Es la mañana siguiente a la caída de Internet y, aunque te gustaría pensar que estarías encantado, lo más probable es que te estés preguntando qué hacer. Podrías comprar comida con un talonario de cheques, si es que tenés uno. Llamar al trabajo con el teléfono fijo, si el tuyo sigue conectado. Después de eso, podrías conducir hasta un comercio, siempre y cuando aún sepas cómo orientarte sin 5G.

Una falla en un centro de datos en el estado estadounidense de Virginia la pasada semana nos recordó que lo improbable no es imposible. Puede que Internet se haya convertido en un eje irremplazable de la vida moderna, pero también es una red de programas obsoletos y una infraestructura física que chirrían, lo que lleva a algunos a preguntarse qué haría falta para tumbarlo todo.

La respuesta podría ser tan simple como una buena dosis de mala suerte, unos pocos ataques dirigidos, o ambas cosas. Un fenómeno meteorológico extremo deja fuera de servicio varios centros de datos clave. Una línea de código escrita por la inteligencia artificial en las profundidades de un gran proveedor —como Amazon, Google o Microsoft— se activa inesperadamente y provoca un error de software en cascada. Un grupo armado o una agencia de inteligencia corta un par de cables submarinos.

Esto sería malo. Pero el verdadero evento apocalíptico, del tipo que los pocos expertos en Internet del mundo aún temen en sus chats privados, es ligeramente diferente: un error repentino y en cadena en los protocolos obsoletos y anticuados que sustentan todo Internet. Pensá en los cables que dirigen el flujo de la conexión o en las listas de direcciones que permiten que una máquina localice a otra.

Lo llamaremos “la gran caída” y, si ocurriera, como mínimo, necesitarías un talonario de cheques. “La gran caída” podría empezar cuando un tornado de verano atravesara la ciudad de Council Bluffs, Iowa, arrasando un conjunto de edificios bajos que son centros de datos y parte integral de la oferta de Google. Esta área, llamada us-central1, es un clúster de centros de datos de Google, crítico para sus servicios de alojamiento en la nube, así como para YouTube y Gmail. Un apagón aquí en 2019 tumbó estos servicios en Estados Unidos y Europa.

Las cenas se queman mientras los videos de cocina de YouTube quedan entrecortados. Trabajadores de todo el mundo actualizan frenéticamente sus correos electrónicos, de repente inaccesibles, y luego se resignan a interactuar en persona. Altos funcionarios de EEUU notan que algunos servicios gubernamentales se ralentizaron, antes de volver a planificar una nueva ofensiva por Signal.

Todo esto es un inconveniente, pero ni de lejos el fin de Internet. “Técnicamente, si tenemos dos dispositivos en red y un router entre ellos, Internet está funcionando”, dice Michał rysiek Woźniak, que trabaja en el DNS [siglas en inglés del Sistema de Nombres de Dominio], el sistema implicado en la falla de esta semana. Pero “sin duda hay una gran concentración en Internet”, afirma Steven Murdoch, profesor de informática en el University College de Londres. “Es lo mismo que ocurre con la economía. Es más barato gestionar todo en el mismo lugar”.

Pero, ¿qué pasaría si una ola de calor en el este de EEUU afectara a US East-1, parte de un complejo de Virginia que alberga el “datacenter alley” (el callejón de los centros de datos), un centro clave para Amazon Web Services (AWS), el foco de la interrupción de esta semana? Mientras tanto, un ciberataque afecta a un importante clúster europeo, por ejemplo, en Fráncfort o Londres. A raíz de ello, las redes redirigen el tráfico a centros secundarios, centros de datos menos utilizados, que, al igual que las vías de servicio en un atasco de tráfico, se vuelven rápidamente inutilizables.

O, si nos desviamos de las películas de desastres hacia los peligros de la automatización, el aumento del tráfico podría activar un bug (un error) en la infraestructura interna de AWS, reescrita por inteligencia artificial hace meses; quizás uno que pasó desapercibido después de que cientos de empleados de AWS fueran despedidos este verano como parte del mayor impulso de la compañía hacia la automatización. Abrumada por peticiones desconocidas, AWS empieza a tambalearse.

Signal se cae. También Slack, Netflix y el banco Lloyd's. Los robots aspiradores Roomba enmudecen. Los colchones inteligentes se vuelven locos y las cerraduras inteligentes fallan.

Con Amazon y Google fuera de juego, Internet se volvería irreconocible. AWS, Microsoft y Google juntos representan más del 60% del mercado mundial de servicios en la nube, y es casi imposible dar cifras aproximadas de cuántos servicios dependen de ellos.

“Pero Internet, en su nivel más rudimentario, seguiría funcionando”, dice Doug Madory, un experto en infraestructura de Internet que estudia este tipo de interrupciones. “Simplemente no podrías hacer nada de lo que estás acostumbrado a hacer en Internet porque todo eso se gestiona desde estos metacentros”.

Quizás pienses que la mayor amenaza es un ataque a un cable submarino. Esto entusiasma a los think tanks de Washington, pero por lo demás apenas se haría nada. Los cables submarinos se rompen con regularidad, dice Madory; de hecho, la ONU estima que hay de 150 a 200 averías al año. “Realmente tendrías que cargarte un montón de ellos para afectar a las comunicaciones. Creo que la industria de los cables submarinos te diría: 'Hombre, hacemos esto todo el tiempo'”.

