La invasión de Ucrania por parte de Rusia comenzó mucho antes del 24 de febrero. Y mucho antes antes de que los servicios de inteligencia de Estados Unidos descubrieran, el verano pasado, movimientos del ejército ruso que anticipaban un ataque contra su vecino, que en rigor sería el tercero en los siete años anteriores. Tardíamente se ha hecho público que todo empezó en 2015, con un ataque cibernético que dejó a la ciudad de Kiev sin electricidad durante horas. Desde entonces, Ucrania ha recibido ayuda estadounidense para reforzar sus ciberdefensas y dotarse de medios de represalia si se diera el caso. La preparación se acentuó al ponerse en evidencia que la confrontación sería inevitable.
Según informa el Financial Times, el desembarco de especialistas enviado por Washington alcanzó su punto máximo en noviembre pasado. Un equipo del US Army Cyber Command y contratistas civiles viajó a Kiev en octubre del año pasado. Su tarea consistía en rastrear cada sistema conectado en busca de malware identificable como de autoría rusa y, por consiguiente, susceptible de lanzar un ciberataque en coincidencia con la invasión terrestre que ya se consideraba como probable.
Aunque ha habido durante años actos hostiles contra las redes ucranianas, hasta la semana pasada no se había producido ningún ataque de envergadura que confirme esa temida combinación. Así lo asegura Cisco en el blog de su servicio de ciberseguridad Talos. Pero sí ha detectado otro fenómeno: “delincuentes oportunistas intentan explotar la simpatía hacia Ucrania ofreciendo herramientas supuestamente útiles para sabotear entidades rusas. Una vez descargados, esos archivos infectan a los usuarios inconscientes en lugar de proveer las herramientas prometidas”.
La amenaza sigue latente, pero una pregunta pertinente – y la respuesta sería útil para el resto del mundo – es en qué medida esa colaboración ha sido eficaz para neutralizar ataques de los sospechosos habituales, patrocinados o protegidos por Rusia. Por el momento, parece que algo han conseguido: mantener en funcionamiento los ferrocarriles, una infraestructura indispensable para la evacuación de la población civil.
De ser veraces las informaciones publicadas – en las que una dosis de propaganda es de suponer – la colaboración estadounidense habría permitido encontrar y limpiar un tipo de malware especialmente pernicioso, denominado wiperware (o más simplemente wiper) que inutiliza redes enteras mediante el borrado fulminante de archivos.
Symantec, ahora una división de Broadcom, estuvo entre las primeras empresas de ciberseguridad en publicar informes sobre este componente de la guerra en Ucrania.
Los expertos occidentales en ciberseguridad no se precipitan a cantar victoria. Sin excepción, han admitido que, aunque durante años han logrado detener numerosos ataques, no pueden frenar todos, sobre todo si en el otro bando están los bien protegidos hackers rusos. En concreto, desde el comienzo de la invasión de territorio ucranio ha habido varios intentos de asaltos con wiper, algunos de los cuales han afectado no sólo a equipos ucranianos sino también a letones y lituanos. Se han producido innumerables ataques de denegación de servicio (DdoS), una de las modalidades favoritas de los ciberdelincuentes rusos debido a su ínfimo coste.
Wiper preocupa mucho a los expertos en ciberseguridad. Este malware podría marcar una escalada de ciberataques contra objetivos ucranianos, convertidos en conejillos de una nueva generación más peligrosa que las conocidas. En la primera semana de invasión, diferentes compañías de seguridad dijeron haber detectado ataques con wiper contra ministerios, bancos y proveedores del gobierno de Kiev. Sendos informes de ESET y Symantec revelaban que ese malware en concreto había sido creado sólo dos meses antes.
Es comprensible que el lector se sienta saturado por el uso y abuso del adjetivo híbrido, tan corriente en la mercadotecnia de las TI. Pues debería prepararse para más: en las próximas semanas y meses será asaltado por un nuevo tópico, la guerra híbrida. Mientras ucranianos y estadounidenses se preparaban para lo que vendría, sus adversarios rusos diseñaban una estrategia que combina la guerra tradicional con nuevas tácticas específicas del ciberespacio.
El objetivo de la campaña híbrida de Moscú es transparente: debilitar al gobierno de Kiev hasta provocar su caída y sembrar el pánico entre la población para actuar a sus anchas, como hiciera en 2014 al apoderarse de la península de Crimea ante la impotencia de la otra parte.
Desde entonces, ha habido numerosos ciberataques contra las infraestructuras ucranianas. Además del mencionado de 2015, dos años después, una seguidilla contra empresas del país; en enero de este año fueron atacados docenas de sitios web gubernamentales en los que se implantaron códigos maliciosos explotables cuando fuera preciso. Y el mismo mes, un grupo de los denunciados como peones de Moscú – intentó acceder al registro gubernamental que aloja datos sobre empresas y empresarios ucranianos, aunque al parecer fue bloqueado a tiempo. Por fin, en la primera semana de este mes, las páginas web del ejército y los bancos estatales de Kiev fueron invadidas por un tráfico masivo que no podían atender, quedando inutilizadas temporalmente.
