.

Computación

Los ciberataques de día cero pueden ganar el juego global del espionaje

1

Las más valiosas herramientas de hackeo antes pertenecían a los gobiernos, pero ya no es así

  • por Patrick Howell O'Neill | traducido por Ana Milutinovic
  • 08 Junio, 2022

Según ha descubierto una nueva investigación, los ciberdelincuentes bien organizados con mucho dinero para gastar están impulsando un aumento en el uso de potentes y costosos exploits de día cero.

Los exploits de día cero, que facilitan a un hacker el acceso a un objetivo concreto, tienen ese nombre porque los ciberdefensores no tienen ni un solo día para reparar las vulnerabilidades recién descubiertas, algo que hace que estas herramientas sean especialmente capaces, peligrosas y valiosas. En el extremo superior, comprar o desarrollar ciberataques de día cero puede costar más de un millón de dólares (unos 850.000 euros). Por esa razón, históricamente se han encontrado en arsenales de grupos de ciberespionaje respaldados por los estados más sofisticados de la Tierra.

Pero una nueva investigación de la empresa de ciberseguridad Mandiant muestra que en un año récord de ataques de hackers, está creciendo la proporción de exploits de día cero usados por ciberdelincuentes. Según la investigación de Mandiant, un tercio de todos los grupos de hackers que usaron vulnerabilidades de día cero en 2021 eran delincuentes motivados por ganancias económicas, a diferencia de los grupos de ciberespionaje respaldados por gobiernos. Durante la última década, los ciberdelincuentes tan solo usaron una fracción muy pequeña de exploits de día cero. Los expertos creen que este cambio tan rápido tiene que ver con la multimillonaria industria ilícita de ransomware.

“Los grupos de ransomware han podido reclutar nuevos talentos y utilizar los recursos de sus operaciones de secuestro de datos y de las increíbles cantidades de ingresos que ganan para centrarse en lo que antes controlaban grupos de hackeo respaldados por estados”, indica James Sadowski, investigador de Mandiant.

Los exploits de día cero generalmente se compran y venden en el mercado negro. Pero lo que sí sabemos muestra cuánto dinero hay en juego. Un reportaje reciente de MIT Technology Review detalló cómo una empresa estadounidense había vendido un poderoso exploit de día cero de iPhone por 1,3 millones de dólares (1,1 millones de euros). Zerodium, proveedor de exploits de día cero, tiene una oferta permanente para pagar 2,5 millones de dólares (2,33 millones de euros) por cualquier exploit de día cero que le ofrezca al hacker el control de un dispositivo Android. Zerodium vende posteriormente ese exploit a otra organización, quizás a una agencia de inteligencia, con un margen de beneficio significativo. Los gobiernos están dispuestos a pagar esa cantidad de dinero porque los ataques de día cero pueden significar el triunfo instantáneo en el juego global del espionaje, que podría valer más que los millones que gastaría una agencia.

Pero claramente también tienen gran valor para los delincuentes. Un grupo de ransomware especialmente agresivo y hábil, conocido con el nombre en clave UNC2447, explotó una vulnerabilidad de día cero en SonicWall, una herramienta de red privada virtual utilizada en las principales corporaciones de todo el mundo. Después de que los hackers obtuvieran acceso, usaron ransomware y presionaron a las víctimas para que pagaran amenazándolas con informar a los medios de comunicación sobre los ataques o con vender los datos de las empresas en la Deep Web.

Quizás el grupo de ransomware más famoso de la historia reciente sea Darkside, los hackers que provocaron el cierre del oleoducto Colonial Pipeline y, finalmente, la escasez de combustible en el este de Estados Unidos. Sadowski señala que este grupo también explotó al menos una vulnerabilidad de día cero durante su breve pero intenso período de actividad. Poco después de volverse mundialmente famoso y atraer toda la atención no deseada de las fuerzas del orden que vino con esa fama, Darkside desapareció, pero es posible que desde entonces el grupo simplemente haya cambiado de nombre.

Para un hacker, lo siguiente mejor después de un exploit de día cero podría ser una vulnerabilidad de uno o dos días, un agujero de seguridad que se ha descubierto recientemente pero que aún no ha sido solucionado por los posibles objetivos de ese hacker en todo el mundo. Los ciberdelincuentes también están haciendo rápidos avances en esa carrera.

Los grupos de ciberdelito “están detectando ciberataques de día cero de actores de amenazas respaldados por estados a un ritmo más rápido”, asegura Adam Meyers, vicepresidente senior de inteligencia de la empresa de seguridad Crowdstrike. Los delincuentes notan que se utilizan exploits de día cero y luego rápidamente emplean esas herramientas para sus propios fines antes de que la mayoría de los ciberdefensores sepan lo que ocurre.

“Rápidamente descubren cómo usarlo y lo aprovechan para operaciones continuas”, explica Meyers.

Los ciberdelincuentes pueden reclutar y pagar al personal técnico porque están ganando más dinero que nunca. Y la perspectiva de obtener más beneficios es un gran incentivo para actuar rápidamente y usar vulnerabilidades de día cero para sus propios fines.

El año pasado, algunos grupos de hackers respaldados por el Gobierno chino empezaron a atacar los servidores de correo electrónico de Microsoft Exchange con exploits de día cero en una campaña generalizada dirigida por algunos de los operadores de ciberespionaje más sofisticados del país. Como suele ser el caso, dondequiera que haya depredadores, los carroñeros los siguen. Los ciberdelincuentes motivados por las ganancias económicas tuvieron en sus manos en cuestión de días la herramienta que hasta entonces había sido bastante exclusiva.

Computación

Las máquinas cada vez más potentes están acelerando los avances científicos, los negocios y la vida.

  1. Todo muere, incluida la información

    La digitalización puede ayudar a controlar la ola de entropía, pero no la detendrá

  2. La corrupción desata dudas sobre el modelo chino de inversión en microchips

    Los arrestos de varios altos directivos del fondo para semiconductores podrían obligar al Gobierno chino a replantearse cómo invierte en este sector

  3. La censura de China contra el código abierto se le puede volver en contra

    Muchos sospechan que China ha obligado a Gitee, el rival chino de GitHub, a censurar el código de fuente abierto, algo que los desarrolladores de 'software' temen que pueda obstruir la innovación