La guerra tradicional parece ya no apta para su propósito, eclipsada por la posibilidad de destrucción mutua gracias a la creación de armas nucleares. A la luz de eso, la guerra cibernética ha ido acelerando el ritmo, con los estados nacionales llegando a los actores más misteriosos de todos: los guerreros cibernéticos.
La piratería respaldada por el gobierno o patrocinada por el estado ciertamente no es nueva. Puede variar desde derribar un medio de comunicación en línea crítico con el gobierno hasta cometer espionaje cibernético o paralizar los sistemas financieros o de defensa de los estados enemigos.
Cualquiera que sea el resultado, la motivación siempre es política o económica, y los actores de amenazas tienen un objetivo específico en mente, muy al contrario del enfoque oportunista de muchos ciberdelincuentes de bajo perfil. Como dice la analista geopolítica Irina Tsukerman, los piratas informáticos patrocinados por el estado generalmente están involucrados en espionaje, vigilancia, sabotaje o ransomware (a través de piratería, malware y, a veces, en combinación con métodos de ingeniería social centrados en el ser humano) para promover objetivos políticos y, a veces, para promover los intereses de un actor estatal.
Assistant Attorney General for National Security John C. Demers Delivers Remarks on the Unsealing of an Indictment Against Russian GRU Officers for Various Malicious Cyber Activities https://t.co/ZjCRZazWXH
— Justice Department (@TheJusticeDept) October 4, 2018
Aunque, el concepto de un guerrero cibernético solo recientemente comenzó a ingresar a nuestro léxico.
“Los guerreros cibernéticos son expertos informáticos que utilizan su conocimiento de la tecnología de la información para hacer la guerra en el ciberespacio. Pueden ser civiles o personal militar, y pueden ser empleados por gobiernos, organizaciones militares o empresas privadas”, dijo a Cybernews Thomas Kelly, CTO de Life Part 2.
Puede encontrar guerreros cibernéticos que pertenecen a grupos de piratería patrocinados por el estado (también conocidos como amenazas persistentes avanzadas (APT) por expertos) en una variedad de naciones, incluidos EE. UU., Irán, Rusia, Pakistán, Vietnam, China y Corea del Norte.
“El Comando Cibernético, así como cada rama del ejército de los EE. UU., tiene guerreros cibernéticos. La mayoría son militares, con algunos contratistas que salen de la comunidad de SI. Estados Unidos ha aumentado drásticamente esta fuerza a medida que la insurgencia cibernética crece en Occidente debido al eje de cuatro estados nacionales rebeldes”, dijo a Cybernews Tom Kellermann, CISM, vicepresidente sénior de estrategia cibernética en Contrast Security.
Convertirse en un guerrero cibernético: lo que se necesita para ser reclutado
Unirse al ejército cibernético nacional puede sonar como una oportunidad lucrativa para muchos especialistas en tecnología. Tras el anuncio oficial en la página del ejército de los EE. UU. que invitaba a las personas a unirse a “los campos de batalla del siglo XXI” ubicados en el ciberespacio, comenzamos a preguntarnos: ¿cómo se reclutan típicamente los guerreros cibernéticos?
“La mayoría de los grupos APT se reclutan a través de canales oficiales, como sitios web gubernamentales, ferias de trabajo y redes sociales. Sin embargo, algunos grupos APT también son reclutados a través de canales no oficiales, como foros de piratería y mercados negros”, explicó Kelly.
Christine Walker, experta en TI especializada en desarrollo de software, se hace eco de esa opinión y enfatiza que, aunque a algunos les parezca increíble, tanto los gobiernos como investigaciones independientes han confirmado que los grupos APT han estado contratando personas a través de canales oficiales para que formen parte de su equipo.
“El caso de APT-29 es un buen ejemplo de esto, ya que el grupo ha sido sorprendido contratando a través de anuncios por correo electrónico, dando todos los detalles sobre las funciones y requisitos. Lo mismo sucedió con otro grupo llamado Softex, que también estaba reclutando a través de anuncios por correo electrónico. El grupo Softex también anunciaba trabajos en LinkedIn, Quora y Facebook”.
