¿Qué es el ciberespionaje?
El ciberespionaje es un tipo de ciberataque que roba datos confidenciales o clasificados, o propiedad intelectual para obtener ventaja frente a empresas de la competencia o entidades de la administración pública.
Definición de «ciberespionaje»
El espionaje puede definirse como «la práctica de espiar o utilizar espías a fin de obtener información sobre planes y actividades, especialmente de administraciones públicas extranjeras o empresas de la competencia».
Si lo aplicamos al mundo cibernético, los espías son las hordas de hackers malintencionados de alrededor del mundo que utilizan técnicas de cibercombate para fines económicos, políticos o militares. Estos ciberdelincuentes, reclutados específicamente y muy valiosos, tienen los conocimientos técnicos necesarios para dejar fuera de juego cualquier tipo de recurso, desde infraestructuras de la administración pública hasta sistemas financieros y recursos de servicios públicos. Han influido en los resultados de elecciones políticas, han sembrado el caos en eventos internacionales y han empujado a empresas al éxito y al fracaso.
Muchos de estos atacantes utilizan amenazas persistentes avanzadas (APT) como parte de su «modus operandi» para introducirse discretamente en las redes o sistemas y pasar desapercibidos durante años.

«Protección del futuro: Siete previsiones sobre la ciberseguridad en 2022»

«Frene los programas de ataque y desmantele el ecosistema de la ciberdelincuencia»
El ciberespionaje es global y está transformando los conflictos armados
Los titulares sobre ciberespionaje suelen centrarse en China, Rusia, Corea del Norte y Estados Unidos, bien como atacantes, bien como víctimas. No obstante, la Government Code and Cipher School (GCCS), del Reino Unido, estima que 34 naciones cuentan con equipos de ciberespionaje serios y bien financiados.
Estos equipos de atacantes respaldados por la administración pública los conforman programadores informáticos, ingenieros y científicos que pertenecen a clústeres de piratería de agencias militares y de inteligencia. Cuentan con un enorme respaldo financiero y recursos tecnológicos ilimitados que les ayudan a transformar sus técnicas rápidamente.
Eric O'Neill, ex agente encubierto del FBI y especialista en seguridad nacional en Carbon Black, está bastante familiarizado con el espionaje. En un artículo titulado «Hacking is the New Face of Espionage», afirma que «la batalla contemporánea se libra con teclados y software, y no con buzones clandestinos ni pasamontañas». Afirma que las ciberguerras ya se libran a escala global, por lo que la seguridad es más importante que nunca. «Hay demasiadas organizaciones que no se toman la amenaza tan seriamente como deberían», afirma O’Neill.
Añade que «ya no basta con defenderse y reaccionar una vez ha ocurrido la vulneración. Pensar como sus enemigos es un paso enorme al enfrentarse a los atacantes en el mundo del ciberespionaje».
Panorama del sector: ¿quién está ganando fama como el más nefasto de todos?
¿Qué han estado haciendo últimamente los maestros del ciberespionaje? A continuación se enumeran los grupos de ataque de Estados nación que han ganado notoriedad en los últimos años:
Corea del Norte
Al parecer, Corea del Norte cuenta con un ejército de más de 6000 hackers que recaudan dinero para pagar el programa nuclear del país. APT37 es uno de los ataques recientes que se atribuye a Corea del Norte; se dirigió contra Corea del Sur, Japón, Vietnam y el Oriente Medio. Supuestamente, el ataque lo dirigió un conocido grupo de hackers llamado «Lazarus», activo desde hace unos cinco años. A este grupo se le atribuyen ataques como el que se perpetró contra Sony Pictures en 2014, que generó decenas de millones de dólares; y puede que sea responsable del ciberataque de 81 millones de dólares contra un banco de Bangladés en 2016. También se les atribuye el trascendental ataque WannaCry de 2017, que causó estragos por valor de miles de millones de dólares en empresas, bancos y hospitales de todo el mundo.
Vietnam
En Vietnam se encuentra OceanLotus, un grupo de ciberespionaje que podría estar detrás de los ataques denominados «APT32» y «APT-C-00». Estas amenazas se dirigieron contra organizaciones corporativas y de la administración pública en Vietnam, Filipinas, Laos y Cambodia; se centraron en empresas extranjeras con interés en los sectores vietnamitas de fabricación, productos de consumo y hospitalidad.
