El invierno ucraniano también llega a la red: se extiende el miedo a una 'ciberrevancha' de Rusia
Microsoft ha alertado sobre una nueva oleada de ciberataques rusos, pero esta vez el objetivo no solo será Kiev, sino todos los actores que han ayudado a Zelenski durante estos meses
:format(jpg)/f.elconfidencial.com%2Foriginal%2F46e%2F0de%2Fdf1%2F46e0dedf15525ac8d768f1e7bc619dc2.jpg)
Hasta que se desplegaron los tanques, todo el mundo pensaba que los ciberataques iban a estar en el centro del conflicto entre Ucrania y Rusia. Al final, su papel fue mucho más limitado de lo que se esperaba pero, ahora que la guerra ha entrado en una fase de estancamiento, el miedo a que Rusia utilice estas armas para su revancha se está extendiendo. La voz de alarma no la ha dado cualquiera. Microsoft, una de las empresas que más ha ayudado a Kiev, ha avisado de que el Kremlin está fortaleciendo sus amenazas híbridas, señalando que los objetivos ya no solo serán los ucranianos, sino todo aquel que haya prestado ayuda al país. Eso incluye desde instituciones estatales a algunas de las mayores empresas del mundo, empezando por la tecnológica estadounidense.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Ff8a%2Fd5b%2Fbb6%2Ff8ad5bbb6c4c6df233e974bfd8f90972.jpg)
"A raíz de las pérdidas rusas en el campo de batalla ante Ucrania, Moscú ha intensificado su estrategia híbrida de múltiples frentes para presionar a las fuentes de apoyo militar y político de Kiev, tanto nacionales como extranjeras", explica el informe de Microsoft, donde advierten de que los grupos vinculados a Rusia ya han expandido su actividad a Polonia, "en un posible intento de interrumpir el movimiento de armas y suministros hacia el frente". "El mundo debería estar preparado para los posibles ataques rusos en el ámbito cibernético durante este invierno", dice su autor Clint Watts, jefe del Centro de Análisis de Amenazas Digitales de la firma, destacando que ahí también entran las empresas. Asimismo, prevén nuevas "operaciones de influencia" para "explotar la grietas en el apoyo popular" de la ex república soviética.
Ciberataques que te dejan sin nada
La propia Microsoft sería uno de los objetivos más claros de esa posible revancha rusa. La entrada de esta tecnológica en el conflicto se produjo a los pocos días de la invasión, el 28 de febrero, cuando consiguieron parchear un malware (wiper, para ser más exactos) llamado FoxBlade, cuya misión era borrar los discos duros de las instituciones estatales y bancarias de Ucrania. Finalmente, lo consiguieron parchear en tres horas. No obstante, ha sido uno de los tipos de ciberataque más recurrentes durante la guerra, donde destaca el caso de AcidRain, que consiguió interrumpir la comunicación de las tropas ucranianas minutos antes de que comenzara la invasión.
Así, el informe de Watts hace hincapié en el aumento de las agresiones mediante wiper por parte de los grupos vinculados a la inteligencia rusa, que suelen ir acompañados de las ofensivas físicas. "Los ataques con misiles ya habían cortado el suministro de energía y agua a los civiles en todo el país", recuerda. De hecho, es así como han dejado a 10 millones de ucranianos sin luz y al 80% de Kiev sin agua corriente. En cualquier caso, un ciberataque también puede provocar daños físicos en una infraestructura física, tal y como ocurrió con Stuxnet en Irán, allá por 2010.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa2b%2Fc80%2F373%2Fa2bc8037304d87d50ad6e37c1e97ba4e.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa2b%2Fc80%2F373%2Fa2bc8037304d87d50ad6e37c1e97ba4e.jpg)
"Grupos como AT21 o Killnet, vinculados con el aparato de inteligencia rusa, siguen desarrollando campañas de este tipo, así que sí tienen esa capacidad. Además, ya no necesitan ocultarse como antes, van a cara descubierta", comenta Mario Guerra Soto, especialista en ciberinteligencia y exanalista de malware en el Ministerio de Defensa, donde pasó siete años. "Los grupos hacktivistas prorrusos han ido dejando de hacerlos, porque no estaban monetizando. Rusia les aplaude, pero no les paga, así que su capacidad está limitada en ese sentido". Eso sí, estas ofensivas van en ambas direcciones. Por ejemplo, esta semana se detectó un nuevo wiper, CryWiper, que está borrando datos de distintas instituciones rusas y, curiosamente, tiene un diseño muy similar al que recibió Ucrania meses antes.
Otro de los escenarios señalados por Microsoft son los ataques del tipo ransomware, aunque sin pedir rescate, ya que consistiría en entrar en sus sistemas, robar información y publicarla en internet. Cabe recordar que uno de los grupos de ciberdelincuentes que más ruido ha hecho este año, BlackCat, ha creado una plataforma para difundir de forma accesible todos los datos que consiguen con sus secuestros, una forma de hacer más daño que su publicación en bruto, que era lo habitual hasta ahora.
¿Cuándo entra en guerra una empresa?
