¿Cómo los hackers corren tras la vacuna del coronavirus?

Netwalker es un grupo de ciberdelincuentes que el mes pasado logró cobrar 1,14 millones de dólares por devolver información clave de los avances en el desarrollo de una vacuna contra la covid-19, que tenía secuestrada y pertenecía a la Universidad de California, en San Francisco. En una operación conocida como ransomware, Netwalker encriptó los datos alojados en los servidores de la universidad y amenazó con borrarlos si no pagaba el rescate. La institución prefirió negociar en la web oscura con los secuestradores, pagó el rescate en bitcoins y recibió de vuelta las instrucciones para desencriptar su propia información.

Las páginas web que los usuarios navegan regularmente constituyen solo la punta visible del iceberg que es internet. Todo lo que hay bajo la superficie se conoce como dark web y es accesible mediante navegadores especiales. Allí se negocian semanalmente un millón de dólares en productos relacionados con la lucha contra la covid-19, según un informe de la firma de seguridad digital Sophos. Empire Marker, uno de los muchos mercados que operan en la web oscura, tiene más de 52.000 productos listados en 11 categorías, entre ellos, hidroxicloroquina, remdesivir y otros medicamentos con alta demanda por estos días. También se negocian, al por mayor, kits de pruebas rápidas y máscaras quirúrgicas, desinfectantes y otros elementos para la contención de la pandemia.

Entre mayo y junio hubo una escalada de la guerra tecnológica. Al menos 12 países participan en una carrera de hackers para conseguir a como dé lugar información sobre los desarrollos de vacunas contra el coronavirus. Ya no son solamente los de siempre –China, Rusia y Estados Unidos–; también Vietnam, Irán y las dos Coreas, entre otros, se han sumado a la afanosa búsqueda pirata de la vacuna o los tratamientos efectivos contra la enfermedad.

Hackers chinos vulneraron la información de grupos de investigación norteamericanos que trabajan en estos hallazgos. Agentes del FBI visitaron personalmente varios laboratorios y universidades para advertirles de los ataques y asesorar el blindaje tecnológico. Un comunicado del FBI y el Departamento de Seguridad Nacional norteamericano informó que ataques originados en China fueron “detectados intentando obtener datos valiosos de propiedad intelectual”. La respuesta china fue negar la acusación, apoyada en el hecho de que tiene grandes avances y “liderazgo mundial en el tratamiento para covid-19”, de acuerdo con la Embajada de China en Washington. Pero el ciberespionaje es una sombra antigua en la relación entre las dos naciones, con sonados casos como el ocurrido en 2009, cuando hackers chinos obtuvieron información sobre el diseño del avión de combate Lockheed Martin F-35. El director del Centro Nacional de Contrainteligencia de Estados Unidos, Bill Evanina, asegura que China saquea propiedad intelectual norteamericana por valor de 400.000 millones de dólares cada año.

Por su lado, hackers vietnamitas atacaron al Gobierno de Wuhan y al Ministerio de Emergencia de China buscando información acerca de la covid-19 desde enero pasado, según reveló la empresa internacional de ciberseguridad FireEye. La Organización Mundial de la Salud (OMS) también fue víctima de ciberespionaje: 450 cuentas de correo de sus funcionarios fueron vulneradas. Incluso entre países aliados hay espionaje mutuo. Corea del Sur estuvo husmeando en los servidores de salud norteamericanos, con la intención de verificar las cifras reales de penetración del virus en Estados Unidos. Y se sospecha que hackers coreanos están detrás de ataques para saquear información de la OMS, de Japón y de Corea del Norte.

Los ataques en busca de la vacuna, que se cuentan por centenares cada día, incluyen desde sofisticadas intrusiones a servidores hasta los populares ataques tipo phishing enviados a los correos de funcionarios de salud norteamericanos de alto rango, con mensajes que prometen cupones gratis de hamburguesas, para tenderles trampas que les permitan acceder a sus bandejas de correo. Todo vale con tal de obtener información valiosa sobre los avances de cada nación en la crisis sanitaria.

Piratas informáticos iraníes fueron descubiertos ingresando a los sistemas de Gilead Sciences, el laboratorio farmacéutico que fabrica remdesivir, probablemente el medicamento más promisorio en la actualidad y recién aprobado por la administración de drogas y alimentos de Estados Unidos para ensayos clínicos.

La guerra cibernética incluye saboteos a distancia de las infraestructuras sanitarias de países enemigos para arruinar sus estrategias de contención del virus. La inteligencia israelí informó que un ataque presuntamente originado en Irán intentó dejar sin agua a dos ciudades y afectar las medidas sanitarias en Israel. Los hackers iraníes han estado particularmente activos en la escena mundial, sobre todo después de que se descubriera en 2010 que la inteligencia israelí, con apoyo norteamericano, lanzó un ciberataque que paralizó más de 1.000 máquinas centrífugas de Irán que eran utilizadas para enriquecer uranio. Irán trata de devolver el golpe.

No solo información farmacéutica está en el blanco de los hackers, sino también datos sobre la compra de insumos de laboratorio, tasas reales de contagio y cualquier referencia que permita conocer el manejo interno que hacen las naciones de la crisis sanitaria. Han sido hackeados hospitales norteamericanos para obtener información sobre pacientes y tratamientos. Los hospitales han sido blancos relativamente fáciles porque carecen de sistemas sólidos de protección y están ocupados en la batalla contra al virus. Otro grupo de blancos fáciles que han sufrido ataques son los empleados de los laboratorios enviados a trabajar en casa, que utilizan redes privadas virtuales para conectarse con los servidores corporativos.

Es normal que nadie presente pruebas contundentes, porque implicaría reconocer la magnitud del daño, así que el tema viene acompañado de acusaciones mutuas, que cada país niega. Pero en algunos casos los autores han sido identificados. Por ejemplo, el grupo hacker chino APT41, conocido en el ciberespionaje mundial, ha dejado rastros de sus actividades en las redes norteamericanas. En los recientes ataques a la OMS fue acusado como presumible autor DarkHotel, una organización de ciberdelincuentes que comenzó actividades en 2007 hurtando información de huéspedes de hoteles de lujo en Asia y después evolucionó al secuestro de datos de grandes corporaciones. En el caso de la OMS, podrían estar trabajando por cuenta propia para vender información a alguna nación. El ciberespionaje creció de manera descomunal en los últimos cuatro meses, y este crecimiento gira en torno a la vacuna y la contención de la pandemia.

Y, como era de esperarse, al margen de objetivos políticos y de la búsqueda de la vacuna, el ciberdelito común se disparó aprovechando el interés de la población por el tema de coronavirus. El grupo de análisis de amenazas GTA, de Google, informó que llegan a los correos de Gmail 18 millones de mensajes con noticias sobre covid-19 que en realidad esconden malware y phishing, con propósitos de fraude económico. Adicionalmente, cada día circulan 240 millones de mensajes de spam con publicidad no deseada de productos para curar el virus, tapabocas y gel antibacterial. Ciberdelincuentes de casi todos los países tratan de hacer fiesta. Una notable actividad de este tipo se origina desde Nigeria y otras naciones usualmente invisibles en el mapa mundial del cibercrimen. El reporte de Google también menciona a un grupo hacker sudamericano, conocido como Packrat, que hace phishing falsificando la página de inicio de la OMS para cometer fraudes financieros.

El cibercrimen y la inseguridad digital constituyen otro personaje en la larga lista de estragos que vinieron con la pandemia.