Los cibermercenarios están llegando: es hora de proteger a sus ejecutivos de miradas indiscretas- ISMS.online

Los cibermercenarios están llegando: es hora de proteger a sus ejecutivos de miradas indiscretas

Por Phil Muncaster • 7 November 2023

A mediados de septiembre, la agencia de seguridad del gobierno estadounidense CISA ordenado todas las agencias federales para parchear dos vulnerabilidades de día cero en dispositivos OS, iPadOS y macOS. Estos fueron solo los últimos errores de software nunca antes descubiertos explotados para entregar el famoso software espía Pegasus, cuyo desarrollador, NSO Group, está en el centro de múltiples demandas.

La empresa israelí es una de las muchas empresas comerciales de software espía apodadas “cibermercenarias” por los gobiernos y empresas de tecnología occidentales. Ellos y un grupo más oscuro de hackers a sueldo representan una amenaza creciente para organizaciones de todos los tamaños y sectores, ya que facilitan el espionaje industrial, el espionaje gubernamental y otras actividades nefastas.

Si incluso el teléfono de Jeff Bezos puede ser pirateado por estos grupos, es hora de tomar la amenaza en serio.

¿Quiénes son los cibermercenarios?

Cibermercenario es un término utilizado de diferentes maneras por diferentes partes. A grandes rasgos, podemos dividirlo en dos tipos de actores de amenazas:

Fabricantes de software espía comercial: Estas empresas operan en una zona legal gris y afirman vender software espía y exploits a los gobiernos sólo con fines legítimos de aplicación de la ley y recopilación de inteligencia. En realidad, sus herramientas suelen apuntar a periodistas, disidentes, activistas de derechos humanos y otros opositores de regímenes normalmente autocráticos. Citizen Lab descubrió los dos días cero citados anteriormente en el teléfono de un empleado de una organización de la sociedad civil con sede en Washington.

Ejemplos de estas empresas incluyen NSO Group, Circles, Intellexa, Cytrox y BellTroX InfoTech Services.

Hackers a sueldo: Se trata más claramente de grupos criminales que no tienen ninguna pretensión de operar como organizaciones comerciales semilegítimas. Sin embargo, al igual que los fabricantes de software espía comercial, su trabajo con los clientes se mantiene estrictamente confidencial. Aunque también tienen como objetivo a periodistas, activistas y otras personas de alto riesgo, estos grupos también pueden ofrecer sus servicios para el espionaje industrial, lo que permite a organizaciones que de otro modo gozarían de buena reputación mantener una negación plausible.

Los grupos incluyen los Decepticons, Dark Basin y Void Balaur.

En ambos casos, los grupos de cibermercenarios tienen vínculos sospechosos con varias agencias de inteligencia. Tres ex oficiales de inteligencia estadounidenses estuvieron expuestos en 2021 por trabajar como hackers a sueldo para el gobierno de los EAU y posteriormente demandado junto con el fabricante comercial de software espía DarkMatter. Se dice que Intellexa está dirigida por un ex espía israelí. y un separado informe revelado una “conexión única y de corta duración” entre la infraestructura de ataque utilizada por Void Balaur y el Servicio de Protección Federal Ruso (FSO).

¿Cómo funcionan los ataques?

Los piratas informáticos a sueldo tienen una amplia gama de técnicas, tácticas y procedimientos (TTP) a su disposición. Pero como la mayoría de los actores de amenazas, cuando pueden, optarán por la forma más rápida y sencilla de lograr sus objetivos. Eso podría significar phishing y robo de información, malware y sus principales herramientas para comprometer a sus víctimas y utilizar herramientas legítimas como PowerShell para la actividad posterior a la intrusión. Pueden apuntar a cuentas comerciales de correo electrónico, redes sociales y de mensajería, así como a sus equivalentes corporativos y sistemas de TI de back-end.

“La mayor amenaza que plantean estos grupos de mercenarios es que no les importa el objetivo. Por la cantidad justa de dinero, los mercenarios, por definición, ejecutarán un contrato a expensas de cualquier ética. Esto pone a la infraestructura crítica, la atención médica y otros sectores vitales en la mira de quién está dispuesto a pagar”, dijo Morgan Wright, asesor jefe de seguridad de SentinelOne, a ISMS.online.

“Las personas y organizaciones que corren mayor riesgo son las que menos hacen para protegerse. Los empleados se ponen en riesgo cuando comparten demasiada información sobre ellos mismos en sitios como LinkedIn o varias plataformas de redes sociales”.

Descubriendo la amenaza del software espía

Sin embargo, en el caso de entidades comerciales, el TTPS puede ser significativamente más sofisticado. Las vulnerabilidades de día cero se investigan minuciosamente y a menudo apuntan a dispositivos Apple con intrusiones sin clic con las que el usuario ni siquiera necesita interactuar para infectarse. Luego, se implementa software espía para acceder a los mensajes, correos electrónicos, fotos, inicios de sesión, libretas de direcciones, uso de aplicaciones, datos de ubicación y micrófono y cámara del dispositivo de la víctima.