Ya en 2021, los investigadores de BlackBerry notaron un aumento en la subcontratación del espionaje cibernético a grupos mercenarios de APT. Esto permite a las naciones protegerse de ser identificadas, escondiéndose efectivamente detrás de los atacantes. Y aunque, en teoría, cualquiera puede contratar a un APT mercenario, por lo general, los actores más sofisticados preferirán a los clientes del perfil más alto.
Pero, ¿qué habilidades se necesitan para unirse al ejército cibernético? Bueno, parece que simplemente tener conocimientos tecnológicos y cibernéticos no es suficiente: el patriotismo es un requisito de entrada esencial.
“Los mejores guerreros cibernéticos tienen una combinación de educación, experiencia y habilidades que pocos poseen. Deben ser versátiles y adaptables, con talento para pensar en el futuro y burlar a sus oponentes. Los guerreros cibernéticos también deben poseer un compromiso inquebrantable para servir los mejores intereses de su país en todo momento”, dijo Walker.
Por ejemplo, algunos de los trabajos enumerados en el sitio web del Ejército de EE. UU. incluyen Oficial de Guerra Cibernética y Electrónica, responsable de coordinar los ataques electrónicos; Oficial de operaciones cibernéticas: responsable de realizar operaciones ciberespaciales defensivas y ofensivas; y analista de inteligencia criptológica: responsable de analizar la información utilizada para localizar e identificar objetivos.
“Su trabajo nunca está directamente en la línea de fuego, pero sus esfuerzos son fundamentales para ganar la batalla de la información como parte de una campaña militar más amplia. Utilizan sus conocimientos y habilidades para ayudar a salvaguardar las redes militares y lograr los objetivos de la misión”, dijo Walker a Cybernews.
APT por país: ¿todos los grupos de piratería patrocinados por el estado son esencialmente iguales?
Rusia, China, EE. UU. y Corea del Norte tienen grupos APT a cargo de atacar a los estados enemigos. En Rusia, Cozy Bear , activo desde 2008, está ampliamente vinculado a los intentos del Kremlin de influir en las elecciones presidenciales estadounidenses de 2016. En China, Double Dragon , activo desde 2012, ha estado involucrado en ciberespionaje contra 14 países. El Equation Group de EE. UU., activo desde 2001, atacó el programa nuclear de Irán. Finalmente, Lazarus Group de Corea del Norte , activo desde 2010, es notoriamente conocido por el ataque de ransomware WannaCry de 2017 que infectó a más de 300,000 dispositivos en todo el planeta.
“Son hábiles para causar estragos en sus presas y son evasivos, eminentes y efectivos”, dijo Kathryn Snapka, gerente de SI y socia fundadora de The Snapka Law Firm.
Sin embargo, estos grupos seguramente no son los mismos. La diferencia en la escala de los ataques no es lo único que llama la atención sobre el APT de cada nación. Son los objetivos, la gama de objetivos y los motivos los que separan sus capacidades ofensivas.
“Es más probable que las APT estadounidenses utilicen herramientas y técnicas sofisticadas que sus contrapartes rusas o norcoreanas. También es más probable que apunten a una gama más amplia de víctimas y que utilicen técnicas de ingeniería social para acceder a sus objetivos”, dijo Kelly.
Walker destaca las similitudes entre las naciones y dice que todas son conocidas por su uso de malware, pero está de acuerdo en que las APT estadounidenses son más sofisticadas.
“Las APT estadounidenses son más propensas que las rusas o norcoreanas a utilizar ataques de phishing selectivo para obtener acceso a los sistemas de sus objetivos. En segundo lugar, las APT estadounidenses también tienden a estar más motivadas económicamente que las de Rusia y Corea del Norte. Están interesados en robar datos que tienen un valor de intercambio en lugar de usarlos con fines de espionaje.
“Por el contrario, Rusia y Corea del Norte usan malware para robar información que puede usarse para futuras campañas de chantaje. Finalmente, las APT estadounidenses tienden a estar más interesadas en apuntar a empresas que a individuos. Esto se debe a que es probable que estas empresas tengan los datos que desean en lugar de personas que podrían no estar tan bien defendidas contra un ataque de este tipo”.
