Los principales ataques de ciberseguridad

Una actividad muy importante en la estrategia de ciberseguridad es el análisis post mortem de los ataques, ya que arroja información muy valiosa para prevenir sucesivas versiones mejoradas de estos. La lista de ciberataques es muy extensa e incluso hay muchos de ellos que permanecen en ámbitos confidenciales dentro de las empresas que los sufren.  

De los ataques que transcienden al dominio público, existe una serie de ataques de ciberseguridad de referencia que dan una idea clara de su magnitud. Esta información se encuentra ampliamente difundida en Internet y en algunos casos se puede encontrar hasta su código fuente. 

Los principales ataques de ciberseguridad de referencia

Melissa.

En marzo de 1999, un programador norteamericano lanzó el primer virus de correo electrónico masivo. Con un mensaje engañoso, una vez abierto, reenviaba el correo a los primeros 50 contactos de la libreta de direcciones. Colapsó un gran número de servicios de correo electrónico y causó unas pérdidas de 80 millones de dólares. 

ILoveYou.

Se lanzó en el año 2000. Fue un virus desarrollado por un programador filipino. Bajo un supuesto mensaje de amor en un fichero con extensión .txt, existía una macro Visual Basic que reenviaba el mensaje a todas las direcciones de correo electrónico de la agenda y después renombraba con la extensión .vbs todas las extensiones de los ficheros de Windows. Afectó a 10 millones de equipos Windows. 

Ataque a la red eléctrica de Ucrania.

A finales de 2016, un ciberataque organizado interrumpió la red eléctrica ucraniana durante varias horas y afectó a alrededor de 230.000 habitantes de las regiones de Kiev, Ivano-Frankivsk y Chernivtsi. Fue un ataque premeditado que duró varios meses hasta que los hackers lograron entrar en los sistemas de operaciones de la compañía eléctrica. Los atacantes lograron instalar un software malicioso para introducir código en remoto. Este ataque se atribuyó al grupo de ciberdelincuentes denominado Sandworm, de origen ruso. Es curioso observar como el conflicto ruso-ucraniano se remonta varios años atrás en el ámbito cibernético. 

Ataque Mirai.

Este ataque, ocurrido en 2016, se basó en unas vulnerabilidades de los sistemas Linux sobre arquitectura ARM, que fue propagándose en dispositivos IoT como webcams, etc. Una vez infectados, los dispositivos IoT se convertían en zombis organizados que atacaron coordinadamente al proveedor de servicios DNS Dyn. Este ataque interrumpió el servicio de grandes proveedores como Spotify o Amazon, entre otros, y se convirtió en las primeras implementaciones DdoS (distributed denial of service). 

Wannacry.

En mayo de 2017 se lanzó el virus Wannacry. Aprovechando unas vulnerabilidades reportadas en Windows, afectó a todas aquellas organizaciones que no actualizaron a tiempo sus parches de seguridad. Este ransomware encriptaba el disco duro y pedía un rescate en bitcoines para obtener la clave necesaria para desencriptar el disco. Afectó a 200.000 ordenadores de 150 países. Este virus ha sido emblemático, dado que fue el ataque más relevante de ransomware, que consiste básicamente en «secuestrar» un activo informático, encriptar sus datos y pedir un rescate en criptomonedas para conseguir la clave de desencriptado y permitir de nuevo el acceso a los datos. 

Colonial Pipeline.

Esta compañía posee una red de suministro de combustible de 5.500 millas en la costa este de Estados Unidos, y suministra combustible para la red de distribución de gasolineras y para la red de aeropuertos de la zona. En las primeras horas del 7 de mayo de 2021, un trabajador de Colonial Pipeline recibió un mensaje con el que reclamaban un rescate ante la apropiación de los sistemas informáticos de la compañía. El grupo criminal DarkSide (grupo cibercriminal ubicado en Rusia) había obtenido acceso a la red de Colonial Pipeline. 

Durante días se vieron afectados millones de estadounidenses de la costa este: subieron los precios de la gasolina, los consumidores comenzaron a acumular suministros y numerosas estaciones de combustible cerraron. Colonial mantuvo negociaciones secretas con DarkSide para recuperar el acceso a sus sistemas informáticos. Se vieron obligados a pagar el rescate de 4,4 millones de dólares. Afortunadamente, los servicios gubernamentales de Estados Unidos consiguieron recuperar más de la mitad del rescate pagado a DarkSide.