Entonces, un grupo de hackers anónimo lanza un ataque contra un proveedor de servicios DNS, uno de los listines telefónicos de Internet. Verisign, por ejemplo, gestiona todos los sitios online que terminan en '.com' o '.net'. Ultranet, los '.biz' y '.us'. Madory dice que es extremadamente improbable que uno de ellos pueda ser tumbado. “Si algo le pasara a Verisign, '.com' desaparecería. Tienen un incentivo financiero enorme para asegurarse de que eso nunca ocurra”.

Pero se necesitaría un error de esa magnitud, uno que afectara a infraestructuras más fundamentales que Amazon y Google, para devastar el ecosistema digital. Si ocurriera, sería algo sin precedentes. Sin los '.com', los bancos, los hospitales, los servicios financieros y la mayoría de las plataformas de comunicación quedarían fuera de servicio. Algunas infraestructuras gubernamentales de Internet seguirían funcionando, como el sistema de mensajería segura Siprnet de Estados Unidos.

Los últimos en caer

Al menos para una comunidad de expertos, seguiría existiendo Internet. Al fin y al cabo, existen blogs autohospedados y plataformas sociales descentralizadas como Mastodon, así como dominios especializados como '.io', para el Océano Índico Británico, y '.is', para Islandia.

Esa vulnerabilidad afectaba a un sistema que opera un nivel por encima del DNS: el protocolo BGP (Border Gateway Protocol), encargado de dirigir todo el tráfico de Internet. Madory considera que algo así es extremadamente improbable: sería una situación de emergencia total, y el protocolo es “muy resistente; si no lo fuera, ya habría fallado hace tiempo”.

Eso sí, si Internet se cerrara por completo, no está claro si se podría volver a poner en marcha, afirma Murdoch. “Nadie apagó Internet después de haberlo encendido. Nadie sabe con certeza cómo se podría volver a encender”. En el Reino Unido existe un plan de contingencia no virtual, o al menos existía. Si Internet se apagara, las personas que saben cómo funciona se reunirían en un pub a las afueras de Londres y decidirían qué hacer, afirma Murdoch: “No sé si esto sigue siendo así. Fue hace bastantes años y nunca me dijeron qué pub era”.

Blackcat derribado. La estructura del grupo criminal Alphv, también conocido como Blackcat, fue desmantelada esta semana en una operación internacional en la que participaron fuerzas de seguridad de varios países. Alphv se especializaba en los conocidos ataques de ransomware, basados en el secuestro de archivos y venta de información confidencial. Era extremadamente activa y peligrosa, con más de 1.000 víctimas confirmadas en todo el mundo en menos de dos años.

Alphv es uno de los mejores ejemplos de la profesionalización del sector de los ciberataques en los últimos años. La organización había desarrollado su propio sistema de malware avanzado para infectar y bloquear los archivos de sus víctimas y contaba con una estructura central para seleccionar objetivos, un departamento de negociación de rescates y otro de cobro. Este último incluía “probablemente dinero en efectivo”, explican los investigadores de la firma de ciberseguridad rusa Kaspersky, desde donde se cree que actuaban estos ciberdelincuentes.

En la práctica, Blackcat actuaba como una multinacional con franquiciados en múltiples países. Estos se encargaban de buscar un método para infiltrar el malware de la organización en objetivos locales. Una misión que podían cumplir por su conocimiento interno de las víctimas por haber tenido alguna relación con ellas o sus sistemas informáticos, o por otros métodos como el robo de credenciales de acceso.

A cambio de ese acceso un porcentaje del rescate que la víctima pagaba por recuperar los archivos, los afiliados reclutados por Alphv podían acceder a toda la infraestructura de lanzamiento de ataques de la organización y dejar en sus manos las comunicaciones con el objetivo y el cobro. “La infraestructura desmantelada está considerada una de las más peligrosas de los últimos tiempos no sólo por la gran cantidad de víctimas afectadas a nivel global, sino también por la sofisticación de las medidas de seguridad utilizadas por sus afiliados”, detalla la Policía Nacional de España.

Este método es lo que permitió a la organización esquivar durante dos años a las fuerzas de seguridad mientras desataba una avalancha de ataques contra “empresas del sector público y privado, operadores de transporte, universidades, televisiones, agencias de investigación y laboratorios técnicos”, continúan los agentes. En sus primeras etapas Alphv también fue muy activo contra compañías petroleas y gasísticas de Oriente Medio, apuntan desde Kaspersky, lo que podría ser una prueba de que contó con un afiliado en la región con acceso a este sector.

Denuncia ante la SEC

Sin embargo, la maniobra de Alphv que supuso una vuelta de tuerca respecto a otras bandas de cibercrimen organizado y que da idea del profesionalismo del sector es que llegó a denunciar a una de sus víctimas ante la SEC, el regulador bursátil estadounidense.

