Ciberespionaje industrial y robo de secretos empresariales
Tabla de contenidos
El ciberespionaje industrial y la sustracción de información estratégica pueden generar cuantiosas pérdidas económicas y dañar la competitividad de las compañías
A finales de diciembre de 2023, Akira, uno de los grupos de ransomware más activos de los últimos años, hizo público que había conseguido robar 100 gigas de información de la división australiana de la multinacional Nissan. Según el propio grupo delictivo, gracias al ataque pudo acceder a los datos personales de los clientes y los empleados de la compañía, pero también a información empresarial crítica como acuerdos de confidencialidad, proyectos o partners.
Este caso evidencia que los ataques de ransomware no solo persiguen el robo y uso malicioso de datos personales, sino que también pueden tener como objetivo acceder a información estratégica de las empresas. ¿Con qué fin? Llevar a cabo actuaciones de ciberespionaje industrial, extorsionar a las compañías, vender secretos empresariales al mejor postor o hacer públicos proyectos en desarrollo para minar la posición en el mercado de las empresas.
Al igual que sucede con muchos otros aspectos del ámbito de la ciberseguridad, estas prácticas de espionaje son la evolución lógica de las que ya se realizaban en el mundo pre-digital. Espiar a la competencia o extorsionar a empresas no supone una novedad, de hecho, los ordenamientos jurídicos protegen los secretos empresariales desde hace décadas. La novedad radica en el cómo: atacando las infraestructuras tecnológicas de las compañías.
En este artículo, vamos a perfilar las claves del ciberespionaje industrial y las preocupantes consecuencias que esta práctica delictiva tiene para las compañías. Sin ir más lejos, en Alemania, uno de los países a la vanguardia tecnológica en múltiples industrias, se estima que el coste del ciberespionaje, el robo de equipamientos tecnológicos y la sustracción de propiedad industrial superó en 2023 los 200.000 millones de euros.
1. ¿Quién está detrás del ciberespionaje industrial y la sustracción de propiedad intelectual?
Algunos ataques de ciberespionaje industrial requieren una complejidad técnica y un nivel de recursos elevados, de ahí que estas prácticas delictivas sean desarrolladas por grupos de amenazas persistentes avanzadas (APT), con conocimientos, recursos y tiempo suficientes como para mantenerse en los sistemas de las compañías durante largos periodos de tiempo.
El FBI y la agencia estadounidense de contrainteligencia (NCSC) han alertado en los últimos tiempos sobre las acciones de ciberespionaje que llevan a cabo los grupos APT financiados por estados como Rusia, China o Irán contra sectores críticos de Estados Unidos y Europa como el aeroespacial, el militar, el energético, el farmacéutico, la aviación o, el ámbito más en boga a día de hoy, la Inteligencia Artificial.
Estos sectores vitales para el presente, pero también para el futuro de la humanidad, se encuentran a la vanguardia tecnológica. Lo que se traduce en que las empresas que los conforman cuentan con propiedad intelectual e industrial de enorme valor. De ahí que sean targets prioritarios para los grupos delictivos y los estados rivales.
¿Quiere decir esto que el ciberespionaje industrial solo está al alcance de los grupos APT? No. La consolidación de los modelos de Malware-as-a-Service ha abierto las puertas a que el ciberespionaje se democratice y que un criminal sin elevados conocimientos ni grandes recursos pueda conseguir espiar a una empresa y robar información confidencial de la misma. Sobre todo, gracias a los programas de Ransomware-as-a-Service diseñados por algunos de los grupos delictivos más peligrosos del panorama de amenazas actual.
1.1. ¿Cuáles son los objetivos del ciberespionaje industrial?
Las diversas motivaciones de los delincuentes que realizan acciones de ciberespionaje y roban secretos empresariales y propiedad industrial, fructifican en diferentes objetivos de esta clase de ataques:
- Obtener cuantiosos beneficios económicos extorsionando a las víctimas o vendiéndoles sus secretos empresariales y propiedad intelectual a las empresas de la competencia.
