Inicio / Blog / Información privilegiada y ciberespionaje industrial

Información privilegiada y ciberespionaje industrial

Publicado el 25/10/2018, por INCIBE
Información privilegiada y ciberespionaje industrial

Dentro de una empresa la información es lo más importante y, por ello, se busca protegerla de la mejor manera posible de acuerdo con su nivel de clasificación. Dentro de la industria siempre se ha dicho que el proceso es lo más importante, que hay que proteger a las personas, el medio ambiente y las propias instalaciones frente a fallos, dejando la información un poco al lado. Esta aproximación es cierta pero no hay que olvidar cierta información propia de la empresa que puede afectar a la capacidad de la misma para vender o generar negocio: estamos hablando de la información privilegiada.

Ciberespionaje: por y para qué

La copia de productos o procesos está a la orden del día en todos los ámbitos, aunque no en todos los campos se hace de igual manera. En el ámbito industrial, la copia de productos o procesos se basa en el ciberespionaje, o, dicho en otras palabras, en conocer el cómo la competencia, otras empresas o gobiernos hacen las cosas, siendo éste uno de los mayores peligros.

Este tipo ataque, aunque si somos muy puristas no sea un ataque en sí mismo, se realiza para obtener información privilegiada que dé ventaja en el desarrollo de productos o tecnologías o que permita la creación de los mismos productos.

Desde el punto de vista del objetivo, el ciberespionaje puede tener dos orígenes:

  • El de naturaleza económica ha constituido la mayor amenaza para el mundo occidental en el último año, dirigiéndose, fundamentalmente, contra organizaciones, tanto públicas como privadas, poseedoras de importantes activos en materia de propiedad intelectual. Tradicionalmente también es el más habitual.
  • Si hablamos de casos de naturaleza política, éstos han pretendido socavar el contexto político y gubernamental de los estados atacados, persiguiendo, en muchos casos, atentar contra el orden legal constituido. En ocasiones, además, se pueden llevar a cabo acciones de cibersabotaje como medidas de apoyo a las acciones militares convencionales, creando un mayor estado de incertidumbre.

La gran mayoría de los ataques de este tipo tienen por origen grupos o gobiernos que buscan perjudicar a sus rivales de alguna manera para su propio beneficio. Los casos más importantes requieren de mucho tiempo y dinero para poder ser llevados a cabo y normalmente solo los gobiernos disponen de esas capacidades.

Técnicas de ciberespionaje y contramedidas

Las principales técnicas tradicionales de espionaje se basan en la ingeniería social. A través de aplicaciones de mensajería, chats, foros y correos, los espías-atacantes tratan de conseguir información por parte de expertos de las empresas objetivo. En muchas ocasiones, haciéndose pasar por compañeros de trabajo, realizan preguntas relativas a la operativa y los dispositivos utilizados en la empresa, o simplemente buscando el conocimiento de un experto en un tipo concreto de dispositivo para obtener información de configuración de los dispositivos que controlaba.

Pero hoy en día las técnicas han evolucionado y los últimos casos conocidos relacionados con la exfiltración de información utilizan software específico para la obtención de información. La gran mayoría del malware analizado utilizado en los ataques más recientes lleva incluido un módulo específico capaz de llevar a cabo estas tareas de ciberespionaje. Estos módulos, actuando sobre sistemas de control industrial, se encargan de inventariar la red y hacer descubrimiento de dispositivos mediante la utilización de diversos protocolos industriales. También se encargan del envío al centro de control y comando del malware de ficheros de determinadas extensiones, que pueden incluir desde ficheros ofimáticos a ficheros de configuración o claves.

Los gobiernos también están invirtiendo dinero en estos malware, no solo los grupos de cibercriminales. Así lo demostró Shadow Brokers al liberar varios exploits supuestamente creados por  la agencia de seguridad americana (NSA), quien ya había sido acusada previamente de otros casos de espionaje.

La medida de protección primordial ante cualquier técnica de explotación de sistemas  es la actualización de los mismos mediante la aplicación de los parches correspondientes a la mayor brevedad posible. Como bien es sabido, los sistemas de control pueden tener problemas para estar en la última versión, por lo que las medidas alrededor de estos sistemas son las que deben estar preparadas. Por eso, una estrategia de seguridad en profundidad, con un cortafuegos que controle los orígenes y destinos del tráfico y un IDS o una herramienta de monitorización de red controlando los patrones de tráfico, es muy necesaria en cualquier infraestructura de red de sistemas de control.

En el caso de la ingeniería social, la solución es  más compleja. Evidentemente la formación y concienciación son los pilares básicos para que los empleados no expongan información privilegiada al exterior. Se ha de recordar que los ataques internos son los más peligrosos. Por ejemplo, cuando se trata de empleados descontentos, las medidas han de ser otras, como el control de acceso a la información, herramientas de prevención de pérdida/fuga de datos (DLP), etc. Aquí el papel de recursos humanos es importante, ya que debe conocer el estado de cada trabajador y gestionar adecuadamente las salidas de la empresa.

Casos reales

Aparte del célebre caso comentado en la entrada, que no formaría parte del mundo ciber, han ocurrido otros casos en la Formula 1. El último de ellos involucró a las dos escuderías más potentes en los últimos años. Es este caso donde nuevamente un empleado descontento fue quien accedió a información confidencial, a través de estrategias de carrera, y trató de ocultar sus pasos. Finalmente fue descubierto, por casualidad, y tras un análisis forense se comprobó hasta dónde había llegado la fuga de datos.

Pero centrándonos en algo más estrictamente industrial, el ataque Drangonfly fue una campaña de ciberespionaje llevada a cabo sobre infraestructuras del sector eléctrico en países como Turquía, Suiza o Estados Unidos. En este ataque se acusó directamente al gobierno ruso de su autoría, que era de naturaleza política y buscaba recabar información para posteriores posibles ataques.

Arabia Saudi también fue víctima de ciberespionaje durante la campaña de Shamoon. En esta ocasión, los principales afectados fueron compañías del sector hidrocarburos. Nuevamente la motivación era política, pero con repercusiones económicas, pues se buscaba que las empresas no invirtiesen en el país para desestabilizar al gobierno. Dentro de Irán se ha identificado a un grupo relacionado con el gobierno encargado de espiar a empresas de los EE. UU., Medio Oriente y Asia pertenecientes a la industria petroquímica, militar y aviación comercial y de iniciar una campaña conocida como Shamoon 2.0.

Conclusión:

Muchos de los casos de ciberespionaje se detectan por casualidad, sobre todo aquellos en los que el factor humano está más presente. Por eso hay que tomar todas las precauciones posibles, proteger los sistemas y hacer seguimiento del estado de ánimo de los empleados; porque nadie quiere que sus secretos salgan a la luz, ¿o imaginas a una farmacéutica con sus recetas expuestas en cualquier portal de internet?