Las guerras ya no se libran solo en el campo de batalla. La ofensiva militar rusa lanzada el pasado 24 de febrero contra Ucrania viene precedida de una «ciberguerra» que lleva meses activa, incluso años, con ataques a empresas, bancos, infraestructuras eléctricas o páginas web gubernamentales.
Si bien adjudicar una autoría al cien por cien en el ciberespacio es tarea complicada, algunos países, expertos y empresas de ciberseguridad ven «la huella» de grupos de piratas informáticos con origen en Rusia en muchos de estos ataques.
Pero, ¿cuándo empezaron? ¿Han continuado una vez iniciada la invasión a Ucrania? ¿Cuándo se habló de ciberguerra por primera vez?
Las ciberamenazas son parte de los instrumentos de las llamadas guerras híbridas. «Todas las guerras ya son híbridas, con múltiples campos de batalla», como la desinformación o los ataques en la Red, describe el experto en ciberseguridad José Rosell, socio director de la empresa española S2 Grupo.
La ciberguerra es la utilización del ciberespacio para lanzar ataques que provoquen daños o la imposibilidad de acceder a servicios de todo tipo por parte del adversario, explica por su parte Josep Albors, director de investigación y concienciación de ESET España.
Sin embargo, como en otros tantos ámbitos, hay que diferenciar entre una ciberguerra a gran escala y las «ciberescaramuzas» que se producen constantemente, y tener en cuenta que las atribuciones nunca están tan claras como sucede con los ataques convencionales.
2007, la primer vez que se habló de Ciberguerra
Aunque es difícil poner fecha, los expertos consultados coinciden en que la primera vez que se habló de ciberguerra fue en 2007, a raíz de los ataques sufridos por Estonia.
Entonces, el Gobierno estonio trasladó una estatua en conmemoración de la liberación del país de los nazis por parte de la Unión Soviética a un lugar menos destacado, lo que enfureció a la población de habla rusa en Estonia y desestabilizó las relaciones con Moscú, relata Chester Wisniewski, de la empresa de ciberseguridad Sophos.
Poco después se produjeron disturbios en las calles, protestas ante la embajada de Estonia en Moscú y una oleada de ataques de denegación de servicio distribuidos (DDoS), debilitando los sitios web del gobierno y los servicios financieros estonios (a través de un programa malicioso o bots informáticos se colapsaron las páginas).
Casi inmediatamente, relata Wisniewski en un artículo, aparecieron en foros rusos herramientas e instrucciones sobre cómo participar en ataques DDoS; siete días después estos cesaron a medianoche.
Aunque todo el mundo implicó inmediatamente a Rusia, la atribución de los DDoS, por diseño, es casi imposible. Hoy en día se cree ampliamente que estos fueron obra de la Russian Business Network, un conocido grupo de delincuencia organizada en Rusia, según Wisniewski.
Ucrania: Ciberataques que no cesan desde 2014
«Posteriores ciberataques contra Georgia en 2008, en el momento en el que Rusia invadía la provincia separatista de Osetia del Sur, y contra Kirguistán en 2009, nos llevan -añade Wisniewski- hasta la invasión de Crimea en 2014». Desde entonces no han cesado los ciberataques sufridos por Ucrania, coinciden los expertos.
«Llevamos años de episodios»; ha habido ataques «muy serios que tumbaron» incluso parte del sistema eléctrico, afirma Rosell.
En diciembre de 2015 la mitad de los más de 230.000 habitantes de la ciudad ucraniana de Ivano-Frankivsk, se quedaron sin electricidad y un año después las luces se apagaron en Kiev -esta vez el «malware» responsable se llamaba Industroyer/CrashOverride-.
Rosell coincide con Wisniewski en que los ataques se intensificaron en 2017 con NotPetya, un virus informático -una evolución del WannaCry- lanzado originariamente en Ucrania y que se extendió en cuestión de horas, afectando sobre todo a empresas ucranianas, pero también a países como Polonia, Reino Unido o Francia.
Las semanas antes de la invasión
«Contra Ucrania ya hace semanas que han estado enviando correos con un troyano específico a militares y funcionarios para borrar documentos directamente», indica Jordi Serra, profesor de los Estudios de Informática, Multimedia y Telecomunicación en la Universitat Oberta de Catalunya.
Los días 13 y 14 de enero de 2022 numerosos sitios web del gobierno fueron desconfigurados; en este ataque se dejaron muchas «falsas banderas» -autorías- que intentaban implicar, por ejemplo, a disidentes ucranianos.
El 15 de febrero se desencadenaron una serie de ataques DDoS contra páginas gubernamentales y militares ucranianas, así como contra tres de los mayores bancos. Estados Unidos acusó a Rusia de estas acciones.
El día 23 se desató otra ola de ciberataques, que hasta ahora no se han atribuido a nadie. No obstante, refiriéndose a esta y a la del día 15, el jefe del departamento de ciberseguridad del Consejo de Seguridad de Ucrania, Ilyá Vityuk, dijo: «vemos con claridad la huella de servicios de inteligencia extranjeros».
El día 24 numerosas webs gubernamentales rusas, incluidas las del Kremlin y el Ministerio de Defensa, cayeron, y dos días después entró en juego Anonymous, declarándole la «ciberguerra» a Rusia y a su presidente, Vladímir Putin. Desde entonces, han reivindicado diversos ataques, entre ellos a medios de comunicación rusos el día 28.
Unas horas más tarde del anuncio de Anonymous, el grupo de «ransomware» o secuestro de datos Conti publicó un mensaje en la red oscura declarando su pleno apoyo al gobierno ruso, una declaración a la que luego bajaron el tono sugiriendo que solo «devolverían el golpe» en respuesta a la ciberagresión estadounidense, detalla Sophos.
En las últimas horas los ataques han continuado, pero para Wisniewski la buena noticia es que los rusos no han utilizado los ciberataques para destruir o interrumpir los servicios básicos de Ucrania; sin embargo, «no debemos dormirnos en los laureles».
La preocupación por que la ciberguerra tenga consecuencias en otros países ha aumentado. Se ha hecho visible la necesidad de que empresas y otras entidades estén preparadas para hacer frente a estos incidentes.
Para Albors, de ESET, la mayoría de los países son perfectamente conocedores de la ciberguerra (…), «otra cosa es que se destinen los recursos suficientes, especialmente en la parte defensiva».
«Tenemos que despertarnos ante una realidad que tenemos encima, es absolutamente necesario ser conscientes de lo que se puede hacer con ciberarmamento. Pensemos en lo que pasaría en nuestro país si tumbasen la red eléctrica y los cajeros no funcionasen», subraya Rosell, de S2 Grupo, para quien hay que aumentar la inversión, tanto pública como privada, en ciberseguridad, también en España.
