El Gobierno llama a las empresas críticas a reforzar su ciberseguridad ante la guerra

La ciberseguridad es un pilar clave de la guerra que se está desarrollando en Europa. En plena escalada militar de la invasión rusa en Ucrania, el auge de las amenazas cibernéticas amenaza también a las empresas. Hasta ahora, el foco ha estado sobre las empresas que se encuentran vinculadas a las zonas de conflicto. Sin embargo, los países vecinos extreman la cautela. El Centro Nacional de Protección de Infraestructuras Críticas (CNPIC) comunicó el viernes a las compañías dentro del ámbito estratégico que extremasen sus protocolos de ciberseguridad para la detección, comunicación y solución de cualquier incidente.

Fuentes del Ministerio de Interior, organismo del que depende el CNPIC, confirman que esta comunicación se ha hecho ante la escalada de la guerra en Ucrania y que, de momento, no se ha registrado ningún incidente fuera de lo habitual en España. Los sectores críticos que vigila el CNPIC son la energía (electricidad, gas y petróleo), industria nuclear, sistema financiero, transporte (aéreo, carreteras, ferrocarril y marítimo), agua, espacio, industria química, tecnología de la información y comunicación, transporte urbano y metropolitano, alimentación y salud. Dentro de estos ámbitos, el CNPIC tiene identificados unos 250 operadores críticos y servicios esenciales. Según las fuentes consultadas, la institución también ha instado a proteger las propias infraestructuras físicas de estas compañías.

TE PUEDE INTERESAR

Ciberataques "a otro nivel" contra Ucrania: la prueba que apunta a 'hackers' rusos

Mario Escribano

Grandes empresas de algunos de estos sectores (banca, telecomunicaciones, aerolíneas) dan fe de esa comunicación aunque, al igual que el ministerio, reiteran que la actividad delictiva se mantiene en el nivel estándar. Asimismo, mientras que algunas de las compañías consultadas defienden que siempre han contado con estructuras de ciberseguridad robustas y que no ha hecho falta reforzarlas, otras sí admiten haber aumentado la monitorización y la complejidad de los sistemas de entrada ante el auge de la guerra en Ucrania.

El CNPIC es un organismo que depende del secretario de Estado de Seguridad, siendo el máximo responsable del Sistema Nacional de Protección de las Infraestructuras Críticas. Sus funciones se rigen por el Real Decreto 704/2011 del 20 de mayo, siendo responsable del impulso, coordinación y supervisión de todas las políticas y actividades relacionadas con la protección de las infraestructuras y ciberseguridad. El ministro de Interior, Fernando Grande-Marlaska, y el secretario del Departamento de Seguridad Nacional de EEUU, Alejandro Mayorkas, mantuvieron una reunión en Washington la semana pasada precisamente para abordar la protección de toda infraestructura crítica, informan desde el ministerio.

Por otro lado, el Centro Criptológico Nacional, que depende, a su vez, del Centro Nacional de Inteligencia (Ministerio de Defensa), también ha estado mandando comunicaciones a numerosas administraciones del Estado en las que advierten de un aumento en la intensidad de los ataques informáticos a los recursos de información. Por ello, estas administraciones están trasladando internamente apagar los equipos no esenciales al finalizar la jornada laboral y cambiar las claves de acceso a contraseñas más robustas. En general, se pide extremar la precaución debido a la "especial situación" actual.

La guerra que se libra en la red

Los ataques cibernéticos están siendo una faceta relevante en la guerra impulsada por Rusia. Dos días después de que Vladímir Putin reconociera la independencia de las autoproclamadas repúblicas populares de Donetsk y Lugansk, las páginas web de varias instituciones ucranianas recibieron un ataque de denegación de servicio (también conocido como DDoS). Entre los afectados, esta vez estaban todos los ministerios, el Parlamento y el Servicio de Seguridad del país. El ataque propició la inaccesibilidad de estas páginas durante varias horas, entorpeciendo su funcionamiento también después. Un incidente similar había tenido lugar ya el 15 de febrero, viéndose entonces afectados varios bancos estatales, como el Privatbank y el Oschadbank, que vieron cómo sus servicios web, aplicaciones móviles y pagos en línea quedaron afectados.

Según explica Jorge Hurtado, ‘chief technological officer’ de Cipher, “el contenido de los mensajes SMS no contenía ningún enlace de suplantación de identidad, sino que formaba parte de un ataque de desinformación, una disciplina en la que Rusia es especialista desde hace años”. “Aunque el objetivo en este momento son Ucrania y Rusia, no podemos obviar que ataques que inicialmente pueden tener como objetivo un país se extiendan a más geografías”, como demuestra el ataque NoPetya de 2017 que Rusia dirigió originariamente a Ucrania, pero escapó del control y generó importantes daños colaterales a nivel global.

