Mundo > CIBERSEGURIDAD
La incesante y variada ofensiva de los hackers de Corea del Norte
Nicole Perlroth
New York Times Service
Los hackers norcoreanos que han atacado negocios estadounidenses y europeos durante dieciocho meses continuaron con los ataques la semana pasada mientras el presidente Donald Trump acudía a una reunión con el mandatario norcoreano en Hanói.
De acuerdo con investigadores de la firma de ciberseguridad McAfee, los ataques, que han incluido esfuerzos para hackear bancos, centrales eléctricas y empresas petroleras y gaseras, comenzaron en 2017, un momento en el cual estaban encendidas las tensiones entre Corea del Norte y Estados Unidos. No obstante, a pesar de que ambos países han disminuido sus amenazas y han comenzado pláticas relacionadas con el desarmamiento nuclear, continúan los ataques.
En 2017, Trump se burló de Kim Jong-un al referirse a él como un “hombre cohete” en un discurso ante la Organización de las Naciones Unidas, mientras Corea del Norte hacía pruebas con misiles capaces de lanzar una ojiva nuclear hacia Estados Unidos. Los ataques comenzaron poco después de ese evento. A pesar de que ambas partes no lograron llegar a un acuerdo la semana pasada, Trump adoptó un tono conciliador hacia su homólogo del país norcoreano.
La noticia de los ciberataques más recientes de Corea del Norte añade nuevos detalles a las tensiones respecto de la cumbre celebrada la semana pasada, la cual finalizó de manera abrupta sin llegar a ningún acuerdo. Después de su primera reunión, quince meses antes, Corea del Norte accedió a dejar de hacer lanzamientos de prueba con sus misiles.
“Durante quince meses no han realizado pruebas nucleares debido a esta negociación pero, durante este mismo periodo, no han frenado los ciberataques”, señaló Victor Cha, presidente de la división de Corea en el Centro de Estudios Estratégicos e Internacionales en Washington.
Con la ayuda de una agencia de seguridad extranjera, los investigadores de McAfee tuvieron acceso a uno de los principales servidores que usan los hackers de Corea del Norte para planear sus ataques.
Leé también
“Han sostenido una actividad incesante. No se han detenido”, mencionó Raj Samani, científico en jefe de McAfee. “Los hemos visto atacar a más de 100 víctimas”.
No quedó claro el motivo exacto de los ataques. Detrás de ellos hubo una investigación profunda, los blancos fueron muy específicos y, en muchos casos, los ataques fueron dirigidos a ingenieros y ejecutivos que tenían un amplio acceso a las redes informáticas y la propiedad intelectual de sus empresas.
McAfee, con su sede en Santa Clara, California, no dio los nombres de la gente que recibió los ataques y señaló que el lunes iba a alertar a las víctimas y las autoridades gubernamentales. Sin embargo, la firma sí brindó un mapa de los objetivos de los hackers norcoreanos.
La gran mayoría estaba en Estados Unidos, los blancos más frecuentes en Houston, un centro petrolero y gasero, y Nueva York, un centro financiero. Otros blancos importantes se encontraban en Londres; Madrid; Tokio; Tel Aviv, Israel; Roma; Bangkok; Taipéi, Taiwán; Seúl, Corea del Sur; y Hong Kong. Rusia y China permanecieron casi intactos: dos países que han mantenido relaciones cordiales con Corea del Norte.
Desde hace varios años, Corea del Norte, al igual que Estados Unidos y muchos otros países, ha sido acusada de utilizar “hackers” para promover sus intereses nacionales. En 2014, hackers norcoreanos atacaron Sony Pictures Entertainment, aparentemente en represalia por una película que se burlaba de Kim. Destruyeron los servidores de Sony, paralizaron las operaciones del estudio y con el tiempo filtraron correos vergonzosos de ejecutivos, una ofensiva que se convertiría en un manual para los ataques rusos y sus filtraciones de correos electrónicos previas a las elecciones de 2016.
Los hackers norcoreanos han estado ligados a ataques a bancos de todo el mundo en busca de ganancias monetarias: un blanco atípico entre hackers afiliados a gobiernos, pero nada sorprendente para un país devastado por las sanciones económicas. El rastreo del ataque “WannaCry”, el cual paralizó a más de 150 organizaciones de todo el planeta en 2017, también encontró su origen en Corea del Norte.
Cha, del Centro de Estudios Estratégicos e Internacionales, mencionó que los ciberataques seguían siendo la “tercera rama” de la estrategia militar general de Corea del Norte. “Nunca podrán competir con Estados Unidos y Corea del Sur de soldado a soldado, tanque contra tanque”, explicó. “Por lo tanto han optado por una estrategia asimétrica con armas nucleares, misiles balísticos y la tercera rama es la cibernética, de la cual en realidad no nos habíamos percatado sino hasta la ofensiva en contra de Sony”.
Desde el ataque a Sony, los investigadores de McAfee advirtieron que los hackers de Corea del Norte habían mejorado sus capacidades de manera significativa: son mucho mejores al momento de cubrir sus huellas y de investigar a sus objetivos. Además, en muchos de los ataques que observó McAfee, los “hackers” norcoreanos trabajaron a detalle.
Por ejemplo, peinaron el sitio empresarial LinkedIn de Microsoft, para encontrar los perfiles de los reclutadores de empleos de la industria. Enviaron correos electrónicos que parecían provenir de las cuentas de esos reclutadores, a menudo en un inglés perfecto, en los que se promocionaban ofertas de trabajo.
Cuando un blanco daba clic en un documento adjunto o un enlace en el correo, los hackers obtenían acceso a la computadora del objetivo.
“Es evidente que la campaña estuvo muy bien preparada”, comentó Christiaan Beek, ingeniero principal y científico en jefe de McAfee. “Hicieron una muy buena investigación y en contra de blancos muy específicos. Sabían por quiénes iban, y redactaron correos electrónicos para que sus objetivos les dieran clic”.
Las herramientas que utilizaron para implantar programas malignos en los recientes ataques, a los cuales los investigadores de McAfee llamaron “Rising Sun” (Sol naciente), por una referencia en el código, también mejoraron de una forma impresionante.
Aunque los implantes compartían el mismo código que ataques norcoreanos previos, los investigadores de McAfee aseguraron que los hackers habían agregado nuevas funciones para recoger información de las máquinas infectadas. También realizaron un gran esfuerzo para borrar sus movimientos digitales y encriptar su tráfico.
Beek y Samani mencionaron que su equipo de McAfee fue capaz de seguir los movimientos de los “hackers” únicamente porque tuvieron acceso al servidor de los norcoreanos. “Mientras más código veíamos, podíamos ver más enlaces de cada vez más ataques”, comentó Beek.
De acuerdo con Beek, si se toman en consideración otras campañas recientes de “hackeo” norcoreano que han rastreado los investigadores de McAfee —en particular, en contra de las Olimpiadas de Invierno de 2018 y una avalancha distinta de ataques a bancos que se llevó a cabo el año pasado—, Corea del Norte no ha mostrado ninguna señal de haber disminuido su actividad.
Expertos en seguridad señalaron que se debía abordar el tema de los ataques en algún momento si los dos países continuaban las conversaciones.
“Esa ciberactividad tan agresiva se tendrá que tratar en pláticas futuras”, comentó Cha. “Son muy activos y, por lo menos es claro para mí, han dejado de hacer pruebas de misiles debido a las negociaciones en curso, pero no han dejado de lado su esfuerzo cibernético”.
