Introducción
Los Actores de la Amenaza más conocidos continúan robusteciendo sus tácticas, técnicas y procedimientos (TTP) a un ritmo incesante, pero también se tornan cada vez más relevantes las actividades desarrolladas por otro tipo de actores, pocas veces analizados, con capacidades similares o equivalentes a los grupos de Amenazas Persistentes y Avanzadas (APT). En 2020 Microsoft advirtió sobre “…la creciente privatización de los ataques a la ciberseguridad a través de una nueva generación de empresas privadas, similar a los mercenarios del siglo XXI”
En tal sentido, en la última década, ha surgido un número creciente de empresas que ofrecen una gama de productos y servicios a clientes globales. Incluyen capacidades listas para usar (Hacking-as-a-Service), servicios de hacking a medida (hackers-for-hire) y la venta de capacidades habilitantes como exploits de día cero y marcos de herramientas (NCSC, UK).
Definición
De acuerdo con la taxonomía de nomenclatura para los actores de amenezas de Microsoft, Private Sector Offensive Actor (PSOA) “…es la actividad cibernética liderada por actores comerciales que son entidades jurídicas conocidas o legítimas, que crean y venden cyberweapons (armas cibernéticas) a los clientes que luego seleccionan objetivos y operan las ciberamenazas. Estas herramientas se observaron dirigidas a disidentes, defensores de derechos humanos, periodistas, defensores de la sociedad civil y otros ciudadanos privados, amenazando muchos esfuerzos mundiales por los derechos humanos”
Características
- Despliegue global.
- Actúan en el ámbito de la industria de la cibervigilancia y ciberespionaje.
- Objetivos: elementos de la sociedad civil.
- Construyen y venden piezas de software altamente sofisticado, inclusive zero day exploits y zero-click exploits.
- Modelos de negocios: Access-as-a-service, Hack-for-hire, Hacking-as-a-Service, Survelliance-for-hire, Influence-for-hire (Advanced Persistent Manipulator, APM), Specialized trainings.
- Principales clientes: Gobiernos.
| Entidad | Origen | Capacidad desarrollada |
| NSO Group/Tsunami nocturno -DEV-0336 | Israel | Pegasus/Chrysaor |
| Equus Technologies | Israel | Lipizzan |
| Candiru – Saito Tech/Sourgum -Tsunami de caramel | Israel | Devils Tongue |
| QuaDream /Carmine Tsunami -DEV-0196 | Israel | Reign |
| Hacking Team -Memento Labs | Italia | RCS X |
| Gamma Group | Angloalemana | FinSpy |
| DSIRF/Denim Tsunami-KNOTWEED | Austria | Subzero |
| NTC Vulkan | Rusia | Vinculada con APT Sandworm Team |
| RCS Labs | Italia | Hermit |
| Nexa-Intellexa | Francia | Predator – Alien |
| Variston | España | Heliconia Noise -Heliconia Soft – Heliconia Files |
| Appin | India | Hack-for-hire – Specialized trainings |
| CyberRoot /Wisteria Tsunami -DEV-0605 | India | Vinculada a BellTrox |
| Internet Research Agency | Rusia | APM. Vinculada con Grupo Wagner |
| Social Design Agency | Rusia | APM -LATAM |
| Institute for Internet Development | Rusia | APM -LATAM |
| Structura | Rusia | APM-LATAM |
| Emennet Pasargad | Irán | APM |
| i-Soon/Anxun | China | Treadstone/Vinculada con Grupo POISON CARP – APT41 |
| Cubo Negro/Tsunami Azul | S/D | S/D |
| Paragon | Israel | Graphite |
APT Vs. PSOA
Conforme a lo señalado por NCSC (UK), es casi seguro que la sofisticación de algunos productos y servicios cibernéticos de intrusión comercial puede rivalizar con las capacidades equivalentes de algunos grupos de APT vinculados a Estados. A continuación se presenta un gráfico para aportar mayor precisión.
Recomendaciones contra ataques con herramientas de vigilancia a través de dispositivos móviles
Uno de los vectores de ataque más observado es tomar el control total de los dispositivos móviles mediante herramientas de vigilancia (Software espía, Spyware), por ese motivo, de acuerdo con pautas orientativas del Centro Nacional de Contrainteligencia y Seguridad de EE.UU (NCSC, por sus siglas en inglés), se recomienda:
- Actualizar regularmente los sistemas operativos de los dispositivos y las aplicaciones móviles.
