Guerra híbrida, Rockstar, Uber, Lapsus$ o Costa Rica: 5 grandes ciberataques e incidentes de 2022 y qué se ha podido aprender de ellos

Es habitual de un tiempo a esta parte que para los medios de comunicación muchos hechos extraordinarios se traduzcan en acontecimientos históricos. También es común que en las informaciones especializadas en seguridad informática muchos incidentes registrados se conviertan en el "más grave de los últimos años".

Es verdad que a la hora de hacer los ejercicios de retrospectiva que corresponden a cada año, el mundo de la ciberseguridad demuestra su volatilidad, con tendencias viviendo un auge expansivo. 2022, en concreto, ha sido un año de consolidación para muchas de esas tendencias. Y sin embargo, según varios expertos consultados, representa también un punto de inflexión.

En 2022 se han vuelto a ver graves ciberataques a multinacionales, que han visto cómo datos confidenciales se han filtrado al público. Es el caso de Rockstar Games y la cantidad de información vinculada a uno de sus títulos más esperados, la próxima entrega de la franquicia de videojuegos Grand Theft Auto.

España tiene una selección de 'hackers' sub-25 bicampeona de Europa: así se eligen y así compiten contra otros países

Se han detectado vulnerabilidades de todo tipo e incluso sencillas desconfiguraciones en el almacenamiento de datos de la nube de Microsoft que han expuesto la información de más de 65.000 empresas en todo el mundo. Todo un país como Costa Rica se ha visto entre la espada y la pared después de que un grupo de ciberdelincuentes les atacara con un ransomware.

Con todo, lo que ha marcado al año 2022 en el ámbito de la ciberseguridad ha sido, sin duda, la guerra híbrida en Ucrania. El triste estallido del conflicto bélico ha supuesto la constatación de un fenómeno que ya se había identificado antes, pero que se ha prodigado todos estos meses. La guerra ya no es solo física.

Esa guerra híbrida implica que los bombardeos a centrales eléctricas ucranianas ahora van acompañados de ciberataques para desestabilizar al máximo los objetivos militares. Ucrania no solo se defiende en el frente, sino también en las redes, y cuenta con muchísimos voluntarios hacktivistas apuntando en este caso a infraestructuras digitales rusas.

La demostración de que los conflictos modernos ya se libran también en las redes ha vuelto a sacar a la luz viejos debates, como la necesidad de actualizar y convertir en vinculantes documentos como el manual de Tallin —la convención de Ginebra para ciberguerras— y ha hecho dramáticas demostraciones de cómo un ataque en la vida digital puede ser fatal para millones de inocentes.

El correo electrónico sigue siendo la puerta principal al peligro

Es en esta época del año en la que empiezan a conocerse informes anuales del presente ejercicio o del anterior. Pocos informes retratan la realidad de la industria española ante las ciberamenazas. Uno de ellos los elabora Proofpoint. El responsable para España de la firma de origen californiano, Fernando Anaya, abunda en que los ataques con phishing siguen siendo los más exitosos.

El 82% de las empresas encuestadas que sufrieron un ciberataque durante 2021 reconocen el phishing —correos electrónicos con enlaces que suplantan una página web legítima, como la de una entidad bancaria— fue el punto que detonó el incidente. El 77% de los ataques detectados ese mismo año, según Anaya, fueron los del fraude del CEO.

El 64% de las empresas españolas que fueron víctimas de un 'ransomware' en 2021 acabaron pagando el rescate

El fraude del CEO es la nomenclatura con la que se conoce una estafa cada vez más habitual: un correo electrónico suplantando al directivo de la propia compañía, del CEO de una firma cercana, o de un contratista requiriendo un pago inmediato atendiendo a órdenes de arriba. Muchos trabajadores pican.

Los ciberataques que detonaron una operación con ransomware —un código malicioso que cifra los archivos y sistemas de sus víctimas para después exigirles un rescate— representaron el 66% de los encuestados por Proofpoint. "Estos 3 ataques —phishing, fraude del CEO y ransomware— llegan por correo electrónico, está claro que es el principal vector de ataque", expone Anaya, de Proofpoint.

La nube empieza a ser un vector de ataque más

Eusebio Nieva, director técnico de Check Point para España y Portugal, confirma que lo que se sigue viendo es malware "conocido". "Variantes de malware ya conocidos siguen siendo las más prevalentes, el ransomware sigue siendo prevalente como forma de ataque". Pero el directivo de la firma israelí abunda en que se han visto cada vez más ataques a entornos de nube.

"Cada vez son más un objetivo, sobre todo a entornos que a día de hoy, en algunas ocasiones, no están lo suficientemente protegidos". Se podrá ver más adelante con el caso BlueBleed, la desconfiguración en la nube de Microsoft que provocó la exposición de datos de más de 65.000 clientes, entre empresas y organizaciones.

Está de acuerdo José Miguel Gómez-Casero, el responsable de Threat Hunting —detección de amenazas— de BlackArrow, división de la firma gallega de ciberseguridad Tarlogic, que trabaja con compañías del Ibex 35. "La ingeniería social sigue funcionando: el envío de correos, de enlaces, esos ataques que intentan ganarse la confianza de las víctimas tienen éxito".

