La incursión del ejército ruso en territorio ucraniano, a finales de la semana pasada, marcó el inicio de un conflicto bélico (ciberguerra incluida) que ya venía anunciándose desde semanas antes, pero que aún no hemos terminado de asimilar. Desde entonces, y como es normal, los focos se han centrado en el plano físico, con los lanzamientos de proyectiles, las tropas rusas estrechando el cerco a Kiev y, claro, el reguero de destrucción y sobre todo el éxodo migratorio de una población civil que, de un día para otro, se enfrenta a tener que abandonar todo lo que tienen para preservar su propia seguridad.
Sin embargo, y desde hace años, el plano físico es solo uno de los campos en los que se libran los conflictos de este tipo y, es más, en algunos casos son los principales protagonistas, sobre todo en guerras no declaradas, conflictos diplomáticos y otros tipos de fricciones. La ciberguerra es una de esas caras menos visibles, pero de un tiempo a esta parte se ha mostrado como una de la más efectivas, y en este caso no nos encontramos ante una excepción.
Es importante entender, eso sí, que el propio concepto de guerra electrónica o ciberguerra no se corresponde con un tipo de acción en particular. En el contexto de un enfrentamiento como el actual, la ciberguerra puede (y suele) consistir en una combinación de acciones, dirigidas todas ellas a afectar negativamente al rival, pero que para tal fin pueden recurrir a técnicas de lo más diversas. Podemos centrarnos en las siguientes:
Espionaje: probablemente el tipo de acción más común de ciberguerra, pues tiene lugar de manera constante, e incluso entre aliados, como hemos podido confirmar en los últimos años gracias a las diversas filtraciones que han llegado al gran público. Cualquier información sobre el rival puede ser tremendamente valiosa, y en bastantes casos estas actividades no se centran exclusivamente en las autoridades y entidades públicas, las empresas privadas que colaboran con las mismas también pueden ser una excelente fuente de información, como vimos en el caso de Mitsubishi.
Vivimos la edad dorada del espionaje digital, con estados que tienen a su servicio a grupos no vinculados oficialmente a ellos, pero que de facto operan para ellos, sumado a las propias agencias públicas dedicadas a tal fin, y la colaboración de no pocas empresas particulares que facilitan la entrega de datos, configuran un ecosistema en el que prácticamente cualquier activo digital puede ser escrutado por unos ojos distintos a aquellos a los que legítimamente corresponde. Y esto, en el contexto de una guerra/ciberguerra, es un recurso explotado de manera intensiva.
Sabotaje: aquí nos encontramos con otra técnica bastante común de ciberguerra, especialmente en conflictos no declarados. Acciones como el ciberataque a las instalaciones portuarias del Estrecho de Ormuz, o las tentativas para manipular los sistemas de gestión y tratamiento de aguas. Cuanto más conectado esté un sistema, más posibilidades de que pueda ser atacado, y cuanto más estratégico sea el servicio que presta, más perseverarán los atacantes para lograr su objetivo.
Pero esto no debe hacernos pensar que los sistemas sin conexión a Internet están a salvo. Si te interesa la ciberseguridad, seguro que recordarás el más que sonado caso de Stuxnet, un malware que, apoyándose en la ingeniería social, se las apañó para lograr llegar hasta la infraestructura de una planta nuclear rusa, pese a que ésta estaba totalmente desconectada del resto del mundo.
Interferencia: introducir cualquier tipo de ruido en todo tipo de procesos es una acción de sabotaje muy común y extendida, y con la proliferación de las redes sociales ha experimentado una eclosión inimaginable hace solo unos años. Acciones de este tipo las hemos visto en procesos electorales, en campañas de comunicación política y en contextos similares. Y si han proliferado de este modo, sin duda es debido a su enorme efectividad.
