La línea entre los estados nacionales y el cibercrimen se está difuminando, lo cual es una mala noticia para los CISO.

La línea entre los Estados nacionales y el ciberdelito se está difuminando: malas noticias para los CISO

Últimamente, todos están más preocupados por el riesgo geopolítico. Esto se debe en gran medida al caos que envuelve a Washington, aunque las tensiones globales llevan tiempo acumulándose. El Foro Económico Mundial más reciente (WEF) Informe de riesgos globalesPor ejemplo, afirma que el riesgo que "con mayor probabilidad de presentar una crisis material a escala global en 2025" es un "conflicto armado estatal". Se une a la "ciberinseguridad" y a la "desinformación" en la lista de los 10 mayores riesgos a corto plazo.

El ciberespacio será un ámbito clave en la rivalidad entre las grandes potencias que definirá las próximas décadas. Sin embargo, los riesgos asociados para los CISO y sus organizaciones son cada vez más difíciles de definir. Esto se debe a que la antigua clara línea divisoria entre el Estado-nación y la actividad cibercriminal está comenzando a difuminarse. Los líderes de seguridad deberán basarse en las mejores prácticas del sector para navegar con seguridad en estas aguas inexploradas.

Las reglas están cambiando

Tanto Microsoft como Google Mandiant han documentado recientemente la creciente interacción entre las campañas de los estados-nación y la ciberdelincuencia. En muchos sentidos, este no es un fenómeno nuevo. Sin embargo, los acontecimientos recientes están agravando el problema. Notas del informe de Google que “el mayor nivel de actividad cibernética tras la guerra de Rusia en Ucrania ha demostrado que, en tiempos de mayor necesidad, se puede pagar o coaccionar al grupo de talentos latentes de los cibercriminales para que apoyen objetivos estatales”.

Esto tiene varios aspectos:

1. Estados nacionales que utilizan herramientas y servicios de ciberdelincuencia disponibles comercialmente

Esto ofrece varias ventajas para los gobiernos. Usar herramientas predefinidas contra el cibercrimen es más económico que desarrollar alternativas personalizadas internamente. Ayuda a ocultar el verdadero origen o la intención de los ataques. Además, estas herramientas «pueden implementarse con poca antelación sin vínculos inmediatos con operaciones anteriores», según Google.

Los grupos respaldados por el Estado podrían comprar o alquilar malware y exploits, credenciales, infraestructura de botnets, información robada, acceso inicial u otras ofertas fácilmente localizables en el mundo clandestino del cibercrimen. Por ejemplo:

  • Microsoft afirmó en Diciembre de 2024, que el grupo ruso Turla (Secret Blizzard) estaba utilizando el malware bot Amadey vinculado a la actividad delictiva cibernética, con el fin de atacar a entidades militares ucranianas.
  • En mayo de 2024, Google identificó a un grupo iraní, UNC5203, que utilizaba la puerta trasera RADTHIEF en una operación dirigida a la industria de investigación nuclear israelí.

El grupo chino UNC2286 utilizó el ransomware STEAMTRAIN y una nota de rescate asociada al grupo DarkSide para ocultar lo que era una campaña de ciberespionaje, dice Google.

2. Cooptación de grupos de ciberdelincuentes

Los estados nacionales también están contactando personalmente a los ciberdelincuentes para solicitar su ayuda. Una vez más, esto puede reducir costos, liberar personal interno para trabajar en objetivos más estratégicos y mejorar la negación plausible. Podemos observar esto con:

  • Grupo ruso del FSB Aqua Blizzard lo cual "Transfirió" el acceso a 34 dispositivos ucranianos comprometidos al grupo de ciberdelincuencia Storm-0593 para realizar trabajos posteriores a la explotación, según Microsoft.
  • La banda de ciberdelincuentes Cigar (RomCom), que ha llevado a cabo "operaciones de espionaje" contra el gobierno ucraniano desde 2022, afirma Google.
  • La empresa china de ciberseguridad del sector privado i-Soon, que Estados Unidos... sancionado recientemente, y aparentemente dirigió operaciones de piratería informática a sueldo para Beijing entre 2016 y 23, cobrando entre 10,000 y 75,000 dólares por cada bandeja de entrada de correo electrónico comprometida, y también ganó dinero capacitando a agentes del orden del gobierno.

3. Permitir que los hackers estatales tengan un segundo empleo

  • Cada vez hay más ejemplos de grupos aparentemente patrocinados por el Estado que obtienen ingresos adicionales. Según Google, «esto puede permitir a un gobierno compensar los costos directos que se requerirían para mantener grupos con capacidades sólidas». Algunos ejemplos son:
  • El prolífico grupo de amenazas chino APT41, con un "largo historial" de actividad con fines financieros, según Google, incluye ransomware dirigido al sector de los videojuegos e incluso... Robo de fondos de ayuda por COVID.
  • Grupo iraní UNC757, que fue descubierto el año pasado, en colaboración con afiliados de ransomware de NoEscape, RansomHouse y ALPHV.