Los ataques están en las zonas de guerra, pero hay riesgo de que se salgan de control

Según el experto, la ofensiva digital no solo tiene su origen en Rusia, sino que se está librando una auténtica batalla en el campo digital, en el que diversos grupos han dirigido sus ataques contra el país presidido por Putin, al que consideran un Estado agresor. “De hecho, algunos investigadores de ciberseguridad afirman que el Gobierno ruso parece estar desplegando una medida técnica defensiva conocida como ‘geofencing’ para bloquear el acceso a determinados sitios que controla, incluido su sitio web militar, desde zonas situadas fuera de la esfera de influencia de Rusia”, destaca Hurtado. Además, ya ha desplegado defensas frente a ataques DDoS tras haber sido objetivo de una gran cantidad de tráfico web a través de un ataque de denegación de servicio distribuido (DDoS) que intentaba dejar los sistemas fuera de línea. “Por el momento, se desconoce quién dirigió el ataque o si tuvo éxito en la interrupción de los sitios”, apunta Hurtado. “Los sitios web del Gobierno ruso no fueron los únicos que también sufrieron ataques DDoS el jueves, ya que también se observó tráfico que reflejaba aparentes ataques dirigidos a los principales bancos rusos Sberbank y Alfabank”.

El experto de Cipher también subraya la participación de bandas criminales: después de que el grupo criminal Conti (antiguo Ryuk) mostrase su apoyo a la iniciativa militar rusa, determinados miembros y exmiembros de la banda han publicado información interna que incluye las conversaciones del grupo, información técnica sobre sus metodologías e incluso el código fuente de algunas herramientas que dicho grupo utiliza en sus ataques. Por otro lado, el grupo Anonymous ha declarado abiertamente la ciberguerra a Rusia, mientras el actor malicioso AgainstTheWest ha publicado varias fugas de información y brechas relacionadas con organizaciones rusas.

"La polarización derivada del conflicto provoca una tensión creciente entre los diferentes actores. Esto es un caldo de cultivo de ataques cibernéticos que pueden acarrear represalias por parte de grupos APT muy avanzados técnicamente y con medios para llevar a cabo ataques sofisticados", detalla Samuel De Tomás, director de 'risk advisory' de Deloitte especializado en ciberseguridad. "Aunque el gobierno ruso siempre ha negado que financie o ampare a dichos grupos, operaciones tales como los ciberataques en Ucrania de 2017 usando NotPetya, Colonial Pipeline, SolarWinds Hack, y otros más se alinearon con intereses rusos". El experto avisa de que los ciberataques continúan siendo de la misma naturaleza, pero que los últimos registros apuntan también a la cadena de suministro.

TE PUEDE INTERESAR

Cortes en la red y conexiones por satélite: así se libra la otra guerra entre Rusia y Ucrania

Mario Escribano

Cybernetica es una compañía afincada en Estonia, uno de los países más digitalizados de Europa que, a su vez, tiene frontera con Rusia. Su director de Ciberseguridad, Sander Valvas, explica que, desde el punto de vista de la empresa, los ataques no han aumentado significativamente, pero sí el riesgo. Según explica, las principales formas de ataque son los DDoS, aunque también se están preparando para campañas de desinformación. “Estamos trabajando en fortalecer los sistemas en caso de que los usuarios o proveedores de servicio pierdan acceso”, detalla Valvas. El experto también pone de relieve la importancia de concienciar a los usuarios. “¿Entras en enlaces sospechosos? ¿Validas los correos antes de interactuar con ellos? ¿Cómo de fuerte es tu contraseña? Estas son algunas de las preguntas que les hacemos a los equipos, donde también animamos a salvaguardar más de una copia de los archivos importantes”, subraya. La compañía cuenta con 25 años de experiencia en varias áreas tecnológicas, siendo la ciberseguridad una de ellas. En Ucrania, por ejemplo, tienen una red de intercambio de información llamada Trembita, la cual conecta varias bases de datos y servicios digitales. A cierre de 2021, 182 instituciones privadas y gubernamentales utilizaban Trembita, con nueve millones de transacciones efectuadas a diario. También han trabajado creando soluciones de vigilancia en las fronteras de la OTAN.

No solo los servicios en su Estado más estratégico tienen que protegerse. También hay operativas menores en riesgo. La francesa Evina se encarga de proteger la banca móvil impulsada por modelos de negocio externos al sector financiero, como es el caso de las operadoras. Las 'apps' móviles de las telecos son de uso extendido en geografías con bajo nivel de bancarización, como ocurre en muchos países en vías de desarrollo o como también sucede en momentos de inestabilidad, como la propia guerra. Según explica su cofundador, Joan Larroumec, algunos de sus clientes sí han estado registrando “muchos ataques nuevos” esta semana, lo cual ellos creen que está conectado “a la nueva situación en Ucrania”. “Creemos que, debido a las dificultades y restricciones de Ucrania, los ‘hackers’ locales necesitan efectivo, por lo que duplican sus esfuerzos por robar aún más dinero”, detalla, matizando que estos usan virus que se incorporan a la ‘app store’ del móvil para infectar a los móviles y, a partir de ahí, activar transferencias por parte de usuarios inocentes.