Es noticia
Los 'combatientes' rusos que están llevando la invasión de Putin a la red
  1. Tecnología
QUÉ HAY DETRÁS DE LOS CIBERATAQUES

Los 'combatientes' rusos que están llevando la invasión de Putin a la red

Las organizaciones que perpetran ataques virtuales han tomado parte en el conflicto. La rusa Conti, una de las más importantes, apostó por Putin y le ha salido caro: alguien ha filtrado todos sus secretos

Foto: Un 'hacker' del grupo ucraniano RUH8. (Reuters/Gleb Garanich)
Un 'hacker' del grupo ucraniano RUH8. (Reuters/Gleb Garanich)
EC EXCLUSIVO Artículo solo para suscriptores

"Anunciamos nuestro apoyo oficial al Gobierno de Rusia. Si alguien organiza un ciberataque o acciones de guerra contra Rusia, usaremos todos nuestros recursos para contraatacar a las infraestructuras críticas del enemigo". Así de contundente fue el posicionamiento de Conti a las pocas horas de que Rusia comenzara la invasión de Ucrania. Dos días después, la bajada de tono era evidente. "No somos aliados de ningún Gobierno y condenamos la guerra", aseguraron esta vez, aunque mantenían casi intactas las amenazas.

La guerra de Ucrania ha sido uno de los primeros conflictos bélicos en que las tecnologías digitales se han mostrado como una parte más de la contienda, sea mediante ciberataques, desinformación o cortes de red. Pero los grupos que promueven estas ofensivas también son heterogéneos y episodios como el relatado ilustran la tensión que viven algunos grupos de 'hackers'. En concreto, estos se dividen entre su vinculación con el activismo político ('hacktivismo'), el apoyo estatal o la posición neutra. En los últimos, lo importante es sacar tajada y que las ideas las deje cada uno en su casa.

Foto: Un ordenador muestra parte del código del 'malware' Petya. (Reuters/Valentyn Ogirenko)

En el lado ucraniano, los casos de activismo son especialmente notorios. Ahí está el ejército de voluntarios promocionado por el Gobierno de Zelenski o la cuenta de Anonymous, que ha reivindicado distintos ataques de denegación de servicio (DDoS), aunque también se la ha acusado de apropiarse de algunos en los que no tenían nada que ver. Por ejemplo, tras anunciar varias ofensivas digitales a Rusia, AgainstTheWest se retiró a principios de este mes por su incomodidad ante la actitud de los de la máscara de Guy Fawkes. Otros, como el Batallón de la Red 65', se atribuyó ciberataques que tampoco habían realizado e, incluso, no eran tales.

Entre los más sonados en el lado de Kiev están los Ciberpartisanos de Bielorrusia, grupo que ha conseguido frenar el servicio de ferrocarril de su país para ralentizar el movimiento de tropas rusas en dos ocasiones, una de ellas previa a la invasión.

placeholder Un cajero del banco estatal ucraniano Oschadbank, tras un ciberataque. (Reuters/V. Ogirenko)
Un cajero del banco estatal ucraniano Oschadbank, tras un ciberataque. (Reuters/V. Ogirenko)

Mientras tanto, en el lado del Kremlin, ha habido grupos que han mostrado su apoyo a Rusia, aunque casi siempre con algún matiz. Además de los mencionados Conti, están los bielorrusos Ghostwriter —con apoyo estatal— o los rusos The Red Bandits, que han tenido un claro posicionamiento. "No respetamos a Putin como líder de Rusia, pero sí como ciudadano, y nosotros apoyamos a todos los ciudadanos. No estamos a favor de las acciones contra Ucrania", aseguraban antes de destacar que solo atacarían a instituciones gubernamentales, pero no a ciudadanos. "No permitiremos que nuestro país sea atacado por gente de todo el mundo (...) No vamos a ser los primeros en atacar".

Quienes también se han posicionado han sido algunos foros de 'hackers', como RaidForums, que restringió el acceso a los usuarios rusos, mostrando su rechazo a las políticas del Kremlin. Tal y como destaca un informe de la firma de ciberseguridad Blueliv, en el prólogo de la invasión hubo "un flujo más destacado de ofertas de bases de datos y accesos ucranianos en RaidForums". "Esta afluencia oportunista vino acompañada de un aumento en el número de nuevos miembros del foro, que probablemente solo se registraron en el foro para aprovechar los momentos de vulnerabilidad", explican. No obstante, poco después la web fue tumbada. En cambio, en foros rusoparlantes, como XSS o Exploit, no ha habido declaraciones de este tipo ni grandes discusiones sobre la guerra entre usuarios.

