El día del palíndromo -22/02/2022-, Vladimir Putin reconocía la independencia de las provincias ucranianas de Donetsk y Lugansk. Era el punto de inflexión en una crisis internacional que amenazaba con volver a sembrar el conflicto armado en suelo europeo tras décadas de tensa pero efectiva paz. Lo que sucedió a continuación es bien sabido: Rusia comenzó una invasión militar en Ucrania ante la crítica generalizada del resto de países del planeta, especialmente de la Unión Europea y Estados Unidos.

El ataque ruso se está produciendo en los tres dominios clásicos de la guerra (tierra, mar y aire). Y aunque el cuarto dominio -el del espacio exterior- no ha entrado en liza, sí lo ha hecho el quinto y más reciente de ellos: el cibernético.

Así pues, la invasión rusa a Ucrania está considerada ya como la primera manifestación a gran escala de una guerra híbrida: un conflicto donde las batallas cinéticas se combinan con las cibernéticas para debilitar al rival y destruir sus recursos defensivos. 

No en vano, Rusia es uno de los principales polos de grupos ciberdelincuentes asociados al Estado, caladero de gran parte del talento global en este terreno y con una estrategia nacional bien planificada y ejecutada a lo largo de los últimos años para armar un auténtico 'ejército' capaz de tumbar a sus contendientes no sólo en el plano físico, también en el virtual.

Desde enero de este año, tanto analistas como compañías tecnológicas vienen alertando de un aumento considerable de los ataques contra servicios digitales esenciales de Ucrania (como la banca) así como de sus infraestructuras críticas y recursos gubernamentales. Ataques que, aun a riesgo de caer en la trampa de la falsa bandera, han sido atribuidos directamente a Rusia.

Pero, ¿cómo hemos llegado a esta situación? ¿Cuáles son las armas cibernéticas que emplea Rusia en su invasión de Ucrania? ¿Qué defensas tiene este país ante esta afrenta? ¿Cómo pueden responder el resto de países de Occidente si el conflicto se extiende más allá de sus fronteras?

¿Qué ha sucedido?

El pasado 15 de enero, con la tensión creciendo ya en la frontera con Rusia, docenas de organizaciones gubernamentales, empresas tecnológicas y ONG de Ucrania fueron víctimas de un 'malware' llamado WhisperGate. Aunque al principio se le consideró como un 'ransomware' (esto es, destinado a obtener dinero a cambio de devolver la información secuestrada), finalmente se descubriría que eso tan sólo era una fachada para ocultar que en realidad los datos eran borrados y destruidos en cualquier caso.

El ataque no tardaría en extenderse, casualmente, coincidiendo con las reacciones internacionales en contra de los planes de Putin. Así pues, el 19 de enero, la agencia diplomática canadiense sufrió este mismo incidente justo después de que este país anunciara su apoyo a Ucrania.

Destrozos en Kiev tras la segunda noche de bombardeos. Reuters

Según los análisis llevados a cabo por ACTI, existen similitudes entre la campaña WhisperGate de mediados de enero de 2022 y la campaña NotPetya de junio de 2017 de Sandfish, que también afectó notablemente a los rivales tradicionales de Rusia, como la propia Ucrania o Estonia.

"Ambas campañas se hicieron pasar por ataques de 'ransomware' y emplearon una cadena de compromiso que varios grupos de ciberdelincuentes han aprovechado", indican algunos informes de analistas a los que ha accedido este medio. "WhisperGate parece una trampa para analistas de inteligencia, destinada a confundir sobre una posible invasión y sumar evidencias para provocar que EEUU y la OTAN quedaran en ridículo dando fechas para la misma y otro tipo de argumentos".

Pero la escalada real de estos ciberataques llegó en la antesala del inicio de la contienda armada. Este miércoles, varios ataques de denegación de servicio (DDoS, por sus siglas en inglés) dejaron inoperativas las web de hasta 70 organismos públicos ucranianos, así como de varios bancos del país. 

