Conocer la historia del ciberterrorismo es clave para poder prevenirlo. En este artículo repasamos los principales ciberataques considerados Ciberterrorismo según su tipología.
Como ya abordamos en el artículo «¿Cómo saber si un ciberataque puede ser considerado Ciberterrorismo?» no existe una definición consensuada del término Ciberterrorismo y, por ello, es necesario analizar caso por caso los eventos a los que es posible aplicar dicho concepto. La principal problemática es que al ser un terrorismo que no causa un tipo de violencia como la que conocemos, sino que se realiza a través del ciberespacio, el límite es más complicado de establecer.
Por ello, en este artículo se realiza una recopilación de ciberataques que han afectado a nivel político, social y económico y, próximamente, realizaremos otro artículo sobre las diferencias entre «Hacktivismo», «Ciberguerra» y «Ciberterrorismo». En él se abordarán los actores de las ciberamenazas y las implicaciones de sus ataques por lo que se comprenderá mejor por qué estos eventos se consideran Ciberterrorismo.
Más allá de esta puesta en contexto sí que se puede afirmar que es clave conocer la historia de los ciberataques considerados Ciberterrorismo para poder prevenirlos y, para ello, vamos a clasificar los ciberataques en eventos o intrusiones prototípicos; cibercrimen; Amenazas Avanzadas Persistentes (APT); Ataques de Denegación de Servicio Distribuido (DDoS); ataques destructivos y disruptivos y ataques doxing.
Eventos o intrusiones prototípicos
Comenzando por el origen de los ataques, tenemos que hablar de los eventos prototípicos, los originales y padres de todos los actuales. El primero que conocemos es el Cuckoo’s Egg ocurrido en 1986 cuando un astrónomo llamado Cliff Stoll se encargaba de las redes informáticas de su laboratorio. Un día observó algo extraño en la contabilidad, una diferencia de 75 centavos, lo que le llevó a comprobar que alguien estaba iniciando sesión en uno de sus ordenadores sin pagar.
Durante varios meses estuvo siguiendo el rastro de este usuario desconocido y se dio cuenta que estaba buscando información relacionada con el Ejército ruso. Esta búsqueda le llevó a Alemania, donde un grupo de piratas informáticos habían vendido su clave de acceso a la KGB (Komitet Gosudarstvennoy Bezopasnosti o Comité para la Seguridad del Estado de Rusia). Este descubrimiento hizo que Stoll informara a la CIA (Agencia Central de Inteligencia de Estados Unidos).
En noviembre de 1988 apareció el primer gusano de Internet, Morris Worm, lo que provocó la paralización de Internet y el mayor daño provocado por malware hasta entonces. Este se aprovechó de las vulnerabilidades que tenían los ordenadores en aquella época, por lo que quedaron interrumpidos y a través de ellos se extendió por Internet. Se llegó a atacar a 6.000 ordenadores -que entonces representaban el 10% de todos las conectadas en Red- en tan sólo 72 horas, una cuantía considerable si se diera a día de hoy.
Su ataque consistió en descargar archivos inusuales en las computadoras por lo que los sistemas trabajaban cada vez más lentos, ejecutándose cada vez más procesos. El mayor problema fue que la mayoría de los equipos conectados a la red llamada ARPANET, eran universidades e instituciones gubernamentales estadounidenses, como la NSA, el MIT o el Pentágono.
En el año 1991 se descubrió también un virus diseñado para infectar el sistema DOS llamado Michelangelo (ya que permaneció «dormido» hasta que el 6 de marzo, fecha en la que nació Miguel Ángel Buonarroti, artista de la Florencia de los Médicis).
Este afectaba al registro al registro de arranque principal del disco rígido y al sector de arranque de los discos floppy y la característica de este virus es que cuando despertó se puso en funcionamiento un ordenador en el que sobrescribió todos sus datos por caracteres aleatorios, siendo imposible su recuperación.
Este virus logró infectar a más de cinco millones de equipos de todo el mundo, llegando a una empresa de arquitectura e ingeniería civil donde se perdieron datos valorados en 30.000 dólares.