Desde septiembre, la SEC obliga a las compañías cotizadas a informar en un máximo de cuatro días de los ciberataques que puedan afectar a sus resultados. Un secuestro de archivos por parte de Alphv sin duda puede serlo, pero la compañía de software MeridianLink sufrió uno en noviembre y no informó de él de manera pública en el período establecido. La organización cibercriminal procedió entonces a llamar la atención de la SEC sobre el incidente, sin duda como una medida de extorsión para que MeridianLink pagara.

“Queremos llamar su atención sobre una cuestión preocupante relativa al cumplimiento por parte de MeridianLink de las normas de divulgación de incidentes de ciberseguridad recientemente adoptadas. Llegó a nuestro conocimiento que MeridianLink, a la luz de una brecha significativa que compromete los datos de los clientes y la información operativa, no presentó la divulgación requerida bajo el punto 1.05 del Formulario 8-K dentro de los cuatro días hábiles estipulados, según lo dispuesto por las nuevas normas de la SEC”, rezaba la comunicación de Alphv.

La reclamación sobre MeridianLink se hizo pública en el sistema de la SEC, pero aún no se conoce si el regulador abrió una investigación por el retraso de la compañía. “Basándonos en nuestra investigación hasta la fecha, no identificamos ninguna evidencia de acceso no autorizado a nuestras plataformas de producción, y el incidente causó una interrupción mínima del negocio”, alegó MeridianLink en ese momento.

Antecesores y sucesores

La investigación contra Alphv se inició en enero de 2022 y contó con la participación de fuerzas de seguridad de ocho países bajo la coordinación de Europol. Entre ellos Estados Unidos, Alemania, Dinamarca, Canadá, Australia, Reino Unido, Suiza y España.

Cuando los investigadores logran tumbar uno de estos grupos, la maniobra clave es bloquear su infraestructura digital. No obstante, rara vez se producen detenciones, ya que la mayoría de integrantes de estas bandas se encuentran en países que no colaboran con esas operaciones. Uno de ellos es Rusia. Gracias a la información filtrada por un miembro renegado de una de estas bandas, la comunidad de ciberseguridad internacional pudo conocer más detalles de cómo se interrelacionan con ella las fuerzas de seguridad rusas, a veces sobornándolas y otras con el pacto de no atacar en Rusia.

El hecho de que los miembros del cibercrimen organizado sobrevivan a las caídas de su infraestructura digital hace que puedan volver con más fuerza al cabo de cierto tiempo, perpetuando el juego del ratón y el gato con los investigadores. “Blackcat se presenta como sucesor de conocidos grupos de ransomware como BlackMatter y REvil. Los ciberdelincuentes afirman que abordaron todos los errores y problemas en el desarrollo de ransomware y crearon el producto perfecto en términos de codificación e infraestructura”, destaca Kaspersky en su informe sobre ellos.

“Sin embargo, algunos investigadores ven al grupo no sólo como los sucesores de los grupos BlackMatter y REvil, sino como un completo cambio de marca. Nuestra telemetría sugiere que al menos algunos miembros del nuevo grupo BlackCat tienen vínculos con el grupo BlackMatter, porque modificaron y reutilizaron una herramienta de ex filtración personalizada que llamamos Fendr y que sólo se observó en la actividad de BlackMatter”, continúa.

Con la caída de Alphv se vuelve a cerrar el círculo, pero algunos analistas avisan de que es cuestión de tiempo que vuelva a abrirse debido a la impunidad con la que estos grupos pueden trabajar desde algunos territorios.

CDC

Ciberdelincuentes aprovecharon el lanzamiento de Threads, la nueva red social de Meta, para distribuir campañas maliciosas en las que se anima a las víctimas a comprar falsas criptomonedas, así como para que inviertan grandes cantidades de dinero para conseguir miles de seguidores de forma gratuita.

Threads es una aplicación de 'microblogging' con la que la compañía que dirige Mark Zuckerberg busca competir con la actual X -antes, Twitter- y que ya llegó a más de 100 países, donde los usuarios la pueden utilizar tanto en dispositivos iOS como en Android.

Investigadores de Kaspersky descubrieron que, debido a la expectación que ha generado este servicio, que ya acumula más de 100 millones de suscriptores, los ciberdelincuentes aprovecharon la situación para distribuir diferentes campañas maliciosas.

Según los expertos de esta firma de ciberseguridad, el objetivo de los ciberdelincuentes es convencer a los usuarios para que faciliten sus credenciales de inicio de sesión.

Teniendo en cuenta que Threads está vinculada a otros servicios de Meta, como Instagram y Facebook, supone un peligro para los usuarios, puesto que quedarían expuestos ante los ciberdelincuentes tanto los datos de esta red social como los de sus otras plataformas.

Además de esto, esta vinculación de cuentas también supone riesgos para las finanzas corporativas, puesto que muchas empresas utilizan estas cuentas para lanzar campañas publicitarias con pagos 'online', según Kaspersky.

Una de las estafas detectadas con el lanzamiento de Threads fue la de la compraventa de criptomonedas. Concretamente, de Threads Coin, que supuestamente impulsa esta red social y que ofrece mejoras entre el mundo físico y digital dentro del metaverso.

Estas monedas no existen, de modo que los usuarios adquieren falsos activos a través de Ethereum creyendo que recuperarán más tarde su inversión, cuando en realidad acaban en manos de los cibredelincuentes.

