Los secretos detrás del ataque a empresas: BlackTech bajo la lupa

Los secretos detrás del ataque a empresas: BlackTech bajo la lupa
BlackTech

Las autoridades de seguridad de Estados Unidos y Japón han revelado la intensa actividad del grupo BlackTech, una banda cibernética originaria de China que ha dirigido sus ataques hacia las sucursales internacionales de numerosas empresas a través de los routers Cisco. Este descubrimiento fue posible gracias a la meticulosa investigación llevada a cabo por el FBI, la NSA, la CISA, así como las agencias japonesas NISC y NPA, quienes han expuesto las acciones de este grupo respaldado por el gobierno chino. Desde 2010, BlackTech ha sido conocido por participar en actividades de espionaje informático, centrándose en entidades japonesas, taiwanesas y con sede en Hong Kong.

Los ciberdelincuentes de BlackTech utilizan un tipo de malware para crear puertas traseras en los dispositivos de red de sus víctimas, lo que les permite acceder sin restricciones a los datos almacenados en dichos dispositivos. Una vez que logran infiltrarse en la red corporativa, su objetivo es obtener acceso como administradores a los dispositivos periféricos de la red, asegurando así su presencia constante. Además, suelen dirigir sus ataques hacia los routers ubicados en las sucursales, que son dispositivos más pequeños utilizados para conectarse a las sedes centrales de las empresas. Aprovechando la confianza inherente en la red objetivo entre estos dispositivos, los delincuentes pueden acceder a todos los datos de la empresa, tanto en la sede principal como en las sucursales distribuidas por todo el mundo.

La estrategia de ataque de BlackTech se centra principalmente en los routers Cisco, utilizando estos dispositivos como punto de entrada para establecer puertas traseras en los dispositivos de red empresariales y burlando las medidas de seguridad establecidas. A pesar de que Cisco ha emitido una advertencia de seguridad enfatizando que no hay indicios de vulnerabilidades en sus productos que hayan sido explotadas por BlackTech, los ciberataques han aumentado significativamente en los últimos meses. Este aumento no solo ha afectado a los routers de Cisco, sino también a dispositivos de otras marcas como Fortinet, TP-Link y SonicWall. Esta situación ha generado una creciente preocupación entre las agencias de seguridad a nivel mundial, especialmente en relación con el espionaje realizado por actores chinos.

Ante esta amenaza latente, las fuerzas del orden de Estados Unidos y Japón han instado a las empresas a tomar medidas específicas para protegerse. Entre estas medidas se incluye la supervisión constante del tráfico de entrada y salida en los dispositivos de red, la asignación de direcciones IP exclusivas para los administradores de red, la detección de posibles anomalías como reinicios inesperados o modificaciones en la configuración, y la aplicación regular de parches de seguridad. Solo implementando rigurosamente estas precauciones será posible proteger los datos empresariales de los ciberdelincuentes de BlackTech y otras amenazas similares.