El Centro Criptológico Nacional ya avisó a principios de año: los ataques provenientes de potencias extranjeras serán las principales amenazas contra las que tendrá que luchar durante estos meses.

Los grupos detrás de estos ataques suelen recibir apoyo directo o indirecto de su gobierno, en ocasiones haciéndose pasar por meras "empresas de seguridad". Es por estas prácticas que Internet es el territorio de una nueva "guerra fría", en la que los bandos no siempre están claros.

Ahora investigadores de la firma holandesa Fox-IT afirman haber descubierto a un grupo de hackers asociado con el gobierno chino, que estaría detrás de una serie de ataques contra países europeos y americanos.

Ola de ataques

El grupo ha sido identificado con el nombre APT20, y se sospecha que actúa bajo las órdenes directas del gobierno de Pekín. En realidad, no se trata de una nueva organización, habiendo participado en ataques entre 2016 y 2017; pero desde entonces, habían permanecido inactivos, y no se sabía si era porque se habían disuelto o porque estaban preparando un nuevo tipo de ataque.

Mapa de víctimas de los ataques Fox-IT

Ahora tenemos la respuesta. La nueva ola de ataques usa un modus operandi similar, y centrado en romper la seguridad de una de las funciones más populares: la autenticación en dos pasos; este método consiste en usar un segundo método para identificarnos, normalmente un código que se envía por correo electrónico, por SMS o a través de una app. Las llaves USB, con un código cifrado en su interior, también son cada vez más populares.

El ataque de los hackers chinos

La autenticación en dos pasos mejora potencialmente la seguridad de cualquier web o aplicación; obligando al atacante a obtener acceso a otras cuentas para conseguir la autenticación. Sin embargo, no es un método perfecto y si se usa mal incluso puede ser contraproducente, ya que puede dar una falsa sensación de seguridad.

La táctica habitual del grupo APT20 consiste en usar vulnerabilidades para ganar acceso a servidores que usen JBoss, una plataforma muy usada tanto por gobiernos como por grandes empresas. Una vez que ganan acceso al servidor, instalan su propio código, se hacen con las contraseñas, y establecen conexiones a través de VPNs para conseguir acceso a todas las bases de datos.

Autenticación en dos pasos con Google

Lo verdaderamente interesante es que son capaces de hacer esto, incluso aunque estas conexiones estén protegidas con autenticación en dos pasos. Aún no se ha aclarado cómo lo han conseguido, pero se manejan varias teorías. Entre ellas, está la posibilidad de que los hackers hayan conseguido la clave de cifrado necesaria para generar códigos compatibles.

Normalmente eso no es suficiente para engañar al sistema. Según los investigadores, los hackers podrían haber descubierto un método para validar un código sin necesidad de verificar su valor concreto. Sin embargo, esto supondría que existe un importante agujero de seguridad en una de las piezas de software más importante del planeta, y es sólo una teoría.

España, entre los objetivos

Las acciones del grupo APT20 se extienden a varios países europeos y americanos, entre los que se encuentran España, México, Francia, EEUU y Reino Unido. No se han hecho públicos los nombre de las víctimas ni de posibles gobiernos atacados.

Hasta ahora estas operaciones habían pasado desapercibidas, demostrando hasta qué punto los hackers son capaces de obtener control sobre los servidores hackeados. De hecho, la investigación empezó cuando una empresa holandesa consiguió expulsar a los hackers de su red.

Registro del intento de acceso de un hacker chino Fox-IT

Cuando los hackers intentaron volver a entrar usando el código que habían dejado en el servidor, se encontraron bloqueados; después de varios intentos de entrar la última opción que intentaron en frustración fue "wocao", que en chino mandarín puede significar "mierda" o "maldita sea". Irónicamente, ese es el nombre que ha terminado teniendo la operación para desenmascarar a este grupo.