Un gobierno lanzando ciberataques: así se está intentando parar a los 'hackers' rusos y chinos

Reino Unido ha decidido pasar a la acción en el ciberespacio, el quinto ámbito de la guerra, y lo ha hecho a cara descubierta. Al menos, en parte. Esta semana, la Fuerza Cibernética Nacional ha reconocido públicamente que están participando en distintas operaciones para atacar a todo tipo de ciberdelincuentes, donde mencionan grupos terroristas o enemigos militares. Aunque no han dado demasiados detalles de su operativa, el organismo británico ha señalado el papel de países como Rusia o China y ha explicado las líneas maestras de su plan. Y ahí hay algo especialmente llamativo: no están confrontando con las agencias de estos países, sino con los grupos de ciberdelincuentes que trabajan con ellas.

"Han reconocido que están haciendo operaciones ofensivas, aunque no son los primeros en hacerlo, porque antes ya estaba la Agencia de Seguridad Nacional (NSA) de Estados Unidos, que cuenta con el Tailored Access Operations (TAO)", explica Javier Rodríguez, analista de ciberseguridad y defensa. Sin ir más lejos, ahí está el caso de Stuxnet, un malware atribuido a los servicios secretos de EEUU e Israel para atacar a Irán, aunque nunca lo han reconocido. Sin embargo, hay un aspecto novedoso de esta revelación: "Son los primeros que han expresado que las capacidades que han trabajado van enfocadas más a grupos de ciberdelincuentes que a los propios países, porque son quienes están haciendo daño".

TE PUEDE INTERESAR

¿Basta solo con defenderse? El plan de ciberseguridad que marcará el futuro de la OTAN

Mario Escribano

La Fuerza Cibernética Nacional de Reino Unido es un organismo que depende tanto del Ministerio de Defensa como de la agencia de inteligencia GCHQ. Su creación se remonta a 2020, pero ha sido ahora cuando mostrado parte de las cartas que está jugando. Lo ha hecho en el documento Responsible Cyber ​​Power in Practice, un informe de 28 páginas que puedes consultar aquí. "Nuestro objetivo es cambiar el comportamiento del adversario explotando su dependencia de la tecnología digital", aseguran en el texto.

En él, no se andan con medias tintas y acusan a Rusia, China, Irán y Corea del Norte de promover a los cibercriminales que tratan de robar información privilegiada de carácter político o comercial, además de participar en ataques de ransomware. Dicho de otro modo, extorsiones similares a la que ha sufrido recientemente el Hospital Clinic de Barcelona, al que RansomHouse —una organización, eso sí, sin vínculos estatales conocidos— le robó 4,5 terabytes de datos sensibles, por los que después pidieron un rescate de 4,5 millones de euros. Al no aceptar, los dejaron al descubierto en la darkweb.

Hasta ahora, lo habitual era enfocar este tipo de ofensivas digitales a infraestructuras críticas del estado, pese a que en muchos casos se daba por descontada la conexión entre ciberdelincuentes y países. Ahora, sin embargo, ha quedado al descubierto. Un consorcio de medios liderado por el diario alemán Der Spiegel acaba de publicar una filtración de archivos secretos de la empresa rusa NTC Vulkan. En ellos, se explican las conexiones entre esta firma de ciberseguridad y las agencias militares y de inteligencia del Kremlin para llevar a cabo operaciones de influencia de todo tipo. Fueron facilitados, por cierto, por un denunciante anónimo que aseguraba haberlo hecho como represalia por la invasión de Ucrania. "La gente debería saber los peligros de todo esto", les explicó.

"Todos los países con inquietudes en ciberseguridad tienen que tener proveedores. La cuestión es que en Rusia no solo tienen empresas, sino una comunidad de cibercriminales dispuestos a trabajar con ellos. Es una información muy útil, porque dicen que incluso son los mismos servicios de inteligencia los que adquieren tecnología de empresas y la proporcionan a los cibercriminales", desarrolla Rodríguez, que explica que la estrategia de influencia cibernética del Kremlin aúna tanto los ataques a infraestructuras críticas como la ciberdelincuencia y las campañas de desinformación, algo que también destaca el informe de Reino Unido. "Usan a los mismos actores para llevar a cabo estas tareas. Hasta ahora era algo que solo decían los think tank o reportajes de prensa. Es la primera vez que veo algo así por parte de un estado".

