A a un banco en Bangladés le robaron 81 millones de dólares, a otro en Taiwán lograron sacarle 60 millones de dólares, y en Costa Rica se quedaron con 11 millones de una entidad. El grupo Lazarus es imparable, y su historia parece sacada de una película: es una organización misteriosa de hackers temida por las autoridades de todo el mundo y que se ha convertido en el actor más activo del universo cibercriminal. El grupo fue creado en Corea del Norte en 2009 y se dedica a realizar millonarios robos a los bancos, pero también ha sido acusado de ser el responsable de grandes ciberataques a escala mundial como el de Wannacry, que afectó a instituciones y empresas de cerca de 150 países, en 2017.
Su operación comenzó en Asia, pero recientemente han atacado a nivel global e, incluso, han ejecutado ataques en varios países de Latinoamérica, como México, Perú y Chile. En 2016 fue detectado el primer incidente en la región, en un banco en Ecuador. Allí lograron robar 9 millones de dólares.
Pero ¿cómo ha hecho este poderoso grupo cibercriminal para ejecutar ataques de tal dimensión?
Desde 2015, la compañía de ciberseguridad Kaspersky Lab ha investigado el modus operandi de la organización y, en un evento en Moscú (Rusia), reveló algunas de sus estrategias más utilizadas. “Son muy inteligentes, estudian a la víctima y dedican semanas para analizar la red, los 'software' y el funcionamiento del banco; hacen todo muy bien. Se quedan por un tiempo y luego hacen el robo de millones de dólares”, explica Fabio Assolini, analista de seguridad informática de Kaspersky.
--- Distraer la atención ---
Según informa la compañía, la organización de ciberdelincuentes se divide en subgrupos: uno dedicado específicamente a tareas de ciberespionaje y ataques a compañías y otro se enfoca en los robos a las instituciones financieras.
Los expertos explican que las tácticas utilizadas son cada vez más avanzadas y variadas. Una de las modalidades a las que recurren son los ataques conocidos como wateringhole, que, según explica Roberto Martínez, analista de ciberseguridad de Kaspersky, consiste en atacar las entidades en donde normalmente se conectan las instituciones financieras o pequeñas empresas que prestan sus servicios a ellas. Por ejemplo, en Polonia infectaron el sitio del Banco Central teniendo en cuenta que todas las entidades debían ingresar allí.
“Comprometen los servidores de la entidad un sitio al que la gente del banco va a acceder. Infectan un computador, que puede ser de alguien que no es tan importante para la entidad, pero después hacen movimientos laterales. Están en un PC y van al otro, hasta llegar a los servidores”, recalca Assolini.
Martínez dice que los atacantes también apuntan a un método de distracción. “Buscan generar un ataque que aparentemente tiene un objetivo, pero la idea es que el grupo de respuesta de incidentes se enfoque en ese objetivo, mientras ellos realizan la otra acción, que es la real y que puede ser hacer transferencias de manera fraudulenta, por ejemplo”, señala.
La mayoría de las veces realizan transferencias mediante el sistema de pago electrónico Swift, una red internacional que conecta 11.000 bancos en el mundo y permite el envío de dinero entre ellos. “El objetivo es hacer transferencias que salgan del país para que lleguen a cuentas que prácticamente fueron creadas y están diseñadas para distribuir el dinero de manera que no puedan ser rastreables o recuperables”, concluye Martínez.
Lo más grave, señalan los expertos de Kaspersky, es que la mayoría de las instituciones financieras del mundo no están preparadas para este tipo de ciberataques. “Normalmente, las entidades se quedan en silencio, no comparten nada porque la gente no se puede enterar”, dice Fabio Assolini.
Los especialistas pronostican que en 2019, Lazarus seguirá expandiendo su poder por el mundo con ataques incluso más sofisticados.
--- Ataques a sistemas de reconocimiento facial y otras predicciones para 2019 ---
La compañía Kaspersky también dio a conocer algunas de las predicciones que se esperan en materia de ciberseguridad para 2019. Entre lo más destacado de los pronósticos se resalta el crecimiento importante en los ataques a la cadena de suministros, es decir a los terceros involucrados en los procesos de producción. “Si por ejemplo una empresa tiene contratado un desarrollo de una aplicación con un tercero o instala en su página web un componente de otro, muchas veces los 'hackers' atacan ese componente y así tienen acceso”, dice Martínez.
Seguramente también veremos una reducción en los incidentes en los puntos de venta por un incremento en los ataques a las aplicaciones web en donde se realizan los pagos en línea.
Pero tal vez una de las mayores novedades es que se realizarán los primeros ataques a través del robo y uso de datos biométricos como las huellas digitales o los sistemas de reconocimiento facial. Además de poder suplantar a alguien con alguna fotografía o programa de computador, los cibercriminales pueden usar técnicas más avanzadas.
“Al final toda la información biométrica se tiene que convertir en algo digital. En el caso concreto de identificación se necesitan ciertos puntos específicos para diferenciar una huella digital de la otra. El algoritmo que se utiliza para la generación de este tipo de patrones puede ser replicado y usarse para confundir el sistema”, explica Martínez. Al final, dice el experto, aunque se trata de sistemas biométricos, “un reconocimiento facial lo vas a convertir en información y esta digitalización va a ser manejada y procesada en algún momento. Se crea un patrón que en cierto momento puede ser comprometido”.
Igualmente es posible que el otro año se presenten campañas avanzadas de ingeniería social dirigidas a operadores y otros empleados internos de las grandes compañías, lo que puede resultar en posibles fugas de información. “Los atacantes estudian la estructura jerárquica de la empresa, el objetivo puede ser financiero o fuga de información, pero esto es muy importante porque uno de los problemas más graves de América Latina es los casos de robo de identidad”, agrega.
El especialista concluye que “probablemente en este momento el siguiente gran ciberataque a instituciones financieras o compañías en Latinoamérica ya inició y lo más seguro es que lo veamos el otro año”.
Fuente: El Tiempo/GDA
Síguenos en Twitter...