Tecnología

EF Explica: ¿Cómo fue el ataque informático a Microsoft y por qué importa?

En medio de los intereses geopolíticos, las empresas de diferentes tamaños y de distintos países son afectadas por el espionaje empresarial

Por encima de las acusaciones entre Estados Unidos y China sobre el supuesto ataque cibernético de cuatro piratas informáticos chinos contra Microsoft, las empresas e instituciones deben tener claro qué sucedió y cuáles planes de contingencia adoptar para no verse afectadas si utilizan los servicios de un proveedor global.

Mientras que en el caso de Kaseya el ataque fue un secuestro de información, con fines extorsivos mediante un ransomware que afectó a 1.500 clientes de esta firma, el de Microsoft —ocurrido en marzo anterior— comprometió a decenas de miles de servidores de correo electrónico de Microsoft Exchange en todo el mundo.

Los especialistas advierten tanto de la evolución y sofisticación de los ataques como de los objetivos “económicos” de los mismos, que incluyen robo de datos de las empresas y, en especial, de sus secretos de negocios, de sus investigaciones, de sus proyectos y de su propiedad intelectual. También, que si bien en estos ataques publicados las víctimas son grandes proveedores, las empresas de todos los tamaños se ven afectadas.

Recientemente también se hizo público el caso del software de espionaje Pegasus de la firma israelí NSO Group.

“Las empresas deben estar alertas porque los ataques se dirigen a servicios que utilizan, como el caso del sistema de correos electrónicos de Microsoft, por un lado. Por el otro, los ciberdelincuentes no hacen diferencia en el tamaño de las empresas”, dijo Alonso Ramírez, miembro de la comisión de ciberseguridad del Colegio de Profesionales de Informática y Computación (CPIC).

Por encima de que afectan la reputación de los proveedores, los ataques van diridigos a servicios que usan miles de compañías e instituciones, afectando a empresas pequeñas, medianas y grandes, impidiendo que puedan operar (si no hay disponibilidad de los servicios o de la información) o sufren robos de datos y de sus secretos de negocios, que pueden caer en manos de terceros.

“Se debe entender que estamos en otros tiempos, donde el uso de la tecnología es clave, y que se requiere una protección diferente a la que se le daba a los activos físicos. También se debe entender que las empresas deben tener respaldos de sus datos. No entender esto le pasa la factura a muchas gerencias y directivas que vienen con enfoques anteriores”, afirma Ramírez.

Tampoco son los ataques diridigos a borrar archivos, como los antiguos virus informáticos. “Estos no son ataques típicos”, insistió Ramírez.

Robo de propiedad intelectual

El ciberataque contra Microsoft en marzo anterior aprovechó fallas en el servicio Microsoft Exchange y afectó empresas, gobiernos locales y entidades de todo el mundo que utilizan su servicio de correo electrónico.

Microsoft acusó a un grupo de hackers llamado Hafnium, que operaría desde China. Se calcula que hubo un mínimo de 30.000 organizaciones víctimas del ataque, aunque algunas estimaciones elevan la cifra de afectados hasta las 250.000.

Conocidos por el robo de secretos industriales, los piratas informáticos también pueden estar motivados por el “beneficio personal”, a través de intentos de extorsión y “demandas de rescate de millones de dólares” dirigidas a empresas privadas utilizando ataques de ransomware, un tipo de software maligno (malware) que cifra los datos con el objetivo de exigir dinero a cambio de descifrarlos.

Este tipo de ataques, que los especialistas también atribuyen a atacantes rusos, están en aumento y varias grandes empresas han sido atacadas recientemente en Estados Unidos: al oleoducto de la firma Colonial Piteline paralizó la actividad durante unos días y fue atribuido por Washington a hackers rusos; también hay reportes de hackeo a la firma JBS Foods.