- Conseguir ventajas competitivas para las empresas de los estados que esponsorizan los ataques.
- Menoscabar el funcionamiento de las compañías afectadas y alterar su estrategia empresarial a medio y largo plazo.
- Dañar la reputación de estas ante sus socios, inversores y clientes revelando sus secretos y mostrando su debilidad frente a los ataques.
2. ¿Qué técnicas y tácticas se emplean en el ciberespionaje industrial?
¿Cómo logran los delincuentes cumplir estos objetivos? Innovando de manera continua para diseñar e implementar tácticas, técnicas y procedimientos (TTPs) que no sean detectados por los equipos y mecanismos de seguridad de las compañías.
¿Qué tipos de ataques y técnicas son más comunes a la hora de acometer el ciberespionaje de una empresa?
- Campañas de ingeniería social. El phishing, el spear-phishing o el fraude del CEO siguen siendo herramientas imprescindibles en el desarrollo de cualquier ataque, al igual que sucede en esta modalidad. Ya sea como vector de entrada, o bien como paso necesario para su consecución.
- Spyware. Como su propio nombre indica, los spyware son malware desarrollados específicamente para llevar a cabo tareas de ciberespionaje. Uno de los tipos de spyware más usado empleado por los criminales es el info-stealer.
- Ransomware. Los ataques de ransomware contra empresas y administraciones públicas suponen un goteo constante. Prácticamente, todas las semanas se hacen públicos incidentes de seguridad en los que los actores maliciosos emplearon un ransomware para robar datos de las empresas y extorsionarlas.
- Ataques de cadena de suministro. No basta con que una empresa esté protegida frente a los ataques, sus proveedores y socios también han de estarlo. Por ejemplo, Airbus, una de las grandes compañías del sector aeronáutico mundial sufrió el robo de información confidencial sobre 3.000 proveedores como consecuencia de un ataque que se ejecutó a través de una cuenta hackeada de Turkish Airways.
- Explotación de vulnerabilidades de día cero. La cadena de suministro también es esencial en lo relativo a la explotación de vulnerabilidades emergentes. ¿Por qué? Los delincuentes pueden sacar partido de vulnerabilidades de día cero presentes en el software y el hardware de terceros para atacar con éxito los sistemas de una compañía.
3. Cuando el espía está dentro de la organización
Además de las técnicas y tipologías de ciberataques anteriores, debemos tener en cuenta una de las estrategias básicas del espionaje clásico: la actuación de un empleado de la organización al servicio de estos fines. Modalidad que puede llegar a suponer la infiltración de un espía en la empresa o institución objetivo.
El año pasado, General Electric Power, una multinacional estadounidense que opera en sectores críticos como el energético o el aeroespacial, fue víctima del robo de propiedad industrial por parte de uno de sus trabajadores. ¿Cómo se produjo este acto delictivo?
El profesional ocultaba archivos de datos con información confidencial sobre tecnología de la empresa en el código de otro archivo de datos y, acto seguido, se enviaba dicho archivo a su email.
Este caso se suma otros ataques de origen interno que han sufrido compañías occidentales en los últimos años. De hecho, el director del FBI ha alertado de que diversos grupos delictivos, muchas veces esponsorizados por estados como Rusia o China, buscan robar secretos empresariales y sustraer propiedad intelectual e industrial de las empresas para impulsar el crecimiento de compañías de estos países y conseguir que dominen sectores críticos.
4. No solo los sectores críticos están expuestos al ciberespionaje industrial
Habida cuenta de lo que hemos tratado hasta el momento, resulta evidente que las compañías que operan en ámbitos tan sensibles como el energético o la salud son víctimas prioritarias de los ataques de ciberespionaje industrial, pero el robo de información confidencial de las empresas puede producirse en cualquier sector económico.
Por ejemplo, aunque las industrias creativas (cine, música, videojuegos…) no son críticas para la sociedad y el tejido productivo, generan riqueza y empleo y son esenciales en el plano cultural. Por eso, los grupos especializados en ciberespionaje también tienen a estas compañías en el punto de mira. Si no, que se lo digan a Insomniac Games, una desarrolladora de videojuegos, propiedad de la multinacional del entretenimiento Sony.
