La ofensiva militar que Rusia lanzó esta semana en Ucrania antecede a una ciberguerra que lleva meses activa. Años, si se tiene en cuenta que desde la invasión de Crimea en 2014, los ataques a los sistemas de la antigua república soviética no han cesado del todo. Se libran batallas silenciosas en entornos digitales, sin tiros ni muertos, pero capaces de dejar ilesas a miles de personas, como sucedió en Ucrania en 2015, para borrar datos gubernamentales sensibles o demoler los sistemas informáticos de las empresas, como se vio en 2017 con NotPetya. Este virus informático, uno de los más destructivos de la historia, se lanzó originalmente en Ucrania en instituciones torpederas de ese país y se extendió por todo el mundo.
La guerra cibernética es uno de los componentes de las llamadas guerras híbridas. “Se trata de un conjunto de técnicas que vienen a reemplazar la invasión tradicional por tierra. Es difícil definir de qué herramientas estamos hablando, pero puede ir desde ciberataques o propaganda como armas hasta inmigrantes. Como se ve en Bielorrusia”, describe Andrea G. Rodriguez, investigador en tecnologías emergentes de Sidob (Barcelona Center for International Affairs).
Una vez que los tanques y los misiles entran en escena, lo que sucede en Internet pierde importancia. Pero puede servir para apoyar operaciones militares. “Los ataques cibernéticos son parte del libro de jugadas de Moscú. Los usaron para atacar la infraestructura energética y de comunicaciones en Georgia, en 2008, y en Ucrania en 2014”, dice Rodríguez.
El primer aviso en esta ocasión llegó el 14 de enero, cuando Microsoft detectó Whispergate, un virus que se infiltraba en varios sitios web gubernamentales. Días después, CrowdStrike, una empresa de ciberseguridad de Texas especializada en amenazas de inteligencia, identificó varios intentos de vender datos presuntamente adquiridos después de ese golpe. modus operandi El ataque es muy similar a Voodoo Bears, un grupo organizado de piratas informáticos afiliados a los Servicios Secretos Rusos (FSB).
La semana pasada, también hubo ataques cibernéticos en los sitios web del ministerio de defensa, el ejército y los bancos estatales de Ucrania. El jueves, junto con una invasión terrestre por parte de Rusia, varios sitios web del gobierno ucraniano dejaron de funcionar debido a un ataque de denegación de servicio que buscaba profundizar la sensación de terror de una población que ya temía por su vida. Ayer mismo, la firma de ciberseguridad CyberArk advirtió sobre el peligro de los limpiaparabrisas herméticos malware ,Software malicioso) que eliminó todos los datos de los sistemas involucrados en un ataque cibernético dirigido a la infraestructura de Ucrania.
“Esperamos campañas de propaganda a gran escala de ambos lados del conflicto y podemos estar seguros de que los atacantes aprovecharán esta oportunidad para distribuir otras formas de malware”, dice Luis Corones, analista de seguridad de la firma de antivirus Avast. “También podemos anticipar la posibilidad de usar armas digitales para atacar infraestructura física a través de esas computadoras, como fue el caso de Stuxnet”, agregó.
ataque de autoría difusa
Conocidos en la industria como APT (Advanced Persistent Threats), grupos como Voodoo Bears están lejos de inspirar a los hackers a hacer el mal. Están muy bien organizadas, a menudo tienen estructuras jerárquicas similares a las de las empresas y, al estar apoyadas informalmente por los gobiernos, tienen muchos recursos. Armar estrategias de ataque en un solo día es el descubrimiento de una vulnerabilidad crítica en un sistema que puede ser atacado (este tipo de ataque, quizás el más letal, se conoce como hazañas de día cero) Solo los servicios secretos de las grandes potencias, como las distintas agencias de la NSA estadounidense, el GRU ruso o el MI6 británico, tienen más capacidades de las que tienen sobre el papel.
Los Servicios Secretos occidentales tienen serias sospechas de que algunos países, como Rusia, China, Corea del Norte o Irán, patrocinan algunas de las principales APT. Hablamos de escepticismo porque el ciberespacio es un entorno tan esquivo que es prácticamente imposible demostrar con garantías la autoría de un ciberataque. Los ataques de bandera falsa son frecuentes, con algunos APT haciéndose pasar por otros o incluso como grupos. hacktivista, Entre estos últimos destaca Anonymous, un grupo heterogéneo y desorganizado de hackers que ya han declarado la (ciber)guerra a Rusia.
