La amenaza de las APT chinas en México: un tema clave a incluir en la nueva ley de Ciberseguridad


Imagen: Zdzisław Beksiński



Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.

Las Amenazas Persistentes Avanzadas (APT) de origen chino se han convertido en un desafío considerable para México, especialmente dada su creciente relevancia como centro financiero y comercial en América Latina, así como por su proximidad y acuerdos con Estados Unidos. Para China, México representa hoy un punto de acceso estratégico para monitorear actividades en Estados Unidos, aprovechando que México no cuenta con los mismos niveles de protección en ciberseguridad.

Los ciberatacantes chinos están alcanzando hoy un nivel de operación sin precedentes, resultado de años de ataques basados en pruebas y ajustes constantes sobre una enorme cantidad de dispositivos periféricos.

Los dispositivos de red son los predilectos de las APT provenientes de China. Al ubicarse en los límites externos de una red empresarial, facilitan el acceso inicial para los atacantes y actúan como nodos estratégicos para redes de bots. Estos dispositivos brindan oportunidades para realizar movimientos laterales, suelen almacenar datos sensibles y son más difíciles de detectar y proteger para los defensores de la red que otros equipos dentro de la infraestructura.

A lo largo del tiempo, las APT chinas han perfeccionado sus habilidades para atacar los perímetros de seguridad. Desde 2018 se ha observado una evolución notable en sus tácticas: lo que comenzó como ataques básicos y de baja complejidad ha progresado hacia campañas mucho más sofisticadas que afectan a un amplio número de dispositivos, dando paso posteriormente a ataques más focalizados contra organizaciones específicas.

Algunos de los grupos de Amenazas Persistentes Avanzadas (APT) que están activos en México incluyen:

- BackdoorDiplomacy (APT15): Operativo desde al menos 2010, este grupo se especializa en ciberespionaje, enfocándose en entidades gubernamentales y diplomáticas. Sus tácticas avanzadas le permiten infiltrarse en redes específicas y evadir la detección, utilizando malware como puertas traseras y troyanos para mantenerse dentro de sus objetivos.

- APT41: También conocido como Barium o Winnti, este grupo, activo desde 2007, combina operaciones de espionaje con actividades de naturaleza financiera. Sus ataques han afectado a diversos sectores, tanto públicos como privados, y se han registrado incidentes en México, en el marco de una estrategia que incluye ataques también contra Estados Unidos.

- Earth Longzhi: Identificado como un subgrupo de APT41, Earth Longzhi ha ejecutado campañas dirigidas a entidades gubernamentales y sectores críticos como salud y tecnología. Sus técnicas se basan en la explotación de vulnerabilidades en aplicaciones públicas para acceder a redes.

- Wicked Panda: Este grupo, asociado con el Ministerio de Seguridad del Estado de China, es conocido por realizar ciberespionaje y llevar a cabo ataques dirigidos a empresas con fines económicos. Su estrategia se basa en infiltrarse en redes para sustraer datos confidenciales, lo que representa un riesgo considerable para las organizaciones mexicanas.

- Mustang Panda: Este actor, identificado como un jugador activo en el ciberespionaje, emplea técnicas sofisticadas para comprometer sistemas y extraer información sensible. Ha sido señalado en ataques que afectan tanto a entidades gubernamentales como a empresas privadas en México.

- CeranaKeeper: Un grupo emergente en el ámbito de amenazas, CeranaKeeper se caracteriza por sus tácticas innovadoras y se sospecha que comparte recursos con Mustang Panda. Sus actividades han sido observadas en la explotación de vulnerabilidades en software de uso extendido, como Microsoft Exchange.

- APT40 (Periscope): Especializado en ciberespionaje, este grupo se ha dirigido a sectores gubernamentales y de defensa, con un enfoque en la obtención de información estratégica y tecnológica.

- TEMP.Toucan: Conocido por sus operaciones de espionaje, TEMP.Toucan apunta a organizaciones que manejan información confidencial, aunque su actividad en México no está tan documentada como la de otros grupos.

- Conference Crew: Activo en campañas de ciberespionaje, este grupo se centra principalmente en entidades gubernamentales y diplomáticas.

- APT20 (Twivy): Identificado como un actor en el ciberespionaje, APT20 se dedica a la recopilación de inteligencia económica y tecnológica, aunque su actividad en México no es del todo clara.

- 338 Team: Reconocido por sus tácticas avanzadas, este grupo ha estado relacionado con campañas de ciberespionaje en una variedad de industrias.

- APT10 (Menupass): Este grupo se enfoca en la obtención de información valiosa de empresas y gobiernos, utilizando métodos sofisticados para infiltrarse en redes.

- APT27 (Emissary Panda): Conocido por su especialización en ciberespionaje, APT27 ha estado activo en múltiples sectores, recopilando información estratégica.

- TEMP.Hex y TEMP.Tick: Estos grupos también participan en el ámbito del ciberespionaje, aunque su actividad específica en México es menos conocida.