El grupo de Ransomware-as-a-Service, Ryshida atacó los sistemas de Insomniac Games y secuestró 1,67 TB de información. A cambio de no publicarla, el grupo delictivo exigió el pago de un rescate de 2 millones de dólares. Finalmente, compartió en la Dark Web más de 1,3 millones de archivos en los que se muestran aspectos clave de los próximos videojuegos del estudio, como el diseño de los personajes o su fecha de salida; pero también información empresarial estratégica, como el acuerdo de Sony y Marvel para lanzar videojuegos protagonizados por los superhéroes del segundo de aquí hasta 2035.
¿Qué buscaban los delincuentes con este ataque? Dinero. Ya sea a través del pago del rescate, o mediante la venta de algunos de los secretos empresariales del estudio a sus competidores.
Más allá de esto, el grupo delictivo publicó finalmente cientos de miles de documentos, dañando la reputación de Insomniac Games y menoscabando su hoja de ruta para la próxima década.
5. Acceder a información de las empresas a través de dispositivos Bluetooth
En el mundo existen, hoy en día, más de 6.000 millones de dispositivos que emplean el estándar de comunicaciones Bluetooth.
De hecho, en el ámbito empresarial, es habitual que los profesionales y directivos de una compañía usen auriculares inalámbricos conectados a sus smartphones o teclados y ratones también inalámbricos para trabajar de manera más cómoda en sus portátiles.
Junto a la expansión de los dispositivos IoT en el día a día de las empresas y los hogares, debemos detenernos en una tendencia esencial en el ámbito industrial: el desarrollo de dispositivos IIoT (Industrial Internet of Things) para optimizar toda clase de procesos e incrementar la productividad y la rentabilidad de las compañías.
La importancia de estos dispositivos los convierte, tristemente, en objetivos del ciberespionaje industrial.
Por ejemplo, si un actor malicioso es capaz de explotar una vulnerabilidad en un ratón y hacerse con el control de este dispositivo, puede acceder a la información de un portátil con el que dicho ratón esté emparejado a través de Bluetooth. Y, así, obtener información confidencial sobre una empresa.
Para prevenir los ataques contra dispositivos Bluetooth y el ciberespionaje industrial, el equipo de Innovación de Tarlogic ha desarrollado en los últimos años BSAM, la primera metodología a nivel mundial que permite realizar una auditoría de seguridad de los dispositivos Bluetooth. De esta manera, es posible analizar los dispositivos para detectar vulnerabilidades y mitigarlas antes de que puedan ser explotadas por éxito dentro de una estrategia de ciberespionaje industrial.
6. Otra vuelta de tuerca: Cuando la IA conoce los secretos empresariales
Como señalamos al inicio de este artículo, la Inteligencia Artificial es uno de los ámbitos más en boga de la actualidad, sobre todo, a raíz de la proliferación de las IA generativas como ChatGPT o Midjourney.
El uso de estos sistemas conlleva un desafío para las empresas en lo que respecta a la protección de sus secretos y propiedad intelectual. ¿Por qué? Al trabajar con ellas, los profesionales pueden introducir prompts que incluyan datos confidenciales de los negocios. De tal manera que los delincuentes podrían intentar vulnerar la seguridad de una IA para conseguir diversos secretos empresariales, desde información de negocio, hasta el código de alguna aplicación.
Precisamente, Samsung, una de las grandes compañías tecnológicas del mundo, prohibió a mediados de 2023 el uso de ChatGPT, al constatar que se había producido una filtración de código fuente interno, como consecuencia de que un ingeniero empleara este sistema de IA. Tras este acontecimiento, otras multinacionales como Apple, JP Morgan o Goldman Sachs también limitaron el uso de IA generativas de terceros.
Este caso evidencia una nueva vía de ataque que pueden emplear los delincuentes para realizar acciones de ciberespionaje industrial y acceder de manera ilegítima a información sensible y confidencial de las empresas.
