Así actúa grupo cibercriminal que estaría tras robo de datos del ICE
Este jueves se confirmó que el Instituto Costarricense de Electricidad (ICE) detectó acciones de ciberespionaje en sus sistemas de información -concretamente en buzones de correo electrónico de uso administrativo- y especialistas explican cómo es que actúa el grupo cibercriminal que estaría detrás del ataque informático.
Marvin Jiménez, de la comisión de ciberseguridad del Colegio de Profesionales en Informática y Computación (CPIC), detalla que generalmente tras analizar los datos, estos actores maliciosos vinculados con actividades de ciberespionaje, utilizan la información robada para determinar si tienen un alto nivel de criticidad o valor estratégico de la cual buscan sacar provecho.
En esos casos pueden utilizar la data obtenida como un mecanismo de extorsión, solicitando un rescate con el objetivo de financiar sus operaciones y, en muchos casos, reinvertir esos recursos en nuevos ataques.
Jiménez Agüero menciona que normalmente estos actores maliciosos relacionados con actividades de espionaje civil usan esta información que fue sustraída en dos diferentes líneas de acción.
"Una línea puede ser lo relacionado a que esa información, si ellos determinan un nivel de criticidad o un nivel de importancia alto, pueden utilizarla como un medio para solicitar un rescate, un pago en efectivo a través de alguna criptomoneda, con el fin de financiar no solo sus acciones o sus actividades, sino también para reinvertirla en otro tipo de ataques.
Y una segunda línea de acción está relacionada con el hecho de que con base en esa información extraída, la analizan y pueden determinar o definir siguientes pasos o algunas acciones específicas para llevar a cabo ciberataques de una manera más específica y ya contra objetivos en particular, que por supuesto, sería el peor de los casos", añadió el especialista.
Añadió que el hecho está relacionado con que este actor malicioso ha sido vinculado con actividades similares en al menos otros 42 países y que tiene una especialización, una orientación, un foco en específico hacia organizaciones o empresas relacionadas con temas de telecomunicaciones.
Aunque la agrupación cibercriminal no se ha identificado plenamente, se sospecha que se trata de un grupo ciberdelincuente de origen chino que vulnera organizaciones de servicios de telecomunicaciones.
De acuerdo con el Ing. Ariel Ramos, se trataría del grupo de ciberespionaje UNC2814, según información técnica divulgada por Google a través de su unidad de análisis de amenazas.
El docente de Seguridad Informática de Universidad Fidélitas y director general Codingraph complementó que el software malicioso que se habría utilizado sería GRIDTIDE, herramienta de intrusión vinculada a operaciones de ciberespionaje internacional.
"GRIDTIDE es una herramienta de acceso remoto, diseñada para operar de manera encubierta dentro de los sistemas comprometidos.
Este tipo de software permite a los atacantes ejecutar comandos a distancia, recopilar información del equipo infectado y extraer archivos sin que el usuario lo perciba", explica Ramos Ortega.
Paula Bogantes, ministra del Micitt, hizo la denuncia. Captura de pantalla/Casa Presidencial
La denuncia
Este 12 de marzo, el Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones (Micitt) confirmó que los ciberatacantes lograron sustraer 9 gigabytes de datos de la institución pública.
Sin embargo, la entidad autónoma aclaró que este evento no generó ninguna afectación a los servicios de electricidad ni de telecomunicaciones prestados al país, y que tampoco puso en riesgo información sensible de sus clientes.
Tras detectar el incidente, el ICE presentó una denuncia ante las autoridades respectivas para iniciar una investigación, al tiempo que trabaja en coordinación con el Micitt para determinar las consecuencias de estas acciones irregulares.
El presunto delito surge de una amenaza persistente avanzada, detectada por el mismo ICE. Los equipos técnicos de la institución catalogan el evento como "silencioso, prolongado y selectivo".
Ante la denuncia presentada y con la consecuente apertura de la investigación, el ICE adelantó que no brindará información adicional a la expuesta.