Security Operations

Seis meses después: repaso al papel de los ciberataques en la guerra de Ucrania

Cuando Rusia invadió Ucrania el 24 de febrero de 2022, nadie sabía qué papel podrían jugar los ciberataques en una invasión a gran escala. Rusia había estado llevando a cabo ciberataques contra Ucrania desde que ocupó Crimea en 2014 y parecía inevitable que esa herramienta desempeñara un papel, especialmente después de los ataques a la red eléctrica de Ucrania y de soltar el gusano NotPetya.

Uno de los retos cuando se intenta evaluar la eficacia o el impacto de los ciberataques es tratar de ver cómo encajan en el “panorama general”. Cuando se está en medio del conflicto, la niebla de la guerra a menudo ofusca y distorsiona nuestra visión en cuanto a la eficacia de cualquier acción. Así que ahora, tras más de 6 meses de guerra, echemos un vistazo atrás e intentemos determinar el papel de las ciberarmas hasta este momento.

Según el Servicio Estatal Ucraniano de Comunicaciones Especiales y Protección de la Información (SSSCIP), Ucrania fue atacada 1123 veces desde el inicio de la guerra. El 36,9% de los objetivos estaban relacionados con el Gobierno/Defensa y los ataques fueron un 23,7% de código malicioso y un 27,2% de recopilación de información.

El componente cibernético de la guerra comenzó casi 24 horas antes de la invasión terrestre. En mi diario sobre el conflicto anoté que los ataques DDoS y Wiper comenzaron el 23 de febrero alrededor de las 16:00 horas locales. Inmediatamente, después las cosas empezaron a ser muy confusas, ya que se desplegaron multitud de ataques y técnicas en paralelo.

Desglosémoslos en algunas categorías y analicemos su intensidad, eficacia y objetivos. En mi opinión, se dividen en cuatro grandes categorías: destrucción, desinformación, hacktivismo y espionaje.

Destrucción

Teniendo en cuenta cómo ha evolucionado la guerra tras desviarse del plan original de Rusia, algunas de estas técnicas se han utilizado de forma diferente en las distintas fases de la guerra hasta ahora. La primera y más obvia fue la fase de malware destructivo.

A partir de enero de 2022, según el SSSCIP, atacantes rusos y prorrusos empezaron a lanzar malware que alteraba el sector de arranque y borraba el contenido de un sistema o hacerlo  inoperable. El objetivo principal eran los proveedores de servicios ucranianos, las infraestructuras críticas y las agencias gubernamentales.

Estos ataques continuaron durante las primeras seis semanas del conflicto y luego disminuyeron. La mayor parte de esta actividad se centró entre el 22 y el 24 de febrero, en los momentos previos a la invasión y durante la misma. Este acoso preparatorio tuvo ciertamente repercusiones, pero en última instancia no parece haber tenido ningún impacto positivo en el éxito de la invasión terrestre rusa.

Unos días antes de estos ataques, el gobierno ucraniano trasladó muchas de sus funciones oficiales en línea a una infraestructura en la nube gestionada y controlada por terceros no combatientes, evitando así las interrupciones y permitiendo a Ucrania mantener sus servicios y comunicarse con el mundo. Esto recuerda a Georgia, que trasladó los sitios web esenciales del gobierno a terceros países durante los ataques DDoS de Rusia contra ellos en 2008.

Otro ataque destructivo fue el de los módems de comunicaciones por satélite Viasat, en uso en toda Europa central y oriental, justo cuando comenzó la invasión. Según Raphael Satter, de Reuters, un alto funcionario ucraniano de ciberseguridad declaró que provocó “una pérdida realmente enorme en las comunicaciones al principio de la guerra“. Este ataque también impuso daños colaterales a los miembros de la OTAN, interrumpiendo el funcionamiento de más de 5800 turbinas eólicas en Alemania.

Este es probablemente el más impactante de todos los ataques realizados durante la guerra hasta ahora. Teniendo en cuenta que la mayoría de los expertos han especulado que Rusia había planeado una guerra de 72 horas, la interrupción de las comunicaciones militares podría haber tenido un impacto temprano significativo. Afortunadamente, los comandantes ucranianos pudieron reagruparse y establecer comunicaciones alternativas para minimizar la interrupción; a largo plazo, la evidencia es que Rusia ha tenido muchos más problemas con las comunicaciones en la cadena de mando que Ucrania.

Quizá en parte gracias a la ayuda de empresas tecnológicas como Microsoft y ESET, así como de las agencias de inteligencia estadounidenses, el éxito de Ucrania a la hora de detener los ataques destructivos ha sido impresionante.

Una de las amenazas de malware más sofisticadas dirigidas a infraestructuras críticas fue detectada y neutralizada cuando se descubrió en la red de un proveedor de energía ucraniano. Conocido como Industroyer2, el malware era una combinación de wipers tradicionales dirigidos a Windows, Linux y Solaris, y de malware específico para ICS dirigido a la tecnología operativa (OT) utilizada para controlar y supervisar la red eléctrica.

