Seis meses después: una mirada retrospectiva al papel de los ciberataques en la guerra de Ucrania

Cuando Rusia invadió Ucrania el 24 de febrero de 2022, ninguno de nosotros sabía qué papel podrían desempeñar los ciberataques en una invasión a gran escala. Rusia había estado realizando ataques cibernéticos contra Ucrania desde que ocupó Crimea en 2014 y parecía inevitable que estas herramientas desempeñaran un papel, especialmente después de los ataques a la red eléctrica de Ucrania y la liberación del gusano NotPetya en el mundo.

Uno de los desafíos al intentar evaluar la eficacia o el impacto de los ataques informáticos es tratar de ver cómo encajan en el “panorama general”. Cuando estás en medio del conflicto, la niebla de la guerra a menudo ofusca y distorsiona nuestra visión en cuanto a la efectividad de cualquier acción dada. Así que ahora, más de 6 meses después de esta guerra, echemos un vistazo atrás con nuestra retrospectiva 20/20 e intentemos determinar el papel de las armas cibernéticas hasta este punto.

Según el Servicio Estatal de Comunicaciones Especiales y Protección de la Información de Ucrania (SSSCIP), Ucrania fue atacada 1.123 veces desde el inicio de la guerra. El 36,9 % de los objetivos estaban relacionados con el gobierno/defensa y los ataques fueron un 23,7 % de código malicioso y un 27,2 % de recopilación de información.

El componente cibernético de la guerra comenzó casi 24 horas antes de la invasión terrestre. En mi diario sobre el conflicto anoté que los ataques DDoS y los ataques de limpiaparabrisas comenzaron el 23 de febrero alrededor de las 16:00 hora local. Inmediatamente después, las cosas comenzaron a volverse muy confusas, ya que se desplegaron una multitud de ataques y técnicas en paralelo.

Dividámoslos en algunas categorías y luego analicemos su intensidad, efectividad y objetivos. Veo que se dividen en cuatro grandes categorías: destrucción, desinformación, hacktivismo y espionaje.

Destructivo

Teniendo en cuenta cómo ha tenido que evolucionar la guerra a medida que se apartó del plan original de Rusia, algunas de estas técnicas se han utilizado de manera diferente en distintas fases de la guerra hasta el momento. La primera y más obvia fue la fase de malware destructivo.

A partir de enero de 2022, según SSSCIP, los atacantes rusos y prorrusos comenzaron a liberar malware que alteraba el sector de arranque y el limpiaparabrisas, diseñado para borrar el contenido de un sistema o hacerlo inoperable. Se dirigieron principalmente a proveedores de servicios ucranianos, infraestructura crítica y agencias gubernamentales.

Estos ataques continuaron durante las primeras seis semanas del conflicto y luego disminuyeron. La mayor parte de esta actividad se centró entre el 22 y el 24 de febrero, antes y durante la invasión. Este hostigamiento preparatorio sin duda tuvo impactos, pero en última instancia no parece haber tenido ningún impacto positivo en el éxito de la invasión terrestre de Rusia.

Unos días antes de estos ataques, el gobierno ucraniano trasladó muchas de sus funciones oficiales en línea a una infraestructura en la nube administrada y controlada por terceros no combatientes, evitando así interrupciones y permitiendo que Ucrania mantenga los servicios y se comunique con el mundo. Esto recuerda a Georgia que trasladó sitios web gubernamentales esenciales a terceros países durante los ataques DDoS de Rusia contra ellos en 2008.

Otro ataque destructivo fue un ataque destructivo en los módems de comunicaciones por satélite Viasat, en uso en toda Europa central y oriental, justo cuando comenzó la invasión. Según Raphael Satter de Reuters, un alto funcionario de seguridad cibernética de Ucrania declaró que resultó en “una pérdida realmente enorme en las comunicaciones al comienzo de la guerra”. Este ataque también impuso daños colaterales a los miembros de la OTAN, interrumpiendo el funcionamiento de más de 5.800 aerogeneradores en Alemania.

Este es probablemente el más impactante de todos los ataques realizados durante la guerra hasta el momento. Teniendo en cuenta que la mayoría de los expertos han especulado que Rusia había planeado una guerra de 72 horas, la interrupción de las comunicaciones militares podría haber tenido un impacto temprano significativo. Afortunadamente, los comandantes ucranianos pudieron reagruparse y establecer comunicaciones alternativas para minimizar la interrupción; a largo plazo, la evidencia es que Rusia ha luchado mucho más con las comunicaciones de la cadena de mando que Ucrania

Tal vez en parte debido a la asistencia de empresas tecnológicas como Microsoft y ESET, así como de las agencias de inteligencia de EE. UU., el éxito de Ucrania para detener los ataques destructivos ha sido impresionante.

