La guerra asimétrica es un tipo de conflicto en el que un lado tiene una ventaja en términos de fuerza militar, recursos o tecnología, mientras que el otro lado emplea tácticas y estrategias no convencionales para superar las fortalezas de su adversario. En la guerra asimétrica, el lado más débil busca explotar las vulnerabilidades de su oponente, utilizando tácticas como la guerra de guerrillas, el terrorismo, los ataques cibernéticos o la propaganda.
La guerra asimétrica se ha utilizado a lo largo de la historia, pero se ha vuelto más frecuente en los tiempos modernos, ya que los actores no estatales, como los grupos terroristas o los movimientos insurgentes, han utilizado tácticas asimétricas para desafiar a los actores estatales más poderosos.
Algunos ejemplos de guerra asimétrica incluyen:
- Guerra de guerrillas: este es un tipo de guerra en el que pequeños grupos de combatientes muy móviles utilizan tácticas de ataque y fuga para desbaratar fuerzas militares más grandes y convencionales. Los guerrilleros suelen operar en áreas con vegetación densa o entornos urbanos, lo que dificulta que la fuerza más grande los rastree y los enfrente.
- Terrorismo: implica el uso de la violencia o la amenaza de violencia contra civiles o objetivos militares para lograr objetivos políticos o ideológicos. Los grupos terroristas a menudo operan en secreto y usan ataques sorpresa para maximizar su impacto y sembrar el miedo.
- Guerra cibernética: esto implica el uso de tecnología para interrumpir o dañar redes informáticas, sistemas de comunicación u otra infraestructura crítica. Los ataques cibernéticos pueden ser lanzados por actores estatales o no estatales y pueden causar daños o interrupciones significativos en las operaciones de un objetivo.
La guerra asimétrica puede ser un desafío para el lado más fuerte, ya que las estrategias militares tradicionales pueden no ser efectivas contra las tácticas no convencionales. Para superar estos desafíos, el lado más fuerte puede necesitar adaptar sus tácticas y estrategias al contexto específico del conflicto, al mismo tiempo que aborda los factores políticos, sociales y económicos subyacentes que alimentan el conflicto.
La Guerra Cibernética y las APTs
En este artículo voy a centrarme en la «guerra cibernética» y más concretamente en lo que se conoce como «Amenaza Persistente Avanzada» o el acrónimo en inglés – APTs (Advanced Persistent Threats)
Como se ha dicho, el término APT significa Amenaza Persistente Avanzada. Las APT son un tipo de ataque cibernético sofisticado que está diseñado para obtener acceso no autorizado a información y sistemas confidenciales durante un período prolongado.
Los ataques APT generalmente los llevan a cabo atacantes altamente calificados y bien financiados, como actores de estados nacionales o grupos organizados de ciberdelincuencia. Estos atacantes utilizan una variedad de técnicas y herramientas avanzadas para violar los sistemas y redes objetivo, a menudo a través de una combinación de ingeniería social, exploits de día cero y malware.
Una vez que un atacante APT obtiene acceso a un sistema o red, generalmente intenta mantener un acceso persistente, lo que le permite continuar recopilando información confidencial y llevar a cabo actividades maliciosas durante un largo período de tiempo. Los atacantes de APT suelen ser muy hábiles para evitar la detección, utilizando técnicas como el cifrado, la ofuscación y los canales de comunicación encubiertos para ocultar sus actividades.
Los ataques APT generalmente involucran varias etapas, que incluyen:
- Reconocimiento: el atacante realiza investigaciones sobre la organización objetivo para recopilar información sobre sus sistemas, redes y empleados. Esta información se utiliza para identificar posibles vulnerabilidades y vectores de ataque.
- Compromiso inicial: el atacante obtiene acceso al sistema o red de destino a través de varios métodos, como el phishing selectivo, la ingeniería social o la explotación de vulnerabilidades en el software.
- Movimiento lateral: el atacante utiliza varias técnicas para moverse lateralmente dentro de la red, obteniendo acceso a sistemas adicionales y elevando los privilegios para obtener un mayor control sobre la red.
