En las primeras semanas de un año marcado por un posible conflicto militar con Rusia, Ucrania ha sufrido ya varios ciberataques dirigidos a infraestructura crítica para el país. En un escenario de fuerte tensión, con Joe Biden, presidente de Estados Unidos, y la OTAN advirtiendo sobre la inminencia de un ataque ruso, los analistas recuerdan la nutrida historia de ataques informáticos que ha sufrido Ucrania en los últimos años, sin evidencias de su autoría pero con Rusia como principal sospechoso.
Sobre todo preocupan los paralelismos con el que está considerado el ataque cibernético más destructivo de la historia, NotPetya. Dirigido por Rusia hacia Ucrania en 2017, se expandió más allá de sus objetivos iniciales y provocó pérdidas por 10.000 millones de dólares, con impacto en el mundo entero.
Con el ataque del miércoles 23 de febrero, confirmado por el ministro de asuntos digitales del país ya son tres los ciberataques masivos a entidades claves en Ucrania en lo que va del año. Otros dos ocurridos a mediados de enero y de febrero repitieron los mismos objetivos: páginas web del Gobierno y bancos.
El 14 de febrero Ucrania aseguró haber sufrido un ciberataque que ha apuntado a las Fuerzas Armadas, el Ministerio de Defensa; el Oschadbank, la caja de ahorros ucraniana; y el Privatbank, el banco privado más grande del país, que sirve a unos 20 millones de ciudadanos. Estas dos entidades son consideradas «sistémicamente importantes» para los mercados financieros de Ucrania.
Hasta 70 sitios web del Gobierno fueron afectados por el ataque de enero, según las autoridades ucranianas. Muchas páginas web de la administración pública no funcionaban, incluido el sitio más utilizado para gestionar los servicios gubernamentales en línea, Diia, que también tiene un papel en la respuesta al coronavirus de Ucrania y en el fomento de la vacunación.
El ataque paralizó los sitios web del Gabinete de Ministros y de los ministerios de Energía, Deportes, Agricultura, Ecología y Asuntos de Veteranos. Las páginas web del Presidente y del Ministerio de Defensa permanecieron en línea.
La radio pública ucraniana también sufrió un asalto, pero no llegó a colapsar su sitio web, según dijo Dmitry Khorkin, un productor de ese medio, a través de su Facebook.
El Ministro de Defensa ucraniano dijo en un tuit que habían recibido un volumen inusualmente alto de solicitudes para cargar la web, lo que sugiere que los atacantes estaban inundando los servidores con solicitudes ilegítimas en un intento de sobrecargarlos e impedir que los ciudadanos accedieran al sitio.
El viceprimer ministro y ministro de Transformación Digital ucraniano, Mijaíl Fiódorov, calificó el asalto como “el mayor ataque de denegación de servicio en la historia de Ucrania contra los sitios web estatales y el sector bancario”, y dijo que su objetivo era “desestabilizar la situación y desatar el pánico”.
Desde Estados Unidos, la Policía Federal (FBI), la Agencia de Seguridad Nacional (NSA) y la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) han acusado a piratas informáticos pagados por Rusia de robar información de contratistas con vínculos con los servicios de Inteligencia y el Departamento de Defensa estadounidenses.
Baja intensidad, pero impacto psicológico
Los últimos ciberataques en Ucrania tuvieron un impacto limitado. Fueron del tipo de denegación de servicio, DoS (por sus siglas Denial of Service), una modalidad que consiste en dirigir una avalancha de peticiones simultáneas a un sitio web, lo que provoca que el servidor se bloquee o deje de funcionar en su intento de responder a más solicitudes de las que puede manejar, con lo que se impide el acceso a los usuarios legítimos.
Según el gobierno, el servicio se restableció a las pocas horas. Pero las implicaciones pueden ser relevantes en un escenario inestable en el que todas las sospechas apuntan como autor a un Estado poderoso, como podría ser Rusia.
Ilyá Vityuk, jefe de ciberseguridad del Consejo de Seguridad de Ucrania (SBU) señaló que el coste de una operación como esta descarta la autoría de grupos pequeños o individuos solos. «Este tipo de ataques son llevados a cabo por Estados a través de los servicios de inteligencia e infraestructura especialmente creada. Vemos con claridad la huella de servicios de inteligencia extranjeros».
Los ataques han sido similares a los que sufrió Ucrania a mediados de enero, justo después de la ruptura de las conversaciones diplomáticas entre Rusia y Occidente.