La ciberdelincuencia, al descubierto

No son los únicos que se vieron atacados por su posicionamiento. El pequeño paso atrás de Conti con que comenzaba este artículo no sirvió de mucho. Alguien llamado @ContiLeaks, previsiblemente involucrado en el grupo —o, al menos, con vínculos muy directos—, publicó los registros del chat y una serie de documentos que revelaban, entre otras cosas, su estructura interna.

Investigadores de CheckPoint analizaron toda esta documentación y han publicado un gráfico con las relaciones internas, concluyendo que "opera como una gran empresa tecnológica". "La compañía tiene un departamento de recursos humanos, un proceso de contratación, salarios y pago de bonificaciones", apuntan los analistas de esta compañía, que explican que consiguen el contacto de los perfiles que les interesa reclutar mediante el acceso "sin permiso" a bases de datos de portales de empleo.

Conti es uno de los grupos más conocidos de 'ransomware as a service' (Raas). Se trata de un tipo de 'software' malicioso que bloquea o restringe el acceso a un determinado sistema hasta que el atacante decida. "Son grupos de cibercriminales que utilizan el 'ransomware' como medio para obtener beneficios económicos, pidiendo el pago de una suma de dinero, ya sea por el rescate de sistemas cifrados o por no exponer públicamente información confidencial exfiltrada durante una intrusión", responde José Miguel Esparza, responsable de Inteligencia en la firma Blueliv.

Este especialista destaca que estos grupos, "en general, no se han involucrado" en el conflicto —todo se ha centrado más en 'hacktivistas' y los de apoyo estatal—, aunque sí se han visto algunos elementos que podrían estar relacionados. Uno de los más sonados ha sido Whispergate, "que aparentemente se trataba de 'ransomware', pero en realidad no lo era: su único objetivo era dejar inutilizados los sistemas de Ucrania".

Foto: Un centro informático ilegal descubierto en un antiguo búnker de la OTAN en Alemania. (EFE/EPA)

Por ejemplo, LockBit es otro de los más importantes y ha mantenido su neutralidad. "Están situados en distintas partes del mundo y siguieron con sus operaciones, por lo que no van a atacar ninguna infraestructura crítica, como amenazó Conti al principio", comenta Esparza, que percibe que la guerra "ha provocado un pequeño descanso en algunos grupos de 'ransomware', pero ya están retomando su actividad normal, atacando a cualquier objetivo de cualquier país".

Por qué ahora todo se publica

Hay algo que llama la atención en todo esto. En lugar de operar en la sombra, los posicionamientos de los grupos de 'ransomware' están siendo públicos, llegando a difundirse en redes sociales. Tiene su explicación. La evolución de este tipo de 'malware' en los últimos años ha supuesto que sus víctimas pasen de ser personas corrientes a grandes empresas, algo que empezó a verse más a partir de 2014.

"Se dieron cuenta de que el rescate que podían pedir era mucho mayor, monetizando más rápido y con un retorno de inversión mucho mayor. Con el mismo esfuerzo (o un poco más) para infectar sistemas, el beneficio es mucho mayor", expone este especialista.

Foto: Imagen: Reuters.

Además, al principio la comunicación se limitaba a una nota de rescate con una cuenta para recibir el cobro en criptomonedas, pero cada vez se ha ido desarrollando más. "Se fueron añadiendo correos electrónicos donde se establecía un canal entre las víctimas y los cibercriminales", cuenta Esparza, que agrega que "más tarde apareció la doble extorsión: te robo y lo publico si no pagas". Entre las consecuencias, está la aparición de los negociadores, un perfil cada vez más demandado por las empresas, como ya explicó este periódico, aunque nadie reconoce contratarlos.

Así, los grupos de 'ransomware' se dotan de plataformas para difundir "los datos exfiltrados" de sus víctimas, creando "los sitios de 'leaks', normalmente alojados en la red Tor", conocida por proporcionar acceso a la 'dark net', cuyo mayor reclamo es el anonimato. "En esos mismos sitios web, los grupos suelen poner anuncios importantes para el grupo, y es lo que han usado algunos de ellos, como Conti o LockBit, para posicionarse en el conflicto entre Rusia y Ucrania", detalla. No obstante, algunos han arriesgado más, abriendo una cuenta en Twitter, algo que puede ser "un peligro para ellos, aunque se pueda ocultar con 'proxys' o redes VPN".

"Anunciamos nuestro apoyo oficial al Gobierno de Rusia. Si alguien organiza un ciberataque o acciones de guerra contra Rusia, usaremos todos nuestros recursos para contraatacar a las infraestructuras críticas del enemigo". Así de contundente fue el posicionamiento de Conti a las pocas horas de que Rusia comenzara la invasión de Ucrania. Dos días después, la bajada de tono era evidente. "No somos aliados de ningún Gobierno y condenamos la guerra", aseguraron esta vez, aunque mantenían casi intactas las amenazas.

Hackers Ucrania
El redactor recomienda