- Persistencia: el atacante establece una presencia persistente en la red, usando varias técnicas para mantener el acceso y evadir la detección, como crear puertas traseras, usar canales encriptados u ocultar sus actividades dentro del tráfico legítimo.
- Exfiltración de datos: el atacante extrae datos confidenciales de la red, ya sea copiándolos en una ubicación externa o extrayéndolos a través de un canal encubierto.
Algunos ejemplos comunes de ataques APT incluyen:
- Spear Phishing: un atacante envía correos electrónicos dirigidos a los empleados dentro de una organización, a menudo haciéndose pasar por un remitente confiable, para engañarlos para que revelen información confidencial o hagan clic en un enlace malicioso.
- Exploits de día cero: los atacantes explotan vulnerabilidades en software que son desconocidas para el proveedor de software o el público en general, lo que les permite obtener acceso no autorizado a sistemas y redes.
- Ataques de Watering Hole: un atacante infecta un sitio web que es probable que sea visitado por empleados de la organización objetivo, utilizando el sitio web para entregar malware o recopilar información confidencial.
- Ataques a la cadena de suministro: un atacante compromete a un proveedor externo que tiene acceso a los sistemas o redes de la organización de destino, utilizando el acceso del proveedor para obtener acceso no autorizado a la organización de destino.
Algunos ataques APT notables en los últimos años fueron:
- Operación Aurora: una campaña de espionaje cibernético dirigida a las principales empresas de tecnología, incluida Google, en 2009 y 2010. El ataque se atribuyó a piratas informáticos patrocinados por el estado chino y resultó en el robo de propiedad intelectual e información confidencial.
- Stuxnet: un arma cibernética sofisticada que se utilizó para sabotear el programa nuclear de Irán en 2010. Se cree que Stuxnet fue desarrollado conjuntamente por Estados Unidos e Israel y se considera ampliamente como el primer ejemplo conocido públicamente de un ciberataque patrocinado por un estado.
- NotPetya: un ataque de malware destructivo que apuntó a empresas ucranianas en 2017 y se propagó rápidamente para infectar a organizaciones de todo el mundo. El ataque causó miles de millones de dólares en daños y se atribuyó a piratas informáticos patrocinados por el estado ruso.
- SolarWinds: un ataque a la cadena de suministro de SolarWinds, un popular proveedor de software de administración de TI, que se descubrió a fines de 2020. El ataque comprometió a numerosas agencias gubernamentales y empresas privadas y se atribuyó a piratas informáticos patrocinados por el estado ruso.
Si bien estos ataques son significativos por derecho propio, es importante recordar que los ataques APT pueden tomar muchas formas diferentes y pueden ser llevados a cabo por una variedad de actores. Las organizaciones deben permanecer vigilantes e implementar medidas de seguridad sólidas para protegerse contra todo tipo de ataques APT.
Los ataques APT se han convertido en una preocupación importante para las organizaciones militares de todo el mundo, ya que pueden utilizarse para comprometer información confidencial, interrumpir operaciones militares e incluso causar daños físicos a infraestructuras críticas.
Las organizaciones militares a menudo son blanco de actores de estados-nación que buscan robar secretos militares u obtener una ventaja estratégica. En algunos casos, estos ataques pueden tener como objetivo interrumpir las operaciones militares al inhabilitar sistemas críticos o causar confusión y caos.
Los ataques APT se han utilizado en varios incidentes de alto perfil que involucran a organizaciones militares, por ejemplo:
- Operación Buckshot Yankee: una campaña de espionaje cibernético atribuida al gobierno chino que tuvo como objetivo el Departamento de Defensa de los Estados Unidos en 2008. El ataque comprometió información militar confidencial y fue una de las filtraciones de datos más grandes en la historia militar de los Estados Unidos.
- Dragonfly: una campaña de espionaje cibernético dirigida a empresas del sector energético en los Estados Unidos y Europa, incluidas aquellas vinculadas a infraestructuras críticas, de 2011 a 2014. El ataque se atribuyó a piratas informáticos patrocinados por el estado ruso y suscitó inquietudes sobre la posibilidad de ciberataques para interrumpir el suministro de energía y causar daños físicos.