Una de las amenazas de malware más sofisticadas dirigidas a la infraestructura crítica se detectó y neutralizó cuando se descubrió en la red de un proveedor de energía ucraniano. Conocido como Industroyer2, el malware era una combinación de limpiaparabrisas tradicionales dirigidos a Windows, Linux y Solaris y malware específico de ICS dirigido a la tecnología operativa (OT) utilizada para controlar y monitorear la red eléctrica.

Microsoft ha señalado en un informe reciente que muchos ciberataques rusos parecen haber sido coordinados con ataques convencionales en Dnipro, Kyiv y en el aeropuerto de Vinnytsia. Pero todavía no hay evidencia de que el componente cibernético haya contribuido a ningún progreso evidente en la ofensiva rusa.

Según mi estimación, las operaciones cibernéticas destructivas casi no han tenido impacto en el resultado de ninguna batalla en la guerra hasta el momento. Hicieron que muchas personas tuvieran un mal día, proporcionaron trabajo adicional a los proveedores de seguridad cibernética, muchos de los cuales están donando su tiempo y conocimientos, y generaron muchos titulares, pero lo que no han hecho es influir de manera tangible en la dirección de esta guerra.

Desinformación/guerra de información

Rusia no es ajena al uso de la desinformación como arma para lograr resultados políticos. Su misión original parece haber previsto una victoria rápida al asaltar e instalar un gobierno títere. Con este plan, la desinformación sería clave en dos esferas de influencia inicialmente, y con el tiempo, en tres.

El objetivo más obvio es el pueblo ucraniano, para convencerlo de que Rusia fue un libertador y eventualmente aceptar a un líder amigo del Kremlin como propio. Si bien los rusos parecen haber intentado numerosas operaciones de influencia a través de SMS y las redes sociales tradicionales, no parecía haber mucho apetito por ello en una Ucrania cada vez más patriótica.

Rusia ha tenido mucho más éxito en casa, su segundo objetivo más importante. Ha prohibido en gran medida a los medios extranjeros e independientes, bloqueado el acceso a las redes sociales y criminalizado llamar a la invasión una guerra.

Puede ser difícil juzgar el impacto de estas acciones en la población general, aunque las encuestas sugieren que la propaganda está funcionando, o al menos la única opinión que se puede expresar públicamente es el apoyo a la “operación militar especial”.

El tercer objetivo de la desinformación a medida que se prolonga la guerra es el resto del mundo. Tratar de influir en los estados no alineados como India, Egipto e Indonesia puede ayudar a evitar que voten en contra de Rusia en las votaciones de las Naciones Unidas, así como influir en ellos para que apoyen a Rusia.

Plantar historias sobre los laboratorios de armas biológicas de EE. UU., la desnazificación y el presunto genocidio por parte del ejército ucraniano están diseñadas para poner en duda las representaciones del conflicto en los medios occidentales. Gran parte de esta actividad parece originarse en personas generadoras de desinformación preexistentes, en lugar de cuentas comprometidas o cualquier tipo de malware.

Las agencias de inteligencia de EE. UU. parecieron desempeñar un papel fundamental en la desacreditación de muchas de estas afirmaciones que condujeron a la guerra, a menudo adelantándose a los planes rusos de difundir desinformación. Esto se ha convertido en detractores ciudadanos como Bellingcat que utiliza inteligencia de código abierto para verificar las afirmaciones realizadas en las redes sociales.

La desinformación claramente está teniendo un impacto, pero al igual que los ataques destructivos, de ninguna manera está afectando directamente el resultado de la guerra. Los civiles no reciben a las tropas rusas como libertadores y las fuerzas ucranianas no deponen las armas y se rinden. Estados Unidos y Europa siguen apoyando a Ucrania y el pueblo ruso parece desconfiado, pero no repugnante. En particular, en los últimos días, las fuerzas ucranianas han retomado territorio bajo control ruso e incluso han sido recibidos como libertadores por algunos civiles cerca de Kharkiv.

Hacktivismo

¿Los piratas informáticos conocidos y muy hábiles de Rusia y Ucrania tomarían las armas cibernéticas y desencadenarían oleadas dañinas de ataques que apoyaran a cada uno de sus bandos? Ciertamente parecía que ese podría ser el caso desde el principio.

Algunos grupos de ciberdelincuencia conocidos, como Conti y Lockbit, declararon de inmediato que estaban de un lado o del otro, pero la mayoría de ellos declaró que no les importaba y que continuarían con sus negocios como siempre. Pero observamos una marcada disminución en los ataques de ransomware durante unas seis semanas después de la invasión inicial. Los volúmenes normales de ataques se reanudaron a principios de mayo, lo que sugiere que los delincuentes tuvieron interrupciones en la cadena de suministro al igual que el resto de nosotros.

Uno de los grupos más notorios, Conti, emitió declaraciones amenazantes contra Occidente en su sitio de filtración, lo que provocó filtraciones de un investigador ucraniano sobre sus identidades y prácticas, lo que finalmente llevó a su disolución.

