Menudo comienzo de año. No habían pasado ni tres días de 2024 cuando empezaron a sonar las alarmas en el ciberespacio. Un ataque dejó sin conexión a clientes de Orange en toda España. No ha sido el único, pero sí el más llamativo por la aparente falta de protección y dejadez de una operadora de tal envergadura.

La supuesta atacante explicó que llevaba tiempo infiltrada en el sistema RIPE -el foro europeo que asigna direcciones IP a los proveedores de internet- a través de la cuenta de Orange. También mostró la inseguridad de dicha cuenta, que carecía de un sistema de autenticación en dos pasos (los que requieren identificación mediante dos métodos diferentes). Para rizar el rizo, la contraseña del administrador de Orange en RIPE era tan obvia como “ripeadmin”. Era tan fácil adivinarla que ya había sido filtrada públicamente.

El de Orange es un claro ejemplo de lo que no hay que hacer, y del nivel de ciberprotección hasta en compañías como esta, que operan infraestructuras críticas. Por desgracia, no será el primer ni el último ciberataque que causa estupor. ¿Qué ‘joyas’ nos dejó el 2023?

Espías, ladrones y ataques históricos

Comenzamos con un clásico: un ataque de una banda de extorsionadores de habla rusa llamada CL0P, que la revista The Wired bautizó como “el mayor hackeo de 2023”. Una gigantesca red de ofensivas que continúa sumando afectados, conscientes de ello o no. Son ya más de 2.700 empresas y 94 millones de personas, según estimaciones de Emsisoft.

[De la inteligencia artificial a la confianza cero: las tendencias que marcarán la ciberseguridad en 2024]

CL0P es un conocido grupo dedicado a los ataques de ransomware, un tipo de programa malicioso que impide usar el equipo o equipos afectados, o acceder a ciertos archivos, hasta que se pague un rescate. Su ataque fue posible gracias a la explotación a gran escala de una ‘vulnerabilidad de día cero’: un fallo de seguridad para el que aún no se conoce solución.

Dicha vulnerabilidad afectaba a un programa de transferencia de archivos muy utilizado, llamado MOVEit. Los ciberdelincuentes pudieron, gracias a ella, acceder a los sistemas y robar datos de una larga listas de empresas y administraciones públicas. Entre ellas, IBM, Deloitte, PwC, British Airways, la BBC, Ernst & Young y el Departamento de Energía de Estados Unidos.

Si el caso de MOVEit hizo la pole en 2023, el de HTTP/2 Rapid Reset entró en la historia como el mayor ataque conocido de denegación de servicio distribuido (DDoS). Así lo calificaron tanto Google como Cloudflare (uno de los servicios más usados de rendimiento y seguridad web), que fueron afectadas junto con Amazon.

Un DDoS busca, como su nombre indica, denegar el servicio de un servidor o de una infraestructura. Es decir, colapsarlo o inhabilitarlo. Es distribuido porque se realiza desde múltiples fuentes, que envían un número tan alto de solicitudes al sistema objetivo que este se sobrecarga.

En el caso de HTTP/2 Rapid Reset, el número de solicitudes en solo dos minutos fue mayor que el total de artículos de Wikipedia visitados a lo largo de todo un mes. Google y Cloudfare señalaron que se trataba de un nuevo tipo de evento de una magnitud nunca antes vista. Para lograrlo, los atacantes se valieron también de una vulnerabilidad de día cero, bautizada como Rapid Reset.

En el top tres está otro tipo de ataque que no podía faltar: el espionaje chino. O, al menos, con sede en China. El grupo de ciberdelincuentes Storm-0558, ubicado en el país asiático, se infiltró en el gobierno de EE.UU. Accedió de forma encubierta a cuentas de correo electrónico de más de 25 organizaciones, incluidos los departamentos de Estado y de Comercio de Estados Unidos.