7. Directiva NIS2: Combatir el ciberespionaje contra sectores vitales
Mejorar la resiliencia de las compañías e instituciones que desenvuelven sus actividades en sectores críticos. Ese es el objetivo central de la directiva NIS2, una norma de la Unión Europea que debe ser traspuesta por los estados miembros antes de que termine 2024.
¿Por qué se aprobó esta normativa? El robo de los datos personales de los ciudadanos, el ciberespionaje, la paralización de la continuidad de negocio y otras amenazas pueden dañar gravemente a las compañías europeas que operan en sectores como la energía, la banca, el espacio o la gestión del agua.
Para fortalecer la estrategia de seguridad de las empresas, la directiva establece que se deberán gestionar los riesgos de seguridad:
- Analizar los riesgos de las infraestructuras tecnológicas.
- Gestionar los incidentes de manera integral, desde la prevención hasta la recuperación.
- Garantizar la continuidad de negocio.
- Securizar la cadena de suministro.
- Disponer de redes y sistemas de información seguros.
- Evaluar la eficacia de las medidas implementadas para gestionar los riesgos.
- Salvaguardar la seguridad de los recursos humanos e implementar mecanismos de control de acceso a los activos.
Además, la normativa contempla que los directivos de las empresas han de formarse en ciberseguridad para ser capaces de evaluar los riesgos a los que se enfrentan, como el ciberespionaje y el robo de propiedad industrial; estar al día de las mejores prácticas en materia de seguridad de su sector; y ser conscientes de las consecuencias de un incidente de seguridad exitoso.
Las multas por incumplir la norma una vez que sea traspuesta pueden llegar a 10 millones de euros y conllevar la inhabilitación del CEO de la empresa que vulnere la legalidad, entre otras consecuencias.
8. Cómo prevenir el ciberespionaje industrial
Un ciberataque exitoso que conlleve el robo de propiedad intelectual o el acceso a información estratégica puede suponer pérdidas:
- Económicas.
- Competitivas.
- Reputacionales.
- Comerciales.
Por eso, es de vital importancia que las compañías pongan en marcha una estrategia de ciberseguridad avanzada y proactiva, que permita limitar su ciberexposición y prepararse de manera eficaz contra las amenazas persistentes avanzadas, pero también contra las técnicas maliciosas más empleadas por los delincuentes como los ataques de ransomware o el phishing.
8.1. Tres servicios que pueden marcar la diferencia
¿Qué servicios son esenciales a la hora de diseñar e implementar una estrategia de ciberseguridad integral?
- Threat Intelligence. La inteligencia de amenazas dirigida permite a las empresas proteger sus áreas críticas, como la propiedad industrial. Para ello, se evalúa la superficie de ataque de una compañía, se estudian las amenazas a las que se enfrentan y los objetivos de los actores maliciosos, se identifican aquellos indicadores que, de una forma u otra son susceptibles de poder advertirlas, se diseñan los escenarios de ataque más probables y se analizan los riesgos asociados a ellos.
- Threat Hunting. Los Threat Hunters investigan nuevas formas de ataque para detectar las TTPs más punteras usadas por los grupos delictivos y anticiparse a sus acciones mediante un enfoque proactivo y la asunción de hipótesis de compromiso.
- Red Team. La información recopilada por los profesionales de Threat Intelligence y Threat Hunting permite diseñar escenarios de Red Team realistas para comprobar si una empresa puede ser víctima de ciberespionaje, corregir las deficiencias detectadas y formar a los equipos de seguridad ofensiva.
En definitiva, el ciberespionaje industrial es una práctica delictiva que pone en jaque a las compañías al amenazar su propiedad intelectual e industrial y sus secretos empresariales, desde contratos con proveedores, hasta planes estratégicos. Para evitar que los ciberdelincuentes menoscaben el funcionamiento y la posición en el mercado de una empresa, es esencial prevenir esta clase de ataques, apostando por servicios de ciberinteligencia y ciberseguridad ofensiva.
Revelar los secretos de una empresa puede propiciar su caída.