Un informe sobre ciberamenazas y tendencias del Centro Criptológico Nacional (CNN) ha revelado que el año 2021 gestionaron 118 ciberincidentes críticos, lo que representa casi el doble que en 2020, según ha informado este miércoles El País. El CNN depende del Centro Nacional de Inteligencia (CNI) y se encarga de la seguridad de los sistemas informáticos de la Administración. El centro clasifica como "ciberincidentes críticos" aquellos que consideran de máxima peligrosidad, y, por lo tanto, pueden afectar a la seguridad nacional o las infraestructuras estratégicas, detener el suministro de servicios esenciales más de 24 horas o tener un coste superior al 0,1% del PIB.
Amenazas persistentes avanzadas
Los analistas del CNN identifican como responsables de los ataques de ciberespionaje varias APT (Amenaza Persistente Avanzada) vinculadas a Estados extranjeros, como Irán (APT42), China (APT15), Corea del Norte (Lazarus/Hidden Cobra) o Rusia (Turla/Snake). El ataque iraní pasó en el año 2020 coincidiendo con la pandemia, cuando el espionaje adquirió una nueva dimensión a causa de la relevancia de la pandemia de la covid-19 en el contexto internacional. Muchas campañas de ciberataques tuvieron como principal objetivo obtener información privilegiada de los departamentos sanitarios, en especial sobre el desarrollo de la vacuna contra el coronavirus, pero también sobre los índices de infección y tratamientos.
La amenaza china se ha centrado en el sector gubernamental, y la de Corea del Norte en utilizar falsas ofertas de trabajo, a través de Linkedin para poder conseguir las claves de los directivos de la industria espacial y militar. Según explica el rotativo madrileño, lo que más preocupa a los técnicos del CNN es la detección, por primera vez en 2022, de un actor no identificado, con tácticas y procedimientos muy avanzados, nunca vistos hasta ahora, que consigue entrar por un vector de entrada desconocido a encaminadores de comunicaciones gubernamentales para capturar tráfico interno, que resulta casi imposible de detectar.
Aumento del uso de Telegram en los ciberataques
La red social Telegram es cada vez más utilizada por parte de hackctivistas y cibercriminales, constata el informe del CNN, que considera el asalto el Capitolio el 6 de enero de 2021 como un punto de inflexión, ya que, en los días posteriores, 25 millones de usuarios se dieron de alta en esta plataforma a causa de las reacciones de Twitter y Facebook, que eliminaron las cuentas de aquellos que consideraban responsables de haber incitado a la violencia, difundiendo desinformación o promoviendo ideologías extremistas. El informe destaca que el aumento del uso de Telegram por parte de los cibercriminales es consecuencia que tiene "un enfoque más laxo en la moderación de contenido que otras plataformas de redes sociales".
El CNN revela que se ha observado un incremento en la "cantidad de enlaces a grupos de Telegram o canales compartidos en foros de ciberdelito y piratería de la DarkWeb, pasando de 172.035 en 2020, además de un millón en 2021. Se cuadruplicaron las palabras utilizadas para referirse a credenciales robadas y otros productos ilegales, llegando a casi 3400".
Perspectivas para el 2022
El informe avanza que el año 2022 se presenta como un año donde se espera "una vuelta gradual a la normalidad en lo referente a la covid-19, recuperando toda actividad social, pero manteniendo algunas posibilidades que llevó consigo la pandemia, como es el caso del teletrabajo, especialmente en el sector TI". A pesar de que se estima que los ataques a través del compromiso de la cadena de suministro siga aumentando durante el año con respecto a años anteriores.
Por otra parte, el informe ya recoge los primeros ataques vinculados a la guerra de Ucrania. Precisamente, la guerra entre Rusia y Ucrania hacen prever una mayor actividad vinculada a grupos como APT28, APT29, Turla o Gamaredon especialmente contra los países limítrofes con la Federación Rusa y países miembros de la OTAN. Aunque se espera que esta actividad sea fundamentalmente ciberespionaje, no se descarta que se lleven a cabo acciones puntuales de ciberguerra a través de un impacto en los sistemas de comunicación ucranianos, como fue el caso de HermeticWiper, ejecutado el día 23 de febrero de 2022, solo un día antes del inicio de la guerra, sobre sistemas informáticos ucranianos.