El informe de Defensa Digital 2023 de Microsoft ha revelado que Ucrania, Israel, Corea del Sur y Taiwán son los países más atacados por ciberataques. Este informe, que se basa en una gran cantidad de datos recopilados por Microsoft, desglosa los ataques de los estados nación de cuatro países: Rusia, China, Irán y Corea del Norte. Además, se dedican secciones más pequeñas a los hackers con base en los Territorios Palestinos y a los hackers mercenarios contratados por otras naciones.
Los incidentes varían desde ciberataques dañinos hasta aquellos que involucran espionaje, robo de información o la propagación de desinformación. Según Tom Burt de Microsoft, “en ocasiones, casi la mitad de estos ataques se dirigieron a los estados miembros de la OTAN, y más del 40% se dirigieron a organizaciones gubernamentales o del sector privado involucradas en la construcción y mantenimiento de infraestructuras críticas”.
Los investigadores de Microsoft señalaron que cambiar a campañas de espionaje a menudo permite a los hackers de los estados nación lograr objetivos a largo plazo. Microsoft dijo que Rusia ha continuado con ciberataques destructivos contra Ucrania, pero también ha centrado sus esfuerzos en expandir sus actividades de espionaje. Por otro lado, China ha hecho lo contrario, continuando con sus prolíficas y sin igual campañas de espionaje y robo de datos, al tiempo que expande su arsenal para incluir la posibilidad de ataques destructivos.
El gigante tecnológico describió cómo han evolucionado las campañas de piratería de los gobiernos de Rusia, China, Irán y Corea del Norte en el último año. En cuanto a Rusia, se dirigieron a comunidades ucranianas en todo el mundo con operaciones de influencia diseñadas para enfrentar a las comunidades anfitrionas contra los refugiados de la guerra, especialmente en Polonia y los estados bálticos. Inundaron a Ucrania y a los miembros de la OTAN con constantes campañas de phishing. En abril y mayo de 2023, Microsoft dijo que observó un aumento en la actividad contra organizaciones occidentales, el 46% de las cuales estaban en los estados miembros de la OTAN, especialmente Estados Unidos, Reino Unido y Polonia.
Los actores estatales rusos se hicieron pasar por diplomáticos occidentales y funcionarios ucranianos, intentando obtener acceso a cuentas para obtener información sobre la política exterior occidental sobre Ucrania, planes de defensa e intenciones e investigaciones de crímenes de guerra. Continuaron explotando vulnerabilidades de día cero en los productos de Microsoft, como una que afectó a la plataforma de correo electrónico Outlook, para atacar a organizaciones gubernamentales en Ucrania, así como a la base industrial de defensa, el transporte y los sectores educativos en los países de la OTAN. Lanzaron ataques destructivos utilizando el ransomware Prestige contra Polonia en octubre y noviembre. Desde entonces, Microsoft no ha visto ningún ataque de ransomware por parte de actores estatales rusos contra gobiernos.
En cuanto a China, se dirigieron a comunidades de habla china en todo el mundo con operaciones de influencia que criticaban a las instituciones estadounidenses. Aumentaron la apuesta contra los objetivos militares de Estados Unidos, dándoles la opción de acciones destructivas contra infraestructuras críticas alrededor de las bases estadounidenses en Guam y otros lugares del país. Microsoft dijo que los dispositivos Fortinet fueron comprometidos para dar a los hackers chinos un amplio acceso a los sistemas militares estadounidenses. Intensificaron sus ataques de espionaje contra países del Mar de China Meridional, incluyendo Taiwán y grandes naciones del sudeste asiático. Se dirigieron a países considerados ampliamente como socios. Microsoft presenció ataques contra los socios de la Iniciativa del Cinturón y Ruta de la Seda de China, como Malasia, Indonesia y Kazajstán. Mantuvieron un grupo dedicado específicamente a los ataques contra la infraestructura crítica y la defensa de Taiwán, recopilando información sobre objetivos y vulnerabilidades que podrían ser aprovechadas durante un conflicto físico.
En cuanto a Irán, mejoraron enormemente sus capacidades cibernéticas, demostrando una mayor capacidad para moverse lateralmente desde intrusiones en sistemas locales hasta sistemas basados en la nube. Utilizaron nuevas herramientas personalizadas que les proporcionan un acceso más amplio y duradero a los sistemas de rivales geopolíticos. Mostraron una mayor inclinación por los ciberataques destructivos, como los presenciados en Albania el año pasado. Ampliaron sus redes de desinformación para contrarrestar las protestas recientes, “fomentar el malestar chiíta en los países árabes del Golfo” y “contrarrestar la normalización de los lazos árabe-israelíes”. Ampliaron su superficie de ataque de espionaje a países de América Latina, África y Asia. Coordinaron más operaciones cibernéticas con Rusia. Aumentaron la explotación de herramientas de monitoreo y gestión remota para mantener el acceso a entornos comprometidos. Se dirigieron a empleados de organizaciones de telecomunicaciones y gubernamentales en Oriente Medio.
En cuanto a Corea del Norte, continuaron robando millones de dólares en criptomonedas. Han evolucionado significativamente sus capacidades para lograr formas de ataques nunca antes vistas, en un caso utilizando un ataque a la cadena de suministro para permitir otro compromiso de la cadena de suministro. Microsoft dijo que era la primera vez que veían a hackers hacer algo así. Ampliaron sus objetivos para incluir organizaciones en el sector marítimo y de construcción naval. Los hackers del país también comprometieron empresas de defensa en Brasil, República Checa, Finlandia, Italia, Noruega y Polonia. Cada vez más se dirigieron a aliados como Rusia. Microsoft vio a hackers norcoreanos atacando la energía nuclear rusa, la industria de defensa y entidades gubernamentales, “probablemente para la recopilación de inteligencia”.
En general, el “alcance y la naturaleza de las amenazas descritas en el Informe de Defensa Digital de Microsoft pueden parecer desalentadores”, dijo Burt. “Pero se están dando grandes avances en el frente tecnológico para derrotar a estos atacantes y, al mismo tiempo, se están forjando sólidas alianzas que trascienden las fronteras, las industrias y la división entre el sector público y privado”. Burt también señaló que 2024 es un gran año electoral en todo el mundo. “Mantener las elecciones seguras y las instituciones democráticas fuertes es un pilar de nuestra defensa colectiva”, dijo.
El informe también incluye docenas de ideas sobre el peligro de las vulnerabilidades en la tecnología operativa (OT). Microsoft corroboró informes de la Comunidad de Inteligencia de Estados Unidos que advierten que China y Rusia son capaces de interrumpir los servicios de infraestructura crítica. Los investigadores de Microsoft también se alarmaron por el uso generalizado de empresas que venden software espía y tecnología forense digital. Citan un informe del Carnegie Endowment for International Peace que identificó al menos 74 gobiernos que contratan este tipo de empresas.