Estos también hallaron una nueva forma de estafar a los usuarios y es ofreciendo la posibilidad de generarles seguidores en Threads de forma gratuita. De este modo, se puede optar por 10.000, 25.000 o 50.000 'followers'.

Una vez elegida la cantidad deseada, se solicita al usuario que la verifique a través del envío de un SMS, en el que se incluye la posibilidad de ganar un premio. Para reclamarlo, se solicita un pago que reciben los actores maliciosos.

PROTEGERSE ANTE LOS CIBERATAQUES

Desde esta empresa especializada en soluciones de ciberseguridad insisten en que “para mantenerse protegido, hay que desconfiar y analizar cualquier actividad sospechosa, tomando las pertinentes medidas de seguridad frente a este tipo de amenazas”, en palabras de la experta en seguridad de Kaspersky, Olga Svistunova.

Por tanto, es recomendable ser cautelosos al descargar 'software' de internet, verificar que el sitio de descarga es legítimo, utilizar una contraseña fuerte y única para cada servicio y prestar especial atención a los enlaces y correos electrónicos sospechosos, aparte de utilizar una solución de seguridad.

Europa Press.

IG

Mensajes que suplantan a entidades legítimas, robo de contraseñas o redes wifi trampa son solo algunos de los “ciberproblemas” que podemos tener en la red. Desde 1988, cada 30 de noviembre se celebra el Día Internacional de la Seguridad de la Información y el usuario es el primer eslabón de la cadena protectora.

Esta iniciativa surgió de la asociación internacional de profesionales, investigadores y formadores de informática “Association for Computing Machinery (ACM)”, con el objetivo de realizar acciones conjuntas desde instituciones y el mundo educativo y empresarial para concienciar de la importancia de proteger la información en la red.

Y es que, señaló a EFE Ruth García Ruiz, del Instituto Nacional de Ciberseguridad (Incibe), en España, la colaboración de todas las entidades “nos hace más fuertes” para lograr el objetivo de llegar a todos los ciudadanos y dar a la ciberseguridad el lugar que se merece: “hoy es fundamental y lo seguirá siendo porque cada vez estaremos más conectados y seguirán apareciendo nuevas tecnologías”.

Los ciberdelincuentes se encuentran siempre al acecho de nuevas formas con las que atacar a los internautas aprovechándose del desconocimiento o vulnerabilidades en sus defensas, y sus objetivos son muchos y pueden tener distintas consecuencias para el usuario.

El internauta doméstico y el empleado es el primer eslabón de la cadena protectora y el sentido común y un aprendizaje básico sobre los principales ciberataques y fraudes que circulan por internet es clave.

EL ABECÉ DE LA CIBERSEGURIDAD

Los ciberdelincuentes se sirven de distintas herramientas para robar credenciales o tomar el control de nuestros dispositivos, por eso es fundamental, apuntó Ruth García, tener los móviles, las tabletas o los portátiles bien protegidos -con antivirus- y las aplicaciones, navegadores o los sistemas operativos correctamente actualizados.

“Actualizar, actualizar, actualizar. Siempre tener tanto los sistemas operativos como los programas o aplicaciones actualizados -aunque se usen poco-. Los ciberdelincuentes se aprovechan de agujeros de seguridad para colarse en nuestro ordenador y dispositivos sin que nos demos cuenta”, coincidió Luis Corrons, de la empresa Avast.

Hay que tener cuidado con las conexiones a las que nos conectamos, especialmente con las redes WIFI, sobre todo si son abiertas, ya que son muy vulnerables: hay que evitar hacer cualquier tipo de transacción en la que haya intercambio de información privada.

Y también para aquellos que tengan un rúter hay revisar la configuración, aconseja García, técnica de ciberseguridad para ciudadanos en Incibe.

Corrons añadió además la utilización de un gestor de contraseñas: con un poco de suerte, relató a EFE, en no mucho tiempo podremos ir eliminando el uso de estas, pero mientras llegue ese momento lo más importante es no utilizar las mismas en diferentes servicios.

“Igual que usamos llaves diferentes hay que usar claves diferentes”, resumió García.

123456, LA CONTRASEÑA MÁS USADA EN ESPAÑA O EN MÉXICO

Pero además de no reutilizarlas en múltiples servicios, hay que aplicar medidas adicionales de seguridad, como por ejemplo evitar las contraseñas débiles: en 2022 la más común en España, Colombia, Chile o México fue 123456 (tiempo para descifrarla, menos de un segundo), mientras que en EE.UU. fue “guest” (un ciberdelincuente tardaría 10 segundos en averiguarla), según el último informe de NordPass.

El experto de Avast añadió que el doble factor de autenticación también es fundamental: aunque roben nuestras credenciales tenerlo activado puede “proteger nuestras cuentas de los amigos de lo ajeno”.

Y otro consejo, desconfiar. Corrons, “Security Evangelist” de Avast, detalló que muchos ataques se basan en las conocidas como “técnicas de ingeniería social”, donde los delincuentes tratarán de engañarnos para que les demos acceso a nuestra información.

