Tendencias en contexto de ciberguerra

En este post desarrollaremos un extracto del informe “CCN-CERT IA-35/23 Ciberamenazas y Tendencia " el cual aborda un panorama que podemos considerar crítico en la historia de la ciberseguridad, este se enfoca en los acontecimientos de 2022. Siendo este un período excepcional no solo por el inicio del conflicto armado en Ucrania debido a la invasión rusa, sino también por el impacto significativo que estos eventos tuvieron en el ciberespacio.

Ha sido representativa la sinergia sin precedentes observada entre las operaciones militares tradicionales y las ciberoperaciones, marcando un punto de inflexión en la naturaleza de la guerra moderna. Además, se destaca un aumento no solo en la actividad sofisticada de grupos de ciberatacantes sino también en su nivel de hostilidad. Este escenario global proporcionó un contexto único para entender cómo los eventos geopolíticos y las crisis pueden dar forma y transformar el panorama de las ciberamenazas y las estrategias de ciberseguridad a nivel mundial.

Algunos puntos destacados

1- Desarrollo de la inteligencia artificial: OpenIA con su publicación de ChatGPT le ha dado la posibilidad a todo tipo de público a interactuar con directamente con un modelo de IA, no hubo demoras en la identificación de las posibilidades en el campo de la ciberseguridad (tanto para protección, como para el adversario)

2- Vulnerabilidades de día cero: Si bien las cifras analizadas no superan el récord, el número de vulnerabilidades de día 0 explotadas ha sido muy alto y alcanzan valores muy superiores a los registrados en 2020 y años anteriores.

Reporte de Mandiant - Zero Days explotados
3- Conjunción de “Conflictos Multidominio”: En 2022, se observó por primera vez una operación conjunta en el ciberespacio en una etapa de madurez considerable. Esto incluyó la coordinación de operaciones cibernéticas, el uso de drones y tecnología civil para fines militares. Los ataques se dirigieron a servicios esenciales ucranianos, incluyendo entidades financieras, agencias de noticias y subestaciones eléctricas.

4- Involucración de Personal Civil en Hacktivismo: Grupos e individuos civiles participaron en campañas de hacktivismo, ya sea contra entidades ucranianas o contra organismos de países que apoyaban a Ucrania. Esto incluyó campañas de denegación de servicio utilizando botnets IoT.
5- Campañas de Phishing Relacionadas con el Conflicto:
El conflicto en Ucrania fue utilizado en numerosas campañas de phishing, lo que demuestra una vez más, como eventos geopolíticos importantes pueden influir en las estrategias de ciberataques.

El uso de temas de actualidad es una cuestión recurrente en los grupos de cibercrimen. En 2022 tuvo lugar el mundial de futbol de Catar, observándose un incremento de actividad desde diferentes tipos de grupos en relación a la temática. En la misma línea, también se ha observado el registro de dominios utilizando técnicas de typosquatting para la suplantación de dominios asociados con la FIFA.

6- Actividades de Grupos APT: El informe también se detallan las actividades de los grupos APT (Amenazas Persistentes Avanzadas) más relevantes, resaltando la sofisticación y la variedad de sus operaciones. Entre algunos podemos mencionar acciones de ciberguerra dentro de operaciones que tienen el objetivo de impactar en el plano físico. Grupos APT como Sandworm y APT28 han participado en la operación militar contra Ucrania.

Esquema de operación - Sandworm

7- Cibercrimen Durante la Pandemia: Se registró una disminución en los incidentes de cibercrimen durante la pandemia (2020-2022), atribuida a la interrupción de las actividades criminales y la falta de visibilidad sobre la actividad de los usuarios. Sin embargo, hubo un resurgimiento notable en la actividad de Emotet en 2022, con nuevas técnicas para evadir la detección.

TOP Malware detectado en 2022
8- Técnicas en Ciberamenazas mejoradas: Se observaron técnicas con más desarrollo, específicamente en el uso de malware, explotación de aplicaciones y servicios públicos, obtención de información de organizaciones, y uso de servicios de acceso remoto para ganar acceso inicial o persistencia en redes. Por ejemplo, en las operaciones de ransomware se han visto con capacidades de postexplotación con más funciones automatizadas. Es interesante mencionar la proliferación del uso de Telegram como método de exfiltración de la información, además de la utilización de dominios dinámicos.

Top grupos ransomware por número de incidentes

9- Impacto del Desarrollo Tecnológico y Teletrabajo: El rápido desarrollo tecnológico y la adopción del teletrabajo durante la pandemia crearon nuevas oportunidades para los ciberdelincuentes, que comenzaron a explotar servicios de acceso remoto y paneles web administrativos expuestos públicamente.

10- Auge de Malware Infostealer: Se vio un incremento en el uso de malware infostealer (robadores de información), con operadores ofreciendo su uso como servicio. Este tipo de malware es utilizado para recolectar información sensible, como contraseñas y datos de criptomonedas. Aunque existen familias de malware infostealer de código abierto, es habitual que los diferentes operadores ofrezcan su uso como servicio (malware-as-a-service), con diferentes opciones de alquiler a gusto de sus clientes.

Conclusión

El informe Ciberamenazas y Tendencias (CCN-CERT IA-35/23) es una evidencia más del dinámico y, generalmente, turbulento mundo del ciberespacio de los últimos años. A través de un análisis de los eventos de 2022 y las tendencias emergentes en 2023, queda claro que hay una rápida evolución, influida por factores geopolíticos y avances tecnológicos. La invasión de Ucrania por Rusia no solo asentó un cambio en la naturaleza de la guerra convencional, sino que también refuerza al ciberespacio como un campo de batalla activo con nuevas tácticas y estrategias.

Se resalta la importancia de la “vigilancia”, la adaptación y la innovación continua en el ámbito de la ciberseguridad. La continua sofisticación de los ciberataques, el uso innovador de tecnologías para fines de espionaje y sabotaje, y el auge del cibercrimen, mezclados con la era del teletrabajo, ponen de manifiesto la necesidad de estrategias de seguridad robustas y “multidimensionales” para mejorar las protecciones.