Disrupción: en este punto nos encontramos con la confluencia de ciberguerra y guerra electrónica, y supone dar un paso más allá de lo planteado en las acciones de sabotaje. Emplear sistemas de jamming para deshabilitar servicios, como ocurrió hace unos años en Corea del Sur, ero también recurrir a los ataques distribuidos de denegación de servicio para «tumbar» servidores, secuestros de infraestructuras empleando técnicas similares a las del ransomware… todo vale con tal de abatir servicios que, en el contexto de un enfrentamiento bélico, pueden marcar la diferencia.
Hacktivismo: en este caso, en realidad, podemos encontrarnos con cualquiera de las acciones anteriores, así como otras como acciones de propaganda, boicot de actos y acciones, empleo de la sátira y la burla y demás. Lo que hace que consideremos estas acciones como un grupo propio es su origen, ya que a diferencia de las anteriores, que dependen de manera más o menos directa de las partes implicadas, en este caso hablamos de acciones llevadas a cabo por ciudadanos que no tienen ese tipo de relación, y que actúan de este modo por sus convicciones propias. Anonymous es, a día de hoy, el principal exponente de hacktivismo.
Así, ahora que hemos revisado los tipos de acciones más comunes que podemos englobar en el concepto de ciberguerra, analicemos qué está ocurriendo en el enfrentamiento entre Ucrania y Rusia.
Ciberguerra en el conflicto entre Ucrania y Rusia
A las pocas horas de que las tropas rusas iniciaran su incursión en territorio ucraniano, nuestros compañeros de MuyComputer ya se hicieron eco de ello, y de las primeras acciones de ciberguerra que tuvieron lugar de manera tan temprana. Aquello solo era el principio y, como cabía esperar, en estos días se han producido bastantes más acciones, que demuestran que el campo de batalla digital tiene un gran peso específico en este conflicto.
«El Ministerio de Transformación Digital se enfrenta a un volumn de ciberataques sin precedentes. El 26 de febrero se registraron más de 50 ataques DDoS con una capacidad de más de un terabyte, así como una serie de ataques profesionales dirigidos al portal de servicios públicos«, declaraba anteayer el ministerio ruso, dando cuenta solo de parte de los ataques que tienen como objetivo intereses rusos. Y es que en otras declaraciones también hemos tenido constancia de acciones que apuntan desde los recursos online y la infraestructura del Kremlin hasta el canal de televisión Russia Today, cuya web se ha convertido en un objetivo prioritario.
Aunque las autoridades rusas afirman que han sido capaces de repeler todos los ataques experimentados hasta ahora, durante todo el fin de semana se ha podido comprobar que en muchos momentos los servicios atacados no estaban operativos. Eventualmente, las administraciones rusas habrían dedicado estos últimos días a adoptar medidas de seguridad frente a los ataques DDoS, de modo que aunque estos seguirían produciéndose actualmente, sus consecuencias no serían tan acusadas como en días anteriores.
Por ejemplo, al intentar acceder ahora a la web de RT, veremos el clásico mensaje que nos indica que se está verificando que el intento de conexión es legítimo, lo que nos cuenta que ahora el servicio se ha ubicado tras una CDN que ofrece protección frente a ataques DDoS. Sorprende que Rusia no anticipara este tipo de acciones y se preparara de manera preventiva para ello, adoptando el uso de CDN antes de iniciar su asalto a Ucrania.
Pero los ataques a los servicios online no solo han tenido lugar en Rusia. Ucrania, en este escenario de ciberguerra, también ha tenido que afrontar ataques disruptivos tanto a servicios online como a la propia conectividad del país, como contaba hace unos días Netblocks, que detectó una caída de GigaTrans, el proveedor de Internet troncal del que depende directamente la conectividad a la red de varios operadores del país.
En este punto es importante, eso sí, hacer una distinción en función de quién es el responsable de impedir el acceso. Y es que, por ejemplo, también hemos tenido noticias de que Rusia habría bloqueado el acceso a determinados servicios online, como redes sociales, dentro de sus fronteras. Esto entraría en la categoría de interferencia, concretamente a intentar evitar que proliferen los mensajes discordantes con las versiones oficiales. El siglo XX nos mostró lo importante que era la propaganda en la guerra, y en este XXI hemos podido comprobar como este principio también se aplica a la ciberguerra.
