El Ministerio de Defensa español ha detectado a principios de marzo una intrusión en el servidor general de su red informática interna, cuyo objetivo sería acceder a secretos tecnológicos de la industria militar. La investigación de los hechos, aún en curso, sostiene que detrás de esta acción “hay un Estado”.  

El ciberataque se produjo al parecer a través de un virus malicioso por mail hace más de tres meses, sin que nadie hasta ahora lo detectase. Desde Proofpoint, una de las empresas líderes en ciberseguridad y cumplimiento normativo, Ryan Kalember, vicepresidente ejecutivo de Estrategia de Ciberseguridad, señala que “casi todos los Estados-nación emplean ataques de phishing contra sus objetivos, ya que el correo electrónico ofrece una vía de comunicación para llegar a estos directamente”.

Dada la complejidad de la intrusión, los investigadores descartan que este ciberataque a Defensa haya sido obra de un hacker o ciberactivista, atribuyendo su autoría a una potencia extranjera. “Estos ataques por correo electrónico suelen darse a menudo bajo las mismas técnicas que utilizan los ciberdelincuentes comunes, como macros y gestores de descarga maliciosos o ladrones de información. No obstante, en una segunda fase, estas amenazas ganan en cuanto a capacidad, interés y nivel de personalización, siendo mucho más identificables con un Estado-nación en concreto”, explica el directivo de Proofpoint. 

Entre los métodos usados para estos ciberataques, Kalember indica que los cibercriminales echan mano de herramientas disponibles comercialmente. Tal es el caso de Cobalt Strike, una herramienta empleada por el grupo vietnamita OceanLotus de APT para detectar vulnerabilidades de acceso a un sistema.

La red afectada de Defensa cuenta con más de 50.000 usuarios autorizados, ya que une la parte central del ministerio, los ejércitos y sus unidades en el exterior, entre otras dependencias y organismos. Contiene servicios de telefonía, correo electrónico, navegación web y bases de datos.