Archivo de la etiqueta: ciberguerra

Cómo la ciberpropaganda influyó en la política en 2016

Author: Feike Hacquebord (Senior Threat Researcher, Trend Micro)

A lo largo de la historia, los agentes de amenazas políticamente motivados han estado interesados en cambiar la opinión pública para alcanzar sus objetivos. En los últimos años la popularidad de Internet puso al alcance de estos agentes de amenazas nuevas herramientas. No sólo se valen de las redes sociales para mover las noticias, difundir rumores y noticias falsas, sino que también, y de forma activa, hackean organizaciones políticas.

 

Las formaciones políticas son un objetivo relativamente fácil para los agentes responsables de las amenazas que quieren causar daño. Por su propia naturaleza, los partidos políticos deben ser capaces de comunicarse abiertamente con sus miembros, la prensa y el público en general. Un partido político es particularmente vulnerable ante las campañas de espionaje y los ciberataques durante un período de agitación electoral, donde las medidas de seguridad pueden considerarse una carga para las operaciones diarias. Los recientes acontecimientos de 2016 han demostrado la importancia de la seguridad para las organizaciones políticas.

 

En 2016, vimos al menos ocho diferentes campañas de ataque de alto perfil contra organizaciones políticas en países como Estados Unidos, Alemania, Ucrania, Turquía y Montenegro. Estas campañas no estaban destinadas únicamente al espionaje, sino a una interferencia activa en los procesos políticos y a influir en la opinión pública. WikiLeaks y los principales medios de comunicación se utilizaron para poner en conocimiento del público general los supuestos escándalos que pueden haber ocurrido, o no, en las organizaciones políticas que fueron objeto de ataques. Se publicaron datos robados, pero la autenticidad de los datos generalmente no se confirmó. Esto deja espacio para que los actores de amenazas manipulen los datos robados en su propio beneficio y los presenten como si fueran reales e inalterados. Mediante la publicación de piezas cuidadosamente seleccionadas de datos inalterados, los actores de la amenaza pueden influir mejor en la opinión pública llevando a la población hacia una dirección que sea favorable a sus intereses.

 

En 2016, el Partido Demócrata en Estados Unidos fue supuestamente hackeado por Pawn Storm, un grupo agente de amenazas conocido por dirigirse a personas y organizaciones que podrían ser percibidas como una amenaza para Rusia. Por ejemplo, entre 2014 y 2016 Pawn Storm estableció campañas dedicadas contra las fuerzas armadas de al menos una docena de países. Las actividades de Pawn Storm muestran que el espionaje externo e interno y la influencia en la geopolítica son los principales motivos del grupo, y no las ganancias económicas.

 

Es un hecho que los correos electrónicos fueron robados de miembros del Partido Demócrata. Estos e-mails fueron filtrados por WikiLeaks y dcleaks[.]com, un sitio web que probablemente sea controlado por los agentes de Pawn Storm. Podemos confirmar que en los meses de marzo y abril de 2016, Pawn Storm lanzó una agresiva campaña de phishing de credenciales contra cuentas corporativas y de correo electrónico gratuito de varios altos cargos del Partido Demócrata en Estados Unidos.

 

Durante la campaña, varias decenas de políticos, personal del Comité Nacional Democrático (DNC, por sus siglas en inglés), redactores de discursos, analistas de datos, anterior personal de la campaña de Obama, personal de la campaña de Hillary Clinton e incluso compañías que la apoyaban fueron blanco de múltiples ataques. Sabemos esto porque hemos estado siguiendo los ataques de phishing de credenciales de Pawn Storm desde 2014. Fuimos capaces de obtener una importante cantidad de estadísticas de clics en decenas de miles de URL de phishing individuales y publicamos un análisis temprano de estos datos en 2015.

 

En junio de 2016, descubrimos un compromiso serio del sitio web del DCCC (Comité Democrático de Campaña del Congreso) que mostraba signos del grupo de agentes de Pawn Storm. Creemos que fuimos uno de los primeros en descubrir el ataque, y lo revelamos a las autoridades estadounidenses de inmediato, cumpliendo con nuestra responsabilidad.  Pocas horas después de que informáramos sobre el asunto, se abordó el compromiso y se limpió el sitio web de DCCC.