4. Los Estados nacionales se comportan como grupos de ciberdelincuentes

  • Este se refiere casi exclusivamente a Corea del Norte, que busca fondos para empresas financieras y de criptomonedas para financiar sus programas nucleares y de misiles. Más recientemente:
  • Hackers estatales de Corea del Norte fueron culpados por el robo cibernético más grande de la historia, cuando 1.5 millones de dólares en criptomonedas fueron robados de Bybit.
  • Una tendencia creciente de trabajadores de TI de Corea del Norte Han surgido casos de estafas contra empresas occidentales para que los contraten. Una vez instalados y trabajando a distancia, envían sus salarios a Pyongyang. Los estafadores también pueden usar acceso privilegiado para robar información confidencial o extorsionar a sus antiguos empleadores una vez despedidos. Esta amenaza aumentará a medida que la IA facilite la creación de perfiles falsos convincentes.

Qué pueden hacer los CISO

Estas tendencias plantean a los CISO múltiples desafíos.

“Esto dificulta predecir el comportamiento de los atacantes y aumenta el riesgo de daños colaterales”, advierte Casey Ellis, fundador de Bugcrowd, a ISMS.online. “Por ejemplo, un ataque de ransomware podría parecer inicialmente motivado financieramente, pero posteriormente podría revelar intenciones geopolíticas. Los CISO ahora deben considerar una gama más amplia de adversarios, cada uno con distintos niveles de sofisticación, recursos y objetivos. Además, los grupos cibercriminales y los equipos de delitos gubernamentales tienen valores muy diferentes sobre lo que harán o no harán, lo que aumenta la imprevisibilidad general”.

Sin una atribución clara, los CISO también pueden verse obstaculizados en su respuesta, añade.

Una sólida higiene en ciberseguridad, como la identificación de activos, la gestión de vulnerabilidades y la planificación de respuesta a incidentes, sigue siendo fundamental. Sin embargo, comprender quién te ataca puede refinar tus defensas, argumenta Ellis.

Por ejemplo, una amenaza patrocinada por un Estado podría tener como objetivo la propiedad intelectual, mientras que un grupo ciberdelincuente podría centrarse en obtener beneficios económicos. La atribución también orienta la colaboración con las fuerzas del orden y las agencias de inteligencia, lo que ayuda a abordar problemas sistémicos como los refugios seguros para los atacantes.

Si pueden comprender quién los está atacando y por qué, los CISO pueden comenzar a diseñar una respuesta efectiva, explica el CISO de Fenix24, Heath Renfrow, a ISMS.online.

“Si se trata de ciberdelincuentes, el enfoque debe centrarse en la contención rápida, la erradicación y el fortalecimiento de las defensas para evitar ataques repetidos. Pero en el caso de actores estatales, las iniciativas de respuesta pueden requerir una vigilancia prolongada, tácticas de contrainteligencia y coordinación con agencias gubernamentales”, explica. “Las amenazas híbridas exigen una defensa multicapa que combine Confianza Cero, inteligencia de amenazas en tiempo real y estrategias de resiliencia post-incidente”.

Mientras tanto, la IA y la automatización serán cada vez más importantes para los CISO a medida que evolucionen las amenazas, argumenta el CISO de Deepwatch, Chad Cragle.

La detección de amenazas basada en IA y la respuesta automatizada ayudan a los equipos de seguridad a escalar contra adversarios que operan con velocidad y volumen. En definitiva, las estrategias de seguridad deben ser independientes de las amenazas y adaptables, explica a ISMS.online.

A medida que se difuminan las fronteras entre el ciberdelito y la actividad de los estados nación, los programas de seguridad rígidos y aislados tendrán dificultades para mantenerse al día. Las organizaciones que priorizan la resiliencia, la adaptabilidad y la defensa basada en inteligencia estarán mejor posicionadas para mitigar el riesgo, independientemente de quién esté detrás del ataque.

A los líderes de seguridad que siguen estándares como ISO 27001 les resultará más fácil adoptar estas mejores prácticas. Y harían bien en hacerlo. aparente distensión Es poco probable que la guerra entre Estados Unidos y Rusia cambie el panorama de amenazas a largo plazo. Es mejor planificar ahora para un futuro más complejo, opaco y peligroso.

Autor

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Ver todas las publicaciones de Phil Muncaster

Artículos Relacionados

¡SOC 2 ya está aquí! ¡Refuerce su seguridad y genere confianza en sus clientes con nuestra potente solución de cumplimiento hoy mismo!