Es innegable decir que la polémica entre Rusia y Ucrania es un tema de actualidad, pero que haya estallado la guerra hace poco no quiere decir que no hayan tenido conflictos con anterioridad. Es más, en lo que a ciberguerra se refiere, podemos hablar de ataques de cibercriminales por parte de Rusia contra Ucrania desde el año 2014.

Fue desde ese mismo año hasta 2017 cuando la ciberguerra entre Rusia y Ucrania mostró los mayores estragos. Uno de los ataques de los que hablamos ocurrió en 2015, cuando un gran número de la población ucraniana se quedó sin calefacción en sus casas tras varios ciberataques a las centrales del país. Este tipo de guerra se lleva a cabo en «silencio», no son tan mediáticas como el actual conflicto militar, pero también deben tenerse en cuenta.

Otro de los ejemplos a destacar es el incidente que tuvo lugar en el año 2017, cuando se lanzó un malware muy sofisticado. Se detectaron malware como NotPreya, FakeCry o BadRabbit que estaban creados para sabotear las comunicaciones del país ucraniano.

¿Qué son las guerras híbridas?

La sociedad avanza y con ella avanzan todos los elementos que los humanos somos capaces de controlar. Las guerras que se libraban hace

cientos de años no tienen punto de comparación con las que suceden hoy en día.

Ahora, existe un nuevo tipo de guerra, la híbrida. En esta ocasión, hablamos de una guerra en el ciberespacio que suple la invasión terrestre típica de este tipo de conflictos. Los ciberataques se usan a la par que las acciones bélicas para desestabilizar en todos los frentes al país contrario, pero una vez el ejército entra en acción, por mucho que se sigan llevando a cabo las acciones cibernéticas, estas pasan a un segundo plano.

Una definición más concreta de este término es la que escribí hace un tiempo en un artículo para Red de Seguridad:

«La ciberguerra puede ser entendida como una agresión promovida por un Estado y dirigida a dañar gravemente las capacidades de otro para imponerle la aceptación de un objetivo propio o, simplemente, para sustraer información, cortar o destruir sus sistemas de comunicación o alterar sus bases de datos. Es decir, lo que habitualmente hemos entendido como guerra, pero con la diferencia de que el medio empleado no sería la violencia física, sino un ataque a través del ciberespacio.»

¿Qué ataques en el Ciberespacio se están llevando a cabo ahora mismo en la ciberguerra entre Rusia y Ucrania?

Nos remontamos a mediados de enero, cuando se detectó el uso de un nuevo malware que pretendía robar información gubernamental para, posteriormente, venderla. Hablamos del típico ataque que al que la mayoría de empresas grandes están acostumbradas y tras el cual muchas de ellas empiezan a invertir en ciberseguridad para protegerse.

En esta ocasión, se sospecha que los creadores de este virus fueron un grupo de personas que se conocen bajo el nombre de «Voodoo Bear», un grupo de hackers rusos relacionados con los servicios de inteligencia del país que ya han perpetrado ataques de este estilo con anterioridad.

A parte de este incidente, hace unas semanas varias webs gubernamentales, del ejército y de algunos bancos ucranianos dejaron de funcionar. Coincidiendo con la fecha en la que las tropas rusas empezaron a abrirse paso por este país. Todo ello, se lleva a cabo para aumentar aún más el sentimiento de peligro entre la población, ya que además de ver a las tropas por las calles, se ven desamparados en el terreno digital de su propio país.

Además, destruir los canales de comunicación de un país propicia que este se rinda o que se vea en un aprieto para oponer la resistencia necesaria a la invasión terrestre. El objetivo de este tipo de ataques adiciones a las acciones bélicas que está llevando a cabo el ejército ruso es que los líderes ucranianos terminen por rendirse o por abandonar la capital del país, Kiev.

Cronología de los ataques de la ciberguerra entre Rusia y Ucrania

Desde que dio comienzo esta guerra hemos podido observar muchos ataques llevados a cabo por parte de Rusia para desestabilizar al país ucraniano. Los más destacables se mencionan a continuación:

• 14 de enero de 2022 -> Se detectan nuevos malware conocidos como NotPreya, FakeCry o BadRabbit.
• 23 de febrero de 2022 -> Oleada de ataques DDoS contra el Ministerio de Asuntos Exteriores, Ministerio de Defensa, Ministerio del Interior, Gabinete de Ministros y Servicio de Seguridad de Ucrania.
• 26 de febrero de 2022 -> El viceprimer ministro de Ucrania pide ayuda a toda persona con conocimientos del ciberespacio para devolverle la jugada a Rusia.
• 28 de febrero de 2022 -> Se producen nuevas filtraciones y las distintas facciones escogen un bando al que apoyar.

Estos ataques en el ciberespacio son silenciosos, casi no se habla de ellos en los medios de comunicación y no existe mucha información sobre lo que está ocurriendo con seguridad entre estos países en esta guerra híbrida. Lo que si sabemos es que Rusia no es nueva en el mundo del ciberespacio y que hará uso de todos sus recursos para conseguir su propósito. Del mismo modo, Ucrania intenta oponer resistencia, tanto en lo terrestre como en la ciberguerra, pero sus medios para ello son mucho menores.

¿Qué son los APT?

En el sector de la ciberseguridad, las siglas APT hacen referencia a las «amenazas persistentes avanzadas» que suponen este tipo de ataques. Estas acciones son llevadas a cabo por actores estatales y/o grupos de cibercriminales que, en algunas ocasiones, dejan su huella para atribuirse el mérito de esa acción, pero en muchas otras ocasiones deciden actuar en el anonimato.

Los ciberataques son muy difíciles de rastrear, se podría decir que si el grupo de hackers es bueno sus acciones serán imposibles de atribuírselas si esa no es su intención. Esto pasa, por ejemplo, con el grupo de cibercriminales rusos que hemos mencionado anteriormente en este post. Los ataques perpetrados por Voodoo Bear en enero de este año no pueden atribuírseles directamente.

Si que es verdad, que si nos fijamos en el modus operandis de esta acción en concreto y la comparamos con otras acciones que si se asocian a este grupo con seguridad, podemos ver sus similitudes. Es de esta manera como se suele trabajar en el mundo de la ciberseguridad, en muchas ocasiones no se pueden rastrear los ataques, pero cada actor y/o grupo de hackers actúa de una manera tan concreta que si estudias la acción en profundidad puedes averiguar de quien proviene.

Para más preocupación, este tipo de grupos están apoyados e instrumentalizados por los gobiernos de sus países, los cuales les ofrecen los medios necesarios para llevar a cabo todo este tipo de acciones sin problemas ni consecuencias por sus propios dirigentes. Por este motivo, hacer frente a este tipo de hackers, los cuales suelen estar casi mejor organizados que la mayoría de las empresas, no es tarea fácil.

Si quieres saber más…

Espero que te haya servido de ayuda esta entrada para que ahora conozcas mejor la ciberguerra entre Rusia y Ucrania que se está llevando a cabo actualmente y todas las acciones que ya se habían sucedido en los años anteriores a este. Si quieres seguir descubriendo más detalles sobre el ciber espionaje, las ciberguerras y las consecuencias de los ciberataques no dudes en leer el resto de publicaciones del blog de ciberseguridad de Mikel Rufián.