Desafortunadamente, la guerra en Ucrania se encuentra en una escalada de violencia nunca esperada. El ejército ruso no se ha limitado a atravesar el país, sino que ataca con fiereza a la población tanto civil, como militar. La invasión no ha ido acompañada de un aumento masivo de las operaciones cibernéticas dirigidas contra las infraestructuras críticas ucranianas, como podía ser de esperar, sino que a los ataques contra la seguridad cibernética se han sumado los ataques «analógicos» con misiles, y tanques de toda la vida, como si fuera una Guerra en blanco y negro.
Todo esto podría cambiar en cualquier momento, pero por ahora el conflicto entre Rusia y Ucrania probablemente redefina la relación entre la guerra cinética y la cibernética o guerra por la ciberseguridad. Hay que recordar que la guerra comenzó ya en 2014 y se recrudeció a principios de este año, y tras la tregua por los juegos olímpicos, se aumentó el poder militar en la frontera y se produjo un incremento de las operaciones cibernéticas contra Ucrania destinadas a preparar el campo de batalla.
Los ataques contra la ciberseguridad han continuado, pero no se han intensificado en la medida esperada. Se han detectado nuevos programas maliciosos destructivos en los ordenadores ucranianos, pero en su mayor parte son selectivos y no están diseñados en sí mismos para causar daños generalizados en las infraestructuras. Comenzaron con WhisperGate, detectado por Microsoft en enero, pero les han seguido HermeticWiper, IsaacWiper y FoxBlade (aunque hay quien defiende que HermeticWiper y FoxBlade son nombres distintos para el mismo malware, o software malicioso).
Actualmente no hay pruebas públicas de que estos malwares sean operaciones estatales orquestadas por la Federación rusa, pero parece muy probable. Los wipers no ofrecen a las bandas criminales un método fácil de monetización. Aunque podrían ser desarrollados y utilizados por hackers «patrióticos» que desean promover su propia causa, todos estos ejemplos fueron desarrollados mucho antes del conflicto.
La escalada podría, por supuesto, seguir ocurriendo. «La expectativa de que los ataques cibernéticos de Rusia contra Ucrania se reduzca ahora que la invasión ha comenzado es errónea», dijo Tim Kosiba (ex director técnico del Comando Cibernético de Estados Unidos) a SecurityWeek. Pero la razón por la que aún no lo ha hecho, al menos hasta el momento de escribir esto, sigue siendo un misterio.
Si quieres poner a una nación de rodillas metafóricamente, la ruta más rápida sería probablemente a través de su distribución de energía. «Si se interrumpe el suministro eléctrico, el impacto es inmediato y se agrava con el tiempo», explica Lou Steinberg, fundador y socio director de CTM Insights. «Sin energía, los alimentos se pudren. Los medicamentos se estropean. Las gasolineras no pueden hacer funcionar los surtidores, por lo que el combustible para los camiones se queda atascado en los depósitos subterráneos. Si no hay camiones, no hay alimentos ni medicinas de repuesto. Las plantas de tratamiento de agua y aguas residuales se detienen. La gente muere». De ahí el ataque y control por parte de Rusia a la central nuclear de Zaporiyia.
Rusia ya probó operaciones cibernéticas contra el poder ucraniano en 2015 y a finales de 2016. En 2022 eligió una vía diferente: capturó la central nuclear de Zaporizhzhia mediante una acción militar. No sabemos si esto se debió a que no pudo destruir el funcionamiento de la planta a través de medios cibernéticos, o si es parte de un motivo más amplio para ocupar Ucrania (que requeriría dejar la infraestructura en gran parte operativa) o destruir Ucrania (que no requeriría una infraestructura operativa).
Este es el principal problema que tenemos a la hora de entender el uso actual y potencialmente futuro del ciberespacio en esta guerra. Es imposible adivinar los planes de Putin (si es que tiene alguno) o sus motivos (que pueden cambiar en cualquier momento).
