- 11 vistas
El 1º de marzo Francia denuncia un ciberataque a una red de satélites que daban servicio a Europa. Esa acción podría haber afectado a decenas de miles de terminales. En principio, lógicamente, los rusos podrían estar detrás de este nuevo ataque.
A mediados de enero se registró el primer ciberataque serio contra Ucrania, pero entre 2014 y 2017, grupos de ‘hackers’ vinculados a Rusia causaron estragos en el país
La ofensiva militar que ha lanzado Rusia esta semana en Ucrania viene precedida de una ciberguerra que lleva meses activa. Años, si se tiene en cuenta que desde la invasión de Crimea en 2014 nunca han cesado del todo los ataques a los sistemas de la ex república soviética. En el entorno digital se libran batallas silenciosas, sin disparos ni muertos, pero capaces de dejar sin calefacción a miles de personas, como sucedió ya en Ucrania en 2015; de eliminar datos sensibles del Gobierno o de colapsar los sistemas informáticos de las empresas, como se vio en 2017 con NotPetya. Este virus informático, uno de los más devastadores de la historia, fue lanzado originalmente en Ucrania para torpedear instituciones de ese país y se acabó extendiendo por todo el mundo.
La guerra cibernética es uno de los componentes de las llamadas guerras híbridas. “Consiste en un conjunto de técnicas que vienen a suplir la invasión convencional por tierra. Es complicado definir de qué instrumentos hablamos, incluye desde ciberataques o desinformación hasta la utilización de inmigrantes como arma, como se ha visto en Bielorrusia”, describe Andrea G. Rodríguez, investigadora en tecnologías emergentes en Cidob (Barcelona Centre for International Affairs).
Una vez que entran en escena los tanques y misiles, lo que suceda en internet cobra menos importancia. Pero puede servir para apoyar las acciones militares. Los ciberataques forman parte del manual de estrategia de Moscú. Los usaron en 2008 en Georgia coincidiendo con la invasión y en 2014 en Ucrania para atacar infraestructuras energéticas y de comunicación.
En esta ocasión, el primer aviso llegó el 14 de enero, cuando Microsoft detectó un virus, WhisperGate, que se infiltró en varias webs gubernamentales. La empresa de ciberseguridad especializada en amenazas de inteligencia CrowdStrike identificó unos días después varios intentos de venta de datos supuestamente adquiridos tras ese golpe. El modus operandi del ataque se parece mucho al de Voodoo Bear, un grupo organizado de hackers asociado a los servicios secretos rusos (FSB).
La semana pasada se registraron también ciberataques dirigidos a las webs del Ministerio de Defensa ucranio, a la del ejército y a las de bancos estatales. El jueves, coincidiendo con la invasión terrestre por parte de Rusia, varias webs del Gobierno ucranio dejaron de funcionar por culpa de un ataque de denegación de servicio que buscaba ahondar en el sentimiento de pánico de una población que ya teme por su vida. La firma de ciberseguridad CyberArk alerta del peligro de Hermetic Wiper, el malware (software malicioso) que borra todos los datos del sistema que infecta, involucrado en los ciberataques dirigidos a las infraestructuras de Ucrania.
“Esperamos que se produzcan campañas masivas de desinformación por parte de ambos bandos del conflicto y podemos estar seguros de que los atacantes aprovecharán esta oportunidad para distribuir otro tipo de malware”, dice Luis Corrons, analista de seguridad de la firma de antivirus Avast. “También podemos prever la posibilidad de que se utilicen armas digitales para atacar las infraestructuras físicas a través de los ordenadores que las controlan, como ocurrió con Stuxnet”, añade.
Ataques de autoría difusa
Conocidos en el sector como APT (amenazas persistentes avanzadas, en sus siglas inglesas), los grupos como Voodoo Bear distan de ser un conjunto de piratas informáticos cuya motivación sea hacer el mal. Están muy bien organizados, a menudo tienen estructuras jerarquizadas similares a las de las empresas y, al estar extraoficialmente apoyados por Gobiernos, disponen de muchísimos recursos. Los suficientes como para armar estrategias de ataque en el mismo día en que se descubra una vulnerabilidad importante en un sistema que se quiera atacar (este tipo de ataques, acaso los más letales, se conocen como zero day exploits). Solo los servicios secretos de las grandes potencias, como la NSA de EE UU, las diferentes agencias del GRU ruso o el MI6 británico, tienen más capacidades que ellos.
