Contenido patrocinado

Lecciones que dejó el gran ciberataque del estado-nación conocido como Nobelium

Microsoft

Microsoft continuará usando sus capacidades e infraestructura de inteligencia de amenazas y su equipo global de defensores

Contenido patrocinado

Los piratas informáticos no son producto de una fantasía de la pantalla grande. Existen en el mundo real y, según un reporte del BID sobre ciberseguridad, los delitos en línea ya son la mitad de todos los delitos contra la propiedad que tienen lugar en el mundo. Son más de 3.500 expertos en seguridad de Microsoft los que analizan 8.5 trillones de señales digitales cada día para detectar, defender y proteger de manera activa a las organizaciones de los ataques cibernéticos todos los días. La empresa, que ha quintuplicado su inversión en seguridad hasta llevarla a más de 20 billones de dólares hasta 2025, se ha propuesto compartir su experiencia y conocimiento sobre los ataques realizados y pone su información a disposición del público, las organizaciones y los Estados para contribuir a reforzar la ciberseguridad del sector privado y sector público.

Uno de los casos dados a conocer en noviembre de 2020 fue NOBELIUM, que sería reconocido como el ataque cibernético de estado-nación más sofisticado de la historia. NOBELIUM es un grupo de piratas informáticos basado en Rusia, que obtuvo acceso a múltiples empresas a través de código de software vulnerable, contraseñas robadas, servidores locales comprometidos y tokens SAML acuñados.

Estos piratas informáticos pudieron acceder al código de la empresa de tecnología norteamericana SolarWinds, e introdujeron código malicioso en una parte del software y usar las actualizaciones de software legítimas del proveedor de tecnología para difundir su malware en los sistemas de los clientes. Al hacerlo, obtuvieron permisos de alto nivel en los sistemas comprometidos en sentido descendente.

NOBELIUM puede considerarse dentro del grupo de ataques de estado-nación, es decir, esas acciones cibernéticas maliciosas que se originan en un país en particular y son un intento de promover los intereses de ese país. Este tipo de ataques están alimentados por la competencia geopolítica y el deseo de obtener ventajas sobre otras naciones, como, por ejemplo, robar propiedad intelectual para beneficio económico o apoyar el espionaje tradicional. Y en eso cada vez se vuelven más sofisticados: al inicio los actores de los ataques estado-nación atacaban a la infraestructura, a los think tanks y a los gobiernos de otros países. Pero, a medida que las organizaciones mejoran sus defensas, los atacantes han buscado nuevas formas de obtener acceso a proveedores, softwares y redes.

Según Rob Lefferts, vicepresidente corporativo de seguridad de Microsoft 365, este ataque hizo realidad los temores más profundos de los expertos en ciberseguridad de Estados Unidos, pues el ataque a la cadena de suministro fue planeado y ejecutado de manera metódica, impactando a varias empresas de clase mundial que contaban con sólidos equipos de seguridad. NOBELIUM así lo demostró con su plan: obtuvo acceso a códigos fuente, recolectó correos electrónicos y robó secretos de producción.

Para Microsoft, las empresas corren cada vez más el riesgo de sufrir ataques a medida que los actores del estado-nación amplían sus objetivos para perseguir el robo de propiedad intelectual. Y así lo demuestran las cifras recopiladas por el Centro de Inteligencia de Amenazas de Microsoft (Microsoft Threat Intelligence Center), entre las que destacan: 35% de todos los ataques de estados-nación están dirigidos a empresas (Artículo de CSO “Estados de nación: conflicto cibernético y la red de ganancias”), hubo un alza de 78% en los ataques a los proveedores de la cadena de suministro entre 2017 y 2020 (“Estudio de HP: Los ataques cibernéticos de un estado-nación se duplican”) y se registraron 13.000 alertas de ataques de estados-nación enviadas por correo electrónico a los clientes durante los últimos dos años, según el Informe de Defensa Digital de Microsoft de septiembre de 2021.

Es clave precisar que los adversarios de los estados-nación tienen experiencia y recursos significativos y desarrollarán nuevos patrones de ataque. Es por eso que, cumpliendo su misión de brindar seguridad para todos, Microsoft planea continuar utilizando sus capacidades e infraestructura de inteligencia de amenazas y su equipo global de defensores de la ciberseguridad para ayudar a proteger a sus clientes y al mundo.

¿Qué hacer ante este panorama? La recomendación para las organizaciones es adoptar una postura de Cero Confianza, activar y dar continuidad a los servicios antivirus, como Microsoft Defender Antivirus, y los productos de detección y respuesta de endpoints, como Microsoft Defender para Endpoint, que identifican y protegen contra el malware que se usa en esta ola de ataques y trabajan en combinación con Microsoft Defender para Office 365. Pero sin duda, el eslabón más débil de la cadena de la seguridad digital sigue siendo los usuarios. Lo más importante de todo es que empleen una higiene básica de ciberseguridad, incluido el uso de autenticación multifactor, el uso de software antivirus / antimalware y tener cuidado de no hacer clic en enlaces de correo electrónico, a menos que pueda confirmar la confiabilidad para minimizar el riesgo de phishing.

TEMAS


Microsoft - Ciberseguridad - Tecnología - Software