"Son ataques en los que vemos complejidad pero no por el aspecto técnico, sino porque se personalizan cada vez más". Los ciberdelincuentes están optimizando la forma en la que se acercan a sus posibles objetivos. Pero Gómez-Casero también comparte lo que se dice la nube como vector de entrada para graves incidentes informáticos. Y no siempre se tratan de nubes públicas.

"Se usa infraestructura pública legítima". "Uno de los ataques más sonados que hemos visto este año a clientes son enlaces a malware alojado en Google Drive, lo que complicaba rastrear el origen del ataque". Cuando el enlace remite al servidor de los malos, "lo más sencillo es cortar comunicaciones con ese servidor". Cortar comunicaciones a Google es algo que no se puede plantear.

"Con esto no quiero tirar trastos a las nubes públicas, lo que quiero decir es que los malos, con conseguir que alguien pinche en su enlace, ya han cumplido su objetivo": si esos enlaces duran apenas 5 minutos antes de ser detectados por sus sistemas de control y seguridad y alguien pincha en ese lapso de tiempo "ya han ganado".

El 'ransomware' empieza a ajustarse a sus víctimas

Nieva, de Check Point, incide en que con la guerra de Ucrania se han visto tendencias como la consolidación de esos ciberataques "coordinados con ataques físicos" y el repunte del hacktivismo, el hacking con motivos políticos. Todo ello se ha visto "y a pesar de que era conocido, ya se ha visto en un entorno real que los ejércitos tienen un componente cíber con el que se coordinan".

Josep Albors, el director de investigación y concienciación de ESET en España, corrobora que además en la guerra se han puesto en uso muchas herramientas que se venían utilizando desde hace un tiempo y que han entrado en el campo bélico: "Destacamos los wipers, código malicioso destinado a eliminar información y a amenazar sistemas de control industrial".

ESET es una compañía de origen eslovaco y Albors apunta también la preocupación que desde la firma mantienen con el ransomware por lo que han visto este 2022 que ya se termina. "En España teníamos hasta hace no mucho ransomware automatizado", con ataques indiscriminados. "Ahora ya vemos más ransomware operado por humanos".

Investigadores españoles crean una herramienta que ayudará a la policía a rastrear las transferencias de criptomonedas de los ciberdelincuentes

"Operadores de ransomware que reconocen las vulnerabilidades de los sistemas que van a atacar, incluso compran las credenciales para acceder a las redes de sus víctimas, y pasan bastante tiempo infiltrados en ellas, incluso meses, para robar toda la información posible poco a poco. Una vez la obtienen, cifran y lanzan directamente el chantaje".

Albors también destaca la profusión que se ha visto en España durante 2022 de los RATs, herramientas de control remoto conocidas desde hace tiempo pero cuyo acceso se está democratizando: cada vez es más sencillas de usar y más baratas de adquirir, con lo que los ciberdelincuentes las emplean mucho o incluso las venden a otros grupos de criminales.

Estos son algunos de los incidentes más destacados por los expertos consultados y por Business Insider España en el ámbito de la ciberseguridad durante 2022.

#5. El ataque a Oiltanking Deutschland, distribuidora de fuelóleo en Alemania

Hace un año y medio operadores de ransomware lograron impactar en los servidores de Colonial Pipelines, la firma responsable de varios oleoductos en EEUU. El impacto fue tal que la compañía se vio obligada a limitar su operativa, y en consecuencia, EEUU acabó decretando el estado de alarma en zonas del país ante la probable escasez de combustible.

Este año arrancó con circunstancias similares para Oiltanking Deutschland, la firma alemana encargada de almacenar y transportar el fuelóleo de firmas privadas como Shell. Todos los sistemas de carga y descarga de los sistemas de la plataforma se desconectaron en consecuencia, y firmas energéticas se vieron obligadas a redistribuir su crudo.

Aunque no generó la distorsión en la ciudadanía que sí supuso el ataque a Colonial en EEUU meses antes, el ataque a Oiltanking Deutschland sí se puede entender como uno de los mayores ciberincidentes del año por la constatación de que este tipo de ataques a infraestructuras críticas continúan produciéndose, y más en entornos geopolíticos clave.

El ataque se produjo en Alemania, muy dependiente del crudo ruso, apenas semanas antes de que estallase el conflicto en Ucrania.

#4. BlueBleed, un error de Microsoft que pudo salir muy caro

Gómez-Casero, el experto de Tarlogic, presta especial atención a BlueBleed, un error de configuración en la nube de Microsoft que fue detectada en septiembre de este año por los expertos en ciberseguridad de la compañía SOCRadar. Microsoft se vio obligada a advertir a sus clientes de que se podían haber visto afectados por el incidente. En total pudieron ser más de 65.000 entidades.

"La desconfiguración provocó el potencial acceso a datos de transacciones de negocios que se corresponden con las interacciones entre Microsoft y potenciales clientes, como aquellos que planean implementar o provisionarse de nuestros servicios", reconocía la multinacional tecnológica de Seattle en un comunicado.

