comandadas remotamente por los cibercriminales. Por ejemplo, robar información de interés o interrumpir las operaciones mediante la descarga de un malware adicional, como puede ser un ransomware.
Entre los ejemplos que encontramos en América Latina más recientes podemos mencionar dos campañas: Operación Discordia y Pulpo Rojo. La primera se registró a comienzos de 2022 y cibercriminales infectaron los sistemas de empresas y organismos gubernamentales de Colombia con el troyano de acceso remoto njRAT. Este malware es capaz de obtener información sensible sobre la máquina víctima mediante la toma de capturas de pantallas, registro de pulsaciones del teclado o el registro de audio y video. Toda esta información que recolecta el programa malicioso es enviada a los servidores controlados por los atacantes.
En el caso de Pulpo Rojo, esta campaña maliciosa se centró en Ecuador y apuntó a organismos gubernamentales, organizaciones del sector de la salud y compañías privadas de distintas industrias. El malware utilizado fue Remcos, otro troyano de acceso remoto que permite a los actores realizar remotamente diversas acciones maliciosas en los equipos infectados.
Las campañas de ciberespionaje operan con la modalidad de ataques dirigidos y emplean herramientas maliciosas para la obtención de información sensible, con las implicaciones que pueda tener para los organismos públicos y, en consecuencia, para los gobiernos.
Ataques de ransomware a gobiernos e infraestructuras críticas
En la actualidad ningún sector o industria está exento de padecer algún ciberataque de cualquier índole, no solo ciberespionaje. Si bien el sector privado suele ser un blanco común de ataques de ransomware, también lo es el sector público. A partir de 2019 se registraron ataques de ransomware a organismos gubernamentales en varios países alrededor del mundo.
Después de los ataques de ransomware que afectaron a infraestructuras críticas en 2021, como el ocurrido en la petrolera Colonial Pipeline que provocó la interrupción del suministro de combustible o el ataque de cadena de suministro a Kaseya, un servicio utilizado para administrar la infraestructura tecnológica de empresas que provocó la infección con el ransomware REvil a miles de compañías a nivel global, se observó que en 2021 y en 2022 se acentuó la tendencia a los ataques de ransomware a organismos gubernamentales; sobre todo de América Latina.
El ejemplo más destacado fue la ola de ataques de ransomware que afectó a 27 organismos públicos de Costa Rica y que provocó la interrupción de las importaciones y de servicios que se ofrecen a la ciudadanía. La magnitud fue tal que incluso llevó a que el gobierno declare la emergencia nacional. Pero además de lo que ocurrió con el país centroamericano, los organismos gubernamentales de muchos otros países latinoamericanos fueron víctimas de ransomware en 2022 con todo lo que eso implica: el riesgo de interrupción de servicios críticos, la exposición de información personal de la ciudadanía, o incluso el aumento de la posibilidad de poder sufrir un nuevo ataque.
Pero más allá de estos ataques de ransomware y de las campañas con fines de espionaje que mencionamos anteriormente, los organismos públicos son atractivos para actores menos sofisticados o con menos pretensiones. A comienzos de 2022 se conocía que cibercriminales estaban ofreciendo para la venta en foros de la dark web 1.753.658 credenciales de acceso de más de 49 mil sitios pertenecientes a organismos públicos que fueron infectados con malware. En otros casos se ofrecen para la venta accesos para redes internas. Todo esto nos demuestra que el sector público es de interés para todo tipo de delincuentes, incluso para aquellos que tienen poca experiencia.
Ciberseguridad, un asunto de seguridad nacional
Año tras año vemos cómo los actores de amenazas buscan evolucionar e intentan mejorar sus técnicas y herramientas para lanzar campañas maliciosas con objetivos muy diversos, como pueden ser generar desestabilización, obtener ganancias económicas o recolectar información sensible que puede ser utilizada de diversas maneras. Estos ataques no solo atañen a usuarios o empresas, sino también a gobiernos e incluso a sectores críticos.
Algunas de las principales razones por las que los organismos gubernamentales y sectores críticos son un blanco de interés para los actores maliciosos están relacionados con la continuidad de los servicios que ofrecen y el impacto que provoca un ataque de esta naturaleza, la sensibilidad e importancia de la información que operan, la posible falta de inversión en seguridad o la probable falta de capacitación.
Esta tendencia es esperable que continúe en el corto y mediano plazo y hasta el momento ha quedado claro no solo que los gobiernos son blancos frecuentes, sino también que no son inmunes a los cibercriminales. Todo esto, sumado al conflicto geopolítico, sus consecuencias y también los coletazos que provocó para el resto del mundo, hizo que la preocupación por este tipo de ataques haya cobrado mayor relevancia y ha llevado a que hoy la ciberseguridad sea un tema de interés y de relevancia nacional.
Lamentablemente, la probabilidad y el impacto de los ciberataques a los organismos asociados a infraestructuras críticas crecen día con día y probablemente seguirán ocurriendo en el futuro cercano. Por estas razones, los gobiernos no deben descartar ni minimizar los riesgos de ciberataques y deberán contemplar diversos propósitos. Todas estas condiciones nos obligan a estar cada vez más preparados ante un riesgo real, latente e inminente.
Invitamos a escuchar el episodio de diciembre del podcast Conexión Segura, donde los investigadores de ESET hablaron en profundidad de estas tres tendencia y explicaron cuáles son los desafíos para la ciberseguridad.