Ellos saben cuándo deben atacarte

Organizaciones delictivas, empresas espías y estados «especialmente activos» conforman un ecosistema de amenaza persistente avanzada (APT) cuya actividad ciberdelictiva se ha multiplicado en los últimos meses. Las crisis geopolíticas, y sobre todo la combinación de búsqueda de información y teletrabajo de las últimas olas de covid, han disparado los ataques que explotan los resquicios de vulnerabilidad de sistemas operativos y empresas . Unas brechas de seguridad en las tecnologías utilizadas que implican cada vez mayor debilidad de los protocolos de protección. Desde las grandes industrias a los particulares. Y que tienen en los sistemas de producción de los países y sus infraestructuras críticas un objetivo claro.

Pocas sorpresas respecto a los protagonistas. El mayor número de ataques cuyo origen ha sido esclarecido en la segunda mitad del año pasado, vinculados con la mayor o menor incidencia del coronavirus, provienen de Rusia.

Son algunas de las conclusiones del informe realizado por Telefónica Cybersecurity & Cloud Tech , Telefónica Tech , a través del programa Aristeo , que se puso en marcha desde el centro Cybersecurity 4 Industry ( C4in ) de la compañía ubicado en el Parque Tecnológico de León.

Su director, José Antonio Cascallana , destaca que «tras el anuncio de la variante Ómicrom volvieron a subir los ataques a los escritorios remotos, debido al repunte del teletrabajo. Una vez más se concluye que nos enfrentamos a delincuentes que conocen la realidad social y la legislación. Saben encontrar el momento adecuado para lanzar ataques».

Ataques que, «pese a las dificultades para atribuir muchos de los eventos de seguridad, constatan que uno de cada cuatro proviene de Rusia. Muy lejos que los que vienen de Estados Unidos (un 6%) o Alemania (un 5%)».

De hecho «de las diez direcciones de IP que generan más eventos de ciberseguridad, más de la mitad, con un incremento del 160% en el segundo semestre de 2021, provienen de IP con origen en Rusia y EE UU. Les siguen Alemania y Ucrania en menor medida».

El caso es que desde el centro tecnológico de León y con el programa Aristeo «se han detectado sólo en los últimos seis meses del año pasado más de 400 millones de eventos de ciberseguridad». Desde C4in «se investigan las características técnicas que emplean, desde los vectores de ataque utilizados a las vulnerabilidades explotadas, los indicadores de compromiso, comportamiento de los ciberdelincuentes,... Eso nos permite obtener inteligencia predictiva sobre las amenazas para prevenir y mitigar los riesgos de ciberataques a entornos industriales», concluye Cascallana.

Organizados y peligrosos

Los datos analizados desde el grupo tecnológico establecido en León reflejan que «en los últimos meses se observa un incremento de actividad en los grupos APT» . Organizaciones con grandes recursos (países, asociaciones delictivas, grandes empresas,...) que atacan a través de múltiples vectores un objetivo que suele ser una empresa o directamente un estado. Instalan malwares en sus sistemas operativos aprovechando las vulnerabilidades que aparecen constantemente, y a través de ellas son capaces de modificar los sistemas de producción o actuación y de obtener datos trascendentes.

En paralelo avanzan los ataques a través de las tecnologías operativas (OT) , que afectan sobre todo a las industrias. Su control cada vez en mayor medida por parte de los responsables a través del teletrabajo ha permitido nuevas vías de ataque al abrir brechas mayores en su ciberseguridad. Desde Telefónica Tech señalan: «Hemos podido comprobar que es cierto eso que se dice sobre que los delincuentes son los que mejor conocen la legislación y la realidad de la sociedad». Una realidad que se mueve en distintos entornos. «En cuanto apareció la variante Ómicron se dispararon ciertos tipos de ataque relacionados con el teletrabajo».

El programa Aristeo inició a principios de 2021 una investigación concreta sobre la ciberseguridad y el covid 19. «La tendencia del primer semestre se repitió en el segundo del año. De hecho las interacciones contra los controladores lógicos programables (PLC) aumentaron, y siguieron así en noviembre. Hasta que llegó una nueva variante del virus que iba a entrar con fuerza en todo el mundo». Y se volvió a cumplir lo temido. Los ataques se dispararon. «Los ciberdelincuentes son los que mejor conocen la sociedad, pero también la legislación».