«Tened miedo y esperad lo peor». Este mensaje, que muchos medios repitieron, fue colocado simultáneamente en decenas de páginas web del gobierno ucraniano afectadas por los ciberataques de enero. Lo que hubo entonces fue desfiguración de webs (defacement), un tipo de ataque de baja intensidad que tiene un efecto similar a un graffiti virtual. Su impacto no reside tanto en los daños como en lo llamativo de la acción y el impacto psicológico y mediático que puede tener.
Ciberataques, guerra híbrida y ciberguerra
Yolanda Quintana, autora del libro Ciberguerra, explica que bajo el paraguas de esta idea entran muchos elementos, ya que en los enfrentamientos bélicos actuales (y futuros) la tecnología interviene de muchas maneras. Como arma, como campo de batalla y como soporte de nuevas tácticas y estrategias.
En estos nuevos escenarios se habla de “amenaza híbrida”, o de guerra híbrida, un concepto reciente que alude a un nuevo tipo de guerra, en la que se utilizan todo tipo de medios, a menudo actividades en la sombra o bajo el radar. Entre ellas, además de métodos de influencia como la utilización de noticias falsas y desinformación, también se incluye el empleo de las últimas tecnologías en lo relativo a la guerra cibernética.
«En una situación de tensión, los ciberataques son una táctica que permite crear inestabilidad y caos»
La ciberguerra puede ser cualquier conflicto bélico en el que el ciberespacio (ámbito artificial creado por medios informáticos en el que se agrupan y relacionan usuarios, líneas de comunicación y redes) y las tecnologías de la información sean el escenario principal, según Quintana. Pero lo más frecuente son conflictos híbridos con entornos y daños reales y virtuales, en una situación compleja en la que cada vez resulta más difícil separar ambas escenas.
Preguntada por los ciberataques en Ucrania, Quintana sostiene que no pueden atribuirse con la rotundidad de un ataque físico, y que estas “acciones que se combinan con otras forman parte de una estrategia de guerra híbrida a la que estamos asistiendo en directo”.
Objetivo: desestabilizar
El ataque de enero ocurrió durante la noche del jueves 13 al viernes 14, y por la mañana los ucranianos encontraron muchas de las páginas web del Gobierno desfiguradas. Pero más allá de eso, y más discretamente, los atacantes habían insertado un programa destructivo dentro de los servidores de agencias ucranianas, una operación que fue descubierta por investigadores de Microsoft.
Este malware, conocido ahora como WhisperGate simulaba ser un ransomware pero no había contraseña para recuperar nada. En realidad su objetivo era la destrucción de datos clave para dejar inoperativas a las máquinas. Expertos citados por el MIT Technology Review señalaron que WhisperGate recuerda a NotPetya hasta en los procesos técnicos destructivos, pero que hay diferencias notables.
La primera, que el programa utilizado para el ciberataque de enero fue mucho menos sofisticado y no estaba diseñado para diseminarse rápidamente. Rusia ha negado su implicación y no hay evidencias definitivas de su vinculación.
☷
Ciberdelincuencia
Quintana recuerda que el principal objetivo de la ciberguerra es la desestabilización. “En una situación de tensión, los ciberataques son una táctica que permite crear inestabilidad y caos, temor en la sociedad, da imagen de vulnerabilidad e inferioridad (mayor de la real, porque son consecuencias muy llamativas), ocupar recursos y tensar la situación, es decir, permiten tomar una posición de ventaja sin que el coste sea muy elevado”, explica.
Una ciberguerra sin fronteras
A diferencia de la guerra tradicional, un ciberataque no tiene fronteras: todos estamos conectados a la red mundial de internet.
La preocupación en el Gobierno de Estados Unidos llevó a la viceconsejera de seguridad nacional de la Casa Blanca para asuntos cibernéticos, Anne Neuberger, a realizar un ejercicio de simulación con las agencias federales. El objetivo era prepararlas para ataques informáticos originados por Rusia que pudieran producirse si el conflicto Moscú-Kiev escala.
El mismo presidente Biden ha dicho que están “preparados para responder”, en el caso en que “Rusia ataque a Estados Unidos o nuestros aliados a través de ciberataques disruptivos contra nuestras empresas o infraestructuras críticas”.
¿Qué probabilidad hay de que una ciberguerra originada en Ucrania se extienda al resto del mundo? Quintana distingue entre los tipos de ataque. “En el caso de ataques de denegación de servicio son acciones muy dirigidas, pero los ataques de phishing y ransomware usan virus que lógicamente, escapan al control de los atacantes”.
Esto fue lo que ocurrió con NotPetya, el precedente que todos los expertos en seguridad tienen en mente.
