Por: Tom Burt, vicepresidente corporativo de seguridad y confianza del cliente.
El año pasado, los ciberataques afectaron a 120 países, impulsados por el espionaje patrocinado por los gobiernos y con operaciones de influencia (Influence Operations – IO, por sus siglas en inglés) también en aumento. En ocasiones, casi la mitad de estos ataques tuvieron como objetivo Estados miembros de la OTAN, y más del 40% se dirigieron contra organizaciones gubernamentales o del sector privado involucradas en la construcción y el mantenimiento de infraestructura crítica. Si bien los ataques que acapararon los titulares del año pasado a menudo se centraron en la destrucción o la ganancia financiera con ransomware, los datos muestran que la motivación predominante ha vuelto al deseo de robar información, monitorear de manera encubierta las comunicaciones o manipular lo que la gente lee. Por ejemplo:
- Las agencias de inteligencia rusas han reorientado sus ciberataques hacia actividades de espionaje en apoyo de su guerra contra Ucrania, mientras continúan con ciberataques destructivos en Ucrania y esfuerzos de espionaje más amplios
- Los esfuerzos iraníes, que alguna vez se centraron en derribar las redes de sus objetivos, también tienden hoy a amplificar mensajes manipuladores para promover objetivos geopolíticos o aprovechar datos que fluyen a través de redes sensibles
- China ha ampliado su uso de campañas de espionaje para obtener inteligencia que impulse su Iniciativa de la Franja y la Ruta o la política regional, para espiar a Estados Unidos, incluidas instalaciones clave para el ejército estadounidense, y para establecer acceso a las redes de entidades de infraestructura crítica
- Los actores norcoreanos han estado intentando robar secretos de forma encubierta; se han dirigido a una empresa involucrada en tecnología submarina y, por separado, utilizan ciberataques para robar cientos de millones en criptomonedas
Estas son algunas de las ideas del cuarto Informe anual de defensa digital de Microsoft, que cubre las tendencias entre julio de 2022 y junio de 2023 en la actividad de los estados nación, el cibercrimen y las técnicas de defensa.
Más países, sectores bajo ataque
Si bien Estados Unidos, Ucrania e Israel se mantienen como los más atacados, el año pasado se ha visto un aumento en el alcance global de los ataques. Este es en particular el caso en el Sur Global, en especial en América Latina y África subsahariana. Irán incrementó sus operaciones en Medio Oriente. Las organizaciones involucradas en la formulación y ejecución de políticas se encuentran entre las más atacadas, en línea con el cambio de enfoque hacia el espionaje.
Rusia y China aumentan la atención sobre las comunidades de la diáspora
Tanto Rusia como China han aumentado el alcance de sus operaciones de influencia contra una variedad de diásporas. Rusia pretende intimidar a las comunidades ucranianas globales y sembrar desconfianza entre los refugiados de guerra y las comunidades de acogida en una variedad de países, en especial Polonia y los Estados bálticos. Por el contrario, China despliega una vasta red de cuentas coordinadas en docenas de plataformas para difundir propaganda encubierta. Estos apuntan directo a las comunidades globales de habla china y otras comunidades, para denigrar a las instituciones estadounidenses y promover una imagen positiva de China a través de cientos de personas influyentes en el estilo de vida multilingüe.
Convergencia de operaciones de influencia con ciberataques
Los actores de un Estado-nación emplean con mayor frecuencia IO junto con operaciones cibernéticas para difundir narrativas propagandísticas favorecidas. Estos apuntan a manipular la opinión nacional y global para socavar las instituciones democráticas dentro de naciones percibidas como adversarias, lo que es más peligroso en contextos de conflictos armados y elecciones nacionales. Por ejemplo, tras su invasión de Ucrania, Rusia programó de manera sistemática sus operaciones de IO con ataques militares y cibernéticos. De manera similar, en julio y septiembre de 2022, Irán siguió a ciberataques destructivos contra el gobierno albanés con una campaña de influencia coordinada que aún continúa.
Tendencias por estado nación
Si bien ha habido un aumento general en la actividad de amenazas, se han observado tendencias en los actores estatales más activos.