En el segundo semestre del año pasado C4in registró a través de su programa de señuelos más de 402 millones de eventos de ciberseguridad. Un aumento del 160% respecto al semestre anterior. Incluso en el caso de los controladores programados sólo en octubre crecieron un 1.500%.

Aristeo frente a las amenazas

Aristeo es el sistema puesto en marcha desde el centro de Telefónica Tech en León para captura y análisis de amenazas en el ámbito de la tecnología operativa. Se trata de una red de señuelos, fabricados con hardware de la industria real , «que aparentan ser sistemas industriales en producción real, y se comportan como tales». Engañan así a los atacantes, que mientras piensan que están entrando en sistemas de industria están ofreciendo en realidad información sobre las amenazas y vulnerabilidades que existen, y sobre las amenazas que pueden acceder al sistema».

Según explica Cascallana, «con la información de todos los dispositivos desplegados en los distintos nodos-señuelos Aristeo aplica relaciones a inteligencia para ir más allá del dato, y puede detectar proactivamente campañas , ataques dirigidos o sectorializados, vulnerabilidades 0-day,...».

Además, «cada nodo-señuelo dispone de sus propias características», señala el informe, que incide en que «reproduce un proceso distinto. Así que cambian en cada caso los protocolos, dispositivos, sectores productivos,... «Además los nodos están vivos, y eso implica que pueden experimentar alteraciones en su configuración a gusto del equipo de investigadores, o del cliente que los utiliza».

Un amplio espectro

El Informe sobre el estado de la seguridad 202 1 analiza un amplio espectro de incidentes tecnológicos, que van desde la seguridad de los móviles hasta el análisis de las vulnerabilidades, la protección de la privacidad y en general «los riesgos del panorama actual».

De hecho detalla los incidentes más destacados en el segundo semestre del año pasado, y los que han tenido más impacto en la seguridad.

En el caso de los dispositivos móviles , el informe analiza las nuevas versiones de Apple iOS. Sólo en el segundo semestre del año «se detectaron 120 vulnerabilidades parcheadas, de las cuales 40 son consideradas de alto riesgo, con posibilidad de ejecutar código arbitrario. Algunas de ellas afectan al propio núcleo del sistema».

El Cybersecurity 4 Industry (C4in) de Telefónica se dedica desde su inauguración en octubre de 2019 a la innovación para el desarrollo de productos y servicios dedicados fundamentalmente al sector empresarial de la industria, y que se comercializan en todo el mundo. Inició su andadura con 30 expertos en ciberseguridad , con el objetivo de «convertirse en un centro de referencia en la investigación, la innovación y los desarrollos de ciberseguridad para las empresas, especialmente para la industria 4.0.

El proyecto con el que Telefónica ha apostado por el ecosistema tecnológico ubicado en León se basa en desarrollar sistemas que ayuden a las industrias a prevenir y gestionar los riesgos de la transformación digital. Este centro forma parte de la red de Centros de Operaciones de Seguridad de Telefónica, que tiene once unidades repartidas por distintos países del mundo.

Las actuaciones del C4in se centran en la creación de nuevas tecnologías y herramientas que incidan en una mayor seguridad de los procesos industriales, pero también en la formación y entrenamiento de los trabajadores de estas empresas para hacer frente a las brechas de seguridad que continuamente se presentan en sus sistemas.

La actividad del informe que ahora se presenta se ha intensificado, de hecho en el primer semestre de 2021 se analizaron 246 millones de amenazas de ciberseguridad, y en los últimos seis meses del ejercicio se han detectado y estudiado más de 442 millones de eventos.

En todos los casos, y debido al cambio tecnológico que ha supuesto para las empresas la irrupción del covid y con él del teletrabajo, los incidentes están relacionados en su mayor parte con los ataques a los escritorios remotos. Desde la aparición de la pandemia, y a medida que ésta ha ido avanzando, se ha detectado un incremento muy sensible de la incidencia de este tipo de ataques. Que, según constata el último informe, avanzan con cada nueva ola de contagios (y por tanto de aumento del teletrabajo) y se relaja con el descenso de los casos.