En 1998 el Pentágono también sufrió varios ataques. En el primero de ellos un grupo de piratas informáticos entraron en el sistema de seguridad del Pentágono y otras dependencias militares estadounidenses desde Rusia y copiaron sus archivos de información clasificada. A partir de este evento se formó la operación Moonlight Maze, donde los agentes de la Joint Task Force for Computer Network Operations consiguieron bloquear la entrada a estos «hackers».
Otro de los primeros ataques al Pentágono fue llevado a cabo por el código Solar Sunrise, y más de 500 ordenadores del Pentágono fueron comprometidos con mensajes que venían desde los Emiratos Árabes. Más tarde se averiguó que realmente fueron enviados por dos estudiantes californianos y uno israelí.
Cibercrimen: ciberataques + ciberespionaje
Respecto de los ataques puramente relacionados con el Cibercrimen, comenzamos con el ataque a Citibank en 1994, donde un matemático ruso de tan sólo 24 años, llamado Vladimir Levin, consiguió vulnerar el sistema informático del Banco Citibank de Nueva York y robar casi 3 millones de dólares.
Entró desde un equipo en Wall Street en agosto de 1994 donde realizó dos transferencias a una cuenta en Rusia. Al ver que salió bien, consiguió un compañero para realizar más transferencias a cuentas de Argentina, Indonesia, Finlandia, Israel, Alemania e incluso a San Francisco. Fue detenido en 1995 por la Interpol en Londres, se declaró culpable en 1998.
El siguiente ataque comenzó en 2008, pero no se advirtió hasta 2009. Es el caso de Heartland Payment Systems que sufrió un ataque en el que se robó información de tarjetas de crédito mediante inyección SQL. A través de ella se instaló un spyware en los sistemas de almacenamiento de la empresa. Fueron Visa y MasterCard quienes notificaron a la compañía al observar 100 millones de transacciones sospechosas en un solo mes por 175.000 pequeños mayoristas.
En 2016 se robaron 81 millones de dólares de una cuenta del Banco de Bangladesh que estaba en la Reserva Federal de Nueva York, aunque el intento fue por 951 millones de dólares, transferencias que fueron bloqueadas. Este robo se realizó a través de la empresa SWIFT o Society for Worldwide Interbank Financial Telecommunication, cuya función es servir de herramienta a los bancos para los servicios que ofrecen, como pagos interbancarios, inversiones, transferencias, etc.
También, en 2018 intentaron robar 55 millones de rublos del Banco Estatal de Rusia. Estos atacantes crearon un malware específico para infectar el sistema y realizar dichas transferencias, y a día de hoy se sigue intentando atacar a SWIFT, por lo que deben estar al día en ciberseguridad.
Amenazas Avanzadas Persistentes (APT)
Las amenazas persistentes avanzadas o APT son aquellas en las que el intruso se establece de manera persistente en la red objetivo de donde extrae constantemente los datos. Un ejemplo de este tipo es el denominado Titan Rain por el Gobierno Federal de los EEUU, que fue llevada a cabo por piratas informáticos del Ejército Popular de Liberación Chino (PLA) con objetivo el Departamento de Defensa estadounidense (DoD) y el Ministerio de Defensa británico (MoD). Comenzó en 2003 y finalizó en 2005 y consistió en un conjunto de ataques coordinados contra empresas estratégicas e instituciones importantes.
En 2009 fue atacado el sistema del Office of His Holiness the Dalai Lama (OHHDL) como parte del ciberespionaje que realizaba el gobierno chino, tras el ciberataque se realizó un informe por investigadores de la Universidad de Crambridge, dándole el nombre de Snooping Dragon.
El Gobierno del Tíbet, organizaciones no gubernamentales y la oficina privada del Dalai Lama dieron acceso a los analistas que realizaron dicho informe para comprobar el nivel de filtración de la información confidencial, encontrando que los ordenadores estaban infectados por un software malicioso a través del cual los hackers podían acceder de manera remota y robar la información.
En enero de 2010, Google, Adobe, Juniper y otras empresas importantes, sufrieron el ataque llamado Operación Aurora, donde se enviaron correos electrónicos con enlaces maliciosos a los trabajadores de estas empresas que al abrirlos explotaban una vulnerabilidad que tenía Internet Explorer y así ejecutar un malware que estaba orientado a robar información. Fue detectado por ESET NOD32, un antivirus. Este ataque se difundió a través de la red a otros usuarios. A mediados de ese año, Google decidió no trabajar con Windows.