Según el Risk Report de esta compañía, de media, los usuarios domésticos de todo el mundo tienen un 29,25 % de posibilidades de encontrarse con una ciberamenaza, mientras que los usuarios empresariales de todo el mundo un 15,10 % de posibilidades

Las recomendaciones para una empresa segura son en parte parecidas. Y es que la primera barrera para que el ataque no afecte al sistema es el propio empleado o usuario. Según datos del grupo Innovery, el 85 % de los ataques actuales contra activos digitales es consecuencia del error humano.

Por eso, recalcaron desde la empresa tecnológica Datos101, los trabajadores deben estar informados y formados, los equipos actualizados, las contraseñas deben ser indescifrables y los dispositivos extraíbles; en un comunicado apuestan, además, por la realización de copias de seguridad.

Con información de EFE.

IG

El 30 de noviembre se celebra el Día Internacional de la Seguridad Informática, que viene del inglés Computer Security Day. En 1988, la Asociación de Maquinaria Computacional (ACM, del inglés Association for Computing Machinery) creó esta efeméride, con el objetivo de generar conciencia sobre los ciberataques y ciberdelitos alrededor del mundo.

Esto fue como consecuencia del primer caso de malware que se registró en el mundo, conocido con el nombre de “Gusanos de Morris”, el cual afectó al 10% de las maquinas conectadas a Internet en aquel entonces, llamada Aparnet. Por eso, con la fecha les recuerda a los usuarios la obligación y necesidad que tienen de proteger sus datos ante cualquier tipo de acción corrupta en el plano digital.

A medida que crece la digitalización, también evolucionan los ciberataques: son cada vez más sofisticados y a mayores niveles de alcance, por lo que amenazan a todo aquel que esté conectado al Internet, poniendo en peligro la privacidad de millones de usuarios. Un informe de Defensa Digital de Microsoft reveló que tan solo en el último año el número estimado de ataques de contraseña por segundo aumentó en un 74%.

En los últimos años, el panorama de ciberamenazas ha cambiado mucho más allá de lo imaginable. Hemos sido testigos de la evolución de estos peligros que afectaron a millones de personas y lograron recaudar millones de dólares con ataques como: WannaCry, Stuxnet, NotPeyta, entre varios otros. Hoy en día, la población en general está en condiciones de ser víctima ante diversos ciberdelitos.

Como los ciberataques se han vuelto cada vez más diversos, sofisticados y variados, y hoy tienen distintos nombres dependiendo del tipo de ataque: phishing, malware, ransomware, webs falsas, etcétera. Es así que las brechas de seguridad no solo han afectado al usuario final, sino también a empresas e incluso entidades gubernamentales.

Por eso, es importante adquirir conocimientos para evitar estos ataques, contar con software integrado por componentes que trabajen en prevenir y detectar amenazas para poder reaccionar a tiempo y saber cómo actuar para evitar un mayor alcance de las ciberamenazas.

5 consejos para la seguridad digital en Internet

LC

Dos graves ciberataques en un solo fin de semana desataron las sospechas sobre la vuelta a la actividad de un peligroso grupo de delincuentes. Tras pasar varios meses inactivo, los investigadores avisan de que existen “indicios” de que Lapsus$ retomó sus operaciones y está detrás de estas últimas ofensivas. Los hackeos comparten un mismo modus operandi y ponen sobre la mesa el regreso de una banda cibercriminal que provocó auténticos dolores de cabeza a los especialistas en ciberseguridad a comienzos de año.

La fama de Lapsus$ era merecida, ya que consiguió hackear a varias multinacionales que cuentan con equipos de primer nivel, como Microsoft. Se cree que el grupo está formado por adolescentes. La policía británica llegó a detener el pasado marzo a siete jóvenes por su supuesta vinculación con el grupo. A uno de ellos, que entonces contaba con 16 años, se le acusó de ser el líder de la banda. Quedó en libertad a las pocas horas y aunque Lapsus$ apenas ha actuado desde entonces, ellos, o alguien que sigue sus métodos, volvió a la acción.

La mayor filtración de un videojuego

Es el segundo de los ataques de este fin de semana el que hizo atar cabos a los investigadores. El domingo se publicó en Internet un enorme paquete de contenido del próximo videojuego de la saga Gran Theft Auto, el GTA VI. El título no se publicará hasta finales de 2023 o 2024, por lo que los 90 vídeos que salieron a la luz con la filtración masiva corrieron como la pólvora entre los incontables fans del juego, que lleva vendidas más de 165 millones de copias de su edición anterior.

“Hemos sufrido una intrusión en la que un tercero no autorizado accedió ilegalmente y descargó información confidencial”, reconoció este lunes Rockstar Games, la desarrolladora del juego. También lamentó que los fans hayan conocido las novedades del GTA VI por esta vía. Según lo que se aprecia en los vídeos, este incluirá a la primera mujer protagonista de la saga, que será de origen latinoamericano, mientras que el escenario de la narrativa será Vice City, una ciudad ficticia basada en Miami. La desarrolladora no quizo confirmar estos puntos y se esfuerza para retirar los vídeos de la red a través de reclamaciones de copyright.

El intruso o intrusos que filtraron los vídeos lograron acceso total a los archivos de Rockstar. Defienden que se llevaron también el código tanto del GTA VI como del VI. Pese a ello, la empresa afirma que no se produjo ningún ataque contra el juego que la fuerce a retrasar el lanzamiento. Sus sistemas informáticos tampoco sufrieron infección alguna.

