Las 10 diferencias fundamentales de los ataques promovidos por estados

Las agencias gubernamentales utilizan herramientas fáciles y conocidas para entrar en los sistemas para evitar dar indicios de quiénes son y qué es lo que buscan. Pero tienen el dinero para comprar y utilizar las herramientas más avanzadas utilizadas por organizaciones criminales para penetrar en los datos de pagos.

Por lo tanto la protección contra este tipo de ataques comunes es necesaria si se quiere estar protegido contra atacantes protegidos por estados, pero no es suficiente. Hay algunas diferencias clave en los ataques originados por gobiernos extranjeros, e ignorar estas diferencias puede ser fatal.

En primer lugar, van tras diferentes tipos de datos. Los vándalos hacen mucho ruido y van tras sitios web conocidos, o atacan aleatoriamente a cualquiera que se ponga a tiro. Los criminales persiguen cosas que puedan vender. Las naciones extranjeras atacarán embajadas y oficinas gubernamentales tras información política,según  afirma Jaime Blasco, director de los laboratorios de Alien Vault, Inc, en San Mateo, California. Pero irán también tras compañías privadas, y no sólo contratistas de defensa tampoco.

“Si compañías concretas han desarrollado una tecnología o método para hacer algo, podrían robar la información para obtener ventajas competitivas para compañías chinas”, afirma. E irán también contra información personal o de negocio que podría darle pistas para poder entrar en más compañías.
Blasco formó parte del equipo que cazó a UglyGorilla, el hacker chino que entró en los ordenadores de cinco compañías americanas a principios de año, y el llamado Sykipot, un ataque desde China que sobrepasó dos barreras de autenticación y robó secretos comerciales de industrias automovilísticas y aeroespaciales.

“Lo que creíamos que era la razón primaria del ataque, podría ya no ser tan obvio”, dijo Carl Wright, general manager en TrapX, que recientemente descubrió un ataque chino contra compañías internacionales de transporte y logística. Por ejemplo, un ataque contra ciertos tipos de equipamiento agrícola podría reportar información valiosa sobre la producción de grano, afirmó.

Por otro lado, los gobiernos extranjeros buscan poder, y no solamente del tipo “información es poder”. Pueden ir detrás de las fuentes de “potencia” de un país, como redes eléctricas, oleoductos o reactores nucleares.

“También estarían satisfechos si causan disrupción en servicios gubernamentales, sistemas de comunicación o en la economía de otra nación, o dañando la reputación de instituciones relacionadas con el estado”, afirma Jeff Williams, CTO de Contrast Security, de Palo Alto, California.

Pero todos jugamos a lo mismo. Está bastante demostrado que los Estados Unidos estuvo detrás de los ataques Stuxnet que afectaron a los reactores nucleares de Irán y retrasó significativamente su capacidad de producir armas nucleares, dice Williams.

Además, operan a largo plazo mientras que los criminales y los vándalos buscan recompensas rápidas.
“Cuando se roba la tarjeta de crédito a alguien, el tiempo en que es un activo valioso es muy corto”, dice Carl Wright de TrapX. “En algún momento, la compañía de la tarjeta de crédito la cancelará y el cliente recibirá una tarjeta nueva”.

Un gobierno extranjero, por el contrario, puede tener paciencia infinita. “Pueden entrar en algún sitio y quedarse ahí sin tratar de hacer mucho hasta que crean que es el momento adecuado”, dice Ben Johnson, jefe de estrategia de seguridad en Bit9, Inc, de Walthan, Massachusetts. De hecho, afirma, podrían parchear vulnerabilidades que encontraran para evitar que nadie más entrara y provocara una alerta.

“Si creen que han vulnerado una defensa, podrían esconderse un tiempo”, sostiene. “Pero si por el contrario, creen que les van a echar porque la compañía está cerrando cuentas de usuario, podrían tomar los datos que puedan lo más rápidamente posible”.

Destaca el hecho de que pueden no ser descubiertos nunca. Según el informe de este año de Verizon de incidentes de seguridad, el 84% de los descubrimientos de ataques que se han reportado, fueron hechos por terceras partes.

Este es particularmente el caso de los datos de tarjetas de crédito, dijo D.J. Vogel, de Sikich LLP, de Naperville, Illinois. Cuando se roban datos de pagos, hay numerosas terceras partes involucradas que pueden hacer saltar la alarma, explica. El consumidor individual, por ejemplo, que encuentra cargos extraños en su factura. Los procesadores de pagos y compañías de tarjetas de crédito que monitorizan transacciones con pautas extrañas.

Pero cuando se trata del robo de secretos comerciales, pueden pasar años antes de que la víctima lo descubra, si lo descubre alguna vez. “La industria en conjunto es menos propensa a identificar los ataques promovidos por gobiernos”, dice.  “Es mucho más fácil volar por debajo del radas y pasar desapercibido”.