Lo que está claro, sin embargo, es que todo el mundo está bajo la amenaza de algo que podría comenzar como una ciberguerra global que se extiende y se extiende a una guerra cinética global e incluso nuclear. Las dos formas principales en que esto podría suceder es una respuesta rusa a las sanciones occidentales, y/o un efecto de la actividad incontrolada de los hackers «patrióticos» no estatales de ambos lados.
Sanciones
Las sanciones son un delicado acto de equilibrio. Deben ser lo suficientemente duras como para perjudicar a la otra parte sin ser tan duras como para perjudicar al mercado interno y causar la pérdida de apoyo público. Las actuales sanciones lideradas por Occidente son duras y podrían endurecerse todavía más si continúa la escalada de violencia por parte del ejército de Vladimir Putin.
El Instituto Internacional de Estudios Estratégicos (IISS) cree que Putin cometió un gran error estratégico al invadir Ucrania. Subestimó la resistencia ucraniana, sobreestimó el apoyo interno y unió al mundo en la condena y las sanciones contra Rusia.
«Putin subestimó gravemente la cohesión y la determinación de Occidente», escribe Nigel Gould-Davies, investigador principal de Rusia y Eurasia en el IISS. «Rusia se enfrenta ahora a una serie de sanciones nunca impuestas a una economía importante, en particular la congelación de los activos del banco central. La política alemana ha sufrido un cambio sísmico: la suspensión del gasoducto Nord Stream 2, la exclusión de las entidades rusas del SWIFT y la histórica decisión de enviar armas a Ucrania.»
Lo que preocupa es la posible respuesta de Putin a estas sanciones. El sábado 5 de marzo de 2022, declaró que las paralizantes sanciones occidentales son «similares a una declaración de guerra». A la pregunta de qué podría inclinar a Rusia a dirigir operaciones cibernéticas contra las infraestructuras críticas de Estados Unidos y los países de la OTAN, la mayoría de los observadores responden con «sanciones que él considera demasiado duras».
Esto es extremadamente preocupante. Los observadores de seguridad llevan años advirtiendo de que los estados adversarios, incluida Rusia, han estado vigilando e incrustándose en las infraestructuras críticas de Estados Unidos y Europa «por si acaso». Este temor se ve amplificado por la posibilidad desconocida de que actores estatales rusos hayan podido aprovechar los ataques de SolarWinds y la vulnerabilidad de Log4j del año pasado. El peligro es que Putin puede sentir que ha llegado el momento de «por si acaso», especialmente si las sanciones son tan severas que siente que ya no tiene nada que perder.
Sin embargo, Andras Toth-Czifra, analista principal de Inteligencia global en Flashpoint, sugiere que la política de sanciones de Occidente consiste en golpear a Rusia con tanta fuerza y rapidez que se degrade la capacidad política de Putin para responder. «Parece que la estrategia de sanciones tiene como objetivo extraer resultados rápidos o precipitar un cambio político rápido y radical en Rusia, confiando en el descontento social y las fisuras de la élite que estas medidas exacerbarán», dijo a SecurityWeek. «El riesgo de que el presidente ruso reaccione de forma asimétrica y escalada está presente, sin embargo, el apoyo interno a la guerra en Ucrania es escaso y es probable que se debilite aún más a medida que el ejército ruso y la economía rusa sufran grandes pérdidas.»
El Dr. Danny Steed, profesor de ciberseguridad en la Universidad de Cranfield, tiene una opinión similar. «Lo que debería preocupar mucho a las naciones occidentales es cómo Rusia podría desplegar medios cibernéticos para contrarrestar esfuerzos como las sanciones», advierte. «Con Occidente claramente no favoreciendo su propia respuesta militar, el uso de sanciones podría invitar a ciberataques contra las economías occidentales como respuesta rusa«. Por ello, es fundamental empezar a tomar medidas y reallizar auditorías de ciberseguridad en nuestras empresas para poder tomar medidas encaminadas a evitar ataques de ciberseguridad el día de mañana.