"Los tipos de ataques que estamos viendo no son diferentes a los que emplean habitualmente los actores estatales, incluída Rusia. Lo que estamos viendo son ataques dirigidos a través del vector de internet, sin acceso presencial a los sistemas, que buscan en algunos casos inteligencia a través de intrusiones silenciosas (APT) y, en otros, simplemente interrumpir el normal funcionamiento de la víctima (con los ataques DDoS o el 'ransomware')", explica a D+I Enrique Domínguez, director de Estrategia en Entelgy Innotec Security.

"Desafortunadamente, los riesgos en Ucrania ya se han convertido en realidad ya que los sitios web de los bancos y el Ministerio de Defensa han sido atacados en las últimas semanas, y es probable que el país siga siendo un objetivo a corto plazo", añade  Katell Thielemann, vicepresidente de Análisis de Gartner. "Tampoco es la primera vez que Ucrania es el objetivo principal de ciberataques debido a conflictos geopolíticos".

No le falta razón: en 2014, su Comisión Electoral Central fue atacada. En diciembre de 2015, un ataque a la red eléctrica -CrashOverride- sumió a partes del país en la oscuridad. En junio de 2017, el ya mentado "NotPetya" afectó a muchas organizaciones, incluidos bancos, ministerios, periódicos e incluso sistemas de monitorización de radiación en Chernobyl. Y detrás de todos estos ataques, siempre ha estado la alargada sombra de Vladimir Putin.

El último caso conocido fue descubierto por ESET y se trataba de un nuevo 'malware' destinado a borrar datos de "cientos de máquinas", cifra que a su vez Symantec concretaba en 50 equipos de uno de los principales bancos del país, así como distintos contratistas en Letonia y Lituania.

"En estos casos, lo que se busca es generar el caos al impedir que los sistemas sean accesibles", destaca Josep Albors, responsable de Awareness & Research de ESET España, a D+I, quien lanza una advertencia de lo que está por venir: "Me preocupan mucho los ataques dirigidos a infraestructuras críticas que puedan sucederse, no sólo ya a electricidad como hemos visto en el pasado, sino al agua potable o a las cadenas logísticas. Y, desgraciadamente, estos ataques pueden estar contemplados en los planes de una guerra híbrida como esta".

La respuesta de los activistas

Si bien se desconoce alguna respuesta ofensiva por parte de Ucrania ante los ataques rusos (a pesar de la apelación desesperada del ministro de Defensa local a la comunidad 'hacker'), la importante movilización internacional en su favor sí que ha propiciado que distintos grupos de hacktivistas (activistas cibernéticos) se tomen la justicia por su mano para tratar de compensar la balanza.

Calles desiertas en Kiev en plena ofensiva rusa. Reuters

Volviendo a enero, un grupo llamado Cyber Partisans aseguró en un canal de Telegram haber instalado un 'malware' en la red privada de los ferrocarriles bielorrusos (aliados de Putin) con el fin de retrasar los movimientos de personal y material militar ruso hacia la frontera con Ucrania. Este extremo nunca fue confirmado por las autoridades locales, algo que tampoco era de esperar en este régimen de dudosa legalidad.

Ya con la guerra en ciernes, Anonymous también entró en escena, en su caso mediante un ataque DDoS que tumbó varias webs estatales rusas y, especialmente, la de la RT, el principal canal de noticias -considerado generalmente como desinformación y propaganda orquestada por el Kremlin- del país.

¿Cómo financia Rusia sus ciberataques?

Los analistas estiman que Rusia posee un colchón de 630.000 millones de dólares para financiar la guerra en Ucrania en reservas de divisas y oro. Se desconoce la cantidad total que se destinará a la batalla cibernética, aunque se estima residual. Los expertos consultados por este medio indican que la principal partida de gasto corresponde al talento necesario para llevar a cabo estas campañas, no tanto a una inversión extraordinaria en infraestructuras o centros de datos, con lo que los recursos con que cuenta Rusia en estos momentos ya vendrían financiándose desde hace años.

Y ahí, más allá de las aportaciones oficiales y oficiosas del gobierno ruso a los distintos grupos de ciberatacantes, lo cierto es que éstos tienen otra fuente de ingresos muy particular: los rescates procedentes de los ataques con 'ransomware' que secuestran datos de empresas y particulares a diario.

