A principios de año, mientras llevaban a cabo una investigación de respuesta a incidentes, los Servicios Generales y Militares de Inteligencia neerlandeses descubrieron algo inusual en los servidores estatales. Encontraron un troyano de acceso remoto (RAT) desarrollado para dispositivos FortiGate (el firewall de red más implementado del mundo).
Esta pieza de malware, que estaba inactiva, no pretendía acceder de manera inminente a los sistemas, sino mantener esa capacidad de lograr acceso a los dispositivos. Una capacidad que se mantiene incluso después de reinicios y actualizaciones.
Posteriormente se constató que el RAT formaba parte de una campaña de ciberespionaje procedente de China que había estado activa en los sistemas nacionales durante algunos meses en 2023.
Reacciones del Gobierno neerlandés
Atribución a Pekín
En un informe posterior, publicado unas semanas más tarde, el Gobierno neerlandés atribuyó públicamente a las autoridades de Pekín la responsabilidad de un pirateo impulsado por servicios estatales.
Tras una investigación más profunda, un nuevo informe a principios de verano reveló que la campaña, cuyo nombre en clave era COATHANGER, estaba en realidad mucho más extendida de lo que se pensaba: en pocos meses, entre 2022 y 2023, los hackers habían conseguido acceder a más de 20.000 dispositivos y unidades, no sólo en Países Bajos sino en todo el mundo. Durante todo ese periodo anterior a la detección (que los expertos denominan periodo de día cero), se estima que 14.000 dispositivos fueron comprometidos.
Impacto global del ciberespionaje
Entre los objetivos se encontraban docenas de gobiernos occidentales, instituciones diplomáticas y empresas de la industria de defensa. Desde entonces los gobiernos de todo el mundo trabajan en confirmar la extensión de la infiltración y bloquear intentos similares. Según varios medios especializados, a pesar de su posible impacto generalizado, esta brecha de seguridad no ha recibido la atención mediática que merece.
Un elemento preocupante, de acuerdo con los expertos, a los que preocupa que la falta de concienciación y monitorización de estas ciberamenazas pueda tener consecuencias perjudiciales en los próximos años. Aunque amenazas como el ransomware sí ocupan muchos artículos, el ciberespionaje permanece en gran parte eclipsado por otros problemas.
Conocimientos avanzados
Hoy en día cualquiera puede convertirse en un cibercriminal con unas pocas herramientas estándar que se pueden encontrar en Internet, y muchos utilizan técnicas rudimentarias y baratas. Pero los actores estatales tienen un nivel de conocimientos avanzados y a veces disponen de recursos ilimitados para respaldar sus actividades. Crean sus propios programas e incluso realizan análisis previos para evitar dejar huellas.
A diferencia de los intrusos en ataques de ransomware, cuyo objetivo es crear la máxima disrupción para luego cobrar un rescate, los actores estatales hacen todo lo posible para mantener las operaciones en funcionamiento y no ser detectados.
El espionaje político chino y la industria de semiconductores
En el caso de la campaña COATHANGER, la inteligencia neerlandesa calificó la intrusión como “parte de una corriente de espionaje político chino contra los Países Bajos y sus aliados”. En los últimos años los Países Bajos, sede del fabricante de semiconductores ASML y del de chips NXP, se han visto envueltos en una guerra comercial entre Estados Unidos y China, en la que el primero presiona para que se bloqueen las ventas chinas de chips y semiconductores, así como las reparaciones de la maquinaria existente.
Por eso los expertos señalan que si la industria de semiconductores no se protege contra el ciberespionaje, los Países Bajos y la UE podrían perder no sólo su propiedad intelectual, sino también influencia política. La Unión alberga a tres de los cinco mayores productores y los expertos señalan que, si la UE quiere seguir a la cabeza como productora de semiconductores para automóviles tendrá que proteger la propiedad intelectual de sus gigantes del chip.
Casos previos de ciberespionaje: el ataque a NXP
Ya a principios de 2020, una investigación sobre actividades sospechosas online reveló que el grupo de hackers chino Chimera había logrado acceso a los sistemas de NXP desde finales de 2017. Durante el periodo de dos años en el que los hackers tuvieron acceso a sus servidores, se centraron en obtener diseños de chips y piratear buzones de correo que contenían grandes cantidades de información sensible.
Ahora bien, protegerse contra el ciberespionaje implica un esfuerzo concertado entre empresas y autoridades, por ejemplo realizando evaluaciones de riesgo periódicas en las organizaciones y protegiendo adecuadamente la información comercial.