Informe del Centro Criptológico Nacional

El CNI constata ciberespionaje y ciberataques rusos, chinos y norcoreanos contra España

La huella de la garra del oso ruso, en unos pantallazos publicados por los hacktivistas proKremlin NoName057 tras el ataque contra España de junio pasado

La huella de la garra del oso ruso, en unos pantallazos publicados por los hacktivistas proKremlin NoName057 tras el ataque contra España de junio pasado / El Periódico

Juan José Fernández

Juan José Fernández

Por qué confiar en El Periódico Por qué confiar en El Periódico Por qué confiar en El Periódico

La guerra de Rusia contra Ucrania y el conflicto entre Israel y Hamás han sido los principales focos de ciberataques, ciberespionaje y hacktivismo detectados en 2023 contra países de Occidente, y España es uno de los objetivos de ese tipo de agresiones.

Lo asevera la edición 2024 del informe ‘Ciberamenazas y Tendencias’ que ha emitido el área de respuesta a incidentes de Seguridad de la Información (CERT) del Centro Criptológico Nacional (CCN).

Los gobiernos de Rusia, China, Corea del Norte e Irán son los principales actores que se encuentran tras las ciberamenazas estatales que contempla en su estudio este organismo, dependiente del CNI. Los tres primeros también son “las principales potencias cibernéticas que, tanto en el pasado como en el presente, suponen un riesgo para España”.

Atacar con IA o mercenarios

A la hora de reflexionar sobre las tendencias observadas en 2024, el CCN se fija en el potencial de la Inteligencia Artificial “para la generación de deepfakes”. Esa fabricación de falsedades de alta complejidad, creando identidades falsas o manipulando vídeos y audios haciéndolos parecer auténticos, “ha permitido un aumento del 3.000 % en intentos de fraude en 2023”. El informe de este organismo del CNI sostiene que “entre los grupos que han utilizado herramientas de deepfake destacan múltiples actores estatales chinos” que “han llevado a cabo campañas de influencia en las que se incluye contenido visual generado mediante modelos de inteligencia artificial”.

El informe anual considera además la amenaza en enjambre de los hackers que toman partido o se alquilan para ayudar a los bandos en guerra. Cuenta más de 90 grupos hacktivistas prorrusos en 2023. “España es uno de los países más atacados por estos actores debido a su apoyo a Ucrania en el conflicto ruso-ucraniano”, afirma.

En el entorno de la guerra Israel-Hamás han sido más de 60 los grupos de hackers “pro-Hamás” que atacan a intereses de los países del bando contrario al que deciden ayudar.

El actor ruso

El trabajo del CCN señala a Rusia como “uno de los actores cibernéticos más prolíficos del mundo”, que “dedica importantes recursos a la realización de operaciones cibernéticas a escala global”.

Los sabotajes y campañas de ciberespionaje que organiza el Kremlin se vehiculan a través de sus tres principales agencias de inteligencia: el FSB (Servicio Federal de Seguridad, interior), el SVR (Servicio de Inteligencia Exterior) y el GRU (militar, hoy llamado Dirección Principal de Inteligencia y Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa).

La información confidencial de los Gobiernos, las tecnologías de la Información y entidades de la Defensa y la Diplomacia son los principales objetivos de sus ataques. La lista se completa con las entidades que manejan tecnología aeroespacial, las ONG, los medios de comunicación, la población civil y la educación como los otros sectores “víctima de actores estatales rusos”, con una “concentración de operaciones contra Ucrania y contra países del bloque occidental que le están proporcionando apoyo en el conflicto”.

El organismo de ciberseguridad del CNI señala dos unidades dependientes del GRU como principales vectores de esos ataques: el grupo APT28, dependiente a su vez de la unidad militar especial 26165 del ejército ruso, y el APT29, dependiente del SVR y “centrado principalmente en la inteligencia política”.

Desde Asia

El CNI considera que China “tiene las competencias cibernéticas y las capacidades de ciberguerra más avanzadas y practicadas de Asia”, y cuenta ya con “un ecosistema de ciberespionaje maduro”, basado no solo en agencias estatales, también en sus empresas., y en la acción de una entidad de ciberespionaje denominada Mustang Panda.

Estados Unidos es el país al que más ha dirigido China sus ataques. El segundo ha sido… la propia China, por cómo su gobierno vigila las actividades de sus ciudadanos en el ciberespacio. Un mapa que ilustra el informe -elaborado sobre datos de la firma de inteligencia Lab52- incluye a España entre los países que sufrieron ciberataques chinos en 2023, en menor medida que Reino Unido, Italia y Francia y más que Alemania, Austria, Noruega o la mayoría del resto de países de la UE.

Otro mapa del informe incluye a España, con la misma intensidad que Reino Unido, Italia, Eslovaquia y Francia, como países europeos ciberespiados por Corea del Norte.

En la edición de 2024, el informe del Centro Criptológico Nacional otorga relevancia al espionaje de Corea del Norte. El régimen norcoreano, principalmente a través de su unidad de ciberespías Lazarus Group, “pretende obtener una ventaja estratégica mediante el desarrollo de capacidades militares asimétricas y rentables, incluidas las operaciones cibernéticas, para recopilar inteligencia, coaccionar a sus rivales, extorsionar financieramente a otros y ejercer influencia como medida de resistencia a las contramedidas tradicionales de disuasión y defensa”.

Lazarus Group tiene sus víctimas repartidas por Europa, América del Norte y Asia y sus objetivos “son los mismos que los objetivos estratégicos del régimen”.

Un grupo norcoreano alternativo de ciberespías, Kimsuky, se ha centrado en robar información energética, de defensa y aerospacial a Estados Unidos, a Corea del Sur… y a la propia Rusia, el principal aliado del dictador Kim Jong Un.

Hacktivistas

El ataque de denegación de servicio distribuida (DdoS, básicamente colapsar un sistema a base de acumularle millones de peticiones) y el grupo prorruso de hackers NoName057(16) son las principales amenazas detectadas por el CCN en materia de hacktivismo.

El mencionado colectivo -fundado en el inicio de la actual fase de la guerra de Ucrania y creador de una plataforma propia, DDoSIA, para lanzar sus agresiones- “ha sido con diferencia el más activo en términos de número de ataques realizados, llevando a cabo cientos de ataques de DDoS contra objetivos en países críticos con la invasión rusa de Ucrania”, dice el informe.

El CCN cree que NoName057(16) está dirigido por un pequeño grupo de hackers, y “su fuerza reside en la red de particulares que simpatizan con la causa y participan en los ciber ataques”. Sin ambages, la división de ciberseguridad del CNI afirma que esta plataforma es “ha sido con diferencia el grupo hacktivista que más ha atacado a España durante el año 2023, atacando empresas públicas y privadas de transportes y logística terrestre, marítimo y aéreo, organismos gubernamentales, entidades bancarias y financieras y compañías de telecomunicaciones”.

El grupo no solo lanza campañas contra el Estado o empresas públicas cuando España envía armas a Ucrania; también ataca saliendo en apoyo de sectores que se manifiestan con el Gobierno.

Entre los ataques registrados en España que reivindicó este grupo está el que el pasado 5 de junio paralizó una web (no la intranet) de GDELS, matriz de la firma Santa Bárbara, por su participación en la reparación de carros de combate Leopard destinados a Ucrania.

El grupo atrae la colaboración de voluntarios y mercenarios de fuera de Rusia; también españoles, como los tres usuarios de DdoSIA detenidos por la Guardia Civil en Manacor, Huelva y Sevilla el pasado 20 de julio.

Suscríbete para seguir leyendo