Denegación de Servicios
Los ciberataques de Denegación de Servicios son aquellos que consisten en hacer inaccesible un servicio o red. Conocemos muchos ataques de gran envergadura, pero a nivel de terrorismo tenemos la ocurrida en 2007 en Estonia. Todo fue alrededor del Soldado de Bronce, una estatua de un soldado del Ejército Rojo de la Segunda Guerra Mundial que actualmente se encuentra en Estonia.
Cuando se instaló en Estonia, allá por 1947 por las autoridades soviéticas, se llamó “Monumento para los Libertadores de Tallín” y representa la victoria de la Unión Soviética sobre los Nazis para los rusos, en cambio, para los estonios supone la invasión del Ejército Ruso, y la estatua representa 50 años de ocupación y opresión. Es por esto que en 2007 el gobierno de Estonia quiso llevarse el Soldado de Bronce a un cementerio militar fuera de la ciudad, lo que generó muchas protestas por parte de los ciudadanos de habla rusa.
Tras dos días de disturbios y saqueos por las protestas, las webs de los bancos, medios de prensa y organismos gubernamentales colapsaron por Botnets que enviaron spams masivos para saturar los servidores, lo que resultó en inutilización de cajeros automáticos y servicios online de bancos, así como los medios de comunicación no podían transmitir sus noticias al no poder subir las noticias al sistema de edición online. Según un representante del gobierno estonio parece ser que fueron hackers y grupos criminales llamados por el gobierno ruso para atacar.
La empresa Spamhaus de Suiza, se dedica a bloquear o meter en la “lista negra” a empresas o grupos que consideren spam o que cometen delitos cibernéticos, y fue atacada en 2013 por un grupo llamado Stophaus formado por empresas rusas que emiten spam o que gestionan hosting, lo que llevó a Spamhaus a quedar colapsada durante un breve tiempo, que supuso el desbloqueo de su lista negra.
Ataques destructivos y disruptivos
En relación a los ataques destructivos y disruptivos es preciso aclarar que los destructivos son aquellos en los que los destructivos provocan un daño físico, y los disruptivos inutilizan la infraestructura digital. Como ejemplo de este tipo tenemos la Operation Orchard ocurrida en septiembre de 2007 y realizada por la Fuerza Aérea de Israel.
La operación consistió en atacar las redes del sistema de radar de defensa aérea de Siria, aunque el objetivo principal era la instalación Al-Kibar de la ciudad Deir Alzour en Siria. Según se observó, la inteligencia de Israel, Mossad, consiguió extraer información confidencial y clasificada de un portátil que poseía un alto cargo del gobierno sirio mediante el uso de un troyano.
Entre la información robada estaban los planos de construcción del que se identificó como la instalación nuclear de Al-Kibar. Gracias a la información obtenida se intentó un ataque al reactor nuclear, convirtiéndose a una amenaza real para Israel, lo que llevó a que los combatientes israelíes atacaran un radar sirio cerca de la frontera turca en Tal Abyad, así como le apuntaron un misil de precisión. Este ataque provocó que el radar sirio dejara de funcionar durante un tiempo, permitiendo una intrusión no detectable por las fuerzas israelíes en el espacio aéreo.
En 2010 apareció el virus Stuxnet, cuyo objetivo, según varios medios, era atacar la central nuclear de Irán, pero sigue sin estar confirmado, aunque más de 30.000 direcciones IP de centros industriales de Irán fueron afectadas. Este virus fue detectado por el antivirus VirusBlokAda que lo consideró gusano porque se propagaba e infectaba los equipos, pero más adelante, Symantec notifica que Stuxnet tenía propiedades rootkit, porque puede modificar el comportamiento de los componentes del sistema de control y oculta su presencia.
Este virus infectaba los equipos a través de llaves USB que ejecutaban automáticamente un código del fichero “.tmp” o temporal, y, también, por medio de recursos compartidos en red, instalando dos drivers y dos ficheros “.pnf”. finalmente, una vez infectados, estos archivos quedaban ocultos.
Por otro lado, la empresa Siemens confirmó que tuvo clientes afectados pero que no hubo consecuencias en la producción de dichas empresas contagiadas. Este virus actúa aprovechando vulnerabilidades de Windows que a día de hoy han sido corregidas.