- Rusia apunta a los aliados de Ucrania en la OTAN
Los actores estatales rusos ampliaron sus actividades relacionadas con Ucrania para apuntar a los aliados de Kiev, principalmente miembros de la OTAN. En abril y mayo de 2023, Microsoft observó un aumento en la actividad contra organizaciones occidentales, el 46% de las cuales estaban en estados miembros de la OTAN, en particular Estados Unidos, Reino Unido y Polonia. Varios actores estatales rusos se hicieron pasar por diplomáticos occidentales y funcionarios ucranianos, con la intención de acceder a cuentas. El objetivo era obtener información sobre la política exterior occidental en Ucrania, los planes e intenciones de defensa y las investigaciones de crímenes de guerra.
- China apunta a la defensa de EE.UU., a las naciones del Mar Meridional de China y a los socios de la Iniciativa de la Franja y la Ruta
Las actividades ampliadas y sofisticadas de China reflejan su doble búsqueda de influencia global y recopilación de inteligencia. Sus objetivos suelen ser la defensa y la infraestructura crítica de Estados Unidos, las naciones que bordean el Mar de China Meridional (en especial Taiwán) e incluso los propios socios estratégicos de China. Además de los múltiples ataques sofisticados a la infraestructura estadounidense que se detallan en el informe, Microsoft también ha visto a actores con sede en China atacar a los socios de la Iniciativa de la Franja y la Ruta de China, como Malasia, Indonesia y Kazajstán.
- Irán trae nuevos ataques a África, América Latina y Asia
El año pasado algunos actores estatales iraníes aumentaron la complejidad de sus ataques. Irán no sólo ha apuntado a países occidentales que cree que fomentan el malestar dentro de Irán, sino que también ha ampliado su alcance geográfico para incluir más países asiáticos, africanos y latinoamericanos. En el frente de las OI, Irán ha impulsado narrativas que buscan reforzar la resistencia palestina, sembrar el pánico entre los ciudadanos israelíes, fomentar el malestar chiíta en los países árabes del Golfo y contrarrestar la normalización de los vínculos árabe-israelíes. Irán también ha hecho esfuerzos para aumentar la coordinación de sus actividades con Rusia.
- Corea del Norte apunta a organizaciones rusas, entre otras
Corea del Norte ha aumentado la sofisticación de sus operaciones cibernéticas en el último año, en especial en el robo de criptomonedas y ataques a la cadena de suministro. Además, Corea del Norte utiliza correos electrónicos de phishing y perfiles de LinkedIn para dirigirse a expertos de la península de Corea en todo el mundo y recopilar información de inteligencia. A pesar de la reciente reunión entre Putin y Kim Jong-Un, Corea del Norte apunta a Rusia, en especial en materia de energía nuclear, defensa y recopilación de inteligencia sobre políticas gubernamentales.
La IA crea nuevas amenazas y nuevas oportunidades para la defensa
Los atacantes ya han comenzado a utilizar la IA como arma para refinar los mensajes de phishing y mejorar las operaciones de influencia con imágenes sintéticas. Pero la IA también será crucial para una defensa exitosa, la automatización y el aumento de aspectos de la ciberseguridad, como la detección, respuesta, análisis y predicción de amenazas. La IA también puede permitir que los modelos de lenguaje grandes (LLM, por sus siglas en inglés) generen conocimientos y recomendaciones en lenguaje natural a partir de datos complejos, lo que ayuda a que los analistas sean más eficaces y receptivos.
Ya hemos comenzado a ver cómo la ciberdefensa impulsada por la IA invierte la marea de los ciberataques; en Ucrania, por ejemplo, la IA ha ayudado a defenderse de Rusia.
A medida que la IA transformadora remodela muchos aspectos de la sociedad, debemos participar en prácticas de IA responsable, cruciales para mantener la confianza y la privacidad de los usuarios, y para crear beneficios a largo plazo. Los modelos de IA generativa requieren que evolucionemos las prácticas de ciberseguridad y los modelos de amenazas para abordar nuevos desafíos, como la creación de contenido realista (incluidos texto, imágenes, video y audio) que los actores de amenazas puedan utilizar para difundir información errónea o crear códigos maliciosos. Para adelantarnos a estas amenazas emergentes, seguimos comprometidos a garantizar que todos nuestros productos y servicios de IA se desarrollen y utilicen de una manera que respete nuestros principios de IA.