Cuando el estado lanza ciberataques

Otro de los aspectos más relevantes del estudio británico es la llamada "doctrina del efecto cognitivo", que consiste en limitar la operativa de los atacantes en lugar de eliminar su capacidad. La razón de este enfoque está en que consideran que destruir sus sistemas es solo una solución a corto plazo, ya que permite que vuelvan a atacar pronto pasado un tiempo. De hecho, en España hay un ejemplo claro de esto, tan reciente como cercano.

Hace unos días, los Mossos d'Esquadra paralizaron la web de RansomHouse, los atacantes del Clínic de Barcelona, mediante un ataque de denegación de servicio (DDoS, por sus siglas en inglés). Lo curioso es que era un movimiento que ya habían anunciado previamente y que, en cualquier caso, no ha durado demasiado: la plataforma ya vuelve a estar disponible. Además, es algo que ha levantado críticas entre distintos especialistas, que consideran que es una medida poco efectiva, además de que puede incitar a una revancha mayor.

En Reino Unido, sin embargo, se ha optado por este otro método, con el que pretenden afectar "a la percepción del entorno operativo del atacante y debilitar su capacidad para planificar y llevar a cabo actividades con eficacia". "En algunos casos, es esencial acertar con el momento preciso. Mientras que el efecto inmediato de una operación cibernética puede ser relativamente breve, el impacto cognitivo —incluida la pérdida de confianza de un actor hostil en sus datos o tecnología— puede ser a menudo a más largo plazo", detallan en el informe, aunque también inciden en que "las operaciones con efectos destructivos siguen siendo una opción".

Hace unos días, la Agencia Nacional contra el Crimen (NCA), también británica, reconocía que había creado una serie de sitios webs falsos para contratar servicios de ciberdelincuencia; en concreto, ataques de denegación de servicio. De este modo, se hacían con los datos de los potenciales clientes y, de paso, les recordaban que estos servicios son ilegales, además de generar, de nuevo, más desconfianza en estos entornos.

Según explicaron, miles de personas habían picado el anzuelo, aunque no dieron más detalle ni dijeron cuántas trampas habían colocado, pero sí que lo llevaban haciendo desde 2020. "En el futuro, las personas que deseen utilizar estos servicios no pueden estar seguras de quién está realmente detrás de ellos, entonces, ¿por qué correr el riesgo?", deslizaron en un comunicado.

Un aviso a navegantes

El otro aspecto novedoso de este movimiento de Reino Unido está en la publicidad que se ha dado a estas operativas, algo inusual en este ámbito. "El TAO de la NSA es el responsable de obtener información de inteligencia a través del ciberespacio y han hecho operaciones ofensivas contra países, pero nunca han publicado un estudio como este. Sí, lo habían dicho en entrevistas o similares, pero es la primera vez que un país publica un informe así", comenta el analista Rodríguez.

Rodríguez tiene claro que esto es un aviso a los países del entorno. "Es un llamamiento a aliados para que tiendan esta solución, porque para lanzar operaciones ofensivas hay que crear un cuerpo común en el estado que responda a un mando conjunto, porque es la única forma de poder hacerlo. En la OTAN hay mínimos y luego cada uno hace lo que le da la gana, pero ellos están señalando un camino", explica este especialista, que detalla que "en España, cada uno va por su lado con sus misiones y en Francia sucede algo similar". Cabe recordar que, por ahora, las capacidades ciberofensivas se reparten entre CNI, Fuerzas y Cuerpos de Seguridad del Estado y el Ejército.

TE PUEDE INTERESAR

Varias webs de la OTAN sufren un ciberataque y las primeras hipótesis apuntan a los prorrusos

Europa Press

Como ya ha explicado este periódico, el mandato de la Alianza Atlántica en este ámbito es meramente defensivo, limitando los ciberataques a las respuestas. No obstante, en la cumbre de 2014 en Gales acordaron que el ciberespacio era una parte central del ámbito militar, equiparable a tierra, mar, aire y espacio. Dos años más tarde, en Varsovia, se pidieron esfuerzos de cada país miembro en esta materia, mientras que en 2021 se aprobó en Bruselas la llamada Política Global de Ciberdefensa, que recalcaba su posición y establecía que determinados tipos de ciberataques podían equipararse a los cinéticos.

"Todo lo que son tácticas y procedimientos son secretos, pero es verdad que el material ofensivo existe en los países aliados. Por ejemplo, si tienes que infectar un móvil porque te habilita una orden judicial, te hace falta una herramienta ofensiva", comenta Rodríguez, que zanja: "Hacia el público general no ha permeado nada sobre estas herramientas, porque la ciberseguridad es apasionante cuando te hackean una central nuclear, pero no cuando hay que diseñar e implementar políticas internas".