El pasado viernes 13 de noviembre, desde su blog oficial, Microsoft informó de que ha detectado numerosos ciberataques contra compañías e instituciones del sector sanitario que actualmente estás desarrollando vacunas o investigando otras soluciones médicas para la pandemia de la COVID-19. Según la compañía de Redmond, los ataques se han originado en Rusia y Corea del Norte.
Microsoft comienza informando de ataques a siete compañías que actualmente investigan vacunas o tratamientos contra la COVID-19: «Los objetivos incluyen compañías líderes del sector farmacéutico y la investigación de la vacuna en Canadá, Francia, India, Corea del Sur y los Estados Unidos. Los ataques provienen de Strontium, una actor originario de Rusia, y de dos actores originarios de Corea del Norte a los que hemos llamado Zinc y Cerium. La mayoría de los objetivos están en diferentes fases del desarrollo de vacunas, una es una organización de investigación clínica que colabora en las pruebas de las mismas, y otra ha desarrollo un test para detectar la COVID-19”.
Microsoft asegura también que sus herramientas de seguridad bloquearon la mayoría de estos ataques. Cuando el ataque tuvo éxito, la compañía ofreció soporte para solucionar el problema. La naturaleza de las ciberagresiones fue la siguiente:
- Stronium ha utilizado técnicas de password spraying (probar una contraseña seleccionada por su alta probabilidad en el mayor número de usuarios posibles) y de inicio de sesión por fuerza bruta (tratar de descubrir una contraseña probando sistemáticamente cada combinación de letras, números y símbolos hasta dar con la correcta). Se ejecutan así millones de intentos rápidos de romper la seguridad.
- Zinc utilizó sobre todo la técnica de spear-phising (enviar correos altamente personalizados a objetivos concretos haciéndose pasar por otro remitente). Los mensajes simulaban proceder de reclutadores e incluían ofertas de trabajo falsas, e intentaban conseguir credenciales de acceso.
- Cerium también utilizaba el spear-phising, en este caso haciéndose pasar por la Organización Mundial de la Salud para intentar hacerse con credenciales de acceso.
En el post también se rememoran ciberataques durante todos estos meses a organismos y empresas que luchan contra la pandemia . Asegura que, recientemente, hospitales y organizaciones sanitarias por todo Estados Unidos han sido objeto de ataques ransomware (virus informáticos que restringen el acceso a partes o archivos del sistema operativo y piden un rescate a cambio de anular el bloqueo), y también recuerda otros muchos ataques al principio de la pandemia, como los que sufrieron los hospitales españoles en marzo de este año.
La compañía de Redmond también apremia a los líderes mundiales a actuar con agilidad ante estos ataques, haciendo que se cumplan las leyes internacionales «no sólo cuando los ataques provengan de agencias gubernamentales, sino también cuando los lancen grupos criminales a los que los gobiernos permiten operar o incluso facilitan sus acciones dentro de sus fronteras.
2020, el año de la COVID-19 y de los ciberataques
En el post, Microsoft insinúa claramente que alguno de estos ciberataques cuentan con la connivencia de gobiernos contrarios a los intereses de Estados Unidos o la Unión Europea, en este caso el gobierno ruso y el nortcoreano. Naturalmente, las instituciones de los citados países niegan cualquier relación. Lo que sí está acreditado es que la pandemia de la COVID-19 ha sido un campo abonado para que aumente este tipo de delincuencia, ya sea con fines de espionaje, desestabilización social o simplemente ejecutados por cibercriminales que buscan el enriquecimiento personal.
La empresa especializada en ciberseguridad McAfee publicó este mismo mes su informe sobre amenazas de seguridad durante el segundo trimestre de 2020. En él se detectaron una media de 419 amenazas por minuto, y la compañía destacó como claves principales el repunte de un 103% del malware para Office y de un 117% del malware PowerShell con respecto a los tres meses anteriores. Además, destacó que este fue el trimestre en el que cientos de miles de empleados de todo el mundo comenzaron a teletrabajar de un día para otro, con el reto para la ciberseguridad de las empresas que eso supuso.
Para hacernos una idea de la procedencia de la ciberdelincuencia, el Centro Criptológico Nacional (CCN-CERT), organismo del Centro Nacional de Inteligencia (CNI), presentó en septiembre de este año su último informe de ciberseguridad, con datos de 2019. El documento da datos sobre las fuente de los ataques que detectó durante el año pasado y su peligrosidad (no se especifica si estas detecciones son solo contra instituciones, empresas y ciudadanos españoles o incluyen alertas de otros territorios):
- Ataques desde estados o grupos patrocinados por estados. De peligrosidad alta, incluían como puntos críticos el espionaje, la manipulación de información, la influencia en la población y la interrupción de servicios. El informe también señala que en 2019 se incrementaron los ciberataques realizados o auspiciados por estados.
- Ataques de ciberdelincuentes, también de máxima peligrosidad en aspectos como interrupción de servicios, robo de información y manipulación de sistemas.
- Ataques de Hacktivistas y personal interno: de peligrosidad media en aspectos como la interrupción de servicios y el robo de información.
- Ataques terroristas: centrados en sabotaje y de baja peligrosidad.
