«Día cero», cuatro operadores y 100 especialistas: cómo Singapur hizo frente al mayor ataque cibernético de la historia
El grupo de hackers UNC3886 robó datos de operadores de telecomunicaciones explotando una brecha de seguridad hasta entonces desconocida.
Los principales operadores de telecomunicaciones de Singapur fueron objetivo de un ataque cibernético encubierto, atribuido a un grupo de hackers bien preparado, UNC3886. Los atacantes lograron penetrar en parte de los sistemas internos, pero no se produjo una filtración de datos de clientes y el ataque se detuvo a tiempo.
se vieron afectadas inmediatamente cuatro de las principales compañías de telecomunicaciones del país: Singtel, M1, StarHub y Simba. Las autoridades de Singapur informaron sobre el incidente. Según sus datos, no se han detectado indicios de robo de información confidencial de los suscriptores. La ministra de Desarrollo Digital y de Información, Josephine Teo, declaró que en uno de los episodios los atacantes obtuvieron acceso a varios nodos críticos, pero no pudieron avanzar más ni afectar el funcionamiento de los servicios.
El grupo UNC3886 se considera una estructura de espionaje que, según se presume, está vinculada a China. Anteriormente ya había aparecido en ataques contra organizaciones estratégicas en todo el mundo. Las autoridades de Singapur ya advirtieron el verano pasado sobre la actividad de un «adversario de alta tecnología», sin revelar detalles.
La investigación y la respuesta al ataque se desarrollaron en el marco de una operación nacional llamada «Kiberstrazh». Comenzó después de que los operadores de comunicaciones informaran sobre actividad sospechosa en sus redes a la Agencia de Ciberseguridad de Singapur y a la Autoridad de Desarrollo de Infocomunicaciones. En la operación participaron más de cien especialistas de seis entidades, incluyendo el Centro de Tecnologías Estratégicas de Infocomunicaciones, el servicio digital y de inteligencia de las fuerzas armadas, el Departamento de Seguridad Interna y la agencia tecnológica gubernamental. Es la operación cibernética coordinada más extensa en la historia del país.
Según los reguladores, los atacantes explotaron una vulnerabilidad de día cero. Se trata de un error en el software del que los desarrolladores aún no tenían conocimiento y para el que no existe parche. Con ella lograron eludir la protección perimetral de la red y acceder a segmentos internos. Además, los hackers emplearon módulos de control ocultos que enmascaran la presencia del software malicioso y permiten mantener acceso con privilegios de administrador. Esto complicó considerablemente la detección de la intrusión y requirió una revisión completa de la infraestructura.
Los atacantes sí consiguieron extraer un pequeño volumen de datos técnicos. Según las autoridades, se trató principalmente de información de red operativa que podría haber sido utilizada para avanzar dentro de los sistemas. Todos los puntos de acceso detectados fueron cerrados, se reforzaron las medidas de protección y se amplió la monitorización de las redes ante posibles intentos de intrusión repetidos.
La ministra señaló que, en un escenario desfavorable, las consecuencias podrían haber afectado al sector bancario, al transporte y a la sanidad. Por ahora, los daños han sido considerablemente menores que en varios incidentes en el extranjero, pero eso no es motivo para relajarse. Según dijo, la infraestructura de telecomunicaciones sigue siendo uno de los principales objetivos de los grupos de hackers estatales, ya que por ella circula un gran volumen de información sensible.
Los operadores de comunicaciones afirmaron que aplican una protección multinivel y corrigen rápidamente las vulnerabilidades encontradas. También colaboran con las entidades estatales y con expertos del sector para aumentar la resiliencia de las redes.
Las autoridades de Singapur subrayan que los ataques contra la infraestructura crítica continuarán. En los últimos años la actividad de los grupos persistentes de hackers en el país ha aumentado más de cuatro veces. Incidentes similares ya han provocado grandes fugas de datos en operadores de otros países, por lo que la preparación ante nuevos intentos de intrusión ahora se considera una tarea permanente.