El CNI lo advierte: los ciberataques apoyados por Estados aumentarán este año

EL CCN-CERT ha publicado este lunes la edición de 2019 de su «Informe de Ciberamenazas y Tendencias», un documento de 128 páginas en el que analiza cuáles fueron y cómo evolucionaron las principales ciberamenazas, en España y en el resto del mundo, registradas durante el pasado año.

En 2018, la agencia gubernamental de ciberseguridad, responsable del Centro Nacional de Inteligencia (CNI), gestionó un total de 38.029 incidentes de ciberseguridad, lo que ha supuesto un incremento del 43,65% con respecto a 2017. El 2,7% de los ciberataques advertidos por el CCN tenían una peligrosidad «muy alta» o «crítica», lo que supone una media de 2,8 incidentes diarios de este tipo. La mayor parte de los ataques fueron intrusiones (57,6%), seguido del código dañino (16,07%).

En función del tipo de amenazas, los ataques de grupos patrocinados por Estados o directamente de un Estado a otro «siguen representando la ciberamenaza más significativa del panorama internacional» en este 2019, según el informe. Con este tipo de ataques, los países tienen objetivos tradicionales como el de «sustraer información para mejorar su posición estratégica, política, económica o innovadora (espionaje)«, u otros observados el pasado año como «el intento de influir en la opinión pública de los países atacados o interrumpir la normal prestación de servicios esenciales (sabotaje)».

Entre el resto de tendencias de cara a 2019, el CCN ha alertado sobre la llegada de las redes de datos 5G. « La adopción de 5G ampliará la superficie de ataque» , según la agencia, que cree los dispositivos conectados directamente a la red móvil en lugar de a WiFi son "más vulnerables al ataque directo».

Los ataques entre Estados se valen a menudo de técnicas muy simples, como es el caso del «phishing», «que se aprovechan de las vulnerabilidades humanas de la víctima» y que se utilizan para obtener información sensible para ataques posteriores. Según la empresa Verizon, los Estados utilizaron técnicas de «phishing» en el 70 por ciento de sus ciberataques. Crecen también los ataques de «phishing» a dispositivos móviles, que han aumentado en torno al 85 por ciento anual desde 2011.

El CCN ha analizado a los principales actores internacionales reportados por ciberamenazas en 2018, entre los que destaca Corea del Norte, responsable de tres grandes amenazas globales (Labyrinth Chollima, Ricochet Chollima y Velver Chollima), por delante de Irán y China, con dos cada uno. En los ciberataques dirigidos de 2018, el 96 por ciento de ellos se usan para funciones de Inteligencia, y el 65 por ciento del total se produce mediante ataques con la técnica de «spear phishing» por correo electrónico, la más frecuente. Junto a estos incidentes, los más frecuentes en 2018 fueron los ataques a la cadena de suministro, las acciones de los grupos terroristas, yihadistas y «hacktivistas», y las noticias falsas.

Otra modalidad que ha aumentado en los últimos años son los ciberataques que persiguen obtener datos personales, tanto por parte de 'hackers' como de Estados. Según un estudio de Crowstrike de 2018, en la fase final de un ataque, los datos personales tienen una probabilidad del 80,5 por ciento de resultar afectados.

Los objetivos más frecuentes de los autores de estos ataques pueden ser «la comisión de ciertos delitos, el robo de identidad (credenciales), la suplantación o el espionaje», según recoge el CCN. Los tiempos implicados en los ciberataques son otro de los elementos analizados. En los incidentes de 2018, el 80 por ciento de datos quedaron comprometidos en tan solo minutos, mientras que un 60 por ciento del total no se descubrieron hasta meses después de producirse, según estimaciones de Verizon.

La propagación del código malicioso continúa teniendo en 2018 como principal fuente al correo electrónico. Más del 60 por ciento del tráfico mundial de email contenía carga dañina, y estuvo involucrado en el 90 por ciento de los ciberataques. En cuanto a quién los genera, los ciberdelincuentes son los más activos en este tipo de ataques, y el CCN les imputa más del 80 por ciento de la actividad dañina a nivel mundia l. A los actores internos, personas con autorización para acceso en las instalaciones, se les atribuye el 25 por ciento de los incidentes.

El software más utilizado en los ciberataques ha sido Linux, responsable de casi 200 amenazas en la segunda mitad de 2017 y la primera de 2018, con el que los delincuentes han aprovechado la presencia de vulnerabilidades, seguido de Apple OS X y Microsoft Windows ( más de 100 incidentes) y software como Internet Explorer y Office (más de 50) . En el caso de las empresas, el 79 por ciento del código dañino detectado en las organizaciones estaba dirigido a Windows, el 18 por ciento a Linux y el 3 por ciento a los sistemas operativos de sobremesa Mac.

El ataque más potente ocurrido en 2018 estuvo dirigido a la plataforma de código abierto para desarrolladores GitHub, con 1,35 terabits por segundo (Tbps) de tráfico. Unos días más tarde, se superó el récord con un ataque con picos de tráfico de 1,7 Tbps. Uno de los tipos de ataques más registrados ha sido también el «ransomware», que solo en 2018 registró más de 35.000 incidentes cada mes en Estados Unidos, por delante de Sudáfrica y Portugal.

Aunque el número de nuevos «ransomware» descubiertos se ha reducido en 2018, compañías como MacAfee han advertido del aumento del «ransomware» de minado de criptomonedas en 2018, responsable 2,5 millones de amenazas cada semestre del año pasado.

En cuanto al «spam», los datos de Securlist muestran que China es el país del que proceden más ataques de este tipo en 2018, con más de un 14,4 por ciento. En esta lista se cuela también España, noveno país del mundo en generación de «spam» (3,2 por ciento).