Rockstar es uno de los gigantes de la industria y su empresa matriz tuvo un beneficio neto de casi 100 millones de dólares el año pasado. Sin embargo, el incidente no fue más allá de la filtración masiva. El hacker (o los hackers), simplemente, consiguió acceso total a su red, lo demostró colgando en foros los archivos del tan esperado juego y desapareció.

Era la segunda vez que ocurría algo similar en cuestión de días. El viernes Uber vio como alguien consiguió acceso a todos sus sistemas, colgó capturas de los paneles de administración y de sus datos financieros y se fue. La empresa dice que el ataque no tuvo otras consecuencias. “Hemos revisado nuestro código base y no hemos encontrado que el atacante haya realizado ningún cambio. Tampoco hemos encontrado que el atacante haya accedido a ningún dato de clientes o usuarios”, comunicó la empresa.

Antes de esfumarse, el atacante se puso en contacto con especialistas en ciberseguridad y con el New York Times para asegurarse que sus acciones no pasaban inadvertidas. Les dijo que tenía 18 años de edad.

Uber piensa que su hackeo y el de la filtración del GTA VI están relacionados. “Este fin de semana también se informó que este mismo actor atacó al fabricante de videojuegos Rockstar Games. Estamos en estrecha coordinación con el FBI”, explicó esta semana, junto con algunos hallazgos de su investigación: “Creemos que este atacante (o atacantes) está afiliado a un grupo de hackers llamado Lapsus$”.

Atacar sin forzar nada

Lapsus$ se hizo famoso por atacar a todas esas compañías sin utilizar la fuerza bruta, sino consiguiendo acceso a sus sistemas utilizando las credenciales de sus propios trabajadores. Para ello engañan a esos empleados o bien les ofrecen grandes sumas a cambio de sus contraseñas a través de la web oscura.

Con esta táctica hackearon a Microsoft, pero también a la red de comunicaciones de Portugal, a Samsung, Nvidia o Okta, entre otras multinacionales. Esta última, pese a ser la menos conocida, fue una de sus operaciones más críticas. Okta es una empresa que da servicio de identificación digital para empleados de otras compañías, por lo que entrar a sus sistemas suponía un atajo para penetrar en cientos de organizaciones.

El método de entrada coincide con el que se usó para atacar a Rockstar y a Uber. En ambos casos la vía de entrada ha sido Slack, el programa de comunicación interna que usan sus trabajadores. ¿Cuál era su objetivo? Quizá solo demostrar que habían entrado. “Nosotros los llamamos atacantes de acceso inicial”, explica Josep Albors, director de investigación de la firma de ciberseguridad ESET.

“Ellos se dedican a obtener acceso a la red interna de una empresa, muy grandes en este caso, y luego ya negociar con ese acceso. Pueden vendérselo a grupos que quieran desplegar ransomware por ejemplo (un tipo de ataque que cifra los archivos de la víctima para exigir un rescate por desbloquearlo), para robar información y venderla mejor al mejor postor...”, continúa el experto.

“Lo que hacen después de obtener el acceso es difícil de rastrear porque el tipo de acuerdos al que llegan después no se suelen publicitar, a no ser que ellos mismos quieran informar de ello porque beneficie a sus objetivos”, añade Albors.

El regreso de Lapsus$... o de sus fans

La supuesta edad de los atacantes, el método de entrada, la filtración de información comercial. Todos ellos son “indicios” que apuntan a un posible regreso de Lapsus$, aunque los especialistas advierten que también podrían ser imitadores del grupo.

“En el cibercrimen, el fenómeno de los imitadores ocurre constantemente”, dice Albors. “Aquí se están atribuyendo los ataques a Lapsus$ y es algo perfectamente factible, pero no debemos descartar la posibilidad de que haya grupos imitando estas actividades”.

La opción de que sea un segundo grupo que haya copiado el modus operandi de Lapsus$ quien esté detrás de las últimas ofensivas se ve reforzado por lo mediáticos que llegaron a ser estos ciberdelincuentes. Su fama y sus actividades les hicieron ganarse enemigos incluso entre otros grupos de criminales. Esto le convirtió en víctima de doxing, un ataque habitual entre hackers que se basa en la publicación de todos los datos de identidad, de contacto y de información comprometida de una persona.

Su detención llegó tras ese ataque, aunque la policía británica aseguró que seguía al joven desde antes de la publicación de sus datos personales.

Entre los posibles efectos secundarios de la guerra en Ucrania se encuentra los eventuales ataques cibernéticos contra empresas estadounidenses en represalia por las sanciones que el gobierno de Joe Biden decretó contra el de Vladimir Putin. 

Sin embargo, Rumania -que es miembro de la OTAN y de la UE con una economía y un peso político considerable emplazada prácticamente a las puertas de Rusia por la frontera que comparte- experimentó algunos de esos impactos de primera mano. Rumania también es conocida por ser un paraíso para los piratas informáticos. Cientos de miles de talentos en informática calificados, empresas de TI del sector privado hacen no necesiten contratar personal fuera del país, aunque a veces las personas se van a trabajar a otra parte o, a veces, recurren a la ciberdelincuencia. 