Desde Rusia con amor
La cara más visible de la ciberguerra que se está llevando a cabo la encontramos, claro, en Rusia, y es que los ataques sufridos por Ucrania en los últimos días tienen orígenes muy claros. Pero ojo, que cuando hablo de orígenes, no me refiero a los geográficos. Al contrario, si vemos algún mapa de los ataques que está sufriendo Ucrania, podemos ver puntos de origen recorridos por todo el mundo. ¿Significa esto que hay un movimiento hacktivista global en contra de Ucrania, capaz de tumbar los servicios online e incluso la conectividad del país?
Indudablemente, a nivel internacional hay una parte de la población que se alinea con Moscú, pero a diferencia de los que toman partido por Ucrania, la movilización de ésta no parece pasar de los mensajes en redes sociales y acciones similares. Podemos afirmar que, en su gran mayoría, el hactivismo se ha decantado por Ucrania, de modo que los ataques hacia Rusia sí que cuentan con una componente importante de acciones individuales y de pequeños grupos sin vínculos con estamentos públicos.
El más llamativo de los casos es el de Anonymous, la enseña bajo la cual se agrupan sin estructura jerárquica alguna, y por lo tanto sin directrices ni políticas oficiales, una enorme cantidad de hacktivistas singularmente activos. El grupo respondió a la agresión contra Ucrania con una declaración de ciberguerra a Rusia, que en estos días ya se ha traducido en varias acciones exitosas, como las caídas de las webs que mencionaba anteriormente (si bien se desconoce si en los mismos también participaron actores oficiales y semioficiales), o el hackeo de algunos canales de televisión rusos, en los que la señal fue sustituida por imágenes reales de los ataques al país vecino con el himno de Ucrania de fondo.
Pero la respuesta no solo ha sido ofensiva. Gran parte del mundo occidental se ha blindado frente a los posibles ciberataques que podrían ser llevados a cabo por Rusia. “Si Moscú persigue ataques cibernéticos contra nuestras empresas y nuestra infraestructura crítica, estamos preparados para responder. Durante meses hemos trabajado en estrecha colaboración con el sector privado para fortalecer las defensas cibernéticas y mejorar nuestra capacidad de responder a los ciberataques rusos”, afirmó Joe Biden tras alertar de la ciberguerra del conflicto Ucrania-Rusia.
Así, del mismo modo en que Rusia ha adoptado las medidas necesarias para intentar repeler los ataques del exterior, estados, organizaciones públicas y entidades privadas también han adoptado un amplio conjunto de medidas de carácter defensivo, ante la posibilidad de represalias por parte de Moscú, ya sean estas por la implicación pro-Ucrania de las mismas o simplemente por el efecto estratégico que tendría el éxito ruso en dichos ataques.
El que golpea primero, golpea dos veces
Normalmente, la intención de esta frase es indicar que el asestar el primer golpe suele traducirse en una posición ventajosa frente al rival. Sin embargo, en el caso de la ciberguerra subyacente al enfrentamiento bélico entre Ucrania y Rusia, podemos tomarla de manera literal. Y es que, tal y como han informado nuestros compañeros de MuyComputer, Rusia inició la ciberguerra contra Ucrania horas antes de la invasión, asestando de este modo un doble golpe, y demostrando una vez más la importancia de la ciberguerra en los conflictos modernos.
Y es que, según podemos leer en esa publicación, el Centro de Inteligencia de Amenazas de Microsoft (MSTIC) pudo identificar el despliegue de un nuevo patógeno, al que ha nombrado como FoxBlade, y que se tornó singularmente activo horas antes de que los misiles y las tropas rusas cruzaran la frontera con Ucrania. ¿Los objetivos? El sector financiero, el sector agrícola, los servicios de emergencias, las misiones de ayuda humanitaria y las organizaciones y empresas del sector energético.