La gente se reúne en un refugio antiaéreo en Kiev. Reuters

No en vano, según un estudio reciente de la empresa Chainalysis, el 74% del botín obtenido solo en 2021 mediante este tipo de ataque ha ido a parar a ciberdelincuentes rusos de APT y grupos vinculados al gobierno, los cuales parecen tener su sede en Vostok, el rascacielos más alto de Moscú. Hablamos de 400 millones de dólares en pagos en criptomonedas en únicamente un curso. Otro informe de Entelgy Innotec Security incluso llega a afirmar que "el 9,9% de estas ganancias se destinan a Evil Corp, un presunto grupo de ciberdelincuencia contra el que EEUU ha emitido sanciones y acusaciones, pero que opera en Rusia con aparente impunidad".

Las opciones de Ucrania

Desgraciadamente, y al igual que en cualquier análisis de la contienda sobre el terreno, las opciones de Ucrania son muy limitadas. En este caso, no sólo por la disparidad de recursos en ciberseguridad de que disponen uno y otro país, sino porque las soluciones a esta clase de incidentes suelen llegar mucho antes de que se produzcan.

"Poco puede hacer Ucrania, más en estas circunstancias en las que están más preocupados de que no les caiga una bomba encima que de parchear sistemas o detectar vulnerabilidades", destaca Domínguez. "La ciberseguridad es un trabajo continuo, de preparación constante, de revisión de los riesgos y de establecimiento de políticas. Ahora ya es demasiado tarde".

El experto duda de que la ayuda ofrecida por algunos países europeos (Lituania, Países Bajos, Polonia, Estonia, Rumanía y Croacia) en forma de profesionales de respaldo vaya a servir de mucho: "Tendrá un impacto dudoso en el contexto en que estamos".

La situación de España y Occidente

Para muchos analistas, la invasión de Ucrania por parte de Rusia no es más que el ensayo general para futuras contiendas de mucha mayor escala, promovidas por el propio Putin o por otros países. Y, muy presumiblemente, en todas ellas los ataques cibernéticos jugarán un papel fundamental.

"La guerra en el ciberespacio no es ya un plano teórico, sino algo intrínseco a cualquier conflicto armado actual", destaca Eduardo Domínguez. "Todos los países deben reforzarse defesivamente y armarse ofensivamente, no solo para poder responder a un ataque exterior, sino también como fuerza disuasoria".

Yendo incluso a un plano más futurista, Gartner estima que para 2025, se habrá armado un sistema ciberfísico (CPS) de infraestructura crítica para dañar o matar humanos con éxito.

Pero volviendo a los ataques cibernéticos actuales, cabe preguntarse cómo se preparados estamos los países occidentales -y en concreto España- a la hora de hacer frente a esta nueva generación de guerras híbridas.

"España está razonablemente bien preparada, por encima de lo que se podría esperar para nuestra economía o nuestro papel geopolítico. Contamos con muchos organismos dedicados a ello -como el CCN-CERT, el Departamento de Seguridad Nacional o los Ejércitos- que están bien alineados y llevan mucho tiempo trabajando en ello", explica Domínguez.

Josep Albors coincide con este diagnóstico: "Estamos muy bien situados en los ránkings internacionales. En el último -de 2020- estábamos los cuartos de Europa y en el 'top 10' mundial. Es una muy buena capacidad, a pesar de los recursos limitados con que cuentan muchos de estos organismos". Además de comentar la falta de talento a la que también alude nuestro otro entrevistado, Albors avisa de que estos ránkings no dejan de ser una "auditoría artificial" y que "hasta que algo pase no podremos demostrar exactamente nuestra posición".

Este medio ha tratado de obtener la visión del Ejecutivo español sobre estas cuestiones. Desde el Departamento de Seguridad Nacional han declinado hacer comentarios "por razones de seguridad", mientras que del CCN-CERT (responsable de la ciberseguridad de las infraestructuras críticas, adscrito al Centro Nacional de Inteligencia) no se ha obtenido respuesta a la conclusión de este reportaje.