BlackEnergy es un troyano que pasa a convertirse en APT, pero que en este evento sigue considerándose como ataque destructivo o disruptivo. Se detectó por primera vez en 2007 y su función era crear botnets para realizar ataques DDoS. En 2010 surge una segunda versión, donde este troyano incluye rootkits y así poder acceder de forma imperceptible a los sistemas.
Finalmente, en diciembre de 2015, surgen variaciones que incluyen el componente KillDisk que cifra el equipo y exige un pago para devolver los datos. Ese año la red eléctrica nacional de Ucrania fue atacada por el troyano BlackEnergy, provocando el corte de suministro varias horas en la región de Ivano-Frankivsk, dejando a más de medio millón de hogares sin electricidad.
Un mes después, enero de 2016, un portavoz del ejército ucraniano explicó que fue detectado un programa malicioso que pretendía dañar la red informática del aeropuerto de Kiev, pero que se pudo bloquear, y según una compañía de inteligencia virtual de EEUU el grupo que atacó se encontraba en Moscú y se llama Sandworm, grupo que trabaja en nombre de la Unidad 74455 de la Dirección Principal de Inteligencia de Rusia.
Y en diciembre de ese mismo año, se apagó Kiev y sus alrededores durante más de una hora. Según la empresa Dragos de ciberseguridad, el ciberataque fue producido por Electrum, grupo de ciberdelincuentes asociados con Sandworm, y también se vinculó con el malware Industroyer y el grupo TeleBots.
El objetivo de este ataque era la subestación Pivnichna de la compañía Ukrenergo y se dirigió al sistema de control industrial de la subestación. El ataque realizado por Industroyer era similar al realizado por Stuxnet con la diferencia en que el primero era totalmente automatizado y el realizado en 2015 tenía parte manual.
Al año siguiente, en junio de 2017, fueron atacados el sector público y privado de Ucrania, así como compañías multinacionales, atribuyendo el ataque a la Federación Rusa, según declaraciones oficiales de Ucrania, EEUU y Reino Unido.
El malware utilizado esta vez fue el NotPetya, cuyo objetivo eran los sistemas basados en Microsoft Windows, para provocar pérdidas económicas a las entidades ucranianas cifrando sus datos. NotPetya se propagó mediante una actualización del software de contabilidad llamado MeDoc que utilizaban la mayoría de empresas ucranianas.
En mayo de 2020 el puerto marítimo de Shahid Rajaee de Irán quedó bloqueado porque los ordenadores que regulaban el flujo de embarcaciones, los camiones y mercancías colapsaron a la vez. Tras un día sin uso, se descubrió que un pirata informático había desconectado los equipos, concretamente, desde Israel.
Según funcionarios de Inteligencia y seguridad cibernética, fueron agentes israelíes quienes realizaron el ataque como represalia por un intento anterior de entrar en los ordenadores que operaban los sistemas de distribución de agua rural de Israel, que aunque no causó daños sustanciales, provocó que una bomba de un sistema de agua en la región de Sharon dejada de funcionar.
Ataques Doxing
Y, finalmente, la tipología Doxing, que consiste en la revelación de información personal y confidencial en medios públicos. Aquí destacamos el evento producido en 2016 donde el Democratic Congressional Campaign Committee (DCCC) de Estados Unidos anunció que se estaba investigando un incidente de ciberseguridad en el que el FBI creía que estaba relacionado con el compromiso del Democratic National Committee (DNC).
Más adelante, investigaciones de la CIA, FBI y la NSA indicaron que fueron oficiales de la inteligencia rusa del Glávnoye Razvédyvatelnoye Upravlenie o GRU (Departamento Central de Inteligencia ruso) quienes se hacían llamar Guccifer 2.0. Este hacker atacó con objetivos políticos al DNC, mediante correos electrónicos infectados para robar las credenciales y así acceder a la red.
Las herramientas utilizadas por Guccifer 2.0 registraba las pulsaciones en los teclados, tomaba capturas de pantalla y filtraba archivos de los dispositivos. Según un informe de Symantec se filtraron casi 20.000 correos electrónicos internos del DNC y se publicaron en la web DCLeaks y Wikileaks, saboteando así la campaña presidencial del senador Bernie Sanders e impidiendo que Hillary Clinton ganara la presidencia.