Matt Ellison, especialista en ciberseguridad de Corelight, describe a los grupos detrás de tales amenazas como si mostraran “la apariencia y el comportamiento de un traficante de armas sin escrúpulos”. Nadie en una organización está a salvo, aunque los altos ejecutivos parecen ser un objetivo natural dado el nivel de influencia y acceso que tienen.

"Puede variar y depende del rol, la organización y el objetivo del cliente del cibermercenario", dice Ellison a ISMS.online. "Definitivamente es un nivel adicional de amenaza por encima de las típicas amenazas cibernéticas vistas por la mayoría de las organizaciones comerciales".

Estados Unidos contraataca

Afortunadamente, recientemente el gobierno de EE. UU. ha cambiado significativamente su actitud y ha agregado varios fabricantes de software espía comercial a una “lista de entidades”.incluyendo Candiru, Grupo NSO, Intellexa y Cytrox. Esto hará que, en teoría, sea más difícil para estas empresas comprar componentes de empresas estadounidenses. Una Orden Ejecutiva Presidencial también busca impedir que el gobierno federal compre cualquier software espía que naciones extranjeras hayan utilizado para espiar a activistas y disidentes. Esto debería reducir las oportunidades comerciales para dichos desarrolladores.

Estados Unidos también está tratando de convencer a otros gobiernos para que asuman una línea igualmente dura. La industria tecnológica ha unido fuerzas frenar las actividades de los cibermercenarios, preocupados no sólo por los derechos humanos sino también por la acumulación de vulnerabilidades, que en última instancia hacen del mundo digital un lugar más peligroso.

Un SGSI y más allá

Pero mientras tanto, ¿qué pueden hacer las organizaciones para mitigar la amenaza a sus ejecutivos y a sus activos críticos de TI/datos? Un sistema de gestión de seguridad de la información (SGSI) puede proporcionar una buena base de seguridad, lo que puede ayudar a mitigar muchas de las técnicas que utilizan los piratas informáticos a sueldo para comprometer los objetivos. Sin embargo, Wright, de SentinelOne, advierte contra la complacencia.

“Nada es garantía de no verse comprometido. Identificar debilidades y problemas de políticas es el comienzo de un viaje hacia una capacidad sólida de ciberseguridad”, argumenta. "El cumplimiento ayuda a mantener la conciencia de las cosas importantes".

Las organizaciones también deben ir más allá de lo básico si quieren repeler ataques de software espía comercial más avanzados que aprovechan las vulnerabilidades de día cero.

"La propia naturaleza de estas herramientas y la forma en que se utilizan e implementan generalmente significa que tienen un nivel de dificultad para detectar que es sustancialmente mayor que el malware o ransomware promedio", dice Ellison de Corelight. "Si usted está en una organización que tiene más probabilidades de verse amenazada por estas herramientas, es importante abordarlas por separado dentro del marco que utiliza para proteger su organización".

Kaspersky explica que los usuarios deberían estar capacitados para detectar las señales de advertencia del software espía: batería que se agota rápidamente y posiblemente un alto uso de datos. Otros pasos para mitigar la amenaza incluyen parchear periódicamente el sistema operativo del dispositivo y otro software, autenticación multifactor (MFA), antimalware del dispositivo y reinicios diarios. En dispositivos iOS, se insta a los usuarios de alto riesgo a desactivar iMessage y FaceTime. Para los ataques mencionados al principio de este artículo, el modo de bloqueo también ayuda.

Sin embargo, incluso Kaspersky estaba comprometido mediante una sofisticada operación de software espía. Las organizaciones deben gestionar el riesgo lo mejor que puedan, practicar sus planes de respuesta a incidentes con regularidad e incorporar cibermercenarios a sus perfiles de amenazas.

Phil Muncaster

Phil Muncaster ha sido periodista de TI durante 20 años. Comenzó como reportero en el título de TI empresarial IT Week en 2005 y ascendió al puesto de editor de noticias antes de dejarlo para seguir una carrera independiente. Desde entonces, Phil ha escrito para títulos como The Register, donde trabajó como corresponsal en Asia mientras residía en Hong Kong durante más de dos años, MIT Technology Review, SC Magazine, Infosecurity Magazine y otros.

Lea más de Phil Muncaster

La seguridad cibernética 6 de enero de 2026

Cinco tendencias de seguridad y cumplimiento a tener en cuenta en 2026

¿Cómo podrían ser los próximos 12 meses para los profesionales de la ciberseguridad y el cumplimiento normativo? Hemos analizado las noticias y analizado las predicciones de la industria...

Phil Muncaster

La seguridad cibernética 11 December 2025

¿Es inevitable una brecha de seguridad de inteligencia artificial en 2026?

¿Es inevitable una vulneración de seguridad de la IA agente en 2026?

Puede que hayan pasado tres años desde que el lanzamiento de ChatGPT desencadenó una nueva carrera tecnológica, pero ahora todas las miradas están puestas en la IA agentica. Sus promotores afirman que...

Phil Muncaster

Seguridad de la información 9 December 2025

Un año en cumplimiento: cinco cosas que aprendimos en 2025

Un año de cumplimiento normativo: cinco cosas que aprendimos en 2025

Los últimos 12 meses han demostrado una vez más que el panorama de la ciberseguridad suele estar plagado de incidentes. Las brechas de seguridad importantes cuestan a las organizaciones...

Phil Muncaster