Cuando el grupo de hackers Black Shadow anunció su último ataque en los últimos días, la empresa implicada se apresuró a señalar a Irán, como ya hicieron otras víctimas del grupo en ataques anteriores, pero ¿es realmente Irán el culpable en este caso?
“Black Shadow es pura y simplemente un ataque financiero”, dijo Zohar Pinhasi, director general de la empresa de ciberseguridad Monstercloud CEO a The Jerusalem Post. “Cualquiera puede venir con un reclamo diciendo que este grupo vino de este país, aquel grupo vino de otro país, se necesitan años de investigación [para localizar a estos grupos] y en algunos casos es imposible”.
Pinhasi señaló el caso de un grupo de hackers extremadamente activo llamado SamSam, que finalmente se descubrió que estaba dirigido por hackers con sede en Irán después de operar durante varios años, y subrayó que las autoridades tardaron años en localizar a los ciberdelincuentes, e incluso entonces solo pudieron localizarlos después de que los hackers cometieran un error y dejaran una pista.
“Pueden decir este país u otro, pero nadie sabe realmente dónde están”, añadió Pinhasi sobre los ataques de Black Shadow. “Es realmente raro que encuentres un evento de INTERPOL o del FBI en el que hagan una redada masiva, no solo en el mundo digital sino en el mundo físico, hasta el punto de detener a personas. Es muy difícil localizar a esos individuos”.
Einat Meyron, consultora de ciberseguridad, se mostró de acuerdo en que es poco probable que se conozca aún la identidad del grupo, afirmando que “en primer lugar, en este tipo de ataques, la identidad del grupo atacante es menos importante”, añadiendo que a las empresas atacadas les parece importante atribuir estos ataques a Irán por “razones de seguro y reputación”.
“En la práctica, tanto si se trata de iraníes como de suizos, no hay por qué facilitar a los atacantes que se abstengan de ejercer las defensas básicas y actúen con la mentalidad de que no va a ocurrir o de que, en el peor de los casos, el Estado les ayudará”.
Meyron subrayó que, aunque los hackers vivan en Irán, es “necesario probar sin lugar a dudas que se trata de un grupo que opera con una misión iraní y no solo está asociado a ese país”. “Esta prueba en sí misma no es trivial debido al efecto de suplantación de identidad bien conocido en el mundo de la inteligencia y normalmente identificado con Rusia”.
El consultor de ciberseguridad añadió que es poco probable que un grupo que trabaje para el régimen iraní “desperdicie energía” en registros de sitios aleatorios y que, en cambio, tenga como objetivo causar un daño significativo a la infraestructura, aunque sea más complejo y lleve más tiempo.
“Por otro lado”, dijo Meyron, “no debemos olvidar que siempre existe la posibilidad de que la actividad de Black Shadow sea una cortina de humo para una actividad de mucha más calidad y profundidad, ya sea como proxy deliberado o como proxy de suplantación de otros grupos de ataque”.
El ataque más reciente de Black Shadow tuvo como objetivo la empresa de alojamiento web Cyberserve, filtrando datos de la aplicación de citas gay Atraf, la empresa de autobuses Dan, la radio 103FM, la compañía de seguros de viaje Trip Guaranty y el Instituto Mor de datos médicos, entre otros.
Los datos filtrados incluyen detalles de vuelos, direcciones, correos electrónicos, números de teléfono, estado del VIH y fechas de nacimiento, entre otros datos personales.
El último ataque fue anunciado por el grupo el pasado viernes, y Black Shadow afirmó que había dañado los servidores de Cyberserve.
Black Shadow es responsable de anteriores ataques contra empresas israelíes, como la compañía de seguros de vehículos Shirbit y la financiera KLS. En esos ataques, las empresas afectadas afirmaron que el grupo era iraní, a pesar de que los expertos en ciberseguridad rechazaron esas afirmaciones.
Los últimos ataques de Black Shadow se produjeron poco después de que apareciera por primera vez el grupo de hackers Moses Staff, que filtró fotos y documentos de un supuesto ciberataque al Ministerio de Defensa.
Desde su primera aparición, Moses Staff ha afirmado haber realizado con éxito un ciberataque a tres empresas de ingeniería israelíes y a las oficinas de empresas de procesamiento de impuestos. Los datos filtrados incluyen proyectos, tarjetas de identificación, documentos fiscales, mapas, contratos, fotografías, cartas e imágenes de videoconferencias.
A diferencia de Black Shadow, Moses Staff no ha hecho ninguna petición de dinero ni de nada.