Dan Cimpean, quien dirige la agencia de ciberseguridad civil de Rumania - básicamente el equivalente al CISA del Departamento de Seguridad Nacional- que es una de las mayores inversiones que existen en el país con 60 empleados pero eventualmente puede contratar a más de 1200, informó que durante los últimos dos meses se han detectado un aumento de 120 veces la tasa de ciberactividad maliciosa en comparación con lo normal. Desde malos actores que buscan dispositivos vulnerables hasta intrusiones reales, ataques contra servidores de correo y descubrimiento de malware que se ha vinculado a Rusia  y grupos de piratería rusos específicos.  

El mismo día en que los funcionarios rumanos se reunieron con los funcionarios franceses en una base de la OTAN y condenaron la guerra en Ucrania, una gran compañía de petróleo y gas en Rumania fue atacada cibernéticamente y muchos de sus datos fueron encriptados, lo que interrumpió las operaciones temporalmente.

Para Cimpean la principal preocupación en términos de amenazas en este momento consiste en el mayor análisis de vulnerabilidades e infraestructura crítica. La agencia que dirige recibe el mismo tipo de inteligencia que los funcionarios estadounidenses, y la situación es realmente preocupante. A pesar de esto, la buena noticia es que –sostiene Cimpean- la mayoría de los ataques no han tenido éxito y ninguno ha sido particularmente sofisticado o novedoso. Y subrayó que la cuestión no se reduce solo a responsabilizar a Rusia por la ola de ataque sino que es un tema de geopolítica.

Rusia ha empleado tácticas de guerra cibernética desde hace algún tiempo, y los analistas dicen que el conflicto en Ucrania también podría escalar en línea para incluir ataques que afecten a varios países

 La buena cantidad de ataques digitales rusos durante la guerra, incluido el derribo de algunos satélites europeos que el ejército ucraniano usó para comunicarse en los primeros días de la guerra, interrumpiendo las comunicaciones y aumentando la negación de ataques de servicio, entre otros no significa que Rusia no pueda llevar a cabo acciones mucho más perturbadoras,  especialmente a medida que los oficiales militares se sienten frustrados por la falta de éxito.

Con efecto inmediato en los ciudadanos de a pie, los precios agrícolas de la mayoría de los cereales y semillas oleaginosas aumentaron entre un 20 y 30 por ciento

La difícil situación eventualmente favorecería a Rumania que no está en la misma liga que Ucrania y Rusia y es también es uno de los mayores exportadores de trigo de la Unión Europea. Cualquier grano que salga y se mueva hacia el mercado mundial ayudará a reemplazar parte del grano que normalmente saldría de esos puertos de Ucrania.

En los campos rumanos, los fuertes vientos soplan nubes de polvo sobre largas extensiones de pasto de trigo que llegan a la altura de los tobillos. Dos aviones de combate pasan volando por encima, catorce kilómetros de distancia se encuentra la base aérea Mihail Kogalniceanu, donde están estacionados actualmente cerca de 2.000 militares estadounidenses, junto con otras tropas de la OTAN, que recuerdan la cercanía de la guerra. 

Sin embargo, sería una exageración sostener que Rumania cubra el vacío de Ucrania y Rusia porque su superficie es mucho menor, y las claves para lograr optimizar sus porcentajes de granos radican en los fertilizantes y la irrigación.

El costo de los fertilizantes y los efectos a largo plazo de la sequía severa son las principales preocupaciones de los agricultores rumanos . La guerra puede haber abierto el mercado, pero las granjas necesitan fertilizantes, que solían venir de Rusia, hasta que entraron en vigor las sanciones occidentales. Ahora, los fertilizantes para una granja cuestan tres veces más de lo que solían.

Las grandes unidades de explotación agroindustrial adquirieron fertilizantes de antemano. Pero no fue así en las granjas más pequeñas que constituyen la mayor superficie en Rumania. En consecuencia las previsiones apuntan a que ahí estará la gran pérdida este año.

Adelante del precio del combustible necesario para todos los tractores de las granjas y para transportar el grano al mercado, que se ha duplicado, está el problema del agua porque el país  experimentó una sequía severa en 2020 que fue también un combate por el agua. 

AGB con información de agencias y medios

Cuentas de Twitter que utilizan la identidad colectiva Anonymous han declarado la “ciberguerra” contra Rusia y reivindicado la autoría de varios ataques informáticos contra instituciones públicas del país y medios de comunicación financiados por Moscú. Uno de los perfiles anunció a última hora de este miércoles la caída del “canal de propaganda” RT (Russia Today), que esta madrugada ha confirmado haber recibido un ciberataque en sus versiones en inglés y en ruso. La ofensiva ha paralizado su actividad durante unas horas, que ha podido retomar posteriormente.

Otra de las cuentas que utilizan esta identidad hacktivista ha anunciado que “Anonymous está actualmente involucrado en operaciones contra la Federación Rusa. Nuestras operaciones se dirigen al gobierno ruso. Es inevitable que el sector privado también se vea afectado”. Otros perfiles han reivindicado que sus ataques han llegado a tumbar la web oficial del Kremlin y la de instituciones como la Comisión antimonopolio, aunque amabas se encuentran accesibles en este momento.