China
Uno de los grupos de ataque chinos más conocidos es TEMP.Periscope, o Leviathan. Recientemente, este grupo ha aumentado la cantidad de ataques, dirigidos contra empresas estadounidenses de los sectores de la ingeniería y marítimo vinculadas al Mar de la China Meridional y a algunas de las rutas comerciales más utilizadas del mundo. A otro grupo de atacantes chinos, APT10, se le atribuye una campaña que puede que empezara ya en 2009. APT10, que quizá sea una de las amenazas a la ciberseguridad más prolongada de la historia, atacó hace poco a algunas empresas a través de proveedores de servicios gestionados en múltiples sectores de muchos países, así como a algunas empresas japonesas, y causó una cantidad desconocida de daños a través del robo de gran cantidad de datos.
Otro posible ataque de un Estado nación es Slingshot APT, que podría estar vinculado a la administración pública de Estados Unidos. Slingshot APT presenta similitudes con el atacante conocido como Grey Lambert o Longhorn, que ha sido vinculado a la CIA estadounidense. La campaña pudo haber estado activa durante al menos seis años, y se dirigió contra el Oriente Medio y África. Utilizaba tácticas sofisticadas de evasión y sigilo, que ayudaban a los atacantes a exfiltrar con éxito gran cantidad de datos confidenciales.
Lazarus podría ser el responsable tras un ciberataque de 81 millones de dólares contra un banco de Bangladés en 2016.
La respuesta: consejos de un exespía para cazar ciberespías
En el artículo anterior, Eric O'Neill sugiere que la mejor defensa es un buen ataque. Estos son algunos de los pasos que Eric recomienda para luchar contra el ciberespionaje:
- Comprenda de dónde proceden las amenazas. Cuando la ciberdelincuencia apareció por primera vez en escena, había delincuentes independientes que trabajaban para conseguir sus propios objetivos personales. Según Eric, eso ya es cosa del pasado; los Estados nación se han dado cuenta de los beneficios potenciales de la guerra digital y el ciberespionaje.
- Descubra el motivo. Conocer de dónde provienen los ataques puede permitirle descubrir el motivo. El motivo por el que un Estado ataque puede ser totalmente distinto al de alguien que opere por su cuenta. Entre los motivos posibles está la posibilidad de ganar ventaja competitiva o crear interrupciones en un sistema o ubicación. El motivo de un ataque puede revelar mucho sobre el método, y viceversa. Por lo tanto, si sabe el método, puede conocer mejor el objetivo, lo que permite conocer mejor el método que más probablemente se utilizará para la infiltración.
- Piense como un hacker. A la hora de identificar el motivo, pensar como un hacker puede ayudar a la empresa a atraparlo más rápido. Atrapar delincuentes no se consigue por casualidad y, si piensa como un hacker, puede suponer con mayor claridad cuáles serán sus próximas jugadas. Es imperativo poner esta estrategia en práctica, no solo tras una vulneración, sino para proteger a la empresa antes de que ocurra. Si el equipo de seguridad puede ponerse en el lugar del hacker, será capaz de identificar las vulnerabilidades propias, comprender qué tácticas pueden usarse para adentrarse en el sistema y conocer los datos a los que se puede acceder mediante estos métodos.
- Identifique las técnicas del hacker. Conocer las técnicas que un hacker puede utilizar potencialmente puede representar un arma inestimable en la lucha contra los ciberdelincuentes. Recopilar información de forma casi constante es la clave del éxito en este ámbito. Eric recomienda contar con el mayor número posible de sensores externos, así como participar en una comunidad implicada que comparta información.
- Adopte un enfoque proactivo. Desarrollar un enfoque proactivo de la seguridad suele ser la protección más eficaz. En este caso, según Eric, «la mejor defensa es un buen ataque» es de una veracidad indiscutible. No esperar a que le ataquen permite frenar a los ciberdelincuentes y posibilita que las empresas eviten las vulneraciones desde el principio. Con métodos cada vez más sofisticados y un mayor volumen de ataques, disponer de un equipo robusto es fundamental. Como señala Eric: «Este es el momento de empezar a pensar como los malos y contraatacar».
Productos y soluciones relacionados
VMware Carbon Black Endpoint
Adopte una seguridad de los terminales nativa de nube que se adapta a sus necesidades.
VMware Carbon Black Cloud
Transforme su seguridad con una protección inteligente de los terminales y las cargas de trabajo que se adapta a sus necesidades.