Darkside: Ataques informáticos 2.0

2021-05-21T15:32:00
Otros países

Recientemente los medios de comunicación se han hecho eco del ataque de ransomware que sufrieron los sistemas informáticos de uno de los principales oleoductos de Estados Unidos. Más allá de confirmarse como la enésima afectación a una infraestructura por un incidente de seguridad, el mismo presenta una serie de características que ofrecen una perspectiva sobre la evolución que están siguiendo este tipo de situaciones, planteando nuevos retos no sólo desde el punto de vista técnico sino también legal.

Darkside: Ataques informáticos 2.0
21 de mayo de 2021

Recientemente los medios de comunicación se han hecho eco del ataque de ransomware que sufrieron los sistemas informáticos de uno de los principales oleoductos de Estados Unidos. Más allá de confirmarse como la enésima afectación a una infraestructura por un incidente de seguridad, el mismo presenta una serie de características que ofrecen una perspectiva sobre la evolución que están siguiendo este tipo de situaciones, planteando nuevos retos no sólo desde el punto de vista técnico sino también legal.

En este sentido, de acuerdo con la información incluida en un reciente artículo sobre dicho incidente publicado en Forbes.com, uno de los primeros aspectos que llaman la atención en este reciente ataque es la indefinición de los grupos de hackers implicados. En contra de la práctica a la que estamos habituados, en este incidente parecerían haber intervenido dos grupos con funciones claramente diferenciadas: por un lado, uno de ellos habría detectado la debilidad en las líneas de defensa de la empresa afectada y habría ejecutado el ataque; por otra parte, el otro grupo habría puesto a disposición del atacante el software y servicios necesarios para encriptar los sistemas y comunicarse con la entidad atacada.

Atendiendo a este reparto de funciones, parecería que el grupo conocido como Darkside habría puesto a disposición del atacante no sólo las herramientas de software necesarias para bloquear y pasar a controlar los sistemas atacados, sino que también los servidores y otros elementos necesarios para gestionar remotamente la comunicación con la organización afectada así como el cobro del correspondiente rescate. Y ello lo habría hecho utilizando un modelo similar al del Software as a Service (SaaS), lo cual ha llevado a especialistas en ciberseguridad a describir este nuevo método como Ransomware as a Service (RaaS). Es evidente que este modelo facilita este tipo de incidentes, al permitir -a cambio de un porcentaje sobre el pago obtenido para desbloquear los sistemas afectados- simplificar el acceso y uso de una infraestructura técnica tan sofisticada como costosa que, de otro modo, difícilmente hubiera estado disponible para el atacante.

Desde un punto de vista legal el reparto de funciones descrito tiene una consecuencia evidente: la distribución de responsabilidades por este tipo de incidentes se hace mucho más difícil de determinar. En principio, dicha responsabilidad recaería principalmente sobre el grupo que, aprovechando una debilidad en los sistemas de la entidad atacada, habría no sólo ejecutado la correspondiente penetración sino también el posterior bloqueo de los sistemas así como otras acciones vinculadas a dicho bloqueo. Ello no obstante, también deberá evaluarse el grado de implicación la organización que ponga a disposición de los atacantes efectivos los medios para hacer efectivo el correspondiente ataque, la cual habrá desarrollado una infraestructura técnica específicamente para este tipo de actuaciones ilegales.

Por otra parte, el incidente que afectó al oleoducto estadounidense también ha puesto de manifiesto la creciente importancia que los grupos de hackers dan a la atención mediática y a las posibilidades que la publicación de contenidos dirigidos a consolidar una imagen tanto de implacabilidad en sus ataques como, paradójicamente, de inquietud ante la injusticia.

En efecto, de acuerdo con noticias publicadas recientemente, Darkside lleva tiempo desarrollando acciones tendentes a ofrecer una imagen benigna de su organización. En este sentido, el grupo de hackers no sólo ha publicitado en diversas ocasiones la realización de donaciones a organizaciones caritativas, sino que ha declarado públicamente que en ningún caso permitirá el uso de sus herramientas tecnológicas para atacar a empresas que no hayan obtenido beneficios o a operadores de hospitales, centros educativos o administraciones públicas.

Sin perjuicio de lo anterior, el mismo grupo se sirve de sus distintos canales de comunicación para publicar información confidencial -y muchas veces altamente comprometedora- que se haya podido obtener como consecuencia de los ataques articulados por medio de su plataforma tecnológica. De este modo, dichos canales se convierten en medios de propagación de los éxitos del grupo, siguiendo una técnica profesionalizada de comunicación de marketing.

En conclusión, es evidente que la sofisticación de los grupos dedicados a los ataques informáticos sigue creciendo día a día, consolidándolos como auténticas organizaciones profesionalizadas y diseñadas para dificultar no sólo la lucha contra ellas en el plano técnico sino también legal e incluso de relaciones públicas.

Autor: Albert Agustinoy

21 de mayo de 2021