Microsoft ha señalado en un informe reciente que muchos ciberataques rusos parecen haberse coordinado con ataques convencionales en Dnipro, Kyiv y en el aeropuerto de Vinnytsia. Pero todavía no hay pruebas de que el componente cibernético haya contribuido a ningún progreso evidente en la ofensiva rusa.

En mi opinión, las operaciones cibernéticas destructivas no han tenido casi ningún impacto en el resultado de ninguna batalla de la guerra hasta ahora. Han hecho que mucha gente tenga un muy mal día, han proporcionado trabajo extra a los proveedores de ciberseguridad (muchos de los cuales están donando su tiempo y conocimientos) y han salido en muchos titulares, pero lo que no han hecho es influir tangiblemente en la dirección de esta guerra.

Desinformación/guerra de información

Rusia no es ajena al uso de la desinformación como arma para conseguir resultados políticos. La misión original parece haber previsto una victoria rápida irrumpiendo e instalando un gobierno títere. Con este plan, la desinformación sería clave en dos esferas de influencia inicialmente, y a medida que las cosas se alargaran, en tres.

El objetivo más obvio es el pueblo ucraniano, para convencerlo de que Rusia era un libertador y de que acabaría aceptando a un líder afín al Kremlin como propio. Aunque los rusos parecen haber intentado numerosas operaciones de influencia a través de los SMS y de las redes sociales tradicionales, no parece haber conseguido mucho en una Ucrania cada vez más patriótica.

Rusia ha tenido mucho más éxito en casa, su segundo objetivo más importante. Ha prohibido en gran medida los medios de comunicación extranjeros e independientes, ha bloqueado el acceso a las redes sociales y ha criminalizado el hecho de llamar a la invasión guerra.

Puede ser difícil juzgar el impacto de estas acciones en la población en general, aunque las encuestas sugieren que la propaganda está funcionando o al menos la única opinión que se puede expresar públicamente es el apoyo a la “operación militar especial”.

El tercer objetivo de la desinformación a medida que la guerra se alarga es el resto del mundo. Tratar de influir en Estados no alineados como India, Egipto e Indonesia puede ayudar a evitar que voten contra Rusia en las votaciones de las Naciones Unidas, así como influir potencialmente para que apoyen a Rusia.

La difusión de historias sobre los laboratorios de armas biológicas de Estados Unidos, la “desnazificación¨” y el presunto genocidio del ejército ucraniano están diseñados para poner en duda la imagen que los medios de comunicación occidentales tienen del conflicto. Gran parte de esta actividad parece tener su origen en personajes preexistentes que generan desinformación, más que en cuentas comprometidas o en algún tipo de malware.

Las agencias de inteligencia estadounidenses parecían desempeñar un papel fundamental a la hora de desmentir muchas de estas afirmaciones antes de la guerra, a menudo adelantándose a los planes rusos de difusión de desinformación. Esto ha dado lugar a que ciudadanos como Bellingcat utilicen la inteligencia de fuente abierta para verificar las afirmaciones hechas en las redes sociales.

La desinformación está teniendo un claro impacto, pero al igual que los ciberataques destructivos, no está afectando directamente al resultado de la guerra. Los civiles no reciben a las tropas rusas como liberadores y las fuerzas ucranianas no deponen las armas ni se rinden. Estados Unidos y Europa siguen apoyando a Ucrania y el pueblo ruso parece recelar, pero no rebelarse. En particular, en los últimos días las fuerzas ucranianas han retomado territorio bajo control ruso e incluso han sido recibidas como liberadoras por algunos civiles cerca de Kharkiv.

Hacktivismo

¿Los conocidos y muy hábiles atacantes de Rusia y Ucrania tomarían las armas cibernéticas y desencadenarían dañinas oleadas de ataques apoyando a cada uno de sus bandos? Ciertamente, al principio parecía que iba a ser así.

Algunos grupos de ciberdelincuentes muy conocidos, como Conti y Lockbit, declararon inmediatamente que estaban a favor de uno u otro bando, pero la mayoría de ellos declararon que no les importaba y que seguirían con su actividad habitual. Sin embargo, observamos un marcado descenso de los ataques de ransomware durante unas seis semanas después de la invasión inicial. Los volúmenes normales de ataques se reanudaron alrededor de principios de mayo, lo que sugiere que los ciberdelincuentes tuvieron interrupciones en la cadena de suministro al igual que el resto de nosotros.

Uno de los grupos más conocidos, Conti, emitió declaraciones amenazantes contra Occidente en su sitio de filtraciones, lo que llevó a las filtraciones de un investigador ucraniano sobre sus identidades y prácticas, lo que finalmente llevó a su disolución.