- WannaCry: un ataque de ransomware que afectó a más de 200 000 computadoras en 150 países en 2017. El ataque interrumpió las operaciones en varios hospitales del Servicio Nacional de Salud en el Reino Unido y causó daños significativos a la infraestructura crítica, incluidos los sistemas de control de varias organizaciones militares importantes.
Las APTs en la Guerra de Ucrania
El conflicto en Ucrania, particularmente en la región oriental de Donbas, ha visto el uso de ataques APT (Advanced Persistent Threat) por parte de varios actores. Estos ataques se han utilizado para comprometer las redes militares y gubernamentales, interrumpir la infraestructura crítica y obtener una ventaja estratégica.
Algunos ataques APT notables en el contexto del conflicto de Ucrania han sido:
- SandWorm: un grupo de piratas informáticos patrocinados por el estado ruso que se cree que fueron responsables de varios ataques contra objetivos militares y gubernamentales de Ucrania, incluido el compromiso de la red eléctrica de Ucrania en diciembre de 2015.
- Fancy Bear: un grupo de piratería patrocinado por el estado ruso que se ha relacionado con varios ataques de alto perfil, incluido el robo y la filtración de correos electrónicos del Comité Nacional Demócrata durante las elecciones presidenciales de EE. UU. de 2016. Fancy Bear también se ha relacionado con ataques contra objetivos militares y gubernamentales ucranianos.
- Snake: un grupo de piratas informáticos que se ha relacionado con ataques a agencias gubernamentales ucranianas e infraestructura crítica, incluido el compromiso del Ministerio de Defensa de Ucrania en 2016.
- NotPetya: un ataque de malware destructivo que apuntó a empresas ucranianas en 2017 y se propagó rápidamente para infectar a organizaciones de todo el mundo. El ataque causó miles de millones de dólares en daños y se atribuyó a piratas informáticos patrocinados por el estado ruso.
Estos ataques demuestran el uso de ataques APT como herramienta de guerra y maniobras políticas. En respuesta, el gobierno ucraniano ha implementado una variedad de medidas de ciberseguridad, incluida la creación de una estrategia nacional de ciberseguridad, una mayor inversión en tecnologías y capacitación en ciberseguridad, y la colaboración con socios internacionales para compartir inteligencia sobre amenazas y mejores prácticas.
El uso de ataques APT en el conflicto de Ucrania destaca la necesidad de que los gobiernos y las organizaciones militares se mantengan alertas contra las amenazas cibernéticas e implementen medidas sólidas de ciberseguridad para protegerse contra estos ataques.
Para defenderse de los ataques APT, las organizaciones militares deben implementar sólidas medidas de ciberseguridad, incluida la segmentación de la red, evaluaciones periódicas de seguridad y capacitación de los empleados. Las organizaciones militares también deben colaborar con agencias gubernamentales y socios internacionales para compartir información sobre amenazas y desarrollar respuestas coordinadas a las ciberamenazas.
La defensa contra los ataques APT requiere un enfoque de varias capas que incluye detección proactiva de amenazas, segmentación de la red, controles de acceso sólidos y capacitación regular en seguridad para los empleados. Las organizaciones también deben implementar evaluaciones de seguridad periódicas y pruebas de penetración para identificar y abordar las vulnerabilidades antes de que los atacantes puedan explotarlas.
Todos los ataques APT son graves y pueden tener consecuencias significativas para la organización objetivo. Sin embargo, es difícil identificar un solo ataque APT «más importante», ya que diferentes ataques pueden tener diferentes niveles de impacto y notoriedad según las circunstancias específicas.
Gracias por leerme.
Albert Mesa Rey es de formación Diplomado en Enfermería y Diplomado Executive por C1b3rwall Academy 2022. Soldado Enfermero de 1ª (rvh) y Clinical Research Associate (jubilado). Escritor y divulgador. Actualmente director del diario digital «Benemérita al día» del Círculo Ahumada – Amigos de la Guardia Civil . |