Por otro lado, los hacktivistas de ambos lados se pusieron en marcha en los primeros días de la guerra. Las desfiguraciones web, los ataques DDoS y otros ataques triviales tenían como objetivo casi cualquier cosa que fuera vulnerable y claramente identificable como rusa o ucraniana. No duró mucho y no pareció tener ningún impacto duradero. La investigación muestra que se aburrieron y pasaron a la siguiente distracción.

Eso no quiere decir que no haya travesuras, sino que no está teniendo un impacto material en la guerra. En los últimos días, por ejemplo, alguien supuestamente hackeó Yandex Taxi y ordenó que todos los taxis fueran al centro de Moscú creando un embotellamiento.

Espionaje

La última categoría es la más difícil de cuantificar. Puede ser extremadamente difícil evaluar el impacto de algo que, por diseño, es encubierto. El método principal para estimar qué tan extenso ha sido el espionaje en esta guerra es observar las veces que se descubrió e intentar extrapolar con qué frecuencia los intentos pueden haber tenido éxito, considerando la frecuencia con la que no lo fueron.

A diferencia de los ataques destructivos, la naturaleza secreta de los ataques de espionaje y la dificultad de atribuirlos los hace más útiles contra todos los objetivos adversarios, no solo contra Ucrania. Al igual que la desinformación, hay mucha más actividad en este espacio dirigida a los partidarios de Ucrania que otros tipos de ataques que podrían llevar a los aliados de EE. UU. y la OTAN a la guerra terrestre.

Las afirmaciones de ataques a entidades no ucranianas deben ser consideradas cuidadosamente. No es nada nuevo que Rusia apunte a los Estados Unidos, la Unión Europea y los estados miembros de la OTAN con malware, ataques de phishing y robo de datos. En algunos casos, existen pruebas convincentes de que los ataques están motivados específicamente por la guerra en Ucrania.

En marzo de 2022, el Grupo de Análisis de Amenazas (TAG) de Google publicó un informe que señalaba ataques de phishing rusos y bielorrusos contra organizaciones no gubernamentales (ONG) y grupos de expertos con sede en EE. UU., el ejército de un país balcánico y un contratista de defensa ucraniano. Proofpoint también publicó una investigación que muestra que los funcionarios de la UE que trabajan para ayudar a los refugiados fueron blanco de campañas de phishing que se originaron en una cuenta de correo electrónico ucraniana supuestamente comprometida previamente por la inteligencia rusa.

Por supuesto, Rusia no es inmune a la recopilación y el compromiso de información. Como señaló James Andrew Louis, del Centro de Estudios Estratégicos e Internacionales, la tecnología de comunicaciones rusa se implementó escasamente y fue disfuncional durante la primera parte de la invasión.

Esto lo llevó a concluir: “En segundo lugar, confiar en el sistema de comunicaciones de un oponente crea numerosas posibilidades de explotación. Muchos especulan que una de las razones de la alta tasa de bajas entre los altos oficiales rusos fue que sus comunicaciones vulnerables permitieron identificar su ubicación. “

Los ataques rusos contra objetivos ucranianos no han cesado y han ido tan lejos como para utilizar las últimas vulnerabilidades a medida que se anuncian públicamente. En julio de 2022, por ejemplo, los actores de amenazas con sede en Rusia fueron uno de los actores de amenazas que utilizaron ampliamente una nueva vulnerabilidad en Microsoft Office denominada “Follina”. Parece que uno de los objetivos de los documentos maliciosos en esta campaña fueron las organizaciones de medios, una herramienta importante durante una guerra.

Conclusión

La guerra en Ucrania se enseñará y se hablará durante mucho tiempo y nos está enseñando mucho sobre el papel que pueden desempeñar la ciberseguridad y los ciberataques en tiempos de guerra. Rusia no estaba preparada y podría haber usado los ataques cibernéticos de una manera mucho más impactante.

Las primeras etapas de la guerra parecían centrarse en la desestabilización, la destrucción y la interrupción. Eso parece haber disminuido en importancia ya que la determinación del pueblo ucraniano les ha permitido llevar la guerra a un estado prolongado que requiere una migración para centrarse en el espionaje y la desinformación.

Queda por ver cómo evolucionarán las cosas con Rusia controlando gran parte del suministro de energía en Europa a medida que nos acercamos al invierno. ¿Se acelerará la desinformación para presionar a los líderes europeos para que suavicen las sanciones? ¿Se centrarán los grupos delictivos en atacar a los proveedores de energía europeos, como ya hemos visto a pequeña escala?

La guerra no ha terminado y el papel de los ciberataques puede evolucionar de formas nuevas e imprevistas. Lo que es improbable es que juegue un papel decisivo. Al menos en este conflicto, es otra herramienta que se debe usar junto con otras armas y herramientas de guerra, y como con cualquier otro aspecto de la guerra, una defensa fuerte suele ser la mejor ofensa.