A mediados de enero se registró el primer ciberataque serio contra Ucrania, pero entre 2014 y 2017, grupos de ‘hackers’ vinculados a Rusia causaron estragos en el país
La guerra
cibernética es uno de los componentes de las llamadas guerras híbridas.
“Consiste en un conjunto de técnicas que vienen a suplir la invasión
convencional por tierra. Es complicado definir de qué instrumentos hablamos,
pero incluyes desde ciberataques o desinformación hasta la utilización de
inmigrantes como arma, como se ha visto en Bielorrusia”, describe Andrea G.
Rodríguez, investigadora en tecnologías emergentes en Cidob (Barcelona Centre
for International Affairs).
“Los
ciberataques forman parte del manual de estrategia de Moscú. Los usaron en 2008
en Georgia coincidiendo con la invasión y en 2014 en Ucrania para atacar
infraestructuras energéticas y de comunicación”, incide Rodríguez.
En esta
ocasión, el primer aviso llegó el 14 de enero, cuando Microsoft detectó un
virus, WhisperGate, que se infiltró en varias webs gubernamentales. El modus
operandi del ataque se parece mucho al de Voodoo Bear, un grupo organizado de
hackers asociado a los servicios secretos rusos (FSB).
La semana
pasada se registraron también ciberataques dirigidos a las webs del Ministerio
de Defensa ucranio, a la del ejército y a las de bancos estatales. El jueves,
coincidiendo con la invasión terrestre por parte de Rusia, varias webs del
Gobierno ucranio dejaron de funcionar por culpa de un ataque de denegación de
servicio que buscaba ahondar en el sentimiento de pánico de una población que
ya teme por su vida. Ayer mismo, la firma de ciberseguridad CyberArk alertaba
del peligro de Hermetic Wiper, el malware (software malicioso) que borra todos
los datos del sistema que infecta, involucrado en los ciberataques dirigidos a
las infraestructuras de Ucrania.
“Esperamos
que se produzcan campañas masivas de desinformación por parte de ambos bandos
del conflicto y podemos estar seguros de que los atacantes aprovecharán esta
oportunidad para distribuir otro tipo de malware”, dice Luis Corrons, analista
de seguridad de la firma de antivirus Avast. “También podemos prever la
posibilidad de que se utilicen armas digitales para atacar las infraestructuras
físicas a través de los ordenadores que las controlan, como ocurrió con
Stuxnet”, añade.
Ataques de
autoría difusa
Conocidos
en el sector como APT (amenazas persistentes avanzadas, en sus siglas
inglesas), los grupos como Voodoo Bear distan de ser un conjunto de piratas
informáticos cuya motivación sea hacer el mal. Están muy bien organizados, a
menudo tienen estructuras jerarquizadas similares a las de las empresas y, al
estar extraoficialmente apoyados por Gobiernos, disponen de muchísimos
recursos. Los suficientes como para armar estrategias de ataque en el mismo día
en que se descubra una vulnerabilidad importante en un sistema que se quiera
atacar (este tipo de ataques, acaso los más letales, se conocen como zero day
exploits). Solo los servicios secretos de las grandes potencias, como la NSA de
EE UU, las diferentes agencias del GRU ruso o el MI6 británico, tienen sobre el
papel más capacidades que ellos.
Los
servicios secretos occidentales tienen serias sospechas de que algunos países,
como Rusia, China, Corea del Norte o Irán, patrocinan a algunas de las
principales APT. Solo meras sospechas
porque el ciberespacio resulta prácticamente imposible demostrar la autoría de
un ciberataque. Frecuentes son los ataques de falsa bandera, en los APT se
hacen pasar por otras o incluso por hacktivistas. Entre estos últimos destacan
Anonymous, un grupo heterogéneo y no organizado de hackers que ya le han
declarado la guerra (cibernética) a Rusia.
“En el
mundo de internet es complicadísimo saber de dónde vienen los ataques o quién
está detrás de estos”, apunta Corrons, de Avast”. Un ordenador puede conectarse
desde Barcelona a un servidor ubicado en Pakistán que pase por otro en las
Seychelles para mandar software malicioso a Pekín. El rastro del ataque queda
disuelto como una gota en el mar.