 

Para nuestra sorpresa, el incidente fue publicado por Reuters a finales de julio de 2016, más de cinco semanas después de nuestro descubrimiento inicial. Esto podría haber sido un caso en el que Pawn Storm utilizó los medios de comunicación para hacer que el público general conociera sus descarados ataques. Muchos medios de comunicación convencionales han confirmado que se les ofreció acceso exclusivo a los datos robados por Pawn Storm. Esto demuestra que aparte de WikiLeaks, los medios convencionales también son vulnerables a la hora de ser atraídos en la agenda de los agentes de amenazas para causar daño a las organizaciones políticas e influir en la opinión pública.

 

Estados Unidos no es el único país donde las organizaciones políticas fueron el blanco en 2016. De hecho, el problema está mucho más extendido. En abril y mayo de 2016 el partido político de la canciller alemana Angela Merkel, la Unión Demócrata Cristiana (CDU), fue objetivo de Pawn Storm. No sabemos si los ataques tuvieron éxito, pero fueron confirmados por las autoridades alemanas. No se ha filtrado ninguna información aún, pero en otros casos, Pawn Storm esperó más de un año antes de que se comenzaran a publicar datos robados.

 

A principios de febrero de 2016 Pawn Storm apuntó al parlamento turco. Otros investigadores han señalado que,  entre marzo y agosto de 2016, un agente de amenaza particular se dirigió a los partidos políticos, entre ellos al partido Die Freiheit en Alemania, al partido AK en Turquía y otros a dos partidos en Ucrania.

 

No sabemos si estos ataques fueron realizados por Pawn Storm también. Sin embargo, una de las direcciones de correo electrónico que se utilizó en estos ataques también se vio atacada y probablemente comprometida por Pawn Storm pocos días antes de que comenzara la campaña contra el partido AK turco. Independientemente de quién fuera el agente de la amenaza en estos casos, es evidente que varios partidos políticos fuera de los EE.UU. fueron el objetivo.

 

Hay poca probabilidad de que los ataques contra los partidos políticos se detengan pronto. En octubre de 2016, se lanzó un ataque de phishing contra el parlamento de Montenegro, una vez más y muy probablemente, por parte de Pawn Storm. En la primavera de 2017, varios países europeos están llamados a las urnas para celebrar elecciones, entre ellos Bulgaria, Francia, Alemania, Holanda y Noruega. Se insta a las organizaciones políticas y a otras organizaciones de alto nivel a que tomen medidas para evitar convertirse en la próxima víctima de agentes de amenazas extranjeros que quieran influir en las elecciones y en la opinión pública. Entre nuestras recomendaciones están las siguientes:

 

  • Minimice la superficie de ataque. Los servicios que no necesitan estar online no deben estar conectados a Internet.
  • No permita que las organizaciones regionales mantengan su propia infraestructura informática. Opte por la centralización la gestión de TI.
  • En caso de que externalizar el correo electrónico, sólo subcontratar a empresas con una reputación probada. Utilice todas las funciones de seguridad que ofrece su proveedor. Haga que la autenticación de dos factores sea obligatoria para todos y, si es posible, solicite una clave de seguridad física para acceder al correo a través de webmail.
  • Sólo utilice registradores acreditados para sus nombres de dominio. Bloquee sus nombres de dominio para que no sean secuestrados fácilmente.
  • No deje que sus empleados utilicen sus cuentas privadas de correo electrónico gratuito para fines laborales.
  • Realizar pruebas de penetración regulares que también incluyen ingeniería social.
  • Eduque, cree conciencia de que su sistema de correo electrónico puede ser hackeado tarde o temprano. No envíe información confidencial no cifrada por email.
  • Cuente con un procedimiento adecuado para reparar software anticuado e inseguro.
  • Considere la posibilidad de utilizar soluciones como Trend Micro™ Deep Discovery™ que proporciona detección, análisis en profundidad y respuesta proactiva ante el malware oculto actual y los ataques dirigidos en tiempo real.

 

Aquí puede consultar la lista de las entidades y organizaciones objetivo que hemos observado.