¿Están robando datos de la vacuna Rusia y Corea del Norte?

Parece el guión escrito para la próxima película de James Bond, pero es verdad. Y da para varias secuelas

Microsoft ha alertado de que los objetivos incluyen compañías farmacéuticas e investigadores líderes de varios paísesMatyas Borsosvia REUTERS

«Dos problemas globales ayudarán a moldear la memoria de las personas de este momento de la historia: la Covid-19 y el mayor uso de Internet por parte de actores malignos para alterar la sociedad». Así comienza un comunicado de Microsoft en el que acusa a Rusia y a Corea del Norte de estar detrás de ataques. «Los objetivos incluyen compañías farmacéuticas e investigadores de vacunas líderes en Canadá, Francia, India, Corea del Sur y Estados Unidos –señala el comunicado de la firma de Bill Gates–. Los ataques procedieron de Strontium, un actor originario de Rusia, y dos actores originarios de Corea del Norte que llamamos Zinc y Cerium».

En total los ataques habrían afectado a siete laboratorios y aunque Microsoft logró bloquear la mayoría de ellos, también reconoció que algunos tuvieron éxito, aunque no señala las firmas que fueron afectadas. «Creemos que estos ataques son inconcebibles y deberían ser condenados por toda la sociedad civilizada», dijo Tom Burt, jefe de seguridad de Microsoft.

Para comprender mejor el panorama actual y cómo esto puede afectar al desarrollo de la vacuna, hablamos con José Rosell, socio de la firma especializada en ciberseguridad S2 Grupo. «Yo no sé cómo llamar a esto, si ciberdelito o un episodio de ciberguerra – nos explica Rosell en conversación telefónica–, pero en estos episodios, uno de los grandes problemas es la atribución. Podemos atribuirlo a una determinada IP, a una dirección de internet. Por ejemplo, en China, pero ¿quiere decir esto que esté originado en ese país? No, quiere decir que la IP está en China. Yo puedo comprar un servidor en Rusia, y lanzar un ataque desde allí estando en Madrid o en Valencia, con lo cual es muy difícil atribuir un incidente a un estado o a un grupo determinado».

De acuerdo con Microsoft, el atacante ruso era Strontium, conocido por sus operaciones de desinformación y piratería en el periodo previo a las elecciones presidenciales de 2016. Los otros dos grupos estarían respaldados por el régimen de Corea del Norte, uno de los cuales Microsoft llama Zinc, pero es más conocido como el Grupo Lazarus, y habría sido el responsable del hackeo de Sony en 2016 y el ataque de ransomware WannaCry en 2017. ¿Cómo se sabe esto?

«Los expertos analizamos los virus con ingeniería inversa – señala José Rosell –. Y evaluamos cómo están diseñados. Si vemos caracteres en cirílico podríamos decir que es ruso, si vemos caracteres chinos, su origen sería China. ¿Esto es seguro? No, porque quienes lo desarrollan ya lo saben y si quieren pasar desapercibidos y hacer que son virus chinos, les ponen una caracteres chinos, compran un servidor allí con bitcoins y está hecho. Esto hace que la persecución del delito en internet sea complicadísima. Podemos tener una idea, pero no la certeza. La atribución es muy complicada y la persecución del delito más todavía».

Objetivo de los delincuentes

A la hora de determinar el origen de un ataque, otro factor que analizan los expertos como Rosell es el objetivo de los ciberdelincuentes. No es la misma diana a la que apuntan grupos organizados que la que persiguen los piratas patrocinados por un estado.

«En general los grupos mafiosos o de organizaciones criminales se centran en temas de extorsión o robo de datos –añade Rosell–. Por su parte, este tipo de ataque, como el que denuncia Microsoft, está más vinculado a destinos propios de ciberdelincuentes vinculados a determinados gobiernos. A esto hay que sumarle que la ingeniería necesaria para crear algunos virus precisa de mucho dinero y recursos. A menudo nos asombra el nivel alcanzado en ciertos malware, cada vez más complejos y con un conocimiento muy alto de lo que están haciendo. Es muy difícil luchar contra esto ya que ellos tienen miles de frentes para atacar y son cada día más creativos».

Este es el último esfuerzo de los piratas informáticos, que intentan explotar la pandemia de Covid-19 para sus propios objetivos. A principios de este año, el FBI y Seguridad Nacional de Estados Unidos advirtieron que los piratas informáticos intentarían robar la investigación de la vacuna que se desarrolla contra el coronavirus. Pero no será el último ni mucho menos. El incremento del trabajo desde el hogar (que pasó del 5% a más del 40%) y del tráfico digital (que aumentó hasta un 55%) ha hecho que se abran más frentes aún. Y si a ello le unimos la poca formación en seguridad que tenemos como usuarios… pues miel sobre hojuelas para los piratas informáticos.

Protección de la salud

Esta noticia coincide con el Foro de la Paz de París, donde el presidente de Microsoft, Brad Smith, instará a todos los gobiernos a hacer más para combatir los ciberataques contra el sector de la salud, particularmente durante esta pandemia.

«Microsoft está pidiendo a los líderes mundiales que afirmen que la ley internacional protege las instalaciones de atención médica y que tomen medidas para hacer cumplir la ley», dijo Burt. «Creemos que la ley debe aplicarse no solo cuando los ataques se originan en agencias gubernamentales, sino también cuando se originan en grupos criminales que los gobiernos permiten operar, o incluso facilitar, dentro de sus fronteras».

En este caso los ataques se habrían producido usando identidades falsas. Los atacantes se habrían hecho pasar por funcionarios pertenecientes a la Organización Mundial de la Salud y trataron de engañar a los empleados de las farmacéuticas para que entregaran sus credenciales de inicio de sesión. Y algunos lo hicieron. Microsoft pidió a los líderes mundiales que «afirmen que el derecho internacional protege las instalaciones de atención médica y que tomen medidas para hacer cumplir la ley». El problema es… ¿qué ley?