Se trató de una filtración en la rama B2B —negocio a negocio— causada por "una desconfiguración no intencionada en un endpoint —punto final de la red, dispositivo físico que pueda reflejarse como la parte final de una red— que no se usa en todo el ecosistema Microsoft y que no es resultado de una vulnerabilidad de seguridad", incidieron desde la empresa.

#3. Así se hackea a todo un país: el ciberataque que puso contra las cuerdas a Costa Rica

Conti es un grupo de ciberdelincuentes que operan el ransomware del mismo nombre y suelen atacar a pymes y grandes empresas. Lo que no parecía imaginable a principios de este 2022 es que un colectivo de esta índole lograse atacar a todo un país y ponerlo contra las cuerdas.

Aunque 2022 también ha sido el año en el que se desarticuló esta banda de criminales informáticos, el incidente que sumió a Costa Rica en el caos fue una de sus últimas fechorías. Quizá la más grave hasta la fecha.

En realidad no fue un solo ataque, fueron varios. Otros grupos de ransomware se aprovecharon del caos desatado por Conti para hacer de las suyas. El primero de estos ataques se detectó a finales de abril, cuando Conti logró entrar en los servidores del Ministerio de Hacienda costarricense. A mediados de mayo otros criminales lograron lo propio en la seguridad social del país. 

Todo esto provocó que el Gobierno del estado declarara el estado de alerta y el FBI ofreciese una recompensa de 10 millones de dólares por el líder de la banda. Mientras duró el ataque, el país se vio obligado a apagar plataformas electrónicas tan cruciales como las que emplean para la recaudación de impuestos.

#2. Uber y Rockstar: Lapsus$ se hace un nombre entre el cibercrimen mundial

Acababa de empezar 2022 y ya se empezaban a escuchar el nombre de un colectivo de ransomware llamado Lapsus$ que había puesto contra las cuerdas a tecnológicas relacionadas algunas de ellas como el mundo del videojuego: algunas de sus víctimas estos meses han sido Nvidia, Microsoft, Ubisoft y Rockstar. También se le atribuye un ataque a Uber.

Fueron estas dos últimas víctimas las que les dieron renombre mundial a este grupo sobre el que se ha escrito de todo. Llamaron la atención sus ataques con ransomware a Nvidia, ya que en lugar de un rescate económico exigían a la compañía tecnológica que retirasen una limitación en sus tarjetas gráficas que la firma instaló para evitar que se destinasen a la minería de criptomonedas.

Una red de 'vigías' para alertar a todo el país de ataques informáticos, prioridad en el Plan Nacional de Ciberseguridad de más de 1.000 millones de euros

Semanas después trascendió que el cabecilla de esta banda podía ser un adolescente británico que vivía con su madre, lo que da muestra de lo singular que es la industria del cibercrimen.

Finalmente este verano se produjeron ataques informáticos a Uber —el más grave de su historia—, y uno de los más mediáticos de la trayectoria de Lapsus$ —los criminales informáticos se asociaron en seguida con esta fechoría—: el ataque a Rockstar Games, el estudio que está trabajando en la siguiente entrega de la franquicia GTA, el Grand Theft Auto VI.

Aquel incidente fue especialmente viral dado que la compañía en aquel momento no había enseñado material del juego, y se filtraron minutos y minutos de una versión temprana del desarrollo así como buena parte de su código fuente.

#1. La guerra ha cambiado para siempre: el conflicto híbrido en Ucrania y Rusia

"Se han observado ciberataques coordinados con ataques físicos durante la guerra. Atacando en un principio con artillería a instalaciones como centrales eléctricas, y lanzando ciberataques a esas mismas instalaciones de manera coordinada. Ya se había visto, era conocido, pero se han visto esta vez en un entorno real".

"El objetivo es el mismo: desestabilizar el sistema eléctrico ucraniano. Se ha visto en un entorno real que los ejércitos más importantes sí que tienen una parte cíber que interactúa y se coordina con los ataques físicos para lograr un objetivo común. Ya podemos tener en cuenta que puede seguir ocurriendo en cualquier otro momento".

Quien lo explica es Eusebio Nieva, de Check Point. Las consecuencias del conflicto se están haciendo notar no solo en el número de muertos, desaparecidos y desplazados. También en la economía global, con una inflación rampante que golpea a varios países y asoma al mundo a la recesión. Pero también se está haciendo notar en el frente digital.

El conflicto digital paralelo a la guerra en Ucrania ha marcado el año 2022 en varios de sus eventos más esperados. Eurovisión, por ejemplo, fue amenazada con ciberataques. Finalmente, criminales informáticos intentaron perpetrar su asalto al concurso de la canción europea. Desde que estalló la guerra, el Gobierno de Zelenski cuenta además con cientos de voluntarios internacionales... hackers.

Todo ello ha provocado también que se rescaten conceptos no muy conocidos como el manual de Tallinn, que puede considerarse el análogo a la convención de Ginebra pero para los conflictos internacionales que se libran en internet, y ha llevado a varios países, entre ellos España, a extremar precauciones, ante la amenaza de que colectivos rusos se decidan a atacar.