El incremento en la actividad de APT chinas ha generado una preocupación considerable entre las organizaciones mexicanas. Un análisis de la unidad de investigación de SILIKN señala que un 51.2% de pequeñas, medianas y grandes empresas han reportado incidentes vinculados a APT, lo que subraya la necesidad urgente de fortalecer las medidas de ciberseguridad. Estos ataques han dado como resultado el robo de datos sensibles, pérdidas económicas y daños a la reputación de las organizaciones.

Las ciberamenazas chinas prosperaron notablemente entre 2020 y 2022, cuando los atacantes se enfocaron en identificar y comprometer dispositivos periféricos en gran escala. Esto fue posible gracias a la gran cantidad de dispositivos conectados a Internet con portales de acceso externo, aunque muchas de estas interfaces estaban diseñadas para uso interno. Con la pandemia de COVID-19, un número creciente de empresas permitió que los empleados se conectaran desde la web abierta, lo que abrió una oportunidad para que los atacantes, utilizando credenciales o explotando vulnerabilidades específicas, pudieran acceder a estas redes.

En ese mismo periodo, julio de 2021, la Administración del Ciberespacio de China aprobó las Normas sobre la gestión de información de vulnerabilidades de seguridad en productos de red. Estas regulaciones obligaban a los investigadores de ciberseguridad a reportar cualquier vulnerabilidad al Ministerio de Industria y Tecnología de la Información de China antes de hacerla pública o compartirla con otras entidades.

Las APT chinas no solo han buscado utilizar los dispositivos comprometidos para atacar a las empresas de origen. Con distintos niveles de éxito, a menudo intentaban integrar estos dispositivos en redes más amplias de retransmisión operativa (ORB). Estas ORB proporcionaban a los actores de amenazas una infraestructura más avanzada desde la cual podían lanzar ataques más sofisticados y ocultar cualquier pista sobre su origen.

A mediados de 2022, después de un período de gran actividad, las APT chinas cambiaron su enfoque. Desde entonces, se han concentrado en ataques más estratégicos y dirigidos a organizaciones de alto valor, como agencias gubernamentales, contratistas militares, empresas de investigación y desarrollo, proveedores de infraestructura crítica y otras entidades similares.

Estos ataques no siguen un patrón único, sino que emplean una combinación de vulnerabilidades conocidas y de día cero y UEFI, junto con ataques activos basados en el uso de teclado. Sin embargo, su sofisticación actual no sería posible sin los años de prueba y error previos. Un claro ejemplo de esto es la eficacia con la que estos ciberatacantes superan las defensas de ciberseguridad.

De esta manera se ha confirmado la evolución de las APT a lo largo de sus diversas actividades. Inicialmente, el primer tipo de malware que desarrollaban no intentaba ocultarse; simplemente confiaba en pasar desapercibido. En la segunda ola de ataques, aprendieron rápidamente de sus experiencias, lo que les permitió mejorar. Aunque el malware aún no se ocultaba de manera explícita, era más pequeño y, por lo tanto, más fácil de camuflar. A partir de ahí, comenzaron a emplear tácticas más sofisticadas, como archivos tipo troyano, malware residente en la memoria, rootkits, entre otros.

Los avances de las APT, junto con la baja madurez en ciberseguridad en México, incrementan considerablemente la vulnerabilidad del país ante los ataques de APT. A continuación, se detallan los principales impactos de esta situación en la seguridad cibernética:

La ausencia de una cultura de ciberseguridad en muchas organizaciones mexicanas resulta en la falta de herramientas y procesos adecuados para identificar y responder a ataques complejos. Como consecuencia, la capacidad para detectar ataques APT en el país es muy limitada, lo que permite a los atacantes operar durante largos períodos sin ser detectados, aumentando así el riesgo de comprometer información sensible.

Los grupos APT suelen aprovechar las vulnerabilidades en la infraestructura tecnológica de las organizaciones. En México, donde muchas empresas carecen de medidas de seguridad apropiadas, estos grupos pueden infiltrarse fácilmente mediante técnicas como el phishing o la explotación de software desactualizado. La falta de actualizaciones y parches de seguridad frecuentes amplía la superficie de ataque, lo que facilita la intrusión.

Además, la importancia geopolítica y económica de México lo convierte en un objetivo clave para los grupos APT chinos que buscan obtener información estratégica. La falta de una protección adecuada en ciberseguridad facilita el acceso de estos actores a datos valiosos sin enfrentar grandes obstáculos, afectando especialmente a sectores críticos como el gobierno, la defensa y la tecnología.

En este sentido, los ataques exitosos pueden generar impactos financieros significativos y dañar la reputación de las organizaciones afectadas. La falta de preparación ante estas amenazas puede tener consecuencias graves para las empresas mexicanas. Aunque algunas organizaciones están invirtiendo en medidas básicas como firewalls y antivirus, estas soluciones tradicionales no siempre son suficientes frente a las tácticas avanzadas de los grupos APT, que utilizan malware diseñado para evadir la detección. La ausencia de estrategias proactivas y de una cultura organizacional enfocada en la ciberseguridad limita la efectividad general de la defensa.

Para más información, visite: https://www.silikn.com/