Lecciones aprendidas con NotPetya
La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA) advirtió a los operadores de infraestructuras críticas que tomaran «medidas urgentes y a corto plazo» contra las ciberamenazas, citando los recientes ataques contra Ucrania. En ese comunicado mencionan a NotPetya, un ciberataque ruso dirigido a Ucrania durante momentos de alta tensión política en 2017.
Ben Buchanan, profesor e investigador sobre ciberseguridad en la Universidad de Georgetown, ha documentado en un capítulo entero de su libro sobre los ciberataques y la nueva geopolítica, ‘The Hacker and the State’, a NotPetya. Lo llama “Interrupción extendida ampliamente” (Widespread disruption). Lo describe como “una andanada que perjudicó a todos los que hacen negocios en Ucrania y a todos los que pagan impuestos al gobierno ucraniano”.
Considerado el ataque informático más destructivo y costoso de la historia, NotPetya fue lanzado en la víspera del festivo del día de la Constitución en ese país. “La naturaleza indiscriminada del asalto hizo que no se detuviera en las fronteras sino que se diseminara por todo el mundo”, escribe Buchanan. Se introdujo en la conciencia occidental de una manera que no lo hicieron muchas otras partes del conflicto en Ucrania. Empresas multinacionales de marcas como Maersk, FedEx y Merck sufrieron enormes pérdidas.
Detrás de NotPetya estaban expertos informáticos que trabajaban para el GRU, agencia de inteligencia militar de Rusia. Estos técnicos estaban detrás del mismo grupo que causó los apagones en Ucrania en 2015 y 2016, y que afectaron a 230.000 personas, en lo que fue el primer ciberataque contra una red eléctrica reconocido públicamente.
Para su estrategia con NotPetya, el grupo había identificado un trozo de software, un programa conocido como MeDoc que tenía una cuota significativa de mercado, y era necesario para pagar impuestos. Se estima que más del 80% de las compañías nacionales lo usaban.
Más allá de detalles anecdóticos, NotPetya fue un ataque importante por varias razones, que Buchanan explica. “Sirvió para recordar la potencia de los hackers del gobierno ruso y la agresividad del estado ruso. Fue un ejemplo más de cómo las empresas y los individuos ordinarios pueden encontrarse en la primera línea de las operaciones cibernéticas con motivación geopolítica”. El autor considera que NotPetya presagió lo que podía venir después: ciberataques cada vez más autónomos y potentes. “Para los que quieren perturbar el orden mundial y no les importa la proporcionalidad o la focalización, este tipo de ataque encaja en el proyecto”, señaló.
La lección aprendida de NotPetya también pasa por señalar la responsabilidad de los gobernantes en estos escenarios complejos. Quintana dice que “a pesar de sus aparentes ‘ventajas’ en conflictos geoestratégicos en términos de coste-beneficio, las acciones de ciberguerra son una gran irresponsabilidad de los estados que nos ponen a todos en riesgo. Por un lado, permiten que persistan vulnerabilidades de los sistemas informáticos que pueden ser muy críticas, y por otro, el uso de malware, por su propia naturaleza, nunca se queda en el entorno del país objetivo y se expande. Debemos saber que el mayor riesgo para la seguridad informática no solo es la ciberdelincuencia sino, y en mayor medida, estas acciones de los estados”.
Fuentes
- Yolanda Quintana, autora de Ciberguerra
- ‘The Hacker and the State’, Ben Buchanan
- National Bank of Ukraine Updates the List of Systemically Important Banks
- Microsoft, Destructive malware targeting Ukrainian organizations
- Invisible Digital Front: Can Cyber Attacks Shape Battlefield Events? Nadiya Kostiuk, Yuri M. Zhukov
- The MeDoc Connection, David Maynor, Aleksandar Nikolic, Matt Olney, e Yves Younan
Conocer a los estafadores en línea es inevitable porque están en todas partes, pero la capacidad de detectar uno y asegurarse de no enviar dinero a nadie que conozca en línea es el primer paso para evitar ser estafado en línea.
Si bien algunos de ellos son reales/genuinos, el 89% de ellos son estafadores que solo buscan a alguien a quien explotar.
Algunos incluso clonan páginas de personas en Facebook y muchas otras plataformas sociales que conoces y terminas enviándoles dinero pensando, bueno, acabo de enviar algo de dinero a Joe. Lo siento, Karen, ese no era Joe. Ese fue otro estafador que clonó la página de Joe para estafarte a ti y a otros seguidores de Joe.
Si ha sido estafado y desea recuperar su dinero, comuníquese con Lallroyal Recovery Inc. Le dejaré la nota a pie de página a continuación en caso de que la necesite y es Lallroyal.
.org. Puedes buscarlos con google o ir directamente a su sitio web.