Un suceso, operación o evento disruptivo es el que hace que una actividad se interrumpa o no se pueda llevar a cabo de forma normal. Desastres naturales, crisis financieras o sanitarias y atentados terroristas son ejemplos de hechos disruptivos, como también lo son ciertos tipos de ciberataques.
Estos son los tipos de ciberataques disruptivos más habituales:
- Ataque de denegación de servicio (DoS): Su objetivo es inhabilitar una máquina o servicio conectados a la red impidiendo el acceso a la información de los usuarios legítimos. El ciberdelincuente genera una cantidad masiva de peticiones a un servicio desde una misma máquina o dirección IP, con el fin de consumir los recursos de la máquina objetivo hasta que el servicio o recurso queda inaccesible para los usuarios legítimos. Esta falta de disponibilidad se materializa, por ejemplo, al quedar una web fuera de servicio por un tiempo, con la pérdida de acceso a un correo electrónico, al no poder utilizar una red, etc.
- Ataque de denegación de servicio distribuida (DDoS): A diferencia del ataque de denegación de servicio (DoS), en el que las peticiones se realizan desde una sola dirección IP o máquina, la denegación de servicio distribuida se lleva a cabo utilizando diferentes máquinas y direcciones IP. Por eso detectarlo es más difícil, ya que el administrador del servicio, red o servidor atacados no puede protegerse del ataque bloqueando únicamente una dirección IP. El resultado es el mismo: el servicio se satura y deja de responder a los usuarios legítimos.
- Ransomware En un ataque de ransomware típico, el atacante cifra la información de la víctima y solicita un rescate para poder recuperar el acceso. En el año 2020 se produjo la primera víctima mortal relacionada con un ataque de ransomware. Según las autoridades alemanas, se trataría de un paciente que murió durante el traslado desde un hospital afectado por un ransomware a otro centro donde iba a ser atendido.
- Doble extorsión: La doble extorsión es el nuevo filón del ransomware, y su uso va en aumento. Si un ransomware común suele cifrar los datos para solicitar un rescate, cada vez es más frecuente sustraer esos datos y amenazar a las víctimas con hacerlos públicos, normalmente en sitios de la dark web administrados por los propios operadores del ransomware. Es decir, que además de secuestrar los datos, el ciberdelincuente amenaza con filtrarlos. Fue lo que le ocurrió a la empresa alemana de software AG. En octubre de 2020 los sistemas de la compañía dejaron de funcionar a causa del ransomware Clop, y se les exigió un rescate de 20 millones de dólares. La compañía se negó a pagar y los ciberdelincuentes cumplieron su promesa: hicieron público el contenido sustraído, que consistía en información financiera, pasaportes de los empleados y correos electrónicos internos.
- Ataques a la cadena de suministro Consiste en comprometer a proveedores tecnológicos de servicios externos (Internet, telecomunicaciones, software, hardware...) como instrumento para infiltrarse a través de ellos en una organización objetivo y afectar su actividad. 2020 fue un año especialmente memorable en cuanto a ataques a la cadena de suministro. Uno de ellos destacó por su importancia, el que se dirigió contra la empresa de software SolarWinds. Mediante la modificación maliciosa de un paquete de actualización de Orion, una de las herramientas de gestión de este fabricante, los atacantes obtuvieron acceso potencial a miles de organizaciones, incluyendo agencias del gobierno estadounidense e importantes proveedores de tecnología como Cisco, FireEye, Microsoft o Malwarebytes.
- Ataques multivectoriales: Complejos y peligrosos, implican el uso combinado de diferentes técnicas para aprovechar múltiples vectores de ataque del sistema objetivo. En los últimos tiempos se han hecho más populares, conforme los ciberdelincuentes han ido encontrando más formas de atacar.
Los ciberataques disruptivos son cada vez más avanzados a la hora de esquivar las defensas de seguridad, causando serios problemas y dejando a empresas y organismos públicos inoperativos durante días y semanas. Muestra de ello fueron los ciberataques con ransomware al SEPE y al Ministerio de Trabajo en 2021. En marzo, el SEPE sufría un ataque por el ransomware 'Ryuk' que afectó a su actividad durante semanas, algo que tuvo graves consecuencias para personas pendientes de subsidios y trámites. El ciberataque reveló que los sistemas informáticos no estaban actualizados. Tres meses más tarde, el Ministerio de trabajo volvió a ser víctima de este ransomware. Los inspectores de Trabajo afectados vieron como su actividad se volvió más lenta y analógica, llegando a declarar: “Trabajamos como hace veinte años”. Pasaron varios días desde que sucedió el ciberataque hasta que se los servicios pudieron ser reestablecidos.
Este tipo de ataques pueden ir dirigidos a organizaciones de cualquier sector y tamaño, y en caso de tener éxito conllevan grandes pérdidas de tiempo y dinero. Su objetivo son equipos y servidores bajo todos los sistemas operativos, pero también redes IoT, infraestructuras críticas o esenciales, organismos públicos e incluso instituciones sanitarias. En servicios esenciales como la sanidad, su objetivo no es tanto la sustracción de los datos en sí como imposibilitar el acceso a los mismos y obligar a las víctimas a pagar grandes sumas económicas para ver restablecida su actividad, de la que dependen vidas humanas.