ThousandEyes, propiedad de Cisco desde 2020 y dedicada al seguimiento continuo del tráfico en Internet, constataba en un concienzudo documento, Ukraine Internet Analysis, la existencia de “niveles significativos de disrupción y disponibilidad reducida en los sitios web de los bancos ucranianos, así como en los de defensa y gobierno del país. Sus pautas son coherentes con el comportamiento de las redes ante ataques de denegación de servicio (DDoS) así como indicativas de las contramedidas que habrían tomado los operadores de servicio para mitigar el impacto de esos ataques”
Por otro lado, han proliferado las advertencias sobre la inminencia de una desconexión entre las redes rusas y el resto de la Internet global, pero de momento han resultado ser exageradas, también según ThousandEyes. Ha habido una reducción en el ancho de banda disponible, pero no catastrófica: las métricas de tráfico no se alejan de la conectividad histórica: “la conexión de Rusia con el resto del mundo se ha mantenido prácticamente intacta gracias al principal ISP del país, Rostelecom […] Incluso dos proveedores estadounidenses – Cogent y Lumen – han suspendido sus actividades en Rusia pero siguen resolviendo tráfico internacional con Rostelecom”.
Estas precisiones con fundamento técnico quitan alarmismo, pero no reducen los peligros inherentes a una ciberguerra que nunca ha estado tan asociada a una confrontación sobre el terreno. La estrategia de Moscú pasa por diferentes frentes. Gobiernos y empresas de ciberseguridad saben bien cómo se las gastan los grupos de hackers. Uno de esos frentes pasa por explotar la menor debilidad que puedan hallar en Windows.
El ransomware acapara desde hace tiempo los titulares de los medios y una gran parte de esta actividad delictiva procede de grupos cuyos mensajes internos se escriben en ruso. En estos tiempos de guerra, el objetivo del secuestro de datos pasa a ser otro: destruir los sistemas del adversario. Para esto se ha desarrollado Whisperate, que se disfraza de ransomware y que, cuando es activado por la víctima, deja fuera de operación al sitio infectado. Ataca los equipos basados en Windows sobreescribiendo las instrucciones que permiten arrancar el sistema operativo. Al encontrar una nota de rescate – un señuelo – lo primero que hace el usuario es apagar el equipo y es en ese momento cuando el malware se ejecuta.
Los expertos en ciberseguridad desconfían de que la ciberguerra actual se ciña sólo a ataques DDoS o a introducir ransomware falso. Hay pistas que apuntan a que Moscú no ha sacado aún todo su arsenal, pero tampoco es necesario que los ataques tengan otra tipología. En estas circunstancias, no se trata de innovar sino de atacar con armas que se sabe funcionan.
En horas previas a la invasión territorial, ESET descubrió un malware de borrado de datos, HermeticWiper activado a continuación de ataques DDoS contra varios sitios ucranianos. La tipología de ataque no había cambiado pero el riesgo se intensificaba.
Sobran motivos para creer que se avecinan nuevos ataques. Y, al igual que las sanciones económicas, sus efectos se sufrirán también en Occidente. Estados Unidos lleva tiempo advirtiendo de los daños colaterales y – tal como ocurrió con los avisos sobre los preparativos de invasión – más vale tomarse en serio la amenaza. Los hackers a sueldo harán uso intensivo de sus herramientas para castigar a las empresas occidentales que se han sumado a las sanciones contra el régimen de Vladimir Putin.
No siempre está claro quién es el responsable de un ciberataque, pero los funcionarios ucranianos y estadounidenses han vinculado los detectados en los últimos años con grupos inspirados por la inteligencia rusa. Se especula sobre una supuesta competencia entre organismos diferentes que se lanzan sobre un mismo objetivo, pero esto sólo consigue alimentar la confusión. Inevitablemente, todo lo que concierne a la ciberguerra es un campo difuso.
El Belfer Center, instituto de estudios sobre relaciones internacionales de la universidad de Hardware, elabora un Cyber Power Index, cuya última edición publicada es de 2020 en el que sitúa a Rusia en cuarta posición mundial por detrás de Estados Unidos China y Reino Unido. Según este informe, si bien Estados Unidos lidera la clasificación global, el mayor potencial de crecimiento lo detenta China. Extrañamente, Rusia figura tercera por su potencial ofensivo y decimoctava por la calidad de sus defensas cibernéticas. Aun así, conviene no tomarse al pie de la letra este índice: por antiguo y, dicho sea de paso, porque clasifica a España en quinto lugar por sus capacidades ofensivas.
[informe de Mario Kotler, desde San Francisco]