- Desconfiar del contenido de remitentes desconocidos, especialmente aquellos que contienen enlaces o archivos adjuntos.
- No hacer Clic en enlaces sospechosos ni en correos electrónicos y archivos adjuntos sospechosos.
- Comprobar las URL antes de hacer Clic en los enlaces, o ingresar directamente a los sitios web (ingresar manualmente el nombre completo del sitio web en el buscador).
- Reiniciar regularmente los dispositivos móviles, lo que puede ayudar a dañar o eliminar los implantes de malware.
- Cifrar y proteger su dispositivo con contraseña.
- Mantener el control físico de su dispositivo cuando sea posible.
- Utilizar redes privadas virtuales (VPN) de confianza.
- Deshabilitar las opciones de geolocalización y cubrir la cámara en los dispositivos.
- En todos los casos es importante utilizar un software antimalware de confianza.
Adicionalmente, para versiones de iOS posteriores a 2018 (Smartphones o tablet), previa evaluación de la necesidad, es recomendable utilizar protección mediante restricciones (Lockdown Mode).
Conclusión
En este artículo se enumeraron brevemente las características generales que presentan los PSOAs, además de algunas similitudes y diferencias con respecto a los grupos APT. En este contexto, los actores de la amenaza están explotando todo tipo de brecha para hacerse del control total de los sistemas, bajo modalidades y motivaciones de naturaleza heterogénea, mientras el Ciberespacio está mutando entre tensiones, conflictos y desequilibrios funcionales a una generación de cibermercenarios ávidos de ganancias, que posee una gran cantidad de recursos, sólidas estructuras de funcionamiento y el know-how para construir y proveer capacidades ofensivas e intrusivas, a cambio de un precio y sin mediar miramientos de orden ético. Afortunadamente, se está tomando mayor consciencia sobre el impacto que puede tener este tipo de amenazas sobre la sociedad civil y muchas organizaciones han empezado a gestionar proyectos para combatirlas.
Si te gustó el artículo y te apasiona la temática, o tienes un punto de vista novedoso, te invito a dejar tu comentario!
Última actualización: 24/3/2025
Referencias:
Candau Romero J. (2014). CCN CERT: defensa frente a ataques dirigidos contra la Administración y las empresas de interés estratégico. APTs. Durmiendo con el enemigo.
CCN – Mario Guerra (MCCE) – (2023, 27 de diciembre). Cibermercenarios: navegando por las sombrías aguas de los agentes ofensivos del sector privado. Youtube: https://youtu.be/VEqHbAF7BFo
Committee on National Security Systems CNSS Glossary (2022).
Expósito Guisado J. (2023). Ciberproxies: las APT como factor de riesgo futuro. IEEE.
Goodwin C. (2022, 1 de agosto). Continuar la lucha contra las armas cibernéticas del sector privado. Microsoft. Recuperado de https://news.microsoft.com/es-xl/continuar-la-lucha-contra-las-armas-ciberneticas-del-sector-privado/
Microsoft (2024, 16 de enero). Cómo asigna Microsoft nombres a los actores de amenazas. https://learn.microsoft.com/es-es/microsoft-365/security/intelligence/microsoft-threat-actor-naming?view=o365-worldwide
NCSC, UK. The threat from commercial cyber proliferation. Recuperado de https://www.ncsc.gov.uk/report/commercial-cyber-proliferation-assessment?ref=grand.io
NISTIR 7298 -Revision 2.
Smith B. (2020, 18 de diciembre). Momento de actuar: La necesidad de una respuesta sólida y global para la ciberseguridad. Microsoft. Recuperado de https://news.microsoft.com/es-xl/momento-de-actuar-la-necesidad-de-una-respuesta-solida-y-global-para-la-ciberseguridad/
SOCRadar (2023, 2 de junio). Beyond the Veil of Surveillance: Private Sector Offensive Actors (PSOAs). Recuperado de https://socradar.io/beyond-the-veil-of-surveillance-private-sector-offensive-actors-psoas/
Tech Accord. Cyber mercenaries: An old business model, a modern threat. Cybersecurity Tech Accord principles limiting offensive operations in cyberspace. Recuperado de https://cybertechaccord.org/uploads/prod/2023/03/Cyber-mercenary-principles_Tech-Accord_032723_FINAL.pdf
Ciberprisma - alianza por la ciberseguridad 