“La ciberguerra tiene una enorme ventaja sobre otras herramientas: si lanzas un misil, sabrá de dónde vino y quién lo fabricó. En el mundo de Internet no es así: es demasiado complicado saber eso. De dónde vienen los ataques o quién está detrás”, dice Corones de Avast. Un ordenador puede conectarse a un servidor situado en Pakistán desde Barcelona que pasa por otro en las Seychelles para enviar software malicioso a Pekín. Los rastros del ataque se disuelven como una gota en el oceano.
“Las APT se rastrean con pistas proporcionadas por los servicios de inteligencia, correlaciones de muestras, especificaciones del código, reutilización de partes del mismo o estudio de modalidades”, explica hacker y el analista de seguridad cibernética Deepak Daswani. Es muy difícil atribuirlos, pero más aún rastrear geográficamente sus orígenes. “Los servicios de inteligencia de los países pueden tener la información, pero no te mostrarán su evidencia y tienes que creerlo: también podrían estar interesados en convencerte”, dice Corons.
Otra ventaja de la guerra cibernética es que puede disfrazarse de delito cibernético: a veces, las propias APT lanzan sus ataques como uno solo. Secuestro de datos (Virus por el que se ofrece rescate). Esto es lo que sucedió, por ejemplo, con NotPetya, el virus que atacó los sistemas de varias agencias gubernamentales ucranianas en 2017 y luego se propagó por todo el mundo. “En general, Secuestro de datos Posee una clave criptográfica para proteger el sistema infectado a cambio de dinero. Los malos te infectan y luego exigen un rescate. Pero no fue así”, dice Adam Meyers, jefe de inteligencia de CrowdStrike, que lleva años rastreando la actividad de algunas de las principales APT rusas.
Considerado uno de los ataques cibernéticos más exitosos y costosos de la historia, NotPetya se atribuye a Voodoo Bears. Este grupo tiene un largo historial de servicio en Ucrania. “La actividad nunca se ha detenido en los últimos años. Las operaciones cibernéticas de Rusia son parte de una amplia gama de herramientas que incluyen operaciones de influencia, información y propaganda, acción militar y presión diplomática y financiera”, dice Meyers.
Ucrania, la meta eterna
En mayo de 2014, un mes después de la anexión de Crimea por parte de Rusia, Voodoo Bear Group torpedeó la infraestructura energética y de transporte de Ucrania. En el invierno de 2015, un software malicioso cerró varias plantas de energía, dejando a más de 80 000 personas sin electricidad (y sin opción para calentarse). Ucrania ha acusado a Rusia de estar detrás del ataque. Moscú negó tener algo que ver con eso.
Ataques similares siguieron durante los siguientes dos años, y los primeros continuaron con el lanzamiento de malware altamente sofisticado en 2017. Además de NotPetya, se detectaron otros virus, como FakeCry o BadRabbit, destinados a violar las redes de comunicación del país. “Con estos ataques, esta fue la primera vez que encontramos que intentaron hacerse pasar por otra persona: un supuesto grupo hacktivista llamado FSociety, un nombre tomado de la serie de televisión señor robot”, describe Meyers.
Hasta el momento, no se han detectado ciberataques en el resto de Europa que pretendan afectar el paisaje ucraniano. “La guerra cibernética en Europa ha aumentado y seguirá aumentando”, dice Zack Warren, director de ciberseguridad de la firma estadounidense Tanium. El “ataque a la oiltanking Deutschland”, dice en referencia al oleoducto alemán, que se vio obligado a interrumpir su actividad el pasado 3 de febrero tras un ciberataque, “seguirá ocurriendo”. Aunque en este caso parece ser un ciberdelito: su motivación es simplemente económica.
La ofensiva terrestre de Ucrania cambió el escenario. Según fuentes conocedoras de la situación, los empleados de las instituciones de la UE relacionadas con la ciberseguridad han sido alertados para prepararse para los ciberataques en Europa. La Agencia de Seguridad Cibernética de la Unión Europea (ENISA) y su homóloga estadounidense (CISA) ya han emitido alertas para que las empresas e instituciones extremen las precauciones en los tiempos que se avecinan. “Probablemente veremos una nueva ola de ataques cibernéticos en Ucrania destinados a cortar las comunicaciones en el país para obligar a los líderes ucranianos a rendirse o abandonar Kiev”, dice Rodríguez de Sidob.
puedes seguir tecnologia del pais Pluma Facebook Y Gorjeo o regístrate aquí para recibir nuestros periodico semanal,