Hasta ahora, parece que las agencias occidentales se han abstenido de realizar operaciones cibernéticas directas contra Rusia en respuesta a su invasión de Ucrania. ¿Podría mantenerse esto si Rusia desencadenara un daño mayor en, por ejemplo, Estados Unidos con ataques contra el CNI? Eso es poco probable. Todas las naciones «occidentales» con capacidad de ciberataque -en particular Estados Unidos, Reino Unido, Australia y posiblemente Israel- se verían obligadas a responder. Eso sería una escalada, que no sabemos a dónde podría llevar.
Actividad patriótica de los hackers sin límites
Las sanciones no son la única causa potencial de una escalada de hostilidades más allá de las fronteras de Ucrania. Parece que los actores estatales rusos están haciendo esfuerzos para focalizar sus actividades y evitar que su malware se escape al resto del mundo como lo hizo NotPetya en 2017. Del mismo modo, las agencias occidentales aparentemente están haciendo esfuerzos para controlar sus propias operaciones cibernéticas. Pero las bandas criminales y los hackers individuales no tienen ni el mismo nivel de disciplina ni las mismas habilidades para garantizar que sus acciones no escalen la situación. Y estas bandas e individuos están tomando rápidamente partido en el conflicto.
El colectivo Anonymous fue uno de los primeros. El 24 de febrero anunció en Twitter: «El colectivo Anonymous está oficialmente en ciberguerra contra el gobierno ruso». Su feed de Twitter está ahora repleto de afirmaciones de hackeos y ataques DDOS exitosos, así como de filtraciones de información sensible de sitios de noticias y gubernamentales rusos.
Conti fue una de las primeras bandas criminales en ponerse del lado de Rusia, pero un giro muestra la complejidad de la situación. El 27 de febrero de 2022, Conti emitió una advertencia: «Utilizaremos nuestros recursos para contraatacar si el bienestar y la seguridad de ciudadanos pacíficos están en juego debido a la ciberagresión estadounidense».
Calvin Gan, director de la unidad de defensa táctica de F-Secure, comenta: «Hace tiempo que se sabe que los grupos de ransomware suelen tener desarrolladores tanto en Rusia como en Ucrania, y esta fuerte postura de Conti ha provocado que sus miembros ucranianos filtren información interna.» Las filtraciones de Conti han sido publicadas por los miembros ucranianos en Twitter, comenzando el día después del «aviso» y continuando hoy.
Los proveedores de seguridad se apresuran a analizar estas filtraciones. Malwarebytes advierte que llevará un tiempo, pero comenta: «lo que ya sabemos es que hay información extremadamente valiosa sobre el grupo de ransomware Conti, en particular sobre cómo trabajan como organización y cómo se dirigen a sus víctimas. Aunque Conti tiene bastantes recursos y probablemente se recuperará, no hay duda de que estas filtraciones les costarán mucho dinero y posiblemente infundirán miedo sobre su identificación como individuos.» Ya hablamos en nuestro Blog del Ransmoware, y en concreto del Conti:
El 4 de marzo de 2022, Flashpoint informó de que el sitio web clandestino Raid Forums -famoso por las grandes filtraciones de bases de datos- ha desaparecido misteriosamente. No ha habido reclamaciones de responsabilidad, pero Flashpoint señala que ha habido un creciente sentimiento pro-Ucrania. El día que comenzó la invasión, uno de los administradores (‘moot’) declaró que el sitio prohibiría a todos los usuarios que intentaran conectarse desde una dirección IP rusa. Un día después, Kozak888 filtró una base de datos perteneciente a un servicio de entrega urgente ruso. Contenía 800 millones de registros que incluían nombres completos, direcciones de correo electrónico y números de teléfono. Kozak888 dijo que la filtración de la base de datos era una consecuencia de la invasión rusa de Ucrania (los cosacos son una famosa caballería antigua con fuertes vínculos con Ucrania).
El 26 de febrero de 2022, Mykhailo Fedorov (ministro de transformación digital de Ucrania) anunció el reclutamiento de un ejército informático privado.