El sitio web de Moses Staff afirma que el grupo ha pirateado más de 165 servidores y 254 sitios web y ha recopilado más de 11 terabytes de datos, entre los que se encuentran Israel Post, el Ministerio de Defensa, archivos relacionados con el ministro de Defensa Benny Gantz, la empresa Electron Csillag y Epsilor.
En cuanto a si los hackers del Estado Mayor son realmente un grupo nuevo, Pinhasi declaró que los grupos de hackers suelen llevar varios sombreros, lo que significa que el grupo puede ser más antiguo de lo que parece, pero puede haber utilizado un nombre diferente en el pasado.
Pinhasi añadió, sin embargo, que aún es demasiado pronto para saber si Moses Staff o Black Shadow son solo nombres diferentes de otro grupo, y que Monstercloud está recopilando inteligencia cibernética en torno a los ataques para proteger a sus clientes.
El CEO de Monstercloud señaló cómo han cambiado los ataques de ransomware, diciendo que mientras que en el pasado, las víctimas de estos ataques pagaban o no pagaban y ahí se acababa todo, en los últimos años, los hackers han comenzado a realizar los llamados ataques de doxware, amenazando con filtrar los datos si no se les paga.
“Dicho esto, pagar el rescate, o pagar en absoluto, contra el doxware, no garantiza nada”, subrayó Pinhasi. “Porque hemos tenido casos en los que la víctima pagó y sus datos quedaron expuestos a pesar de todo”.
Pinhasi añadió sin embargo que la teoría es la teoría y la realidad es la realidad. “Piénselo de esta manera. Si tienes una empresa con 50 empleados, has trabajado desde los 25 años, has construido una empresa, has invertido tu sangre, sudor y lágrimas en esa empresa. Un día te levantas por la mañana y nada. Ni siquiera puedes acceder físicamente a la oficina porque tus fobs no funcionan. Ahora dime, la persona del otro lado quiere 100.000 dólares. ¿Cerrarías la empresa y dirías ‘ah, todo el mundo dice que no pague que voy a dejarlo todo’? Hay una realidad en este tipo de situaciones”.
Pinhasi añadió que los ciberataques ocurren en Israel a diario, pero simplemente no se publicitan porque “ninguna empresa quiere exponerse”.
“En Israel, hubo múltiples ataques contra grandes empresas del sector público junto con agencias gubernamentales que fueron atacadas en ataques exitosos que no se han escuchado en las noticias”, dijo Pinhasi. “Si tuvieras una empresa con 100 empleados, ¿saldrías en público y dirías ‘nos han hackeado y toda la información de nuestros clientes está actualmente en riesgo’? No querrías hacerlo”.
Pinhasi afirmó que, a fin de cuentas, la responsabilidad de los ataques recae en las propias empresas, no en el gobierno. “Si el informático local o la empresa que da servicio al cliente que ha sido atacado no hacen su trabajo y dejan todo expuesto o no vigilan la red desde el punto de vista de la seguridad, el gobierno tiene un límite para lo que puede hacer. Al final, la seguridad recae en la empresa”.
El CEO de Monstercloud afirmó que la mayoría de los ataques se producen por errores humanos de las empresas y de su personal informático, que suelen pensar que, aunque existan vulnerabilidades, los ataques de los que oyen hablar en las noticias no les van a ocurrir a ellos. “Hay otras cosas que pueden causar este tipo de ataques, pero la mayoría de los ataques que vemos son causados por la falta de conocimiento de la persona de TI, la falta de conocimiento de la empresa de TI, sobre cómo mantener la seguridad adecuada. Eso es lo que aprovechan los delincuentes”.
“No inviertas solo en hardware y software sofisticado”, aconseja Pinhasi. “Hay que invertir en las personas, en el informático, enviarlo a algunos cursos que puedan enriquecer sus conocimientos en seguridad. En el pasado, podías contratar a un informático sin más. Hoy tiene que tener algún tipo de formación en seguridad”.
Meyron añadió que el método de funcionamiento de Black Shadow ofrecía una gran oportunidad para que todo el mundo aprendiera un poco más sobre el funcionamiento de los ciberataques, conocimiento que no estaba tan extendido hasta los últimos años.
“La capacidad de crear una agenda a través de mensajes sarcásticos que crean en nosotros la necesidad de una respuesta casi pavloviana que proporcione la actitud que ellos esperan y más aún en un momento conveniente para ellos, pero menos conveniente para los ciudadanos israelíes, [como] los fines de semana, los días festivos [o] las horas de la noche, es una de las tácticas de presión que los hackers aplican habitualmente y que en este caso nos exponen de forma totalmente transparente”, dijo Meyron.