El conflicto político entre Rusia y Ucrania no solo acumula preocupaciones a escala mundial en lo social, humano y económico, sino en el ámbito de la ciberseguridad. Y es que se haría inminente que las naciones estén preparadas para un conflicto cibernético, ahora que las tropas rusas han comenzado a atacar a Ucrania.
De hecho, han sido muchos los Ataques de Denegación de Servicio Distribuidos (DDoS) que interrumpen esporádicamente los sitios web del gobierno ucraniano y los proveedores de servicios financieros.
Para Chester Wisniewski, aunque las organizaciones siempre deben estar preparadas para un ataque desde cualquier dirección, ahora mismo puede ser útil saber qué buscar cuando aumenta el riesgo de ataque.
El científico investigador principal de Sophos ha estado revisando el historial de actividades estatales rusas conocidas o sospechadas en el ámbito cibernético para evaluar qué tipos de actividades esperar y cómo se pueden preparar las organizaciones.
Una de las más recientes ha sido el 15 de febrero de 2022 cuando se desató una serie de debilitantes ataques DDoS contra sitios web militares y gubernamentales de Ucrania, así como en tres de los bancos más grandes de esa nación.
“En un movimiento sin precedentes, la Casa Blanca ya ha desclasificado parte de la inteligencia y atribuyó los ataques al GRU ruso”.
Ocho días después (23-2-2022) se ha desatado en Ucrania otra ola de ataques DDoS contra los ministerios de Relaciones Exteriores, Defensa e Interior, así como en el Gabinete de Ministros y el Servicio de Seguridad de Ucrania.
Los apagones han durado alrededor de dos horas y hasta ahora no han sido atribuidos a algún grupo específico. Desde las compañías ESET y Symantec se ha informado que se implementó un nuevo limpiador de sector de arranque aproximadamente a las 17:00 (hora local), que fue precisamente en medio de este ataque DDoS.
“Parece haber afectado a un pequeño número de organizaciones relacionadas con las finanzas y los contratistas del gobierno ucraniano”.
Ya a las 2:00 hora local del 24 de febrero de 2022, los sitios web del Gabinete de Ministros de Ucrania y de los Ministerios de Relaciones Exteriores, Infraestructura, Educación y otros no estaban accesibles, según CNN. Cuatro horas después ya parecían estar funcionando con normalidad.
Las ciberamenazas rusas
Las amenazas y ataques de ciberseguridad atribuidos a Rusia han sido muchos, como el ocurrido el 19 de julio de 2008 cuando una nueva ola de ataques DDoS comenzó a tener como objetivo sitios web gubernamentales y de noticias en Georgia.
“Estos ataques misteriosamente se intensificaron dramáticamente el 8 de agosto de 2008, cuando las tropas rusas invadieron la provincia separatista de Osetia del Sur”.
Comenzaron en sitios gubernamentales y de noticias de Georgia antes de pasar a instituciones financieras, empresas, educación, medios occidentales y un sitio web de piratas informáticos de Georgia.
Además, los ataques persistentes de Rusia contra Ucrania no habían terminado y aumentaron el calor el 27 de junio de 2017 cuando liberaron una pieza de malware denominada NotPetya.
“NotPetya se disfrazó como una nueva variedad de ransomware y se implementó a través de una cadena de suministro pirateada de un proveedor de software de contabilidad ucraniano”.
Se supo que las víctimas no se limitaron a las empresas ucranianas, ya que el malware se propagó por todo el mundo en cuestión de horas y afectó principalmente a organizaciones que tenían operaciones en Ucrania.
Hasta ahora se ha estimado que NotPetya ha causado al menos 10 mil millones de dólares en daños en todo el mundo.
Ya en 2022 las tensiones ciberpolíticas siguen aumentando nuevamente. El 13 y 14 de enero de 2022 se desfiguraron numerosos sitios web del gobierno ucraniano y los sistemas se infectaron con malware disfrazado de ataque de ransomware.
“Múltiples componentes de estos ataques hacen eco del pasado. El malware no era en realidad ransomware, era simplemente un limpiador sofisticado, como se vio en los ataques de NotPetya”.
Además, Wisniewski ha afirmado que fueron dejadas muchas banderas falsas, lo que implica que podría ser obra de disidentes ucranianos o partisanos polacos. “Distraer, confundir, negar e intentar dividir parece ser el libro de jugadas estándar ahora”.
La jugada cibernética
El investigador principal de la compañía de ciberseguridad ha asegurado que, independientemente de que las cosas continúan escalando, las operaciones cibernéticas rusas seguramente continuarán.
Y es que el documento oficial de Rusia: “La Doctrina Militar de la Federación Rusa” (2010), establece: “La implementación previa de medidas de guerra de información para lograr objetivos políticos sin la utilización de la fuerza militar y, posteriormente, en aras de dar forma a una respuesta favorable de la comunidad mundial a la utilización de la fuerza militar”.
Esto insinuaría una continuación de los comportamientos anteriores y hace que los ataques DDoS sean un signo potencial de una respuesta cinética inminente.
“La guerra de información es la forma en que el Kremlin puede tratar de controlar la respuesta del resto del mundo a las acciones en Ucrania o cualquier otro objetivo de ataque”.
Entonces, las banderas falsas, la atribución errónea, las comunicaciones interrumpidas y la manipulación de las redes sociales serían componentes claves del manual de guerra de la información de Rusia.
A juicio de Wisniewski, no necesitan crear una cobertura permanente para las actividades sobre el terreno y en otros lugares, ya que simplemente necesitarían causar suficiente retraso, confusión y contradicción para permitir que otras operaciones simultáneas logren sus objetivos.
“Estados Unidos y el Reino Unido están tratando de adelantarse a algunas de las campañas de desinformación y esto podría limitar su eficacia. Sin embargo, no debemos asumir que los atacantes dejarán de intentarlo, por lo que debemos permanecer preparados y vigilantes”.
Desde una perspectiva global, según él, se debería esperar que una variedad de trabajadores autónomos “patrióticos” en Rusia, es decir, delincuentes de ransomware, escritores de phishing (suplantación de identidad) y operadores de botnets, arremetan con más fervor de lo normal contra los objetivos que se perciben como contrarios.
“La desinformación y la propaganda pronto alcanzarán un punto álgido, pero debemos mantener la nariz en el suelo, cerrar las escotillas y monitorear cualquier cosa inusual en nuestras redes”.
Todo esto, a medida que los ciclos del conflicto van y vienen, e incluso, cuando terminen. “Como todos sabemos, podrían pasar meses hasta que surjan pruebas de intrusiones digitales debido a este conflicto ruso – ucraniano”, señaló.v
