Resumen Ciber-defensa 2016

El protagonista absoluto del ámbito de la Ciberdefensa en 2016 fue sin duda Rusia, el numero de presuntas operaciones APT y la agresividad de las mismas marcaron las principales noticias del año. Por ello Rusia sera el eje principal de este resumen que como años anteriores ofrece un compendio de los principales sucesos del año que termina. Las repercusiones de las ciber-operaciones que se atribuyen a los servicios de inteligencia de este país superaron a cualquier otro caso de APTs que hubiéramos visto en años anteriores.

Durante la campaña electoral en EEUU, que resulto en la elección de Donald Trump, la seguridad informática juego un papel estrella. Como ya adelantamos el pasado año el escándalo que afectaba a Hillary Clinton por el uso de un servidor de correo privado en lugar del oficial cuando era Secretaria de Estado fue un tema recurrente. Si bien paso a segundo plano por otros casos también relacionados con correos electrónicos. Según parece los servicios rusos accedieron a los correos electrónicos del Comité Nacional del Partido Demócrata y a los de la cuenta de gmail de John Podesta, jefe de la campaña de Clinton. Estos correos fueron publicados por Wikileaks, con una clara intencionalidad de cuestionar a la candidata presidencial. Así mismo parece ser que Rusia hubiera podido acceder también a correos del partido republicano pero que prefirió no filtrarlos. Los analistas geopolíticos coinciden en que Rusia ha pretendido por medios ciber alterar el desarrollo de la campaña, ya fuera influyendo en los votantes o cuestionando la legitimad del propio proceso electoral.

La respuesta de EEUU llego al cierre del año, el día 29 de Diciembre, se hizo público un informe del FBI sobre la influencia rusa en la campaña electoral. Como consecuencia ese mismo día también se anuncio la expulsión de diplomáticos Rusos de EEUU  y las sanciones económicas sobre oficiales, empresarios y empresas civiles asociadas a las capacidades ciber de los servicios secretos rusos. Por su parte Rusia anuncio que contestaría adecuadamente a estas acciones.

Informe del FBI sobre la actividad rusa

Otro bombazo del año, fue la aparición de un hasta entonces desconocido grupo The Shadow Brokers, que filtro diverso material secreto de la NSA que incluía exploits del tipo zero day. Esta filtración era solo una pequeña muestra de una cantidad mayor de ciber-armas que este misterioso grupo estaría ofreciendo como parte de una subasta. En octubre un contratista civil de la NSA fue detenido por el manejo inadecuado de material secreto de la NSA , asociado a los programas filtrados por Shadow Brokers. Aunque hasta el momento no se sabe la relación exacta entre ambos casos.

Rusia también se mostró excepcionalmente ofensiva en el mundo ciber contra todos aquellos que han cuestionado públicamente las acciones de este país. Así por ejemplo se atribuye a hacker rusos la filtración de datos médicos de atletas de EEUU, supuestamente como respuesta a las acusaciones de doping de los rusos en Sochi 2014. Ataques al colectivo de periodismo de investigación ciudadano Belling Cat , que había hecho público previamente un informe sobre la participación de Rusia en el derribo del vuelo Malaysian Air MH17. Así como ataques también por esta misma causa al equipo de investigación aeronáutica oficial Holandes.

Dejando a un lado al principal protagonista se pudo comprobar el aumento de actividad a nivel gubernamental, de grupos insurgentes y de actores híbridos. El número de ataques del tipo APT siguió en aumento, con grupos que incrementaron su actividad significativamente o que fueron descubiertos este año, por citar algunos Trochilus, Transparent Tribe, Lazarous Group, Prince of Persia, Project Sauron/Strider, Droping elephant, Pacifier, Poseidon  o Moonlight.

En Marzo un informe de Verizon daba a conocer un curioso caso en el que un grupo de piratas somalies habría contratado los servicios de hackers para tomar el control de sistemas web de una empresa naviera, se supone que para obtener información para posteriores secuestros marítimos.

La tendencia de los bug bounties, programas de recompensas por localizar vulnerabilidades de seguridad, paso a ser adoptada por el Pentágono que ofreció un programa de este tipo.

En  2016 se publicaron algunos libros que analizan las repercusiones pasadas y actuales de la ciberguerra: Dark Territory: The Secret History of Cyber War de Fred Kaplan ,  Ciberguerra de Yolanda Quintana , o Los hombres que susurraban a las maquinas de Antonio Salas.

En una tendencia que pudimos constatar en años anteriores, los conflictos bélicos y zonas de tensión geopolítica mas importantes suelen ir acompañados de una vertiente Ciber. Por citar algunos:

• Siria: Continuo la tendencia del uso masivo de Internet como lugar de reclutamiento y para la distribución de propaganda por parte de los diversos grupos rebeldes participantes en la guerra civil. Aunque una vez mas el Estado Islámico demostró ser el mas versado en este campo. El 2016 lanzo una publicación en formato revista dedicada exclusivamente a su vertiente ciber, la Kybernetiq. Por su parte supimos que el Cibercomando de EEUU habría respondido también a la amenaza del Estado Islámico con ataques contra internet y otras redes de telecomunicaciones en Iraq y Siria (Cyber Command Attacking ISIS Computer Systems and Telephone Networks in Iraq and Syria).

• Península de Corea: Corea del Norte se siguió mostrando agresiva respecto a su vecino del sur, entre otros South Korean Intelligence Service Says North Korean Hackers Targeted Phones of Top South Korean Officials. Además se sospecha que estaría detrás de los millonarios ataques al sistema financiero SWIFT como forma de obtención de divisas extranjeras.

• Israel: Entre otros fue objeto de un ataque contra su infraestructura eléctrica , y encauso a un hacker israelí por el supuesto hacking a sus sistemas de drones (Islamic Jihad Hacker Accused of Accessing Israeli Drone Communications).

• Ucrania: Se registraron múltiples apagones atribuidos a ataques informáticos Rusos tan pronto como enero y tan tarde como el mismo diciembre. Un ejemplo fue la llamada Operation GroundBait. Algunos de los ataques rusos habrían provocado apagones como consecuencia de ataques a sistemas SCADA en las redes de distribución eléctrica. Por su parte hackers Ucranianos contestaron accediendo y publicando a información privada de uno de los principales consejeros del presidente Ruso.

• India-Paquistán , se hicieron públicos datos de las operaciones Transparent Tribe y C-Major.

Sin duda todo lo acontecido en 2016 tendrá repercusiones duraderas en el próximo año. De continuar la tendencia actual veremos cada vez ataques gubernamentales mas audaces que tendrán consecuencias fuera del mundo ciber mas significativas.