El ataque a una de las redes del Ministerio de Defensa español sigue coleando a medida que se van filtrando datos de la investigación que aún está en curso. Uno de ellos es que el malware se habría introducido mediante phishing. La segunda información tiene que ver con los autores y sus objetivos.

Hace unas semanas una operadora militar descubrió una pieza de malware en una red informática del Ministerio de Defensa español. Aunque la red atacada (WAN PG) no está clasificada y sobre ella no circula información secreta, el asunto es de la suficiente relevancia porque la red es la usada para propósito general, maneja información importante y conecta a más de 50.000 usuarios del Ministerio, Estado Mayor y los tres ejércitos, sirviendo servicios de telefonía, correo o accesos Internet.

La pieza de malware no se habría detectado hasta meses después de su inclusión, ya que estaría activa desde diciembre, nada menos que tres meses circulando por una red que se supone bien protegida.

Un simple phishing

Según la información de ElConfidencial citando fuentes internas de la investigación, el ataque se habría producido mediante técnicas de phishing, a través de un adjunto malicioso inserto en un correo electrónico dirigido a un “funcionario” con acceso a la red y especialmente preparado para suplantar una dirección de confianza.

Según las fuentes, posteriormente se detectó que esa dirección de correo infectada había enviado una serie de correos similares a otras direcciones de Defensa, con el objetivo de acceder a otras redes, incluida la utilizada para manejar información sensible. Un típico ataque de phishing, quizá con el ransomware, una de las mayores ciberamenazas por el número de ataques que se producen contra usuarios y empresas y que tienen todo tipo de motivaciones, desde las económicas al robo de datos para espionaje como parece ser el caso que nos ocupa.

Una “potencia extranjera” fue la responsable

Así titula ElPaís una información relacionada en la que asegura que los atacantes no eran ciberdelincuentes comunes, sino que tenían “un Estado detrás”. Las conclusiones de la investigación no son definitivas, pero el caso es más grave de lo que se pensó inicialmente y por sus características técnicas se descartan elementos internos y se responsabiliza a una “potencia extranjera”. 

Recordemos que los ciberataques a redes gubernamentales son diarios y los servidores de los Ministerios españoles registran ataques constantes, como han reconocido desde el Centro Criptológico Nacional (dependiente del CNI) que se encarga de la protección de la información sensible. En la última presencia del director del Centro Nacional de Inteligencia en el Congreso, habló de tres ciberataques diarios de peligrosidad crítica o muy alta contra el sector público y empresas estratégicas, algunos de origen extranjero para “debilitar y comprometer la capacidad económica, tecnológica y política de España”, señaló el general Félix Sanz Roldán.

El ataque a la red del Ministerio de Defensa no habría sido un hecho aislado y se enmarcaría en una campaña más amplia con la OTAN y sus países miembros como protagonistas. Hace años que se sospecha de las agencias de inteligencias rusas y del grupo APT28 que sería el encargado de patrocinar grupos externos como el conocido ‘Earworm’, especializado en ciberespionaje militar. Veremos las conclusiones de la investigación.

Fuente: MuySeguridad.