"LockBit será otra cosa en el futuro, no han cortado su motivación"
En entrevista con CSO, Lotem Finkelsteen, director de Inteligencia en Amenazas de Check Point, evalúa el desmantelamiento del reconocido grupo de ransomware y reflexiona sobre la guerra cibernética que acompaña los actuales conflictos geopolíticos.
Si hay alguien que conoce de cerca cómo funciona el oscuro mundo del cibercrimen es Lotem Finkelsteen. En su rol de director del grupo de Inteligencia en Amenazas de Check Point Research, el ingeniero israelí dedica gran parte de su día a ver qué está pasando en el ciberespacio. Y pasa mucho.
Justamente, esta semana se dio a conocer que diversas autoridades policiales lograron obtener el control de diversas operaciones del reconocido grupo de ransomware LockBit. A esto se suman las guerras cibernéticas entre actores patrocinados por Estados-nación que se corresponden con los conflictos geopolíticos alrededor del mundo (como los de Rusia-Ucrania, Israel-Hamás o China-Taiwán) y a los estragos que está comenzando a causar el acelerado desarrollo de la inteligencia artificial (IA).
En entrevista con CSO, Finkelsteen evalúa estos nuevos desafíos de seguridad y cuenta cómo Check Point se está adaptando a estas nuevas realidades, que prometen un ciberespacio en constante cambio.
"En 2023 [los grupos de ransomware] se controlaron, atacan objetivos que no los exponen a represalias”
¿Cómo ha evolucionado el panorama de las amenazas en el último año?
Este año hemos visto que los actores de las amenazas han desarrollado su negocio, no sólo sus retos técnicos, sino también sus retos empresariales. Tenían que superar sus éxitos del año pasado e incorporaron zero days para los Estados-nación. Ahora vemos que los adquieren a un ritmo creciente, lo que es muy preocupante, significa que están interesados en atacar a muchos a la vez en lugar de invertir tiempo uno a uno. La otra cosa que ahora entienden es que hay una brecha de seguridad en la protección de los dispositivos, por lo que están detrás de eso, tanto los Estado-nación como los criminales. Y lo último es que también entienden que dejamos obsoletas algunas de nuestras soluciones que ya no usamos, como las de USB. De repente vemos que el USB hace una reaparición retro, lo que significa que no podemos descartar soluciones tan rápido, porque los actores sólo esperan a que hagamos el movimiento para volver a algo que era muy eficaz. No lo esperábamos, pero aparentemente lo hacen porque tiene bastante éxito.
¿Y en métodos y técnicas?
En métodos vimos varias cosas. Una es que accedían a la red utilizando tókens robados. Ahora usamos tókens para autenticarnos una vez y no hacerlo durante días o meses en nuestros ordenadores, por ejemplo, con Facebook u otros. Roban estos tókens, especialmente cuando se trata de empresas y sus servicios, para autenticarse en, por ejemplo, el entorno de Microsoft, y luego pasar de ahí a los activos relevantes, por lo que no necesitan explotar un servidor o utilizar un zero day. La otra cosa es que entienden que la encriptación extensiva de datos lleva tiempo, y ahora necesitan, a medida que desarrollan su negocio, calcular el retorno de la inversión (ROI). Así que no cifran tanto, sólo cifran los archivos más críticos, los que impedirán que el servicio funcione o los que les harán pagar para recuperarlos.
¿Y qué pasa con la IA?
En IA, lo que descubrí hace dos semanas fue inquietante. Nos informaron de que, en una empresa del Reino Unido, un empleado financiero con sede en Singapur fue llamado urgentemente por el director financiero para realizar transacciones durante el fin de semana y quería participar en una videoconferencia. Así que lo que hicieron los actores fue establecer una videollamada con un deepfake e hicieron que este empleado realizara once transacciones de hasta 25,2 millones de dólares. Sólo después de eso, el empleado sospechó que algo iba mal y, de hecho, llamó por teléfono al director financiero preguntando por esto y todo se reveló. Pero el dinero se perdió, las transacciones eran legítimas. Así es como se utiliza realmente la IA y ya no es un escenario imaginario. Ahora la pregunta es, ¿cuál fue la información que pudieron compartir con el empleado, utilizando el deepfake, que lo hizo más fiable? ¿Era información personal sobre el director financiero? ¿Era información fiable sobre la empresa, como los nombres de los vicepresidentes, directores o empleados del departamento financiero? Algo que lo hiciera más auténtico para él. Ahora compartimos tantas cosas y la IA nos permite obtener más información con más facilidad.