Más allá de las cuestiones que afectan a la propia guerra, el temor ahora es que los ataques alcancen a las empresas. Entonces, ¿de qué depende que se considere a una empresa parte del conflicto? "Como contendiente, te puedes inventar lo que te dé la gana para atacar a otro", asevera Guerra, que cree que "considerar que todas las empresas que han colaborado son parte del conflicto es exagerado". Sobre este punto, subraya que "los civiles no pueden participar en un conflicto, ya que el derecho internacional establece que los participantes tienen que estar identificados para ser un objetivo legítimo". "Podrían considerarlas terroristas, como ocurre con Wagner", sugiere.
"Rusia considera que toda empresa o institución que haya ayudado a Ucrania es susceptible de ser considerada enemiga, aunque quizá hagan excepciones en cuestiones como la ayuda humanitaria", apunta Javier Rodríguez, analista de ciberseguridad, que prevé que se empezarán a ver más alertas de protección por parte de los Equipos de Respuesta ante Emergencias Informáticas (CERT, por sus siglas en inglés) de los países que han apoyado a Ucrania. "Microsoft ha ayudado a Ucrania con sistemas EDR [detección y respuesta de puntos de conexión, por sus siglas en inglés], que sirven para identificar el estado de tu red. Es una herramienta bastante cara, pero efectiva, así que seguramente les ha ayudado a paliar los efectos de los ciberataques rusos", ejemplifica. Lo mismo ha ocurrido con otras empresas como Cisco o ESET. Estos últimos, por ejemplo, descubrieron un software malicioso para atacar al sistema eléctrico ucraniano solo unas horas antes de que comenzara a actuar.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fd75%2F187%2Fbc1%2Fd75187bc1abdb9d7fe5e9cebf36f2283.jpg)
Entre los posibles objetivos, hay algunos evidentes. Ahí está el caso de Starlink, una empresa de Elon Musk que ha sido crucial para la resistencia ucraniana. Más allá de las polémicas declaraciones del multimillonario y las dudas sobre quién está pagando realmente la factura, lo cierto es que sus satélites han proporcionado conexión a internet en todo el país en un momento en el que buena parte de las infraestructuras propias habían sido dañadas, destruidas o desconectadas por los cortes de luz. De cualquier modo, los ataques pueden ir a todo tipo de empresas, se dediquen al armamento o a la logística, como DHL, que ha fletado decenas de vehículos para llevar material civil y militar a la frontera polaca.
A Rusia solo le falta una cosa
"Rusia ha actuado con bastante contención. Están haciendo la guerra con la mano atrás, aunque esté siendo muy dura. No han hecho un montón de cosas para las que estaban capacitados", comenta Rodríguez. "¿Es posible? Totalmente. ¿Entra dentro de los objetivos políticos? Eso solo lo sabe Putin". En cualquier caso, defiende que la protección y prevención en ciberseguridad es ahora mucho mayor que hace unos años, pero, aun así, "cada ataque es particular a la hora de la verdad, y eso hace que sean muy difíciles de parar, además de que ellos lo hacen de forma cuidadosa, selectiva y muy profesional".
:format(jpg)/f.elconfidencial.com%2Foriginal%2F0b3%2F2ed%2F00f%2F0b32ed00f1b358f84e2b06ab7db0ae7d.jpg)
Para que se dé un ciberataque de estas características tendría que cumplirse la tríada de voluntad, capacidad y oportunidad, que es donde está la clave. "Es lo que preocupa a todos los servicios de contrainteligencia de la OTAN, porque saben que Rusia tiene voluntad y capacidad, pero aún no han visto la oportunidad de hacer algo más serio", incide, para recordar que la advertencia viene de "una de las entidades de ciberseguridad más reconocidas del mundo".
¿Y qué pasa si Rusia comienza a atacar a empresas que han apoyado a Ucrania? "Esa es la gran pregunta. Es la escalada del conflicto, porque muchas son firmas estratégicas", zanja. Solo hay que recordar que, desde hace más de una década, el Pentágono considera la incursión cibernética por parte de un Estado como causa de guerra.
Hasta que se desplegaron los tanques, todo el mundo pensaba que los ciberataques iban a estar en el centro del conflicto entre Ucrania y Rusia. Al final, su papel fue mucho más limitado de lo que se esperaba pero, ahora que la guerra ha entrado en una fase de estancamiento, el miedo a que Rusia utilice estas armas para su revancha se está extendiendo. La voz de alarma no la ha dado cualquiera. Microsoft, una de las empresas que más ha ayudado a Kiev, ha avisado de que el Kremlin está fortaleciendo sus amenazas híbridas, señalando que los objetivos ya no solo serán los ucranianos, sino todo aquel que haya prestado ayuda al país. Eso incluye desde instituciones estatales a algunas de las mayores empresas del mundo, empezando por la tecnológica estadounidense.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F416%2Fba4%2F78a%2F416ba478af826bbb8f23ab53922d8f86.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F761%2F2a1%2Fcf6%2F7612a1cf6526eab70bd168240932fb38.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F70b%2F74b%2Fbce%2F70b74bbce58b5ce557b5fbceb26edd59.jpg)