En enero de 2010, Google reveló que había sido víctima de un sofisticado ciberataque originado en China. Los atacantes se dirigieron a la red corporativa de Google, lo que resultó en el robo de propiedad intelectual y acceso a cuentas de Gmail de activistas de derechos humanos. Además de Google, el ataque también apuntó a más de 30 empresas en los sectores de fintech, medios, Internet y productos químicos.

Estos ataques fueron realizados por el grupo chino Elderwood y más tarde los expertos en seguridad los denominaron Operación Aurora. Entonces, ¿qué sucedió realmente? ¿Cómo se llevó a cabo? ¿Y cuáles fueron las secuelas de la Operación Aurora?

¿Qué es la Operación Aurora?

La Operación Aurora fue una serie de ataques cibernéticos dirigidos contra docenas de organizaciones, incluidas Google, Adobe, Yahoo, Symantec, Morgan Stanley, Rackspace y Dow Chemicals, entre otras. Google compartió por primera vez los detalles de los ataques en una publicación de blog que afirmaba que se trataba de ataques patrocinados por el estado.

instagram viewer

Poco después del anuncio de Google, más de otras 30 empresas revelaron que el mismo adversario había violado sus redes corporativas.

El nombre de los ataques proviene de las referencias en el malware a una carpeta llamada "Aurora" que encontraron los investigadores de MacAfee en una de las computadoras utilizadas por los atacantes.

¿Cómo se llevó a cabo el ataque?

Esta operación de ciberespionaje se inició utilizando el técnica de spear-phishing. Inicialmente, los usuarios objetivo recibieron una URL maliciosa en un correo electrónico o mensaje instantáneo que inició una serie de eventos. Cuando los usuarios hacían clic en la URL, los llevaba a un sitio web que ejecutaba más código JavaScript malicioso.

El código JavaScript aprovechó una vulnerabilidad en Microsoft Internet Explorer que era bastante desconocida en ese momento. Tales vulnerabilidades son a menudo denominados "explosiones de día cero".

El exploit de día cero permitió que el malware se ejecutara en Windows y estableció una puerta trasera para que los ciberdelincuentes tomar el control del sistema y robar credenciales, propiedad intelectual o cualquier otra cosa que estuvieran buscando.

¿Cuál fue el propósito de la Operación Aurora?

La Operación Aurora fue un ataque altamente sofisticado y exitoso. Pero las verdaderas razones detrás del ataque siguen sin estar claras. Cuando Google reveló la bomba de Aurora, declaró las siguientes razones y consecuencias:

  • Robo de Propiedad Intelectual: Los atacantes se dirigieron a la infraestructura corporativa, lo que resultó en el robo de propiedad intelectual.
  • Espionaje cibernético: También dijo que los ataques eran parte de una operación de espionaje cibernético que intentaba infiltrarse en las cuentas de Gmail de disidentes chinos y activistas de derechos humanos.

Sin embargo, unos años más tarde, un alto director de Instituto de Tecnología Avanzada de Microsoft declaró que los ataques en realidad estaban destinados a investigar al gobierno de los EE. UU., para verificar si había descubierto la identidad de agentes chinos encubiertos que desempeñaban sus funciones en los Estados Unidos.

¿Por qué la Operación Aurora recibió tanta atención?

La Operación Aurora es un ciberataque ampliamente discutido debido a la naturaleza de los ataques. Aquí hay algunos puntos clave que lo hacen destacar:

  • Esta fue una campaña altamente dirigida en la que los atacantes tenían información de inteligencia completa sobre sus objetivos. Esto podría insinuar la participación de una organización más grande e incluso de actores del estado-nación.
  • Los incidentes cibernéticos ocurren todo el tiempo, pero muchas empresas no hablan de ellos. Para una empresa tan sofisticada como Google, salir del armario y revelarlo en público es un gran problema.
  • Muchos expertos en seguridad responsabilizan al gobierno chino por los ataques. Si los rumores son ciertos, entonces tienes una situación en la que un gobierno está atacando a entidades corporativas de una manera nunca antes expuesta.

Las consecuencias de la Operación Aurora

Cuatro meses después de los ataques, Google decidió cerrar sus operaciones en China. Cerró Google.com.cn y redirigió todo el tráfico a Google.com.hk, una versión de Google para Hong Kong, ya que Hong Kong mantiene leyes diferentes a las de China continental.

Google también reestructuró su enfoque para mitigar las posibilidades de que tales incidentes vuelvan a ocurrir. Implementó el arquitectura de confianza cero llamado BeyondCorp, que ha resultado ser una buena decisión.

