Hay un grupo de ciberdelincuentes que trae de cabeza a la OTAN. Se llama Earworm y, en los últimos años, se ha dedicado a lo que mejor sabe hacer: la ciberguerra. Merced a esta práctica, ha conseguido robar datos confidenciales y muy delicados de varios de los mayores gobiernos e instituciones de todo el mundo.
¿Quiénes son Earworm?
Todo apunta a que los integrantes de Earworm, también denominado Zebocracy, están vinculados a APT28 (también conocido como Fancy Bear), un grupo de cibercrimen que lleva años robando datos de inteligencia gubernamental, especialmente a países que considera enemigos.
Desde el Departamento de Seguridad Nacional de Estados Unidos y el FBI siempre lo han tenido claro: los orígenes de Earworm son rusos. Concretamente se les vincula al GRU (servicio de inteligencia militar), el SVR (servicio de información exterior) y el FSB (heredero de la antigua KGB). Estados Unidos considera que estos grupos de inteligencia rusa no solo alientan a Earworm y APT28, sino que también financian sus operaciones.
¿A quién han atacado?
El historial delictivo de este grupo es medianamente reciente, pero intenso y prolongado. Se dieron a conocer en 2016, cuando consiguieron robar información sensible del Comité Nacional Demócrata (DNC) de Estados Unidos, o cuando atacaron también a la Agencia Mundial Antidopaje (WADA), llegando a filtrar información confidencial relacionada con diversas pruebas de drogas.
Su actividad desde entonces ha tenido un objetivo claro: los países miembros de la OTAN en cuyos sistemas informáticos han podido meterse. Estados Unidos es uno de sus mayores denunciantes, pero el gobierno holandés también les acusa de robar información de la Organización para la Prohibición de las Armas Químicas (OPAQ) de La Haya, y la Agencia Nacional de Ciberseguridad de Reino Unido también ha señalado a Earworm y a la inteligencia rusa por estar detrás de ataques contra la ciberseguridad institucional de varios países.
¿Cómo lo hacen?
La puerta de entrada de los ciberataques de Earworm se sitúa en el correo electrónico. Tras un ejercicio de suplantación de identidad, mandaban emails a funcionarios y altos directivos institucionales haciéndose pasar por fuentes confiables y adjuntando diversos ficheros. Una vez descargados dichos ficheros entraban en acción dos herramientas de malware:
- Trojan.Zekapab. Este software no solo se instalaba en el ordenador, sino que además era capaz de descargar de manera automática otras herramientas de malware.
- Backdoor.Zekapab. En este caso, el programa se instalaba en el sistema del atacado y conseguía hacer capturas de pantalla, ejecutar archivos independientes o incluso hacer keylogging para acceder a todo aquello que el propietario del equipo estuviese escribiendo en el teclado.
Además de estas técnicas de cibercrimen, los atacantes conseguían pasar largas temporadas en un estado ‘semidurmiente’, con lo que podían permanecer varios meses en los sistemas infectados sin ser descubiertos ni levantar ningún tipo de sospecha.
¿Cómo evitar estos ataques?
En pleno 2019, la ciberseguridad institucional es uno de los asuntos que más preocupan a los países de todo el mundo, que si no quieren verse en serios problemas como le ha ocurrido recientemente a Alemania deben tomar medidas de inmediato:
1.- Autenticación. En muchas ocasiones, los ciberdelincuentes se hacen pasar por un alto miembro de la organización que va a ser atacada, con lo que dichas instituciones deben proteger la autenticación de todos sus funcionarios y altos cargos para evitar posibles suplantaciones.
2.- Concienciación y correo electrónico. Los trabajadores de todas las instituciones que puedan estar en peligro deben ser concienciados de la importancia de mantenerse alerta. Por ello no deben fiarse de un correo electrónico que pueda ser sospechoso o que obligue a descargar un archivo cuya procedencia no esté asegurada. Además, ante cualquier problema, deberán informar a sus superiores para que el ciberataque pueda ser evitado o, al menos, minimizado.
3.- Monitorización. La entrada de intrusos en un sistema informático, por muy sigilosos que sean, suele dejar rastro, sobre todo si cometen el robo a gran velocidad. Por ello las instituciones deben contar con soluciones de ciberseguridad avanzada como Panda Adaptive Defense, que, de forma proactiva, monitoriza todos los procesos que están teniendo lugar en el sistema de manera automática y, en caso de alerta, actúa en tiempo real para evitar problemas.
4.- Información aislada. En la medida de lo posible, la información más delicada y confidencial de una institución debe ser alojada en sistemas sin conexión a internet. Aún así, hemos visto que incluso esta precaución puede no ser suficiente: es posible hackear un dispositivo que no está conectado a la red y al que tampoco se tiene acceso físico aprovechando las emanaciones electromagnéticas. En caso de que esto no sea posible, al menos debería estar en servidores distintos a aquellos en los que haya datos más fácilmente accesibles.
Y es que a veces las reacciones llegan demasiado tarde, cuando los ciberataques ya han sido ejecutados y poco queda por hacer. Por eso, ante el riesgo efectivo que existe en todos los países, los gobiernos e instituciones deben ser tan vigilantes como proactivas en su lucha en un entorno de ciberguerra. Solo así se podrán evitar las gravísimas consecuencias de un ciberataque contra instituciones tan importantes a nivel mundial como la OTAN.