Como las bacterias resistentes que se hacen fuertes ante los antibióticos, algunas potentes bandas de criminales del ciberespacio han ido reforzando su resiliencia ante los golpes policiales “retomando su actividad dañina pocos días después de ver su infraestructura comprometida”.
Así lo refleja la Edición 2024 del informe Ciberamenazas y Tendencias que el Centro Criptológico Nacional (CCN, organismo de ciberseguridad dependiente del CNI) acaba de hacer público.
El dosier se detiene en el ciberespionaje y los ciberataques, en el marco de la moderna guerra multidomino, como una de las amenazas principales para España. La otra gran amenaza es el cibercrimen, y su creciente actividad gracias a la lucrativa venta entre delincuentes de programas aptos para asaltar bases de datos de empresas, entidades públicas o individuos, o el comercio de esas bases de datos cuando son robadas en cibertaques.
Mafia y Estado
Hubo un tiempo en que los ciberataques estatales y el cibercrimen no estaban conectados, pero eso es el pasado. La tendencia ahora es la ósmosis entre ambos mundos, y que ciertos gobiernos compren a las mafias sus armas cibernéticas. El dinero es el motor de esa relación.
Entre las advertencias que se desprenden de la prospectiva del CCN, destaca como una de las más inquietantes el interés que los sistemas industriales y las infraestructuras críticas -como los embalses de agua de consumo, las redes de energía o de transporte- ha levantado en el mundo del crimen.
El objetivo en este caso son los sistemas de control que los gobiernan, “un objetivo de gran valor para los actores cibernéticos hostiles”. Entre este tipo de ataques hay memoria reciente en Catalunya: la intranet del Hospital Clínic de Barcelona fue infectada por RansomHouse, una banda que reclamó 4,25 millones de euros por una bolsa de 4,5 terabytes con datos de pacientes, sanitarios y firmas proveedoras del hospital.
En el año 2023, “múltiples entidades y organizaciones españolas sufrieron fugas de información. Mayoritariamente fueron filtraciones de bases de datos con información confidencial tanto de clientes como de trabajadores”, señala el CCN. Están contadas más de 50 filtraciones en organizaciones españolas, entre ellas las de 10 servicios administrados por entidades públicas –Deltaboys fue el atacante– y casos muy señalados de multinacionales- españolas de la energía y la tecnología.
Los datos robados a organizaciones españolas en 2023 que se han puesto a la venta son en su mayoría de organismos gubernamentales y del sector educativo, cuantifica el informe.
Se prevé en el informe otro escenario preocupante: en 2023, un 18% de los ataques ransomware contra compañías industriales provocaron el parón o el retraso en la producción o entrega de productos. “Los ataques a la cadena de suministro mediante la inserción de código dañino en software legítimo continuarán aumentando”, advierte el Centro Criptológico Nacional.
Cuidado con Lockbit
En materia de cibercrimen, el informe del CCN señala “el éxito del modelo de negocio de malware como servicio”. Conocido como MaaS, se trata de una práctica criminal en expansión: grupos de expertos editan y venden a otros grupos delicuenciales con menor conocimiento software malicioso o ransomware para llevar a cabo ciberdelitos, secuestros de redes informáticas o robo y venta posterior de datos de una cantidad creciente de víctimas. En 2024, España ha incrementado su dimensión como víctima.
Pese a los golpes policiales recibidos en 2023 y el arranque de 2024, “algunos de estos grupos han demostrado una gran resiliencia frente a las operaciones de desmantelamiento, reanudando su actividad en cuestión de días”, advierte el estudio.
Este panorama anual vuelve a señalar al grupo de virus Lockbit como el ransomware más activo del mundo, con un 23,7% de los ataques detectados por los especialistas de Lab52, seguido por Cl0p y Blackcat, con un 21,5% y un 9,5% respectivamente.
Peligros que ya están aquí
El Centro Criptológico Nacional calcula que el negocio delictivo del RaaS (Ransomware como Servicio, modalidad específica del MaaS) habrá crecido este año -”se espera un nivel de actividad similar [a la de 2023] o incluso mayor de este tipo de ciberamenazas en 2024”, dice el capítulo de prospectiva de su informe-, y serán las pymes las víctimas que se pondrán más a tiro del cibercrimen.
El comercio clandestino de software malicioso “permite que individuos con conocimientos tecnológicos limitados puedan obtener beneficios económicos a través de campañas dañinas en el ciberespacio. Además, tanto la sofisticación como la oferta del malware ofrecido en estos servicios es cada vez mayor, dificultando su detección e incrementando el impacto que tiene en sus víctimas”, advierte el CCN.
Los teléfonos móviles son un punto de fragilidad en la ciberdefensa ciudadana. El informe del CCN recoge datos del equipo de investigación ZLabs según los cuales las vulnerabilidades detectadas en dispositivos Android se dispararon en 2023 un 58%, hasta 1.421, y subieron un 10%, hasta 269, en los dispositivos IOS.
Los móviles de los empleados son puerta clave para la entrada de criminales cibernéticos en las tripas de las empresas. “La gran presencia de dispositivos móviles en las redes corporativas pone en riesgo su seguridad”, advierte el CCN. Es el peligro del llamado “phising móvil”.
Inteligencia artificial
El principal ente español de seguridad informática apunta también el potencial de la Inteligencia Artificial Generativa para el delito. La llamada IAG “ha captado la atención de múltiples grupos cibercriminales, que están integrando esta tecnología en sus ciberataques para aumentar sus probabilidades de éxito ya hacer más rentable su modelo de negocio”, dice el informe de 2024.
Fruto de esta proliferación es la aparición de casos de uso de “aplicaciones nudificadoras”, aquellas que modifican la foto de una víctima para hacerla aparecer desnuda. En este campo se usa la IAG para “crear pornografía no consentida”, cuyas imágenes “son utilizadas para la extorsión, abuso y acoso de las víctimas”, siempre con un fin económico.
Una nueva modalidad de atraco online reflejada en el informe la representan las campañas de malvertising en Facebook: delincuentes que simulan ser empresas o atractivas y novedosas herramientas de inteligencia artificial, muchas veces gratuitas. Gente interesada se descarga sus aplicaciones y acaban integrando su bolsa de víctimas.