¿Cómo ha entrado en juego el ransomware as a service en este escenario de amenazas y cuáles son sus implicaciones?
Desde hace muchos años que tenemos el ransomware as a service, que da cabida en este terreno a personas que no son tan hábiles. Ya no tienen que ser profesionales en desarrollar el ransomware más puntero o ser capaces de desarrollar toda la plataforma para hacerlo, para tener todas las herramientas para moverse por las empresas. Esto atrae a mucha gente a este terreno, lo que lo hace más grande y vemos muchos ransomware hoy en día. Antes eran tres o cuatro, ahora tenemos ransomware que son lo suficientemente grandes como para controlar el 7% del mercado, lo que significa decenas de millones de dólares en ingresos, es mucho para cualquier negocio.
La cuestión es que este año estaban más controlados. En 2022 vimos que los afiliados de esos ransomware as a service estaban atacando descontroladamente, por ejemplo, Colonial Pipeline en EE.UU., lo que hizo que EE.UU. entrara en una caza internacional para desenterrar ransomware. Estaban descontrolados, atacaban todo tipo de objetivos que les convertían a ellos mismos en objetivo de las autoridades. Así que en 2023 se controlaron, están más restringidos en términos de que atacan objetivos que no los exponen a represalias. Pero aparte de eso, crecieron, se expandieron, incluso cambiaron de bandos. Vimos desaparecer a Conti y surgir a LockBit, y ahora vemos a LockBit desaparecer, así que ¿quién será el siguiente? Dependerá de las tácticas que cada uno presente. Estoy seguro de que alguien será lo suficientemente innovador como para dominar en este campo, lo que significa que será capaz de demostrar ataques exitosos y atraer a más afiliados a estos programas y hacer que sea incluso rentable para ellos dejar un grupo y unirse a otros.
"Habríamos esperado que la guerra en Israel tuviera una dimensión cibernética más vívida. No la vimos”
¿Qué crees que ocurrirá tras el desmantelamiento de LockBit?
En primer lugar, las operaciones de las fuerzas de seguridad deberían continuar. Tener éxito con LockBit es asombroso, pero son muchos y necesitamos atraparlos cuando son jóvenes, antes de que crezcan demasiado. Es importante recordar que en muchos casos se trata sólo de marcas, y que las bandas criminales que hay detrás son probablemente menos numerosas. LockBit será otra cosa en el futuro, la intención, el interés está ahí, no han cortado su motivación. Siguen ahí, sólo han reducido los cables con los que trabajan. En resumidas cuentas, habrá alguien más, estoy seguro de que las fuerzas del orden deberán tomar más medidas, las bandas encontrarán nuevas marcas con las que trabajar.
Con los actuales conflictos geopolíticos, han surgido muchos nuevos actores maliciosos. Tú trabajaste en las Fuerzas de Defensa israelíes. ¿Cuáles son tus insights al respecto?
Es muy interesante. La guerra cibernética estaba muy limitada a los Estados-nación, a los Estados-nación específicos por cierto, no era habitual que todos los países tuvieran una operación de guerra cibernética significativa. En conflictos recientes, concretamente en Ucrania, hemos visto que grupos de hacktivistas con motivaciones ideológicas se han unido a ellos, y también hemos visto a ciberdelincuentes ponerse del lado de uno de los países. En el caso de Rusia, por ejemplo, atacan a Occidente o a cualquiera que se ponga del lado de Ucrania, convirtiéndose en un objetivo legítimo para ellos. Este terreno de la guerra cibernética que está relacionado con el conflicto físico creció mucho. Y en Israel lo que vimos en la reciente guerra es que esos grupos ideológicamente motivados trabajaron de acuerdo con la narrativa y la agenda de los países a los que servían. Es relevante, por ejemplo, el caso de Anonymous Sudán, que es parte de Killnet, que está asociado con la federación rusa. Los vimos atacando a Israel 50 minutos después de que comenzara la matanza. Declararon que cerraron las aplicaciones de alerta roja que solían avisar a la gente de estos ataques. Aunque este ataque terrorista, donde no atacaron las alarmas reales, sólo las alertas móviles, es una especie de declaración que esos grupos toman, y cuando están asociados con Rusia, por ejemplo, no se puede distinguir entre los dos (Rusia y Anonymous Sudán). Los vimos a ellos, vimos a más grupos atacando la zona, sin embargo, habríamos esperado que la guerra en Israel tuviera una dimensión de guerra cibernética más vívida. No la vimos. Sí vemos ataques entre Israel e Irán en el medio cibernético, pero no en un ritmo creciente tan extremo. Dicho esto, Hamás o Hezbolá, por ejemplo, que también son partes en esta guerra, no presentan capacidades avanzadas de guerra cibernética, y esto es muy interesante de ver, que no se ajustaron a ese nivel, como otras organizaciones militantes en el Medio Oriente o Europa del Este. Quizá el próximo conflicto físico militar esté más desarrollado en este aspecto.
