En la última semana de junio de este año, varios grupos cibercriminales se unieron para llevar a cabo numerosos ciberataques dirigidos a hospitales, bancos, universidades y agencias de seguridad y de tecnología especializada alrededor del mundo (Center for CIC, 2023). Lo más preocupante de esta alianza delictiva, es la creación de canales de comunicación para compartir información sobre nuevos objetivos, y concentrar capacidades cibercriminales contra naciones que no respaldan la guerra en Ucrania y el extremismo islámico (Vu et al., 2023).
Killnet, Conti, REvil y Storm-1359 son algunos de los grupos de delincuentes informáticos identificados en esta alianza criminal, que han hecho públicas sus intenciones de unir fuerzas para debilitar la economía de los países ubicados al oeste de Rusia, incluyendo, por supuesto, nuestro continente americano. Según la Agencia de Ciberseguridad y Seguridad de la Infraestructura Estadounidense (CISA), KillMilk, el líder de uno de estos grupos, escribió que la alianza entre Storm-1359, Killnet y REvil prometía destruir el sistema de transferencias bancarias de Europa y América en poco tiempo (CISA, 2023).
Esta historia que parece sacada del guion de una película de Hollywood, no tiene nada de ficción, y podría estar afectando a cada usuario de Internet en este momento mientras leemos este artículo. Los ciberdelincuentes mejoran constantemente sus habilidades para utilizar los dispositivos tecnológicos más cercanos a los usuarios, tales como computadoras portátiles o teléfonos celulares, con el fin de ampliar su alcance.
De hecho, el viernes 18 de junio, Storm-1359 logró comprometer miles de servicios de Microsoft, afectando las funcionalidades de uso del procesador de textos Word, las fórmulas y tablas de las hojas de cálculo realizadas en Excel, las presentaciones estudiantiles y corporativas creadas con diapositivas en PowerPoint, la interacción con los correos de Outlook y el almacenamiento remoto de estas aplicaciones, o de sistemas de información utilizados en su gran mayoría por empresas que confían en las funcionalidades de gestión de datos en Azure, el servicio de computación en la nube de Microsoft (Abrams, 2023).
Estas cinco áreas de afectación se conocen como las cinco categorías del accionar cibercriminal. Cada una de ellas tiene un nivel de especialización que muchos desconocen, lo que los hace más vulnerables y fácilmente perfilados como posibles víctimas asequibles, indefensas y visibles en línea. A través de una serie de publicaciones, GEODESE abordará cada una de estas categorías, comenzando en este artículo con la categoría que incluye las ciber amenazas enfocadas en dañar la infraestructura vital de un país.
Los grupos cibercriminales reconocen que, al atacar hospitales, refinerías de petróleo, plantas de energía eléctrica, sistemas de semáforos inteligentes, bases de datos de departamentos de policía y otros servicios necesarios para una comunidad, están logrando el nivel de presión y visibilidad mediática necesario para alimentar sus economías criminales. Exigen rescates por liberar información retenida (encriptada) contra la voluntad de sus propietarios, detener ataques que bloquean la disponibilidad de páginas corporativas en Internet y propagar sus ideologías y causas políticas.
Storm-1359, también conocido como «Anonymous Sudan», es un claro ejemplo de una asociación de delincuentes que defienden los postulados de su país, ubicado en el noroeste de África, y que utilizan sus banderas políticas como excusa para atacar la infraestructura estratégica de naciones como Dinamarca, Suecia, Noruega y Estados Unidos. La versión sudanesa de Anonymous ha impactado los servicios de aerolíneas escandinavas (SAS), Lyft (la empresa de transporte estadounidense), hospitales en diferentes partes del mundo y grandes empresas de tecnología, como mencionamos anteriormente con el caso de Microsoft.
Por su parte en el ciberataque de la aerolínea SAS, Storm-1539 exigió el pago de $3 500 dólares estadounidenses (USD) a miles de personas, para así detener los ataques a la compañía, al tiempo que afectaba la venta de boletos de avión y la disponibilidad de otros servicios en Internet. Adicionalmente, según investigadores del Centro para la Ciberseguridad y la Investigación del Cibercrimen (Center for CIC), este grupo habría exigido hasta $1 000 000 USD para detener los ataques a otra compañía de servicios en línea como lo muestra la figura 1.
