Los espías españoles destapan los aterradores objetivos de los ciberdelincuentes en 2020: hogares de trabajadores y laboratorios farmacéuticos

La pandemia del coronavirus va a hacer que los incidentes de ciberespionaje de las "amenazas persistentes avanzadas" —APT, por sus siglas en inglés— aumenten.

Con el término APT se designa, en el argot de la ciberseguridad, a colectivos de ciberdelincuentes, generalmente respaldados por un gobierno o un estado extranjero.

A esta conclusión llegan los servicios secretos españoles en el último informe de ciberamenazas y tendencias publicado por el CERT —equipo de respuesta a incidentes informáticos— del Centro Criptológico Nacional (CCN), una entidad dependiente del Centro Nacional de Inteligencia (CNI).

El documento, que repasa los principales incidentes informáticos detectados en España y a nivel global durante el año 2019 y repasa cuáles serán las tendencias durante este 2020, se publicó este martes por la tarde.

El CCN-CERT concluye que la crisis del COVID-19 aumentará el ciberespionaje, ya que "las entidades han aumentado su superficie de exposición" y "por tanto, los actores patrocinados por los estados dispondrán de nuevas vías de entrada a sus objetivos".

"Es lógico pensar que aumentarán su actividad", resumen los expertos detrás de este informe, que puedes consultar aquí. De hecho, los agentes del CCN-CERT han elaborado incluso una gráfica en base a la información de la que disponen en REYES, una plataforma propia en la que los agentes públicos y privados de la ciberseguridad española comparten información sobre amenazas.

Según la tabla, Lazarus Group, el famoso colectivo de cibercriminales que presuntamente respalda el Gobierno de Corea del Norte, está en la primera posición en cuanto a incidentes ocasionados en lo que va de año.

El teletrabajo incrementará los ataques informáticos a hogares

El Centro Criptológico Nacional también advierte de cómo "la forma tan apresurada en la que muchas organizaciones han puesto en marcha el teletrabajo" ha provocado que no se haya evaluado "de forma adecuada" los "riesgos asociados".

Son varios los CISO de las compañías españolas que han reconocido en recientes paneles públicos cómo en los primeros compases de la pandemia se priorizó la continuidad del negocio frente a la seguridad informática de las organizaciones.

Leer más: Expertos en ciberseguridad advierten del peligro que supone recortar gastos y subrayan el derecho a la conectividad segura

Además de constatar esta y otras evidencias —como por ejemplo el aumento de ataques o vulnerabilidades detectadas en aplicaciones empleadas durante el teletrabajo, como Zoom—, los agentes del CCN advierten que es "previsible que los ataques y vulnerabilidades relacionados con las redes domésticas o dispositivos personales crezcan".

Detallan que el móvil de los ciberdelincuentes para atacar estos entornos será "acceder a la infraestructura de la organización del empleado y, una vez dentro de ella, establecer persistencia".

Farmacéuticas, laboratorios y entornos industriales: los principales objetivos

"En el marco de la gran pandemia es de esperar que los ataques a farmacéuticas, laboratorios de investigación dedicados al COVID-19 o víctimas relacionadas con el sector aumenten con diferentes objetivos: ciberespionaje, extorsión, destrucción de información o incluso operaciones de influencia hacia la opinión pública", continúa el informe.

Días atrás, la propia directora del CNI, Paz Esteban, confirmaba que se habían registrado intentos de robar información y ataques informáticos contra las vacunas para el COVID-19que se están investigando en centros españoles.

También dedica unas líneas al entorno industrial. "Desde el final de 2019 y el principio de 2020 se ha visto un incremento de ataques publicados con impacto sobre la producción u operación de compañías industriales. Es previsible que esta tendencia se incremente a lo largo del resto de 2020", advierte.

Leer más: El estrés que provoca el teletrabajo implantado de forma apresurada se está traduciendo en más errores humanos que exponen a las empresas a sufrir ciberataques

Esta conclusión la hace el CCN-CERT "teniendo en cuenta la concurrencia de circunstancias como el fin del soporte de Windows 7 y las dificultades de parcheo de los sistemas industriales que lo emplean", aunque "también es previsible que el COVID-19 sea un factor importante a tener en cuenta".

La incidencia del coronavirus en la industria ha derivado en un riesgo "generado por las necesidades del trabajo en remoto de técnicos de mantenimiento, operación y terceras empresas". Hace unas semanas GAM, una firma especializada en alquiler de maquinaria e industria, sufrió un ataque con ransomware según reivindicó un colectivo de cibercriminales.

2019 confirma la tendencia: los ciberincidentes siguen al alza

El año 2019 terminó con el sonoro caso de un ayuntamiento gaditano —el de Jerez— que tuvo que solicitar la ayuda al CCN-CERT para restaurar a la normalidad los servicios informáticos municipales, después de que el consistorio recibiese un ataque con ransomware.

Apenas unos días después, la Cadena Ser y Everis sufrieron un ataque con ransomware que también llegó a los medios.

Estos incidentes son solo la punta del iceberg de los eventos que tuvo que gestionar el CERT del Centro Criptológico Nacional el año pasado.

Según documentan en este informe, el CCN-CERT gestionó 42.997 incidentes en 2019, más de un 11% con respecto al año anterior. El CCN gestionó en 2018 38.192. Y la tendencia es alcista desde el año 2015.

De los casi 43.000 ciberincidentes que el CCN-CERT gestionó el año pasado, un 7,5% de ellos fueron "de peligrosidad muy alta o crítica".

El 64% de los ciberincidentes de 2019 estuvieron relacionados con "intrusiones o código dañino" y, dentro de este segmento, el 40% de los incidentes lo atribuye a Emotet, una familia de malware que participó de hecho en los ataques a Everis o al Ayuntamiento de Jerez.

La incidencia de Emotet también en las administraciones públicas obligó al CCN-CERT a desarrollar una 'vacuna' contra este programa malicioso, el Emotet-stopper. "Más de treinta organismos públicos y empresas españolas sufrieron en un breve período de tiempo este tipo de ataques, solicitando colaboración al CCN-CERT".