Para que quede claro, no creo que Rusia conociera las intenciones de Hamás el 7 de octubre. Sin embargo, una vez que se enteraron, Rusia es lo suficientemente grande y avanzada como para responder en poco tiempo. Así que una vez que lo hicieron, fue una declaración. Sin embargo, no les vemos dando algún tipo de paraguas a los otros bandos. Las ciberarmas son armas, y normalmente, cuando la cibernética va unida a la inteligencia, no se supera tan rápido.
¿Cuáles son las principales diferencias entre los hackers patrocinados por un Estado-nación y los hacktivistas?
Cuando los hacktivistas están patrocinados, se trata sólo de un proxy. Así que los utilizan para lograr sus objetivos, caminan de acuerdo a sus directivas y agendas. Cuando son hacktivistas puros, un grupo como Anonymous, nadie te da directivas, pero tampoco estás tan centrado, coordinado y organizado como los otros. Porque no tienen los recursos para hacerlo, pero también están más democratizados, por lo que dan a sus afiliados la libertad de expresar sus intenciones e irse sin explicaciones, y así no pueden llevar a cabo operaciones duraderas. Por eso vemos a estos grupos un día atacando a compañías petroleras, y el otro atacando a Israel, y el otro día a Rusia. Puede ser una agenda cambiante.
“Hay tantos grupos que tenemos que ser más diversos para comprender mejor las mentes de los atacantes”
¿Cómo está respondiendo Check Point a estas nuevas amenazas, basándose en el trabajo del equipo de investigación?
Nos plantea un reto, porque ahora también tenemos que preguntarnos quién está detrás del ataque. Incluso cuando hacemos eso, tenemos que saber si los grupos patrocinados por el Estado-nación utilizan armas del Estado-nación o si las desarrollaron por su cuenta, porque estas armas encuentran su camino a grupos que no son agencias oficiales y las encontraremos en el ámbito cibercriminal. Y cuando están allí significa que podemos encontrar algo que es lo suficientemente potente, como WannaCry, para ser muy perjudicial y destructivo para el sistema digital en todo el mundo. En Check Point estamos viendo que la atribución se ha vuelto más difícil.
Otro punto es que nos hemos ampliado a siete países de todo el mundo, porque entendemos que hay tantos grupos, tantos países, que tenemos que ser más diversos, con el fin de ser capaces de comprender mejor la nación, la cultura y las mentes de los que trabajan en el panorama de las amenazas cibernéticas. Tenemos que ser más coloridos, más diversos. Por eso tenemos investigadores en España, en Barcelona y Valencia, y en Italia, Grecia, Polonia, República Checa, etc., porque entendemos que aportan algo que nosotros no tenemos, entienden mejor la ciberdelincuencia de sus propios países, así que este es otro reto.
¿Esta diversidad se aplica también a los perfiles y al talento? ¿Trabajan con otros profesionales, como políticos y diplomáticos, para comprender mejor estos conflictos que afectan al ciberespacio?
Por supuesto. Obviamente visitamos mucho el Parlamento de la UE y muchos otros, porque entendemos que esos conflictos, esas tensiones, esas relaciones diplomáticas afectan a lo que sabemos, la gente comparte información y la utiliza como herramienta. Nos estamos familiarizando con ellos. Obviamente tenemos nuestros propios analistas que se están familiarizando con los diferentes conflictos, que saben lo que está ocurriendo en Azerbaiyán, cuáles son las tensiones que preceden a conflictos específicos. Nos estamos familiarizando con ello y recibimos actualizaciones diarias de inteligencia que incluyen también las relaciones diplomáticas, porque afectan a todo.