Desde un análisis de los depredadores detrás de cada ciberataque se puede afirmar que esta campaña de afectación a corporaciones de gran importancia para cada una de las naciones impactadas tendría como motivación principal bloquear la capacidad de funcionamiento de transporte público, tecnología de defensa, atención de emergencias de salud y el sistema financiero internacional. Aunque inicialmente se creía que la motivación de los ciberdelincuentes era recaudar dinero, la realidad es que su objetivo primordial es causar daño a la infraestructura operacional de las instituciones víctimas y desencadenar otras acciones ofensivas con impacto geopolítico directo y efectos colaterales de índole estratégico y económico.
Quizás Anonymous Sudan manifieste un nacionalismo ferviente por su país, pero la alianza con KillNet, Conti, y REvil —tres grupos cibercriminales apoyados por el gobierno ruso—, plantea la posibilidad de una jugada en medio de la guerra con Ucrania para favorecer los intereses del Kremlin. Esta clase de ciberataques a finales del mes de junio han afectado principalmente en occidente a los servicios públicos, desde escuelas hasta bancos y empresas de transporte terrestre y aéreo, lo cual demuestra claramente el alcance de las ciberamenazas que afectan la infraestructura crítica de una sociedad y buscan su debilitamiento desde la función básica de sus servicios vitales.
Estos alcances no son el resultado de acciones cibercriminales aisladas; por el contrario, su trabajo coordinado con otros delincuentes informáticos lleva a reflexionar sobre ¿Cuánto conocemos acerca de los perfiles criminales de los integrantes de dichos grupos?, ¿cómo comparten información y se coordinan estos ciberatacantes?, y además invitan a indagar sobre si otras categorías de ciberamenazas tienen el mismo nivel de gravedad que este primer caso.
En GEODESE, un equipo de profesionales altamente capacitados ha trazado una ruta de experiencia y conocimiento para responder a cada una de estas preguntas y, desde un enfoque innovador, pretende comenzar a construir conocimiento para dejar de ser presas vulnerables en el ciberespacio. Adicionalmente, se busca visualizar nuevos escenarios donde sean los cibercriminales los objetivos a identificar, perfilar, estudiar y desactivar, de la misma o mejor manera en que sus capacidades de ataque desactivan los servicios públicos más necesarios.
Quedan cuatro categorías más por caracterizar y muchos más perfiles cibercriminales por identificar, contamos con los recursos, el talento y la disposición para asegurar que en GEODESE, esta no sea la última vez que se aborde la construcción de conocimiento en pro de una sociedad más segura, con mayor capacidad de respuesta en contra de sus atacantes, incluso si ellas y ellos operan en el ciberespacio
Referencias Bibliográficas
Center for CIC. (2023). Applied cybercriminology: how to learn from the darkside. Literatos
CISA. (2023). Cybersecurity advisory committee. Cybersecurity and Infrastructure Security Agency
(CISA). Department of Homeland Security
Abrams, L. (2023, June 18). Microsoft confirms Azure, Outlook outages caused by DDoS attacks. Bleeping Computer. https://www.bleepingcomputer.com/news/microsoft/ microsoft-confirms-azure-outlook-outages-caused- by-ddos-attacks/
Vu, A. V., Hutchings, A., & Anderson, R. (2023). No easy way out: The effectiveness of deplatforming an extremist forum to suppress hate and harassment. arXiv preprint arXiv:2304.07037.
MIKE TORO
Escribe en el área de seguridad, sobre ciberseguridad
Perfil
Teniente Coronel en retiro de la Policía Nacional con 23 años de servicio tiempo en el cual se especializo en ciberseguridad e investigación de amenazas digitales. Actualmente es Director de Tecnologías Avanzadas en el Centro para la Ciberseguridad e Investigación del Cibercrimen (Center for CIC) de Boston University.
EDUCACIÓN A RESALTAR
MSc en Cybercrime Investigatión and Cybersecurity, 2017. Boston University (EEUU)
Especialista en Seguridad, 2019. Escuela de Postrados de la Policía (Colombia)
Especialista en en pedagogía, 2015. Universidad de la Sabana (Colombia)
Sus pregrados en Administración policial y como Profesional en informática han sido complementados con diversas capacitaciones en Colombia y el exterior, en lo referente al mundo cibernético de la seguridad.
.
