Lecciones sobre ciberseguridad que nos deja la guerra en Ucrania

Suele definirse guerra híbrida como aquella en la cual los contendientes fusionan instrumentos de poder y herramientas de subversión no convencionales. El objetivo de esta mezcla de herramientas cinéticas y tácticas no cinéticas es optimizar el daño infligido en el oponente. Este tipo de guerra tiene dos características fundamentales. La primera de ellas, lo difusa que resulta la línea entre guerra y paz. La segunda sería la ambigüedad y dificultad de atribución de las operaciones.

Las operaciones militares en el ciberespacio, especialmente contra objetivos de infraestructura crítica o como medio de difusión de campañas de desinformación, encajan perfectamente dentro del concepto de guerra híbrida. Desde el punto de vista del atacante, el coste y el riesgo de estas operaciones resulta significativamente inferior al de la ejecución de operaciones militares convencionales, pudiendo incluso trascender el daño infligido al mundo físico.

Por otro lado, suele resultar extremadamente complicado atribuir inequívocamente un ciberataque a un Estado o facción debido a los ataques de falsa bandera, de modo que la víctima normalmente no podrá plantearse llevar a cabo una acción de respuesta contra el atacante.

Diferentes naciones llevan años aprovechando la niebla que proporciona el dominio del ciberespacio como forma de ocultar operaciones afines a su política exterior"

Diferentes naciones llevan años aprovechando la niebla que proporciona el dominio del ciberespacio como forma de ocultar operaciones afines a su política exterior. Se trata de un dominio que complementa, y en muchos casos supera, las capacidades de las operaciones de inteligencia convencionales, puesto que permite recopilar información de forma sigilosa durante largos periodos de tiempo sin necesidad de exponer la integridad física de sus agentes de campo.

No obstante, con el paso de los años, la digitalización de la administración, el comercio, la cadena logística de suministros y la sociedad en general, junto con el rápido despliegue del Internet de las cosas, han aumentado ostensiblemente la superficie de exposición frente a potenciales ciberataques. Es decir, han aumentado exponencialmente los objetivos que pueden ser batidos empleando este dominio, pero la trascendencia de ser víctima de un ataque es cada vez mayor.

En realidad, los ciberataques no son algo novedoso. Hay que remontarse a 2007 para encontrar el primer ejemplo de ciberataque contra un Estado con cierta repercusión. Ya por aquel entonces, la administración electrónica en la pequeña exrepública soviética de Estonia era una realidad. Este elevado nivel de digitalización permitió que un ciberataque orquestado por el gobierno ruso, pero que recibió la colaboración de miles de voluntarios prorrusos colaboraron voluntariamente durante la ejecución del ciberataque, desbordara las medidas de contención establecidas y sumiera durante unos días a este país en un auténtico caos burocrático.

Poco tiempo después, en junio de 2010, trascendió un ciberataque que produjo daños físicos en la central nuclear iraní de Natanz, acción atribuida por su envergadura y motivación a Estados Unidos y/o Israel. La repercusión mediática de ambos ataques y otros posteriores han servido de catalizador del riesgo inherente a las ciberamenazas, contribuyendo al rápido desarrollo de capacidades defensivas, ofensivas, y de inteligencia en el ciberespacio por una amplia mayoría de los países tecnificados.

Diferentes agencias gubernamentales de los países occidentales y las grandes empresas de ciberseguridad han atribuido gran parte de los ciberataques conocidos durante los últimos años contra la infraestructura crítica de diferentes países a agentes de la amenaza vinculados con los gobiernos de Rusia, China y Corea del Norte. Precisamente, una de las naciones que ha sufrido un mayor número de incidentes conocidos contra su infraestructura crítica ha sido Ucrania durante el periodo comprendido entre 2015 y 2018.

Por otro lado, también se vincula a estos Estados con la ejecución de campañas de desinformación durante los procesos electorales en favor de partidos políticos que resulten más afines a sus intereses geoestratégicos. Adicionalmente, numerosos grupos cibercriminales operan desde estos países con relativa impunidad, siendo responsables de cuantiosas pérdidas económicas anualmente en multitud de empresas alrededor del mundo. Estos criminales serían los responsables de la ejecución de campañas de ransomware, robo de capitales y de criptodivisas.

A comienzos de 2022, Rusia fue incrementando progresivamente la tensión política con Ucrania, realizando un despliegue militar bajo la cobertura de unas presuntas maniobras que concluyeron finalmente con la invasión de territorio ucraniano el pasado 24 de febrero. El presidente ruso, Vladimir Putin, amenazó públicamente a los países de la UE y la OTAN con una escalada del conflicto bélico empleando medios tanto técnicos como militares en caso de injerencia directa en el actual conflicto entre Rusia y Ucrania.

Durante este periodo prebélico, y durante las primeras semanas del conflicto armado, las fuerzas rusas han ejecutado diferentes campañas cuyos objetivos principales han sido tanto la destrucción de información de los sistemas gubernamentales ucranianos como la interrupción de las comunicaciones vía satélite empleadas por el ejército cosaco. Para este último ataque, aparentemente lograron inhabilitar remotamente los receptores satelitales ucranianos a través de la distribución de un firmware malicioso.

Adicionalmente, y en reiteradas ocasiones, han logrado degradar la conectividad a Internet en Ucrania a través del principal proveedor del país, limitando así, por ejemplo, las comunicaciones de los civiles ucranianos con sus compatriotas en el exilio. Por otro lado, los diferentes grupos cibercriminales que operaban en foros de habla rusa en la Dark Web han ido posicionándose en favor de una u otra facción, pasando a operar como ciberpatriotas, y desempeñando, o atribuyéndose, la comisión de acciones hacktivistas contra intereses del adversario.

Entre los objetivos proucranianos se encuentran sistemas e infraestructuras críticas tanto rusas como bielorrusas, llegando a degradar temporalmente la capacidad de transporte ferroviario de este último país. Conviene destacar que el conocido grupo hacktivista Anonymous y un auténtico ejército de voluntarios multinacional han tomado partido en la vertiente ciber del conflicto en favor de Ucrania.

Hay voces que apuntan que los agentes rusos tienen desplegados sus poderosos tentáculos sobre la infraestructura crítica, económica y logística de estos países"

Condicionados por este contexto geopolítico, y en previsión ante posibles ciberataques contra la infraestructuras críticas y administración digital como represalia del gobierno ruso ante las sanciones económicas y la ayuda militar facilitada a Ucrania, los organismos responsables de la ciberseguridad de los países occidentales se han visto obligados a elevar al máximo el estado de alerta. No obstante, y contradiciendo las previsiones realizadas por los responsables de ciberinteligencia de estos organismos y de las principales empresas de ciberseguridad, hasta la fecha de publicación de este artículo, la realidad es que no se han constatado ciberataques significativos que puedan ser atribuidos inequívocamente a grupos vinculados al gobierno ruso.

Los equipos de ciberseguridad responsables de la protección de los potenciales objetivos viven en una incómoda calma tensa. Esta intranquilidad se ve avivada por voces periódicas que sugieren que, en realidad, los agentes rusos tienen desplegados sus poderosos tentáculos sobre la infraestructura crítica, económica y logística de estos países, y que sus herramientas permanecen ocultas y sigilosas esperando la orden ejecutiva de su gobierno para desatar el caos en Occidente. 

Y es que no hay nada más desconcertante que enfrentarse a un adversario al que no puedes ni ver, ni oír, ni tocar.

Mario Guerra Soto es experto en ciberinteligencia.