“Las APT se
rastrean con pistas aportadas por los servicios de inteligencia, correlaciones
de muestras, particularidades del código, reutilización de partes del mismo o
estudio del modus operandi”, explica el hacker y analista de ciberseguridad
Deepak Daswani. Resulta dificilísimo atribuirlos, pero todavía más ubicar
geográficamente su origen. “Los servicios de inteligencia de los países sí que
pueden tener información, pero no te enseñarán sus pruebas y te los tienes que
creer: pueden tener también interés en marearte”, añade Corrons.
Otra de las
ventajas de la ciberguerra es que se puede enmascarar como ciberdelincuencia:
hay veces que las propias APT lanzan sus ataques bajo la forma de un ransomware
(virus por el que se ofrece un rescate). Es lo que pasó por ejemplo con
NotPetya, el virus que atacó en 2017 los sistemas de varias agencias
gubernamentales ucranias y que luego se difundió por todo el mundo.
“Normalmente, el ransomware mantiene una clave criptográfica con la que salvar
los sistemas infectados a cambio de dinero. Los malos te infectan y luego piden
un rescate. Pero en este caso no la hubo”, asegura Adam Meyers, responsable de
inteligencia de CrowdStrike, que lleva años rastreando la actividad de algunas
de las principales APT rusas.
Considerado
uno de los ciberataques más exitosos y costosos de la historia, NotPetya se le
atribuye a Voodoo Bear. Este grupo tiene una larga hoja de servicios en
Ucrania. “La actividad nunca ha parado en los últimos años.
Las
operaciones en el ciberespacio de Rusia forman parte de un abanico amplio de
herramientas entre las que se incluyen operaciones de influencia, información y
desinformación; acciones militares y presiones diplomáticas y financieras”,
sostiene Meyers.
Ucrania, el
eterno objetivo
En mayo de
2014, un mes después de que Rusia se anexionara Crimea, el grupo Voodoo Bear
torpedeó infraestructuras energéticas y de transporte ucranias. En invierno de
2015, un software malicioso bloqueó el funcionamiento de varias centrales
eléctricas, dejando sin energía (y sin opción de calentarse) a más 80.000
personas. Ucrania acusó a Rusia de estar detrás del ataque. Moscú rechazó tener
nada que ver con ello.
Se
produjeron ataques similares los dos siguientes años y en 2017 se elevó la
apuesta con el lanzamiento de malware muy sofisticado. Además de NotPetya se
detectaron otros virus, como FakeCry o BadRabbit, dirigidos a sabotear las
redes de comunicaciones del país. “Con esos ataques fue la primera vez que
detectamos que intentaron hacerse pasar por alguien distinto: un supuesto grupo
de hacktivistas llamado FSociety, nombre tomado de la serie de televisión Mr
Robot”, describe Meyers.
Hasta el
momento no se han detectado ciberataques en el resto de Europa que pretendan
influir en el escenario ucranio. “Hay y seguirá habiendo un aumento de la guerra
cibernética en Europa”, asegura Zac Warren, director de ciberseguridad de la
firma estadounidense Tanium. “Ataques como el de Oiltanking Deutschland”, dice
en referencia al oleoducto alemán que el pasado 3 de febrero se vio obligado a
interrumpir su actividad tras un ciberataque, “seguirán ocurriendo”. Aunque en
este caso parece tratarse de ciberdelincuencia: su motivación es meramente
económica.
La invasión
terrestre de Ucrania cambia el escenario. Según fuentes conocedoras de la
situación, el personal de instituciones de la UE relacionadas con la
ciberseguridad ha sido alertado de que se preparen para recibir ciberataques en
Europa. La Agencia de la UE para la Ciberseguridad (ENISA) y su homóloga
estadounidense (CISA) ya han sacado alertas para que las empresas y las
instituciones extremen las precauciones ante lo que pueda estar por venir.
“Probablemente veamos una nueva ola de ciberataques en Ucrania dirigidos a
cortar las comunicaciones en el país para obligar a que los líderes ucranios se
rindan o abandonen Kiev”, opina Rodríguez, de Cidob.
Fuente: El Pais.com