El periodismo, en amenaza constante por los grupos de ciberespionaje
Los grupos APT vinculados a estados buscan información confidencial y tratan de conocer las fuentes de las historias dirigiéndose a las cuentas de correo electrónico y redes sociales de los periodistas.
El último caso conocido hace escasos días apunta a periodistas de The Guardian y Fox News, entre otros, pero desde principios del año pasado, los expertos han observado múltiples campañas por parte de grupos de amenazas persistentes avanzadas (APT) patrocinados por estados que se dirigen a reporteros y medios de comunicación. Según sus análisis, los ataques se suelen centrar en sus correos electrónicos y perfiles de redes sociales y, a menudo, persiguen las coberturas de los mismos, especialmente cuando atienden a ciertos regímenes totalitarios del mundo o a eventos políticos delicados en Estados Unidos y otros países.
Los periodistas siempre han sido un objetivo atractivo para los espías debido al acceso que tienen a la información sensible y la confianza que las organizaciones y las personas depositan en ellos. Por ello, es esencial que estos reciban formaciones sobre ciberseguridad y estén al tanto de las técnicas utilizadas por ciberdelincuentes vinculados a estados.
“El sector de los medios de comunicación y quienes trabajan en él pueden abrir puertas que otros no pueden”, aseguran los investigadores de Proofpoint en su último informe, en el que desvelan recientes campañas de grupos APT con relaciones en China, Corea del Norte, Irán y Turquía. “Un ataque exitoso a la cuenta de correo de un periodista podría proporcionar información sobre historias delicadas e identificaciones de fuentes. Esto se podría usar para difundir desinformación y propaganda, en tiempos de guerra o pandemia, o utilizarse para influir en una atmósfera políticamente cargada”.
De los píxeles de seguimiento al malware
Debido a su naturaleza altamente dirigida, el reconocimiento juega un papel importante en los ataques APT, ya que los cibercriminales necesitan conocer lo máximo sobre sus víctimas para crear señuelos creíbles. A menudo, esto incluye validar la dirección de correo electrónico de alguien y la probabilidad de que abra un mensaje malicioso en el futuro.
Los atacantes pueden lograrlo incorporando imágenes del tamaño de un píxel alojadas en servidores web que controlan en mensajes de correo electrónico benignos. Estos se conocen como píxeles de seguimiento o balizas web y se activan cuando se lee un correo que envía a los atacantes la dirección IP externa del objetivo, la cadena de agente de usuario, que les ayuda a identificar su sistema operativo y, más importante, la validación de que la cuenta de correo está activa y el propietario la lee.
Las cuentas de redes sociales también son un objetivo
Los ataques contra periodistas no se limitan a los intentos de implementación de malware, sino también a la suplantación de identidad de sus credenciales, ya que los mensajes falsos publicados desde las cuentas de redes sociales de los periodistas pueden tener un gran alcance y usarse en campañas de desinformación.
Desde principios de 2022, Proofpoint ha estado rastreando una campaña de correo electrónico de un grupo APT turco. Estos mensajes se hacen pasar por alertas de seguridad de Twitter y dirigen a los destinatarios a una página de phishing para obtener las credenciales. “Las campañas en curso se han reducido a las contraseñas de Twitter de cualquier individuo que escriba en medios de comunicación”, aseguran los investigadores. “Esto incluye desde los perfiles más conocidos hasta los que escriben para una institución académica, por ejemplo”.
Hacerse pasar por periodistas para extraer información de las víctimas o dirigirlas a sitios web de phishing es una técnica utilizada desde hace mucho tiempo por varios grupos iraníes de APT. “Los variados enfoques de estos actores, que utilizan balizas web para el reconocimiento, la recolección de contraseñas y el envío de malware, significa que aquellos que operan en el espacio de los medios de comunicación deben mantenerse alerta. Ser consciente de la amplia superficie de ataque que un ciberdelincuente puede aprovechar también es clave para evitar convertirse en una víctima. Y, en última instancia, tener cuidado y verificar la identidad o la fuente de un correo electrónico puede detener un ataque APT en su fase inicial”.
