Biden se pone serio… ¿Y si Washington logra cambiar el mapa de los ciberataques?
El Gobierno estadounidense empieza a ofrecer recompensas millonarias para atrapar a los grupos hostiles que atacan sus infraestructuras y empresas. Algunas voces alertan de que esa agresiva respuesta podría trasladar el mapa de los ciberataques a Europa y Asia
Una imagen, dicen, vale más que mil palabras. La de miles de ciudadanos de la Costa Este estadounidense enfadados y haciendo colas kilométricas para conseguir carburante para sus coches podría precipitar un cambio de gran calado en el universo de la ciberseguridad. Global. Algo así como un rediseño del mapa de los ciberataques a nivel mundial.
Todo comenzó a finales de mayo. Un grupo de ransomware conocido como DarkSide (uno de los más jóvenes dentro de mundo del cibercrimen) inutilizó, al parecer sin querer, el gasoducto de Colonial.
Acababan de sembrar el caos. Con su ataque, dejaron fuera de servicio una infraestructura crítica para la primera potencia mundial. Un gasoducto que suministra casi la mitad del combustible que se consume en la costa Este del país.
Las consecuencias no se hicieron esperar. Miles de ciudadanos agolpados en las gasolineras a la caza de combustible, estaciones de servicio sin reservas… Un despropósito.
Tanto fue así que al presidente Joe Biden no le quedó otra que ponerse en acción y decretar el estado de emergencia en hasta 18 estados. Algunos tan importantes como Nueva York, Washington DC o Florida.
Aquellos días, relatan algunos de los medios estadounidenses más prestigiosos, Biden tomó auténtica conciencia del problema. Y se puso manos a la obra.
El presidente ya había quedado impactado por las repercusiones del ciberataque a SolarWinds a finales del 2020. Que un organismo tan crítico como la NNSA, que controla el arsenal nuclear, se viese afectado por el incidente resultaba elocuente.
Pero fueron las imágenes del desabastecimiento de carburante en las grandes cadenas de televisión del país las que detonaron su reacción. Aquello no se podía permitir.
Sus decisiones desde entonces podrían redibujar el mapa de los ciberataques a nivel global. Washington ha activado un paquete de actuaciones contra el cibercrimen sin precedentes.
Recompensas de hasta 10 millones de dólares por información sobre grupos de ransomware y similares, creación de un grupo de trabajo en la Casa Blanca para implementar medidas contra estos incidentes…
Una web para los soplos
El Ejecutivo de Biden ha dado orden al Servicio Secreto estadounidense y al FBI de fijar entre sus prioridades la lucha contra el cibercrimen. Incluso ha creado una web, Stopransomware, para dar curso a las denuncias, y chivatazos, protegiendo a las fuentes.
Esto es, aquellos que pongan en la pista de los actores hostiles podrán llevarse una jugosa recompensa (que se podrá cobrar incluso en criptomonedas) sin que trascienda su identidad.
Tras el ataque a Colonial, Biden instó paralelamente a las empresas tecnológicas del país a poner todos los medios a su alcance para contener estas amenazas. Y de nuevo la respuesta ha sido unánime.
Diez de las compañías del sector más importantes, entre las que figuran Microsoft, Google o Amazon, por citar solo algunos ejemplos, han empezado a colaborar en la causa.
¿Cómo? Participando en una estrategia liderada por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Un ambicioso plan para facilitar el intercambio de información entre el sector público y privado para detectar y neutralizar cualquier ataque con ransomware.
El último pilar de la estrategia de Washington para poner coto a este problema ha sido poner la pelota en el tejado de terceros países, principalmente Rusia y China.
A lo largo de las últimas semanas, Joe Biden ha acusado directamente, y sin ambages, a los Gobiernos de ambas potencias de auspiciar a los cibercriminales que están detrás de esos asaltos.
Y ha amenazado con tomar medidas, incluso aplicando programas de sanciones, si persisten en este comportamiento. Moscú y Pekín mantienen un perfil bajo por el momento, pero no parece probable que quieran enfrentarse a una potencia como EE.UU. en la protección de unos grupos que, aún resultando útiles para algunos objetivos, realmente escapan a su estricto control.
En este contexto, algunas voces sostienen que la presión que Biden ha empezado a ejercer para contener este fenómeno podría cambiar el mapa de los ciberataques a nivel global.
Otros territorios, distintos objetivos
¿De qué manera? De un lado, poniendo el foco en territorios menos beligerantes por el momento contra los grupos de ransom. Léase Europa o Asia, por ejemplo. De otro, cambiando los targets. Los objetivos a atacar.
En los últimos años, los organismos gubernamentales y las infraestructuras críticas de numerosos países han sido objeto de asaltos. Pero cada vez es más evidente que las repercusiones de estos incidentes adquieren una relevancia mediática y política mucho más notable.
Lo explica gráficamente José Lancharro, el director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security: «No es lo mismo que metan un ransomware en una empresa que vive de la información que en una planta de suministro eléctrico o una planta de potabilización, que gestionan servicios críticos para la sociedad. Las consecuencias son muy diferentes», relata.
Lancharro es de los que cree que «atacar sistemas críticos es cada vez un tema más delicado porque puedes despertar a la bestia y que te salga muy caro el esfuerzo». Metafóricamente hablando, esa bestia sería hoy, de facto, Biden y la Administración estadounidense.
Pero también Rusia, que ha tomado medidas para proteger sus infraestructuras estratégicas.
Así las cosas, no parece descabellado pensar que los actores hostiles podrían empezar a apuntar a nuevos objetivos para sortear las presiones gubernamentales. Y el blanco más fácil, a día de hoy, son las empresas, especialmente las localizadas en áreas más tibias en la lucha contra el cibercrimen como el Viejo Continente o los países asiáticos.
«Es evidente –sostiene Lancharro- que el código malicioso va a ir a donde esté el dinero. Y por eso sospechamos que estos grupos de ransom podrían ir más hacia Europa o Asia».
En los últimos meses han aparecido en este sentido algunas señales que apuntarían en esta dirección.
Varios informes publicados recientemente señalan que los ataques masivos han dejado de ser la estrategia principal de los cibercriminales. Ahora, los grupos detrás de estos incidente están más centrados en ataques dirigidos a arquitecturas o víctimas muy concretas.
Golang y el mapa de los ciberataques
La aparición de varios ransomware creados con Golang, algunos dirigidos a sistemas industriales, darían cuenta de unos movimientos inquietantes: la posibilidad de que empiecen a florecer ataques a sistemas más específicos y a todo tipo de arquitecturas.
Con este nuevo mapa de los ciberataques sobre la mesa, a las empresas europeas difícilmente les va a quedar otra que mover ficha. Protegerse activamente y contar con servicios de ciberseguridad avanzados para contener unas amenazas que no paran de crecer.
Disponer de servicios de hardening, pentesting, auditoría de seguridad informática o de auditoría de seguridad web resultarán indispensables en el futuro a corto plazo. Al igual que los servicios de threat hunting, red team o ciberinteligencia.
A lo largo de los próximos años, las empresas van a necesitar levantar protecciones de alto nivel para hacer frente a un fenómeno que, lejos de perder intensidad, sigue en plena emergencia.
Ha llegado la hora de prepararse para la guerra.
Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/
En TarlogicTeo y en TarlogicMadrid.