A pesar de ello, recibe menos atención de los profesionales de seguridad nacional que la amenaza de los grupos respaldados por el Estado. "Aunque la amenaza de la piratería informática respaldada por el Estado se considera, con razón, grave, no debe evaluarse de forma aislada de las intrusiones con motivación financiera", ha detallado el GTIG.
Así, la ciberdelincuencia también se está usando como herramienta para facilitar la piratería respaldada por el Estado, permitiendo a países como Rusia, Irán, China y Corea del Norte adquirir capacidades cibernéticas o utilizar delincuentes para que lleven a cabo operaciones dirigidas por el Estado, con el fin de robar datos o provocar trastornos.
En el caso de Rusia, se ha identificado el uso de "capacidades delictivas" para alimentar el apoyo cibernético en su guerra con Ucrania. Por ejemplo, el grupo impulsado por la inteligencia militar rusa APT44, conocido como Sandworm, utiliza 'malware' disponible en comunidades de ciberdelincuentes, así como empresas y mercados delictivos rusos, para abastecerse y llevar a cabo operaciones de espionaje.
Concretamente, este grupo ha utilizado 'malwares' conocidos como DARKCRYSTALRAT (DCRAT), WARZONE y Rhadamanthys Stealer, que se han expandido en Polonia y Ucrania a través de métodos como el 'phishing' en correos electrónicos.
Lo mismo ocurre con CIGAR, el grupo de actores maliciosos conocido como RomCom, que ha realizado operaciones de espionaje contra el Gobierno ucraniano desde el año 2022. Igualmente, ha continuado sus actividades maliciosas dirigidas a Ucrania y Europa hasta el pasado año, incluyendo campañas que aprovechan fallos en plataformas como Microsoft Word, Firefox y Windows.
Si bien Rusia es el país al que se ha identificado más frecuentemente por recurrir a recursos de foros criminales, Irán también ha fomentado grupos de amenaza iraníes que despliegan 'ransomware' para recaudar fondos "mientras realizan espionaje de forma simultánea".
Según han detallado desde GTIG, en mayo de 2024 identificaron al grupo UNC5203, que utilizaba la mencionada puerta trasera Rhadamanthys Stealer en una operación asociada a la industria israelí de investigación nuclear.
En el caso de China ocurre lo mismo, donde los grupos complementan el espionaje con sus ingresos obtenidos de la ciberdelincuencia. Así, Google ha puntualizado que en múltiples operaciones se ha observado el operador de espionaje chino UNC2286, que realizaba operaciones de extorsión utilizando el 'ransomware' STEAMTRAIN para "enmascarar sus actividades".
Además de todo ello, los investigadores de GTIG han subrayado el caso de Corea del Norte, que utiliza grupos respaldados por el Estado para generar directamente ingresos para el régimen norcoreano. En concreto, estos grupos han atacado las criptomonedas, comprometiendo las carteras de víctimas individuales, como es el caso del grupo APT38.
COSTE SOCIAL DE LA CIBERDELINCUENCIA
Otro de los puntos que trata el informe es el impacto social de la ciberdelincuencia, que engloba desde la desestabilización económica de los países hasta su repercusión en infraestructuras críticas.
Según han detallado desde GTIG, los efectos de la ciberdelincuencia van "mucho más allá" del robo de dinero o la violación de datos. Estos ataques de actores maliciosos acaban erosionando la confianza pública, desestabilizando servicios esenciales y, "en los casos más graves, cuestan vidas".
Esto se refleja en casos como, según han ejemplificado, cuando los hospitales se quedan sin acceso a sus sistemas críticos por un ciberataque o se interrumpen las redes eléctricas de la población.
Además, según el informe, en los últimos tres años se ha duplicado el porcentaje de publicaciones en sitios de filtración de datos del sector sanitario. Asimismo, el número de sitios de filtración de datos ha aumentado casi un 50 por ciento año tras año.
Es por ello que los expertos en ciberseguridad señalan que el impacto de estos ataques "debe tomarse en serio como una amenaza a la seguridad nacional, independientemente de la motivación de los actores que estén detrás".
RESPUESTA INTERNACIONAL CON URGENCIA
Con todo ello, desde Google abogan por la necesidad de una "respuesta integral" que incluya una mayor cooperación internacional y mejoras en la ciberseguridad para luchar contra el ecosistema de ciberdelincuencia actual, al que definen como "resistente".
Teniendo esto en cuenta, el informe detalla la necesidad de "un enfoque nuevo y más sólido" que incluya métodos acompañados de "esfuerzos de amplio alcance" para mejorar la defensa y acabar con la capacidad de estos delincuentes, "a través de las fronteras y sin respetar la soberanía".
Para ello, han subrayado la necesidad de demostrar que la ciberdelincuencia es una prioridad de seguridad nacional y asignar recursos en consecuencia. Es decir, dar prioridad a la recopilación y análisis de información sobre las organizaciones de ciberdelincuentes, mejorar la capacidad de las fuerzas de seguridad para investigar y fomentar la cooperación internacional para desmantelar redes internacionales.
También han recomendado reforzar las defensas de ciberseguridad, invirtiendo en innovación y desarrollo de tecnologías de seguridad avanzada, fomentando la modernización digital y apoyando iniciativas que mejoren la resistencia de los sistemas digitales frente a los ataques.
Además, a nivel nacional, desde Google han apuntado que se requiere una combinación de medidas "legales, técnicas y financieras" para desmantelar las infraestructuras que sustentan las operaciones de los ciberdelincuentes. Igualmente han resaltado la necesidad de capacitar a particulares y empresas en este ámbito, concienciando sobre las ciberamenazas y promoviendo la educación en ciberseguridad.
Finalmente, el equipo de Google ha sugerido reforzar las prácticas de seguridad del sector privado. "Los responsables políticos deben considerar medidas para dar prioridad a la transformación tecnológica, incluida la adopción de tecnologías y productos con un sólido historial de seguridad", ha sentenciado Google.
Con todo ello, el senior manager del GTIG, Ben Read, ha manifestado que el amplio ecosistema de la ciberdelincuencia "ha actuado como acelerador de la piratería patrocinada por el Estado", proporcionando 'malware', vulnerabilidades y, en algunos casos, "operaciones de espectro completo a los Estados".