Tsukerman también sugiere que la diferencia radica en los propios actores de la amenaza. Como tal, los regímenes democráticos están más preocupados por la reputación de sus ciberguerreros empleados. Por ejemplo, explica que los actores privados que cooperan con el gobierno de los EE. UU. son monitoreados de cerca y no se les permite participar en delitos u otras acciones objetables que puedan socavar la agenda de los EE. UU. Por el contrario, los actores no estatales rusos y norcoreanos a menudo provienen de entornos criminales y ganan dinero con otros proyectos mercenarios o mediante actividades delictivas.
“Russa, Corea del Norte y otros regímenes autoritarios dependen mucho más de las capacidades ofensivas que Estados Unidos y, por esa razón, prefieren mantener redes informales de actores no estatales confiables que cooperan con las autoridades según sea necesario. Estados Unidos está limitado en operaciones ofensivas debido a preocupaciones sobre una posible escalada y, por esa razón, generalmente depende de personal profesional formalmente adquirido con afiliación estatal directa para operaciones ofensivas”.
Finalmente, es importante recordar que analizar el ejército cibernético de cada nación es a menudo una lucha, ya que están destinados a ser de bajo perfil. Es por eso que a menudo es tan difícil atribuir de manera concluyente un ataque a un país específico. Sin embargo, según el experto en tecnología Joseph Puglisi, este no es el caso de los Estados Unidos.
“Con el creciente número de APT y personas que se enmascaran con nombres de otros países, es difícil saber la diferencia. Sin embargo, puede ser obvio durante una guerra en curso querer atacar al otro país digitalmente. Sin embargo, los APT estadounidenses son muy directos. No suelen ocultar su identidad y se dirigen a otros países”, explicó Puglisi.
Protéjase contra los ataques APT
Aunque la mayoría de los grupos APT conocidos pertenecen a Rusia y China, Estados Unidos ciertamente no se está quedando atrás en términos de sus capacidades cibernéticas ofensivas. A pesar de tener diferentes enfoques, todas las naciones están tratando de adelantarse unas a otras en la carrera cibernética.
“Estados Unidos y la gente en el extranjero están adoptando un enfoque más sensible a la preparación cibernética. Hay una lucha constante por burlarse unos de otros y aprovechar los conocimientos aprendidos y aplicados. Creo que este método de transparencia está relacionado con ocultar a simple vista su nivel de preparación cibernética”, comentó Puglisi.
En tal entorno, es fundamental que las organizaciones eleven el nivel de sus defensas cibernéticas. Kellerman da consejos específicos para aquellos que deseen protegerse contra ataques APT:
“[Uno puede hacerlo] ampliando la búsqueda de amenazas, implementando seguridad en la nube, empleando RASP, usando XDR y contratando un MDR”.
Puglisi también sugiere seguir estos pasos y asegurarse de:
- [Sistemas] de TI adecuados en las organizaciones que indican cuándo hay una infracción.
- Colaborar con proveedores de tecnología altamente perfilados y sofisticados.
- Un cortafuegos fuerte.
- Comprobación constante de cualquier incumplimiento, incluso antes de que se alarme por uno.
Es probable que la mayoría de los ataques de piratas informáticos patrocinados por el estado no se atribuyan, lo que da lugar a la especulación y a que los estados se culpen entre sí a su voluntad. Es importante que los guerreros cibernéticos recuerden que a pesar de sus mejores motivos, eventualmente se convertirán en una herramienta en manos de su gobierno, una herramienta bastante poderosa en el mundo actual impulsado por TI.
“La táctica diplomática deliberada de nombrar y avergonzar a los estados nacionales por su piratería puede usarse ocasionalmente. Sin embargo, los gobiernos autoritarios rara vez reconocen sus defectos, y quienes los desafían pueden ser reacios a reconocer que también son agresivos, aunque por diferentes razones”, dijo Snapka.
Fuente: cybernews
