En 2022, Vincent Strubel, director general de la Anssi (Agencia Nacional para la Seguridad de los Sistemas de Información), anunció una caída de los ataques en su informe sobre las ciberamenazas. En 2023, se observa un aumento significativo de las ciberofensivas. Las cifras hablan por sí solas. En 2022, el número de incidentes gestionados por la Anssi fue de 3.018, mientras que en 2023 ascendieron a 3.703 (+30%). "Son muy variados y afectan a diferentes estructuras", informa el directivo.

Índice
  1. Una expansión de los objetivos del ciberespionaje
  2. Preocupación por el preposicionamiento de grupos vinculados a Rusia
  3. Reestructurando el ecosistema del ransomware

Una expansión de los objetivos del ciberespionaje

Sin embargo, distingue tres familias de acciones que movilizan la experiencia de la agencia. La primera es el espionaje, "que es lo que más nos preocupa", subraya Vincent Strubel. Observa una fuerte actividad en 2023 con actividades muy específicas en los ámbitos de la defensa, la diplomacia, el robo de secretos comerciales, etc. En cuanto al ecosistema del ciberespionaje, el panorama está evolucionando. Los grupos afiliados a China siguen siendo muy activos, pero "los grupos vinculados a Rusia están de vuelta después de haber estado ocupados en otros ámbitos en 2022", afirma el director general de la ANSSI.

El perfil de los objetivos se amplía y pasa a atacar "administraciones sensibles, centros de investigación, organismos de normalización, etc.", prosigue el directivo. Otro elemento es que las intrusiones se están desplazando hacia terminales individuales (smartphones, portátiles) a través de programas espía, como ha demostrado el caso Pegasus. Por último, Anssi señala fenómenos de "recompromiso en los que los atacantes vuelven a aparecer y casos de policompromiso con varios ataques".

Preocupación por el preposicionamiento de grupos vinculados a Rusia

"Lo que más nos preocupa hoy en día es el sabotaje estatal de las infraestructuras críticas", afirma Vincent Strubel durante una rueda de prensa en la que presenta el panorama de las ciberamenazas. Y apuntar claramente a "grupos de atacantes vinculados a Rusia que son completamente desinhibidos y agresivos". Anssi señala que estos grupos buscan "preposicionarse en las redes. Utilizan técnicas de ciberespionaje para robar identificadores, adquirir privilegios, pero luego se detienen", añade Vincent Strubel. El temor es que en un momento u otro, activen cargas, "como limpiadores pero también la destrucción de infraestructuras físicas vía OT", advierte.

Por supuesto, el contexto geopolítico y en particular la guerra en Ucrania no son ajenos a este resurgimiento de la campaña de desestabilización o sabotaje. Recientemente, Viginum publicó un informe que destaca una red de desinformación prorrusa llamada Portal KombatEste verano, Francia también será el centro de la actualidad con la celebración de los Juegos Olímpicos y Paralímpicos. Vincent Strubel admite que "todos los aspectos de la amenaza se centrarán en los Juegos Olímpicos y en Francia". Tranquiliza detallando la preparación, el apoyo de los diferentes actores (auditoría, herramientas, kit de formación para una cibercrisis). "Estaremos preparados cuando llegue el momento", asegura.

Reestructurando el ecosistema del ransomware

Mientras que los casos de espionaje y desestabilización mantienen a la Anssi muy ocupada, los ataques de ransomware siguen movilizando a los expertos de la agencia. En 2023, se ocuparon de 143 casos de este tipo en comparación con 109 en 2022. Los ataques fueron especialmente intensos el 1es mitad de 2023. Para explicar este aumento, el ciberbombero señala una reestructuración del ecosistema de los grupos de ransomware tras el cierre de ciertas franquicias como Conti, Qakbot o, más recientemente, las operaciones de debilitar a BlackCat Y Bloqueo de mordazaOtra observación es que los grupos son más numerosos y los métodos de ataque se están industrializando, con un resurgimiento de los ladrones de información a nivel de navegador para robar accesos. Un primer paso necesario para abrir de par en par las puertas de la nube, un sector que despierta un gran interés para los cibercriminales.

Otra lección que se desprende del panorama de la ANSSI es que "ya no hace falta ser el objetivo para ser la víctima", afirma Vincent Strubel en una entrevista con nuestros colegas de France Info. Con esto queremos decir que los cibercriminales extienden su red a gran escala atacando una gran variedad de estructuras. Si bien las autoridades locales y los establecimientos de salud suelen estar en los medios de comunicación, las asociaciones también se han convertido en objetivos, informa la agencia. Una diversidad que no debe hacernos olvidar las reglas de higiene en materia de ciberseguridad, en particular en lo que respecta a la aplicación de parches de seguridad tras el descubrimiento de vulnerabilidades. "El plazo suele ser demasiado largo para las empresas y los atacantes aprovechan las vulnerabilidades muy rápidamente. Esto se puede medir en días o incluso horas", afirma Mathieu Feuillet. Por ejemplo, el reciente fallo en Ivanti fue explotado de forma masiva y muy rápida. "Los grupos apuntan cada vez más a equipos periféricos como routers, VPN y pasarelas antispam para acceder a las redes", subraya Vincent Strubel. Las fallas más importantes identificadas por Anssi afectan a Fortinet, Progress Software (apuntando a MoveIT), Citrix (Netscaler), VMware ESxi y Cisco.

Para reforzar la protección, el director general de la ANSSI apuesta por la transposición de la directiva NIS 2 y de la CRA (ley de ciberresiliencia). No obstante, se muestra pragmático: para las pequeñas empresas, "harán falta unos tres años para alcanzar el nivel exigido". Pero se trata de invertir en ciberseguridad para los "próximos cinco años", concluye.