Los ciberdelincuentes se están convirtiendo en la nueva amenaza de la sociedad. Numerosos grupos de hackers han surgido a nivel global. Pero no todos pueden clasificarse de igual manera. La distinción dentro del colectivo de ciberdelincuentes resulta a menudo una tarea subjetiva no exenta de motivaciones e intereses sociales o incluso políticos. Los ciberdelincuentes han puesto de manifiesto que se ha producido un cambio en la percepción de los delitos en Internet aupada por la interpretación que hacemos de nuestros intereses sociales, económicos o geopolíticos.
De este modo, y siendo generalistas, podríamos aventurarnos a clasificar la ciberdelincuencia en lo que serían cuatro grandes bloques: cibercriminales, ciberterroristas, hacktivistas y nation state. Se trata de bloques que poseen características propias, aunque en ocasiones se solapan hasta reducirse a dos. Así existe un primer conjunto de ciberdelincuentes que habitualmente persiguen obtener un beneficio, a menudo económico, de sus delictivas acciones y que incluye a los cibercriminales. Por otro lado, están los que trabajan en “defensa” de motivaciones fundamentalmente políticas y que agrega a los ciberterroristas, hacktivistas y nation-state, aunque su aceptación resulta diferente en función de los intereses que se defiendan.
Sea cual sea la definición que se haga, el mundo de Internet les ha asignado a todos ellos una única categoría: los APT o Advanced Persistent Threat. Es habitual que cada uno de estos grupos venga identificado por una secuencia numérica. Así, por ejemplo, recientemente un colectivo llamado APT33 ha sido acusado de atacar intereses del gobierno norteamericano a través de una campaña de phishing dirigido sus altos responsables. De un modo similar, un grupo al que se le ha dado el nombre de APT10 ha sido descubierto como el causante del espionaje a miles de clientes de varios operadores de telecomunicaciones en el mundo. Y así podríamos seguir hasta completar una larga lista. A día de hoy, hay reconocidos más de un centenar de grupos activistas o APT. De facto, fuentes del sector indican que los APT han experimentado un crecimiento de más del 25% durante el último año.
Esta forma numérica de identificación encuentra una variante en los nombres que utilizan algunos actores para clasificar a los APT incluyendo apelativos de pintorescos animales para establecer conexiones geopolíticas. Así, por ejemplo, Panda es un término utilizado para identificar a los grupos ciberterroristas o cibercriminales relacionados con China; Oso (Bear) se utiliza para aquellos grupos que tienen origen en Rusia; con el nombre de Gatito (Kitten) suele designarse a los grupos que tienen conexiones iraníes y con Tigre (Tiger) a aquellos que provienen de India. Pero no son los únicos; Serpiente (Snake), Zorro (Fox), Pulpo (Octopus), Dragon y un largo etcétera también aparecen en las listas de alias de los principales grupos APT reconocidos.
A este respecto, resulta interesante mencionar que hacktivistas como Anonymous o CCC a menudo se incluyen en las recopilaciones que periódicamente se elaboran de grupos ciberterroristas. Sin embargo, estos presentan algunas diferencias respecto a los anteriores. Pese a actuar contra gobiernos, legislaciones u organismos internacionales, sus intereses estratégicos persiguen un fin social que es mejor entendido por la opinión pública (leyes que consideran injustas, abusos de poder…). Habitualmente, tratan de dificultar o evidenciar determinados tipos de conducta cuando consideran que se alejan de su modelo de sociedad. Aunque, bien pensado y vistos bajo esa definición, alguien podría decir que también encajarían con los actores anteriores.
Pero no nos olvidemos del cuarto grupo. Los que se conocen como los nation-state. Se trata de activistas que actúan bajo el paraguas de gobiernos. Grupos como NSA TAO (Tailored Access Operations) disponen de más de 600 empleados a sueldo de la Administración norteamericana para realizar servicios de hacking (de hecho, se intuye que la NSA TAO podría esta, por ejemplo, tras el reciente ataque a las infraestructuras de defensa iraníes realizado por su Departamento de Defensa). Lazarus o Dark Hotel (ambos con conexiones con Corea del Norte), también figuran entre ellos. Animal Farm, cuyo origen se sitúa en Francia, y que podría haber sido responsable, hace algunos años (según el gobierno canadiense), de ataques al programa nuclear iraní es otro de los colectivos. Incluso, Unit 8200, un grupo asociado con el gobierno de Israel, sería según algunas versiones el desarrollador de un buen número de herramientas (Stuxnet, Duqu 2.0 o Cheshire Cat) dedicadas al ciberespionaje y ciberterrorismo. Y la lista no ha dejado de ampliarse.
En definitiva, nos encontramos ante la controvertida posibilidad de catalogar la ciberdelincuencia según diferentes criterios tratando, o no, de entrar en motivaciones y justificaciones externas. Clasifiquémoslos como queramos, sí, pero no olvidemos que sus objetivos suelen ser dispares y no vienen dados solo por los imaginativos nombres que tienen o les asignamos.
Por Juanjo Galán, Business Strategy de All4Sec