El gobierno de EE. UU. acusa a Rusia y a China de fomentar un ecosistema de piratas informáticos y alerta sobre los efectos económicos, aparte de los políticos. En esta ocasión, con el respaldo británico y el apoyo diplomático de la Organización del Tratado del Atlántico Norte (OTAN), EE. UU. denunció —junto al ataque a Microsoft— que los piratas informáticos chinos hackearon las computadoras de decenas de empresas, universidades y organismos gubernamentales entre 2011 y 2018.

Los hackers no se limitaron a sabotear el funcionamiento del servicio. En muchos países, incluidos Alemania e Indonesia, robaron datos que tenían que ver con vehículos autónomos, fórmulas químicas o tecnología de cadenas genéticas. El material que buscaban incluía investigaciones sobre enfermedades infecciosas como el ébola.

La acusación, que había permanecido confidencial desde mayo, procede de un jurado especial de un tribunal federal de San Diego (California), pero es improbable que los hackers sean juzgados.

La Unión Europea denunció además la actividad de piratas informáticos conocidos como APT40 y APT31 (por Amenaza Persistente Avanzada), quienes habrían llevado a cabo ataques desde China tienen “el propósito de robo de propiedad intelectual y espionaje”.

Más sofisticados

Durante la última década, según reportó The New York Times, China reorganizó sus operaciones de piratería, convirtiéndose en un “adversario sofisticado y maduro”, pasando de ataques relativamente sencillos y tímidos a empresas, organizaciones y agencias gubernamentales de todo el mundo a ataques más complejos y agresivos.

Los ataques antes se llevaban a cabo a través de correos electrónicos tipo spearphishing redactados de manera descuidada por la llamada Unidad 61398 del Ejército Popular de Liberación, con sede en Shanghai. En 2010 hubo ataques desde China contra Google y la firma de seguridad RSA.

Ahora son ejecutados por una red élite de compañías de contratistas de fachada que se enfocan en objetivos económicos (en especial, robo de información de propiedad intelectual). Los informáticos son reclutados por las mismas universidades en China, según el reporte.

En los ataques se explotan agujeros de seguridad desconocidos en los sistemas, como fue el caso del servicio de correo electrónico Exchange de Microsoft o de dispositivos de seguridad de redes virtuales privadas o VPN, en la mayoría de los casos sin que los piratas informáticos sean detectados durante mucho tiempo.

Janis Sarts, director del Centro de Comunicaciones Estratégicas de la OTAN (StratCom), con sede en Riga (Letonia), había advertido a principios de julio en el diario español El País que el manejo de datos se estaba convirtiendo cada vez más en una amenaza a la seguridad de los países. No se excluyen a las firmas de la región.

La firma Eset reportó a principios de julio sobre ataques cibernéticos dirigidos a redes corporativas de América Latina que utilizan variantes del malware conocido como Bandook, un antiguo troyano de acceso remoto, detectado desde 2005, utilizado por grupos organizados al menos desde 2016, especialmente un grupo llamado Dark Caracal, y que sirve para espionaje corporativo.

Eset indicó que estos grupos de hackers podrían ser desarrolladores a sueldo (que brindan malware como servicio) enfocados en empresas de manufactura, construcción, atención médica, servicios de software e incluso minoristas.

Dadas las capacidades del malware y el tipo de información que se filtra, el objetivo principal es espiar a las empresas víctimas.

El método preferido es el envío de correos electrónicos con un PDF adjunto que incluye direcciones electrónicas o URL acortadas mediante los servicios Rebrandly o Bitly. Estas direcciones redirigen a servicios de almacenamiento en la nube (como Google Cloud Storage, SpiderOak o pCloud, detalla el reporte de Eset), desde donde se descarga el malware infectado, un archivo ejecutable que inyecta el Bandook en cuentagotas.

Carlos Cordero Pérez

Carlos Cordero es periodista especializado en temas tecnológicos. Escribe para El Financiero y es autor del blog "La Ley de Murphy".