¿Cómo lo hicieron? Los atacantes lograron acceder a la cuenta corporativa de un ingeniero de Microsoft, y a través de ella obtuvieron una clave que les dio acceso a los sistemas de correo de las instituciones afectadas. El gigante tecnológico fue incluso acusado de negligencia por el senador estadounidense Ron Wyden.

Robo de identidad y secuestro cultural

El monstruo de las galletas protagoniza la cuarta historia de esta lista. La operación Cookie Monster resultó en el cierre de la plataforma Genesis Market, uno de los mercados ilícitos online más grandes y peligrosos del mundo, según Europol. La hazaña fue obra de una colaboración policial en la que participaron 17 países -España incluido- con más de 100 arrestos en todo el mundo.

Ciberataque

Ciberataque EP

Desde su creación, Genesis Market había ofrecido en la llamada dark web más de 80 millones de credenciales y huellas digitales robadas de más de dos millones de personas. Lo hacía a través de la venta de bots que habían infectado los dispositivos de las víctimas.

Comprar un bot permitía obtener acceso a todos los datos recopilados por él: huellas dactilares, información acceso a cuentas bancarias, cookies, inicios de sesión, datos de formularios… Todo por unos centavos de dólar, en los casos más baratos, o hasta unos cientos de dólares que costaban los bots más jugosos.

Por último, quisiera destacar un ataque cuyo impacto tal vez parezca menor comparado con los anteriores, pero que, por diferentes motivos, es igualmente preocupante. La afectación no son datos personales sino un enorme acervo cultural y literario. Hablo del ciberataque contra la British Library, la biblioteca nacional de Reino Unido.

La ofensiva comenzó en octubre de 2023 a través de un ransomware. El secuestro informático de la biblioteca sigue activo, afectando a su personal, sus socios y sus millones de usuarios, e impidiendo el acceso a la mayor parte de su colección. En este caso fue un ataque de doble extorsión, que primero pide un rescate bien para liberar el sistema comprometido o bien para evitar liberar propiedad intelectual, y luego acaba filtrando los datos. En este caso, fueron unos 600 gigabytes de material que los atacantes publicaron en el mercado negro, según la propia British Library.

Tristemente, es un ejemplo blanco sobre negro de cómo la dependencia excesiva de la conectividad y la falta de protocolos sobre cómo hacer que las cosas funcionen en caso de un apagón son dos problemas profundos.

La cibertormenta que se avecina

Este top cinco es solo una pequeña muestra de una larga lista de ciberataques en 2023. Muchos de ellos, por supuesto, tuvieron lugar en España. Desde el ciberataque contra Air Europa que comprometió datos financieros sensibles de sus clientes hasta el ransomware de doble extorsión que afectó a la operación del Hospital Clínic de Barcelona, pasando por el apagón de 40 días del Ayuntamiento de Sevilla, a causa también de un secuestro informático.

Los ciberataques de suplantación de identidad, de ransomware y de tipo DDoS como los que hemos visto, van en aumento. Cloudflare reveló un aumento interanual del 117% en los ataques DDoS en 2023. Un informe de Allianz señala que el número de víctimas de ransomware aumentó hasta un 143% a nivel mundial durante el primer trimestre de 2023. Y los ataques de phishing aumentaron un 173% en el tercer trimestre de 2023, según un análisis de Vade Secure.

"Se está gestando una tormenta cibernética", aseguró en el Foro de Davos en 2023 la profesora de ciberseguridad Sadie Creese, de la Universidad de Oxford. "Esta es una amenaza global que exige una respuesta global y una acción mejorada y coordinada", dijo en Davos Jürgen Stock, secretario general de INTERPOL.

El informe Global Cybersecurity Outlook 2023 del Foro Económico Mundial señala la convergencia de la inestabilidad geopolítica, la inteligencia artificial (IA) con potencial de amplificar los ciberataques y la falta de talento en ciberseguridad como los desafíos más preocupantes. Está claro que los ciberdelincuentes pueden ser muy ‘disruptores e innovadores’. Seámoslo contra ellos hemos también.