E incluso si una compañía descubre que ha sido atacado y sus datos robados, esa puede no ser la historia completa. “La pregunta del millón de dólares es qué es lo que quieren hacer con ello”, pregunta Dodi Glenn de ThreatTrack de Clearwater, Florida. “¿Están intentando diseñar otro iPhone y venderlo más barato? ¿O están tratando de aprovechar una vulnerabilidad del iPhone que nunca van a revelar?  Nunca van a dar a conocer lo que hagan con los datos. Solo podemos inferir cuál era el objetivo”.

Los delincuentes no temen el acercamiento físico. A pesar de lo que se ve en televisión, un criminal no es fácil que siga a un directivo de una compañía para infectar físicamente su ordenador o teléfono móvil con malware. El coste, en tiempo, gastos de viaje y la posibilidad de ser detenido, es demasiado alto. Es más fácil ir detrás de otro directivo que tenga un teléfono que pueda ser pirateado sin contacto físico.

En el caso de ataques promovidos por gobiernos, no obstante, y especialmente dentro de las fronteras del propio país, los costes y riesgos son mínimos. De hecho, pueden llegar a montar una reunión con el directivo objetivo, afirma Michael Shaulov, CEO de Lacoon Mobile Security, Inc, de San Francisco.  Todo lo que necesitan es un poco de tiempo privado con el ordenador o teléfono móvil para infectarlo. Hay diversas maneras de infectar iPhones, añade Shaulov. Y desde luego, una nación extranjera tiene acceso completo a sus propias redes telefónicas.

Sin olvidar que también las ondas pueden no son seguras. “En Rusia descubrieron un par de torres de telefonía móvil falsas”, afirma. “Cada vez que alguien pasaba a través de su área de cobertura, alguien en el gobierno interceptaba sus comunicaciones”.

El mismo enfoque funciona en territorio extranjero, añadió. Una mini torre de telefonía móvil puede esconderse en una maleta y ser llevada a una posición cercana al objetivo, o colocada en un vehículo para tener una mayor cobertura.

Sin olvidar que un criminal con motivos financieros desea obtener el mayor retorno a su inversión, así que irán primero tras las compañías menos defendidas. “Hay cientos de objetivos”, dice Steve Hultquist de RedSeal, Inc. “Así que puedo pasar al siguiente”. Una compañía no tiene que tener una seguridad perfecta para poder defenderse, todo lo que tiene que hacer es evitar ser la fruta más a mano.

Sin embargo, un atacante patrocinado por un estado extranjero, no obstante, está motivado por la ganancia estratégica, no financiera. Permanecerá tras una compañía, sus empleados y sus partners de negocio hasta que consiga entrar.

Además, cuando las ciberataques se dirigen a un país, tienen un equipo grande y bien organizado. Los criminales pueden trabajar solos o en equipos dispersos. Un atacante de un estado, por el contrario, puede trabajar desde una oficina y bajo un director de proyecto bien entrenado.

“Los ciber-ataques promovidos por estados son más fácil que estén organizados y compuestos por un gran grupo de personas”, dice Jeff Williams de Contrast Security. “Pueden tener un gran laboratorio lleno de gente entrenada y ejecutando un gran número de ataques contra un gran número de cosas al mismo tiempo”.

Y trabajarán las 24 horas del día, añade Udi Mokady, CEO de CyberArk Software de Israel.
“Está basado en gente que trabaja por turnos con procesos y desarrollo bien gestionado”, añade. “Se comportan como un equipo de desarrollo y son capaces de ejecutar ataques sofisticados”.

Un gobierno extranjero se puede permitir crear un ataque completamente nuevo, de día cero, para ir tras objetivos individuales. “Tienen el talento y los recursos para identificar vulnerabilidades de día cero”, dice John Dickson de Denim Group de San Antonio, Texas. “Han mostrado la voluntad de tener un montón de gente dedicando una tonelada de tiempo para entrar en ciertos sitios”.

Y el gobierno extranjero mantendrá secretas esas vulnerabilidades para utilizarlas de nuevo o asegurar que su ataque no sea descubierto.

Un criminal también está interesado en obtener el máximo de una vulnerabilidad, pero en mucho menos tiempo. Las vulnerabilidades no utilizadas no dan ningún beneficio, y dado lo lento que algunas compañías parchean las vulnerabilidades, incluso las descubiertas pueden seguir siendo rentables durante años.

“La realidad es que las compañías y agencias de gobierno americanas sólo están malamente preparadas para los más bajos niveles de ataque, los de los auditores”, dice Williams de Contrast Security. Y los auditores van siempre varios años por detrás, porque utilizan regulaciones y estándares definidos años antes. Esto significa que la mayoría de las organizaciones no están preparadas para técnicas comúnmente utilizadas por todo tipos de hackers, tales como las herramientas automatizadas.

“Deberíamos construir sistemas diseñados para resistir los ataque esperados los próximos diez años, no los ataques que ocurrían hace dos”, afirma Williams. Esto significa que todas las organizaciones deberían prepararse para hacer frente a ataques de largo plazo, bien coordinados y casi invisibles.

“En diez años este tipo de ataque estará disponible a atacantes incluso poco entrenados, y deberíamos preparar nuestras infraestructuras críticas para ello”, concluye.