Por otro lado, los hacktivistas de ambos bandos se pusieron en marcha en los primeros días de la guerra. La desfiguración de páginas web, los ataques DDoS y otros hackeos triviales tenían como objetivo casi todo lo que era vulnerable y claramente identificable como ruso o ucraniano. No duró mucho y no pareció tener ningún impacto duradero. Las investigaciones muestran que se aburrieron y pasaron a la siguiente distracción.

Esto no quiere decir que no se produzcan ataques, sino que no tienen un impacto material en la guerra. En los últimos días, por ejemplo, alguien supuestamente hackeó Yandex Taxi y ordenó a todos los taxis que se dirigieran al centro de Moscú creando un atasco.

Espionaje

La última categoría es la más difícil de cuantificar. Puede ser extremadamente difícil evaluar el impacto de algo que es, por diseño, secreto. El principal método para estimar el alcance del espionaje en esta guerra es observar las veces que se ha descubierto e intentar extrapolar la frecuencia con la que los intentos pueden haber tenido éxito, teniendo en cuenta la frecuencia con la que no lo han tenido.

A diferencia de los ataques destructivos, la naturaleza secreta de los ataques de espionaje, y la dificultad de atribuirlos, los hace más útiles contra todos los objetivos adversarios, no sólo contra Ucrania. Al igual que la desinformación, hay mucha más actividad en este espacio dirigida a los partidarios de Ucrania que otros tipos de ataques que podrían llevar a los aliados de Estados Unidos y la OTAN a la guerra terrestre.

Las afirmaciones de ataques contra entidades no ucranianas deben considerarse cuidadosamente. No es nada nuevo que Rusia se dirija a Estados Unidos, la Unión Europea y los Estados miembros de la OTAN con malware, ataques de phishing y robo de datos. En algunos casos hay pruebas convincentes de que los ataques están motivados específicamente por la guerra en Ucrania.

En marzo de 2022, el Grupo de Análisis de Amenazas (TAG) de Google publicó un informe en el que se señalaban ataques de phishing rusos y bielorrusos dirigidos a organizaciones no gubernamentales (ONG) y grupos de reflexión con sede en Estados Unidos, al ejército de un país de los Balcanes y a un contratista de defensa ucraniano. Proofpoint también publicó una investigación que muestra que funcionarios de la UE que trabajan en la asistencia a los refugiados fueron objeto de campañas de phishing originadas en una cuenta de correo electrónico ucraniana supuestamente comprometida previamente por la inteligencia rusa.

Por supuesto, Rusia no es inmune a la recopilación de información y al compromiso. Como señaló James Andrew Louis, del Centro de Estudios Estratégicos e Internacionales, la tecnología de comunicaciones rusa estaba escasamente desplegada y era disfuncional durante la primera parte de la invasión.

Esto le llevó a concluir: “En segundo lugar, confiar en el sistema de comunicaciones de un adversario crea numerosas posibilidades de explotación. Muchos especulan que una de las razones de la alta tasa de bajas entre los oficiales superiores rusos fue que sus comunicaciones vulnerables permitieron localizarlos”.

Los ataques rusos contra objetivos ucranianos no han cesado y han llegado a utilizar las últimas vulnerabilidades a medida que se anuncian públicamente. En julio de 2022, por ejemplo, los actores de amenazas con base en Rusia fueron uno de los actores de amenazas que utilizaron ampliamente una nueva vulnerabilidad en Microsoft Office apodada “Follina“. Al parecer, uno de los objetivos de los documentos maliciosos en esta campaña eran las organizaciones de medios de comunicación, una herramienta importante durante una guerra.

Conclusión

Se hablará de la guerra de Ucrania durante mucho tiempo y nos está enseñando mucho sobre el papel que pueden desempeñar la ciberseguridad y los ciberataques en tiempos de guerra. Rusia estaba poco preparada y podría haber utilizado los ciberataques de forma mucho más eficiente.

Las primeras etapas de la guerra parecían centrarse en la desestabilización, la destrucción y la interrupción. Esto parece haber perdido importancia a medida que la determinación del pueblo ucraniano les ha permitido llevar la guerra a un estado prolongado que requiere una migración para centrarse en el espionaje y la desinformación.

Queda por ver cómo evolucionarán las cosas con Rusia controlando gran parte del suministro de energía en Europa a medida que nos acercamos al invierno. ¿Aumentará la desinformación para presionar a los líderes europeos para que suavicen las sanciones? ¿Se centrarán los grupos criminales en atacar a los proveedores de energía europeos, como ya hemos visto a pequeña escala?

La guerra no ha terminado y el papel de los ciberataques puede evolucionar a formas nuevas e imprevistas. Lo que es poco probable es que desempeñe un papel decisivo. Al menos en este conflicto, es una herramienta más que se utilizará junto con otras armas y herramientas de guerra, y como en cualquier otro aspecto de la guerra, una fuerte defensa suele ser el mejor ataque.