Este nuevo ejército informático civil se dirige a través de Telegram. En el momento de escribir esto, la cuenta de Telegram tiene 35.483 suscriptores. La mayoría serán investigadores, periodistas y agentes del gobierno, pero no cabe duda de que habrá muchos desarrolladores y hackers privados que deseen aliarse con Ucrania.
Además de los particulares, conocidos grupos cibernéticos también han tomado partido en el conflicto. Un personaje conocido como CyberKnow ha estado siguiendo este desarrollo. Su última actualización fue publicada el 4 de marzo de 2022, con el comentario: «Esto intenta capturar cómo podría ser el espacio de batalla cibernético en cualquier conflicto».
En los ciberataques de Ucrania a Rusia, los colores rojo y amarillo indican las afiliaciones básicas. «Los grupos en naranja están ahora inactivos en Twitter: o bien han cerrado sus perfiles, o bien han sido clausurados», dice CyberKnow. Lo que está claro, sin embargo, es que la guerra entre Rusia y Ucrania está teniendo un efecto muy polarizador entre los ciberdelincuentes.
El peligro es que estos grupos no están controlados de forma centralizada y no tienen la disciplina, ni probablemente las habilidades, de los actores estatales. No se puede ignorar la posibilidad de que estos grupos independientes ataquen directamente las infraestructuras críticas del otro bando, o la filtración accidental de malware destructivo, como los wipers, fuera de los límites geográficos de la zona de guerra.
Algunos de estos grupos pueden creer que están protegidos por la llamada no atribuibilidad de Internet. Esto es una falacia. Las agencias de inteligencia occidentales saben quiénes son estos grupos, dónde operan y qué hacen. Sin embargo, sus falsas creencias pueden tentarles a participar en ataques destructivos contra infraestructuras críticas militares y civiles de Estados Unidos y la OTAN. Esto supone un gran potencial para la escalada de la actividad cibernética. La forma en que los gobiernos occidentales respondan a estos ataques -si es que se producen- será fundamental.
Se trata claramente de una amenaza que las potencias occidentales comprenden y esperan, al menos en parte. «El malware destructivo puede representar una amenaza directa para las operaciones diarias de una organización, afectando a la disponibilidad de activos y datos críticos», anunció el CISA. «Es probable que se produzcan más ciberataques perturbadores contra organizaciones en Ucrania y que, involuntariamente, se extiendan a organizaciones de otros países. Las organizaciones deben aumentar la vigilancia y evaluar sus capacidades que abarcan la planificación, la preparación, la detección y la respuesta para un evento de este tipo.»
En el Reino Unido, Lindy Cameron, jefa del Centro Nacional de Ciberseguridad del GCHQ, dijo: «En un mundo que depende tanto de los activos digitales, la ciberresiliencia es más importante que nunca… El Reino Unido está más cerca de la crisis de Ucrania de lo que cree… Si la situación sigue empeorando, podríamos ver ciberataques con consecuencias internacionales, ya sean intencionados o no«.
Respuesta empresarial a la situación
Cualquier empresa en cualquier parte del mundo que se considere demasiado pequeña o demasiado inocua como para estar en riesgo por los desbordamientos cibernéticos de esta guerra debería reconsiderarlo. La velocidad con la que NotPetya se extendió por todo el mundo y la naturaleza indiscriminada de sus víctimas debería ser una advertencia. Es una clara posibilidad que las ciberagresiones se extiendan más allá de Rusia y Ucrania, dirigidas por el Gobierno de Vladimir Putin, o no.
Todas las organizaciones deben prepararse lo mejor y más rápidamente posible. Lo más urgente es lo básico, empezando por una plantilla informada y concienciada. Cada miembro del personal con conciencia cibernética es efectivamente un cortafuegos humano.
Además, todos los parches deben actualizarse lo antes posible. Las aplicaciones antimalware deben mantenerse en la última versión posible y configurarse para que realicen escaneos automáticos frecuentes.
Y, si aún no se ha implementado, debería instalarse y activarse un sistema Zero Trust lo antes posible.