• No se han encontrado resultados

Capítulo III. Amenazas Persistentes Avanzadas: Estudios de caso de Estados

III. La República Popular China

2. Operaciones de spear phishing contra industrias estratégicas

Como se mencionó, la tercera estrategia principal que la República Popular China tiene en el ciberespacio es el de aprovechar la dinámica de Internet para llevar a

144 cabo ataques que le permitan adquirir tecnología extranjera mediante el espionaje cibernético, lo cual permitiría equilibrar desventajas en desarrollos estratégicos en el mundo físico. La empresa estadounidense de seguridad informática FireEye ha realizado una recopilación exhaustiva de diferentes ataques informáticos, los cuales son considerados parte de una gran Amenaza Persistente Avanzada llevada a cabo por China con este objetivo, y que ha denominado “UPS”.

UPS se constituye como un grupo de ataques informáticos, los cuales comparten una serie de objetivos comunes, con suficiente evidencia como para apuntar a China como el Estado detrás de los ataques. Identificado como una APT muy elaborada en su accionar, UPS hizo uso, en diferentes oportunidades, de vulnerabilidades presentes en los exploradores web más utilizados del mundo (Internet Explorer, Firefox), para diseminarse y para realizar sus ataques (Eng y Caselden, 2015).

Dentro de las principales operaciones de este grupo de ataques existen dos principales que son útiles para reflejar la capacidad de acción y los blancos atacados:

Operación Zorro Clandestino (Scott, 2014) y Operación Lobo Clandestino (Eng y Caselden, 2015). La primera, Operación Zorro Clandestino, fue descubierta en el año 2014, y consistía inicialmente en una serie de ataques phishing a través de correos electrónicos, que hacían uso de una vulnerabilidad día cero en el navegador web instalado por defecto en el sistema operativo Windows, Internet Explorer. Lo curioso de esta operación, que a su vez revela su carácter persistente, fue que siguió estando activa inclusive luego de que Microsoft actualizara Internet Explorer para corregir la aludida vulnerabilidad: mediante la utilización de técnicas de spear phishing, la Operación Zorro Clandestino continuó atacando a un grupo específico de empresas, comunicándose por correo electrónico que simulaba ser un postulante que ponía a disposición su currículum vitae. Cuando un empleado de la empresa intentaba abrir el documento, automáticamente se instalaba una puerta trasera que permitía a un servidor remoto controlar y extraer información de las computadoras afectadas (Scott, 2014).

Con un nombre y un modus operandi similar, la Operación Lobo Clandestino

realizaba ataques de spear phishing haciendo uso de una vulnerabilidad en Adobe Flash Player, una aplicación informática privativa ampliamente utilizada, que reproduce archivos multimedia dentro de los navegadores web. Esta operación enviaba correos electrónicos a empresas simulando ofrecer beneficios empresariales exclusivos, a los cuales se podían acceder siguiendo un enlace web. Cuando un empleado hacía clic en el enlace, era redirigido a una página web que parecía legítima, pero que reproducía un

145 breve pero peligroso video haciendo uso de Adobe Flash Player: simultáneamente a la reproducción del video, el ataque instalaba el mismo malware usado por la Operación Zorro Clandestino, el cual creaba puertas traseras que enviaban información a servidores que podían controlar remotamente las computadoras afectadas (Eng y Caselden, 2015).

A pesar del carácter técnico previamente descrito de ambas operaciones, estos ataques demuestran cómo las estrategias ofensivas en el ciberespacio tienen la capacidad de adquirir avatares cada vez más complejos y rebuscados, y también cada vez más eficaces en su capacidad de acción. El factor que volvió a UPS una APT extremadamente peligrosa fue el tipo de industrias a las cuales se atacó: empresas dedicadas a desarrollos aeroespaciales y de defensa, de construcción e ingeniería, empresas dedicadas al desarrollo de alta tecnología, conglomerados de telecomunicaciones y empresas de transporte. Si bien una porción considerable de los ataques de esta APT se concentraron en el sudeste asiático, existieron reportes de computadoras y redes afectadas en todo el mundo, por lo que UPS se constituye en una amenaza muy significativa, al afectar empresas de los mencionados rubros, los cuales revisten un valor estratégico para un Estado.

Estos casos de spear phishing redoblan aún más la apuesta a la hora de establecer atribuciones, ya que por lo general hacen uso de servicios de correo electrónico comerciales utilizados por millones de usuarios, pero algunos factores delatan la posible proveniencia de los ataques que conformaron UPS. Concretamente, la especificidad de los actores atacados, sumada a la utilización de múltiples ataques de

día cero, que como se mencionó son muy codiciados en el mercado negro de la dark web, lleva a creer a los especialistas que esta APT fue realizada por grupos respaldados por el gobierno chino, ya los objetivos atacados se alinean con las estrategias de la República Popular China en el ciberespacio (FireEye Threat Intelligence, 2015a).

UPS se alza como una serie de ataques que ponen en relevancia la adopción de medidas de seguridad informática integrales, no solo en organismos gubernamentales sino también en empresas que conforman sectores estratégicos para un Estado. En los casos de phishing resulta preponderante la capacitación del usuario final que hace uso de computadoras que almacenan datos sensibles, o que están conectadas a redes que contienen información importante. Sin embargo, UPS plantea una paradoja, ya que también hace uso de vulnerabilidades técnicas (día cero) desconocidas e imperceptibles inclusive para un usuario capacitado, que pudieron ser aprovechadas estrictamente por

146 la utilización de programas y aplicaciones informáticas privativas. De esta manera, la utilización de programas auditables de código abierto podría haber minimizado, o inclusive eliminado, la capacidad de acción de estos ataques. Una vez más, las diversas formas en las que se perfeccionan los atacantes para realizar sus acciones es un factor que llama a la aplicación de medidas integrales de seguridad informática, ya que ninguna implementación aislada puede suplir todas las debilidades que pueden surgir en los sistemas informáticos.