Muchas empresas proporcionan innecesariamente privilegios de acceso elevados, lo que les permite realizar cambios en la red y operar sin restricciones. Por lo tanto, si un atacante encuentra una forma de ingresar a un sistema con privilegios de nivel de administrador, fácilmente puede hacer mal uso de esos privilegios.

El modelo de confianza cero funciona en el principios de acceso con privilegios mínimos y nanosegmentación. Es una nueva forma de establecer confianza en la que los usuarios pueden acceder solo a aquellas partes de una red que realmente necesitan. Entonces, si las credenciales de un usuario se ven comprometidas, los atacantes solo pueden acceder a las herramientas y aplicaciones disponibles para ese usuario en particular.

Más tarde, muchas más empresas comenzaron a adoptar el paradigma de confianza cero al regular el acceso a herramientas y aplicaciones confidenciales en sus redes. El objetivo es verificar a todos los usuarios y dificultar que los atacantes causen daños generalizados.

Defensa contra la Operación Aurora y ataques similares

Los ataques de la Operación Aurora revelaron que incluso las organizaciones con recursos significativos como Google, Yahoo y Adobe aún pueden ser víctimas. Si las grandes empresas de TI con una financiación enorme pueden ser pirateadas, entonces las empresas más pequeñas con menos recursos tendrán dificultades para defenderse de tales ataques. Sin embargo, la Operación Aurora también nos enseñó ciertas lecciones importantes que pueden ayudarnos a defendernos de ataques similares.

Cuidado con la ingeniería social

Los ataques destacaron el riesgo del elemento humano en la ciberseguridad. Los humanos son los principales propagadores de los ataques y la naturaleza de ingeniería social de hacer clic en enlaces desconocidos no ha cambiado.

Para asegurarse de que no vuelvan a ocurrir ataques como los de Aurora, las empresas deben volver al conceptos basicos de seguridad de la informacion. Necesitan educar a los empleados sobre prácticas seguras de ciberseguridad y cómo interactúan con la tecnología.

La naturaleza de los ataques se ha vuelto tan sofisticada que incluso a un profesional de seguridad experimentado le resulta difícil distinguir una buena URL de una maliciosa.

Usar cifrado

Se pueden usar VPN, servidores proxy y múltiples capas de cifrado para ocultar comunicaciones maliciosas en una red.

Para detectar y prevenir las comunicaciones de las computadoras comprometidas, todas las conexiones de la red deben ser monitoreadas, particularmente aquellas que salen fuera de la red de la empresa. Identificar la actividad anormal de la red y monitorear el volumen de datos que sale de una PC puede ser una buena forma de evaluar su estado.

Ejecutar prevención de ejecución de datos

Otra forma de minimizar las amenazas a la seguridad es ejecutar la Prevención de ejecución de datos (DEP) en su computadora. DEP es una función de seguridad que evita que se ejecuten secuencias de comandos no autorizadas en la memoria de su computadora.

Puede habilitarlo yendo a Sistema y seguridad > Sistema > Configuración avanzada del sistema en Panel de control.

Activar la función DEP hará que sea más difícil para los atacantes realizar ataques similares a Aurora.

Aurora y el camino a seguir

El mundo nunca ha estado más expuesto a los riesgos de ataques patrocinados por el estado como ahora. Dado que la mayoría de las empresas ahora dependen de una fuerza laboral remota, mantener la seguridad es más difícil que nunca.

Afortunadamente, las empresas están adoptando rápidamente el enfoque de seguridad de confianza cero que funciona según el principio de no confiar en nadie sin una verificación continua.

Desacreditado: 6 mitos sobre la seguridad Zero Trust

El modelo Zero Trust es una forma efectiva de limitar las filtraciones de datos, pero existen demasiados conceptos erróneos sobre su implementación.

Leer siguiente

CuotaPíoCorreo electrónico
Temas relacionados
  • Seguridad
  • La seguridad cibernética
  • Guerra cibernética
  • Google
  • Seguridad en línea
Sobre el Autor
Fawad Alí (30 artículos publicados)

Fawad es ingeniero de TI y comunicación, aspirante a empresario y escritor. Ingresó al campo de la redacción de contenido en 2017 y ha trabajado con dos agencias de marketing digital y numerosos clientes B2B y B2C desde entonces. Escribe sobre seguridad y tecnología en MUO, con el objetivo de educar, entretener e involucrar a la audiencia.

Más de Fawad Ali

Suscríbete a nuestro boletín

¡Únase a nuestro boletín para obtener consejos técnicos, reseñas, libros electrónicos gratuitos y ofertas exclusivas!

Haga clic aquí para suscribirse