Los servicios secretos occidentales tienen serias sospechas de que algunos países, como Rusia, China, Corea del Norte o Irán, patrocinan a algunas de las principales APT. Hablamos de sospechas porque el ciberespacio es un entorno tan esquivo que resulta prácticamente imposible demostrar con garantías la autoría de un ciberataque. Son frecuentes los ataques de falsa bandera, en los que unas APT se hacen pasar por otras o incluso por grupos de hacktivistas. Entre estos últimos destacan Anonymous, un grupo heterogéneo y no organizado de hackers que ya le han declarado la guerra (cibernética) a Rusia.
La ciberguerra tiene una gran ventaja frente a otras herramientas: si lanzas un misil se va a saber de dónde ha salido y quién lo ha construido. En el mundo de internet no es así: es complicadísimo saber de dónde vienen los ataques o quién está detrás de estos. Un ordenador puede conectarse desde Barcelona a un servidor ubicado en Pakistán que pase por otro en las Seychelles para mandar software malicioso a Pekín. El rastro del ataque queda disuelto como una gota en el mar.
Las APT se rastrean con pistas aportadas por los servicios de inteligencia, correlaciones de muestras, particularidades del código, reutilización de partes del mismo o estudio del modus operandi. Resulta dificilísimo atribuirlos, pero todavía más ubicar geográficamente su origen.
Otra de las ventajas de la ciberguerra es que se puede enmascarar como ciberdelincuencia: hay veces que las propias APT lanzan sus ataques bajo la forma de un ransomware (virus por el que se ofrece un rescate). Es lo que pasó por ejemplo con NotPetya, el virus que atacó en 2017 los sistemas de varias agencias gubernamentales ucranias y que luego se difundió por todo el mundo. “Normalmente, el ransomware mantiene una clave criptográfica con la que salvar los sistemas infectados a cambio de dinero. Los malos te infectan y luego piden un rescate.
Considerado uno de los ciberataques más exitosos y costosos de la historia, NotPetya se le atribuye a Voodoo Bear. Este grupo tiene una larga hoja de servicios en Ucrania. La actividad nunca ha parado en los últimos años. Las operaciones en el ciberespacio de Rusia forman parte de un abanico amplio de herramientas entre las que se incluyen operaciones de influencia, información y desinformación; acciones militares y presiones diplomáticas y financieras.
Ucrania, el eterno objetivo
En mayo de 2014, un mes después de que Rusia se anexionara Crimea, el grupo Voodoo Bear torpedeó infraestructuras energéticas y de transporte ucranias. En invierno de 2015, un software malicioso bloqueó el funcionamiento de varias centrales eléctricas, dejando sin energía y calefacción a más de 80.000 personas. Ucrania acusó a Rusia de estar detrás del ataque. Moscú rechazó tener nada que ver con ello.
Se produjeron ataques similares los dos siguientes años y en 2017 se elevó la apuesta con el lanzamiento de un malware muy sofisticado. Además de NotPetya se detectaron otros virus, como FakeCry o BadRabbit, dirigidos a sabotear las redes de comunicaciones del país.
La invasión terrestre de Ucrania cambia el escenario. Según fuentes conocedoras de la situación, el personal de instituciones de la UE relacionadas con la ciberseguridad ha sido alertado de que se preparen para recibir ciberataques en Europa. La Agencia de la UE para la Ciberseguridad (ENISA) y su homóloga estadounidense (CISA) ya han sacado alertas para que las empresas y las instituciones extremen las precauciones ante lo que pueda estar por venir. Probablemente veamos una nueva ola de ciberataques en Ucrania dirigidos a cortar las comunicaciones en el país para obligar a que los líderes ucranios se rindan o abandonen Kiev”.
