Patrocinado por el estado o motivado económicamente: ¿hay alguna diferencia más?


¿Qué significa la línea cada vez más difusa entre el ciberdelito tradicional y los ataques atribuidos a grupos respaldados por el estado para el futuro del panorama de amenazas?

Los gobiernos siempre han llevado a cabo operaciones cibernéticas ofensivas. Pero en los últimos años, las campañas parecen crecer en audacia y volumen. Los titulares gritan sobre redadas “patrocinadas por el estado” o “estado-nación” dirigidas a todo, desde infraestructura crítica hasta cadenas de suministro complejas. Pero si se mira más de cerca, las líneas entre estos y el ciberdelito tradicional son cada vez más borrosas.

¿Qué significa esto para el futuro del panorama de amenazas y el creciente impacto del ciberdelito en las organizaciones globales? Sin algún tipo de consenso geopolítico, será mucho más difícil evitar que esos grupos criminales sean efectivamente protegidos por los estados nacionales.

Las lineas tradicionales

Cuando comencé a escribir sobre ciberseguridad hace más de 16 años, el descubrimiento de ataques de estados nacionales era una rareza. Eso es lo que hizo de Stuxnet un evento tan grande cuando se rompió. A menudo, ataques similares se describieron como «patrocinados por el estado», lo que agrega un poco más de ambigüedad a la atribución. Es una sensación que sabemos que un gobierno probablemente dio la orden de una campaña, porque el objetivo y el tipo de ataque no se alinearon con motivos puramente económicos, pero es posible que no haya apretado el gatillo.

Es probable que los dos términos se hayan utilizado incorrectamente a lo largo de los años. Pero así es como les gusta a los gobiernos: las técnicas de anonimización dificultan la atribución al 100%. Se trata de una negación plausible.

Ya se trate de un estado nacional o patrocinado por un estado, las campañas de ataque solían presentar varios elementos clave:

  • Herramientas y malware de cosecha propia o personalizados, potencialmente el resultado de una investigación que requiere mucho tiempo para encontrar y explotar las vulnerabilidades de día cero. Este es el tipo de capacidad que nos dio EternalBlue y herramientas relacionadas supuestamente robadas de la NSA.
  • Ataques sofisticados de varias etapas, a menudo descritos como Amenazas persistentes avanzadas (APT), que se caracterizan por un largo trabajo de reconocimiento y esfuerzos por permanecer ocultos dentro de las redes durante largos períodos.
  • Un enfoque en el ciberespionaje o incluso en los ataques destructivos, diseñado para promover fines geopolíticos en lugar de obtener ganancias.

Hasta cierto punto, muchos de estos puntos siguen siendo ciertos en la actualidad. Pero el paisaje también se ha vuelto mucho más complejo.

La vista desde hoy

Actualmente vivimos en un mundo donde el ciberdelito mundial se oculta vale billones de dólares al año. Es una economía en pleno funcionamiento que genera más que el PIB de muchos países y está repleta del tipo de recursos, conocimientos y datos robados para autónomos que muchos estados codician. Así como los gobiernos del sector privado contratan contratistas y proveedores de defensa legítima, los ciberdelincuentes y sus recursos son cada vez más objeto de actividades informales y, a menudo, advert hoc acuerdos de subcontratación.

Al mismo tiempo, ha habido una reducción de las normas geopolíticas históricas. El ciberespacio representa un nuevo escenario de guerra en el que ningún país ha acordado aún términos de compromiso o reglas de tránsito. Eso ha dejado un vacío en el que algunas naciones consideran aceptable patrocinar directa o indirectamente el espionaje económico. Ha ido aún más lejos: en algunos casos, el ciberdelito organizado puede hacer lo suyo siempre que sus esfuerzos se centren en naciones rivales.

Por lo tanto, el panorama true es uno en el que las líneas divisorias entre la actividad tradicional del «estado» y el «delito cibernético» son cada vez más difíciles de discernir. Por ejemplo:

  • Muchos proveedores de la web oscura ahora venden exploits y malware a actores estatales.
  • Los ataques respaldados por el estado pueden usar no solo herramientas a medida, sino también malware comercial comprado en línea
  • Algunos ataques estatales buscar activamente para generar ingresos de campañas de cuasi-ciberdelincuencia
  • Algunos estados han sido vinculado a prolíficas cifras de delitos informáticos y grupos
  • Algunos gobiernos han sido acusados ​​de contratación de piratas informáticos autónomos para ayudar con algunas campañas, mientras hace la vista gorda ante otras actividades
  • Se ha sugerido que ocasionalmente a los operativos del gobierno incluso se les permite trabajar en la luz de la luna para ganar algo de dinero more

Es hora de ser proactivo

¿Qué depara el futuro? Solo sea testigo del furor por la epidemia de ransomware de hoy, en la que se ha culpado a los grupos de ciberdelincuentes de la interrupción grave de energía y suministro de alimentos cadenas. Estados Unidos ha puesto algunos como Evil Corp, en las listas oficiales de sanciones. Eso significa que las víctimas y las aseguradoras no pueden pagar el rescate sin que ellos mismos infrinjan la ley. Pero estos grupos continuar cambiando de marca sus esfuerzos en un intento por burlar estas reglas.

La conclusión es que, si bien todavía hay un mercado para sus servicios, estos grupos continuarán trabajando, ya sea con la bendición tácita o el patrocinio activo de los estados nacionales.

Para los investigadores de amenazas y los CISO atrapados en el medio, esto puede no ser muy cómodo. Pero hay un lado positivo. Muchos ejecutivos de nivel C pueden ser culpables de adoptar una actitud fatalista hacia los ataques estatales: sentir que sus oponentes tienen tan buenos recursos y son tan sofisticados que no tiene sentido siquiera intentar defenderse de ellos. Bueno, la verdad es que los atacantes no son necesariamente superhumanos respaldados por el aparato y la riqueza de toda una nación. Es posible que estén utilizando malware de productos básicos o incluso agentes de amenazas contratados.

Eso significa que su estrategia de seguridad debe ser la misma, sea cual sea el adversario. Perfiles de riesgo continuos, defensas multicapa, políticas herméticas y detección y respuesta rápidas y proactivas.



Enlace a la noticia unique