El estado del cibercrimen
El juego del gato y el ratón entre ciberdelincuentes y defensores sigue con su evolución. Si bien los grupos de amenazas han acelerado de manera significativa el ritmo de sus ataques durante el último año, las protecciones integradas en todos los productos de Microsoft han bloqueado decenas de miles de millones de amenazas de malware, frustrado 237 mil millones de intentos de ataques de contraseña de fuerza bruta y mitigado 619 mil ataques de denegación de servicio distribuido (DDoS), que tienen como objetivo deshabilitar un servidor, servicio o red abrumándolo con una avalancha de tráfico de Internet.
Los delincuentes también buscan aumentar su anonimato y efectividad mediante el uso de cifrado remoto para cubrir sus rastros de manera más efectiva, así como herramientas basadas en la nube, como máquinas virtuales. Pero las alianzas públicas y privadas más fuertes significan que se encuentran cada vez más en el punto de mira de las fuerzas del orden. Por ejemplo, se descubrió al operador de ransomware conocido como Target y se realizaron arrestos y acusaciones con éxito. Pero los delincuentes siguen en la búsqueda de los puntos de entrada más fáciles a los sistemas y se requiere un esfuerzo continuo y acelerado para estar un paso por delante de ellos.
Los ataques de ransomware aumentan en sofisticación y velocidad
La telemetría de Microsoft indica que las organizaciones vieron un aumento del 200% en los ataques de ransomware operados por humanos desde septiembre de 2022. Estos ataques son por lo general un tipo de ataque de “manos en el teclado” en lugar de uno automatizado, y de manera primordial se dirigen a toda una organización, con demandas de rescate personalizadas.
Los atacantes también desarrollan ataques para minimizar su huella, y el 60% utiliza cifrado remoto, lo que hace que la remediación basada en procesos sea ineficaz.
Estos ataques también se destacan por la forma en que intentan obtener acceso a dispositivos no administrados o propios. Más del 80% de todos los compromisos que observamos se originan en este tipo de dispositivos no administrados. Los operadores de ransomware explotan cada vez más las vulnerabilidades de software menos común, lo que hace más difícil predecir y defenderse de los ataques.
Los delincuentes de ransomware también amenazan con revelar información robada para presionar a las víctimas y obtener el pago. Desde noviembre de 2022, hemos observado una duplicación de los casos potenciales de filtración de datos después de que actores de amenazas comprometieran un entorno. Pero no todo el robo de datos está asociado con el ransomware; también puede ser para la recolección de credenciales o el espionaje de estados-nación.
Los ataques de fatiga basados en contraseñas y de autenticación multifactor (MFA, por sus siglas en inglés) se disparan
MFA es el método de autenticación cada vez más común que requiere que los usuarios proporcionen dos o más “factores” de identificación para obtener acceso a un sitio web o aplicación, como una contraseña junto con reconocimiento facial o un código de acceso de un solo uso. Si bien la implementación de MFA es una de las defensas más fáciles y efectivas que las organizaciones pueden implementar contra los ataques, lo que reduce el riesgo de compromiso en un 99,2%, los actores de amenazas aprovechan cada vez más la «fatiga de MFA» para bombardear a los usuarios con notificaciones de MFA con la esperanza de que al final acepten y brinden el acceso.
Microsoft ha observado alrededor de 6 mil intentos de fatiga de MFA por día durante el año pasado. Además, en el primer trimestre de 2023 se produjo un espectacular aumento de diez veces en los ataques basados en contraseñas contra identidades en la nube, en especial en el sector educativo, de alrededor de 3 mil millones por mes a más de 30 mil millones, un promedio de 4 mil ataques de contraseña por segundo dirigidos a identidades en la nube de Microsoft este año.
La única defensa segura será la defensa colectiva
La escala y la naturaleza de las amenazas descritas en el Informe de defensa digital de Microsoft pueden parecer desalentadoras. Pero se han comenzado a lograr grandes avances en el frente tecnológico para derrotar a estos atacantes y, al mismo tiempo, se forjan asociaciones sólidas que trascienden las fronteras, las industrias y la división público-privada. Estas asociaciones han tenido un éxito cada vez mayor a la hora de mantenernos a todos seguros y por eso es vital que sigamos ampliándolas y profundizándolas. Alrededor del 75% de los ciudadanos elegibles en las naciones democráticas tendrán la oportunidad de votar en el próximo año y medio. Mantener las elecciones seguras y las instituciones democráticas fuertes es una piedra angular de nuestra defensa colectiva.