Adicionalmente, Microsoft también se hace eco de «una operación en curso bien orquestada de desinformación, que pretende socavar la verdad y sembrar semillas de discordia y desconfianza«, una declaración que va acompañada de la retirada de todas las informaciones emitidas tanto por Russia Today como por la agencia de noticias Sputnik, ambas consideradas parte del entramado de propaganda dirigido desde el Kremlin, de los servicios de Microsoft.
Y el de Microsoft es un ejemplo perfecto de la participación de entidades privadas en la ciberguerra, dado que los de Redmond no han dudado en posicionarse del lado de Ucrania, ofreciendo su apoyo al país agredido. No es el único caso, aunque quizá sí el más visible y representativo, del sector privado actuando por determinación propia, en vez de esperar a que directrices oficiales obliguen a actuar en uno u otro sentido. La ciberguerra se extiende a lo largo y ancho de la red, mucho más allá de fronteras, por lo que también las entidades privadas que se puedan ver implicadas terminan siendo, tarde o temprano, parte activa de la misma.
¿Y la economía?
De la noticia sobre los ataques tempranos de ciberguerra de Rusia a Ucrania, me quedo con una frase de mi compañero Juan, y que creo que define a la perfección la situación actual: «Rusia juega al Risk, pero Europa tiene el control del Monopoly«. De momento (en estos casos las especulaciones son siempre demasiado inciertas), parece que tanto la guerra como la ciberguerra tienen al bloque occidental como el ganador, y la devaluación del rublo ruso es una señal muy clara de ello.
En el terreno digital, de nuevo nos encontramos con Anonymous, que tras algunos ataques exitosos contra objetivos oficiales rusos, ha afirmad que su próximo objetivo de sus acciones de ciberguerra contra Rusia es el sistema financiero ruso, con acciones contra elementos estratégicos del mismo, desde medios de comunicación del sector hasta entidades del mismo. Unas acciones que, en combinación con la expulsión de las entidades rusas del SWIFT, puede complicar la situación de Rusia.
El principal problema para Rusia en este momento, mucho más que imagen internacional y los problemas diplomáticos, es la economía. Algunas fuentes afirman que el Kremlin lleva años preparándose para algo así, y que actualmente el país cuenta con recursos financieros como para soportar un bloqueo total por un periodo de hasta dos años. Sin embargo, aún con unas reservas de oro rebosantes, un alto total en las transacciones internacionales es un escenario bastante preocupante, como nos demuestra el hecho de que ahora Putin quiera acelerar los planes del gaseoducto entre Rusia y China.
Así, la conclusión más clara a la que podemos llegar es que la ciberguerra entre Rusia y una parte considerable del mundo occidental se librará en la arena económica y financiera, con acciones tanto públicas como encubiertas para debilitar las cuentas y la economía rusas. Y aunque puede parecer un tanto reduccionista llevarlo todo al plano económico, lo cierto es que a día de hoy es el principal elemento de presión con el que cuentan los aliados de Ucrania, pues aplicar la ley del talión ante las amenazas de Putin de desempolvar su arsenal nuclear no parece una acción nada sensata, al menos para quienes no desean una tercera guerra mundial.
Hace unos días leía un titular en el que se mencionaba que nos encontrábamos a puertas de la cuarta guerra mundial. Muchos lo interpretaron como un error, pero si lo pensamos un poco, tanto en el conflicto entre Ucrania y Rusia, que ya viene de largo, como en otro enfrentamientos a lo largo y ancho del mundo, llevamos ya años sumidos en una ciberguerra global (no declarada, eso sí), que bien podríamos calificar de primera ciberguerra mundial o, si le concedemos el mismo estatus que las dos grandes guerras del siglo pasado, como tercera guerra mundial. Personalmente, no me parece tan descabellado.
La entrada Ciberguerra Ucrania-Rusia: los frentes digitales es original de MuySeguridad. Seguridad informática.