El Centro Nacional de Coordinación de Incidentes Informáticos de Rusia, dependiente del Servicio Federal de Seguridad (FSB, la antigua KGB) declaró el nivel de amenaza de ciberataques como “crítico”. El organismo advierte que existe la “amenaza de un aumento en la intensidad de los ataques informáticos a los recursos de información rusos, incluidas las instalaciones de infraestructura de información crítica en el contexto de la operación militar de Rusia en Ucrania”, recoge la agencia independiente rusa Interfax.

Este jueves el Ministerio de Defensa de Ucrania elevó una petición de ayuda a los expertos en ciberseguridad del país para que se alistaran como voluntarios para defender las redes del país de los ataques rusos. “¡Cibercomunidad ucraniana! Es hora de participar en la ciberdefensa de nuestro país”, se leía en una solicitud compartida a través de Google docs a la que tuvo acceso en exclusiva la agencia Reuters. Esta enumeraba una serie de habilidades de especial interés para Kiev, como el desarrollo de malware.

El ataque perpetrado contra RT ha sido de denegación de servicio (DDoS), uno de los más sencillos de lanzar pero también de defender. Es el mismo tipo de ofensiva digital que individuos y grupos hacktivistas bajo el seudónimo de Anonymous emplearon desde 2008 para tumbar webs de instituciones públicas y multinacionales de todo el mundo. Una de las campaña de ciberataques más famosas realizada bajo esta identidad colectiva fue la que tuvo como objetivo el gobierno de EEUU y multinacionales como Amazon o Paypal, en protesta por la persecución y expulsión de sus servidores de WikiLeaks.

No obstante, si bien hasta 2015 sus acciones tuvieron objetivos progresistas, posteriormente esa línea se desdibujó. Fuentes de ciberinteligencia han explicado en varias ocasiones a este medio que a partir de entonces, las cuentas de Anonymous se han utilizado para reivindicar ciberataques que en realidad se han perpetrado por parte de Estados o empresas que han utilizado el seudónimo para evitar ser descubiertas.

El ataque de Rusia contra Ucrania ha provocado la reactivación de las acciones de corte hacktivista bajo este seudónimo de Anonymous. La principal experta en este movimiento, Gabriella Coleman, no descartó en una entrevista con elDiario.es que este pudiera “resurgir en cualquier momento y hacerse muy visible. No hay nada que prevenga que gente con especiales conocimientos técnicos se reúna en determinados puntos de encuentro de Internet, usen este tipo de herramientas como Anonymous y comiencen de nuevo con el hacking desde una lógica progresista”.

“Aunque esta cuenta no puede pretender hablar en nombre de todo el colectivo de Anonymous, sí podemos informar de las verdades de las acciones colectivas de Anonymous contra la Federación Rusa. Queremos que el pueblo ruso entienda que sabemos que es difícil para ellos hablar contra su dictador por miedo a las represalias”, ha publicado una de las cuentas que han reactivado la actividad del seudónimo.

El mismo perfil también ha dejado un aviso para los que estén pensando en sumarse a este movimiento. “Advertencia: Todos sabemos cómo funciona el sistema de justicia penal en los EEUU. Así que, si eres nuevo por aquí y estás pensando en participar en aventuras online contra Rusia pero no sabes nada sobre cómo mantener tu propia privacidad online: No lo hagas”.

AGB

Una nueva campaña de 'phishing' atacó las cuentas de Instagram de varias empresas e 'infuencers' desde agosto de 2021, y los cibercriminales exigen a las víctimas que paguen un rescate para poder recuperar el acceso.

Esta serie de ataques se aprovecha de que habitualmente las organizaciones se enfocan en las amenazas tradicionales y pueden dejar desprotegidas otras plataformas como las redes sociales, como informó la compañía de ciberseguridad Secureworks, que ha descubierto la amenaza, en un comunicado.

A través de una campaña de 'phishing', los cibercriminales envían a las víctimas mensajes haciéndose pasar por Instagram en los que, bajo el pretexto de que una imagen de la cuenta han infringido el 'copyright', busca convencer a los usuarios de que hagan clic en un botón que se hace pasar por el proceso de apelaciones.

Si el usuario hace clic, esto le conduce a una página con un formulario que le pide la contraseña de su cuenta, con lo que los atacantes pueden hacerse con su control y cambiar las claves de acceso y el nombre de usuario.

Los ciberdelincuentes también cambian la descripción de la cuenta de Instagram y añaden el mensaje “esta cuenta está retenida para venderse a su propietario”, junto con un enlace de WhatsApp que permite entrar en contacto con los autores para negociar el precio del rescate.

La campaña, que arrancó en agosto de 2021 y que se advirtió por primera vez en octubre, se dirigió ya contra múltiples cuentas de empresas e 'influencers' de todo el mundo, a las que reclamó cifras de hasta 40.000 dólares en Bitcoin como rescate.

Los responsables de la campaña utilizan números de teléfono procedentes de Rusia y Turquía, según informó Secureworks, que también descubrieron más indicadores que señalan que los ataques proceden de este país de Asia.

Con información de Europa Press.

IG