El pasado 24 de febrero se cumplió el primer aniversario del inicio de la invasión rusa sobre Ucrania, un conflicto bélico que ya ha causado más de 8.000 muertos, 13.300 heridos y más de 14 millones de desplazados, según la ONU. Durante el último año, a la lucha física entre ambos países se ha sumado también la ciberguerra, ampliándose el eje de la contienda al mundo virtual.
Índice de temas
Principales objetivos de los ciberataques
La mayoría de los ataques rusos del año pasado tuvieron como objetivo organismos gubernamentales, militares y de infraestructuras críticas ucranianos, especialmente proveedores de telecomunicaciones y empresas energéticas. No obstante, también se produjeron otros dirigidos contra empresas y particulares de Ucrania y sus aliados en todo el mundo. En el lado contrario, la mayor parte de los ataques ucranianos se focalizaron en instituciones gubernamentales rusas, con ataques centrados en derribar sitios web rusos, obstaculizar servicios financieros e interrumpir campañas de desinformación.
La técnica de infiltración más común utilizada en la ciberguerra ha sido el phishing, con ambos bandos realizando campañas de spear phishing dirigidas, y a menudo acompañadas de exploits basados en archivos u otras cargas maliciosas. El phishing es popular en la ciberguerra por ser sencillo de utilizar, de bajo riesgo, eficaz y versátil. Un mensaje de phishing bien elaborado y dirigido, y enviado a través de una aplicación de mensajería, SMS, correo electrónico, redes sociales u otro canal, puede utilizarse prácticamente contra cualquier tipo de objetivo. Tras un phishing exitoso, los ataques suelen centrarse en el espionaje o el sabotaje.
En la ciberguerra, el espionaje y el sabotaje son los objetivos principales. En el último año, el espionaje ha tomado la forma de RATs e infostealers, mientras que el sabotaje ha llegado como ataques DDoS, ransomware, y wipers. A lo largo del año surgieron muchos wipers rusos dirigidos a Ucrania, como WhisperGate, HermeticWiper, IsaacWiper y otros. Un reciente ataque de ransomware utilizó una nueva familia de ransomware, Prestige, para atacar los sectores de logística y transporte en Ucrania y Polonia.
Mientras que aproximadamente el 85% de los ataques se han dirigido a individuos u organizaciones dentro de Rusia o Ucrania, el 15% restante ha tenido como objetivo principalmente a aliados de todo el mundo. Al igual que los ataques dentro de Rusia y Ucrania, los lanzados contra objetivos en otras naciones también se han orientado hacia infraestructuras críticas y organismos gubernamentales.
El ataque de ruptura más significativo de la guerra ruso-ucraniana ocurrió en 2017 con NotPetya, un wiper ruso dirigido a Ucrania que terminó infectando sistemas en todo el mundo, incluidas las empresas Maersk y Merck, y causando daños estimados en 10 mil millones de dólares. En el año transcurrido desde la invasión rusa de Ucrania, todavía no se ha descubierto un ataque de esa magnitud. Hasta ahora, los episodios fuera de Rusia y Ucrania han sido aparentemente bien dirigidos. Algunos ataques, en particular el primero contra Viasat, tenían objetivos menos precisos. Aunque su propósito inicial era interrumpir la conectividad de la red en Ucrania, al final provocó cortes en toda Europa.
Conclusiones probadas
Tras todo lo anterior, hay varias lecciones a sacar en claro. Así, y como primera medida, se ha demostrado que los controles antiphishing y la formación son defensas esenciales durante una ciberguerra. Interrumpir los intentos de phishing puede ayudar a detener un ciberataque antes de que cause daños.
Del mismo modo, se ha comprobado cómo las agencias gubernamentales y las infraestructuras críticas corren el mayor peligro durante una ciberguerra, lo que justifica una inversión adicional en ciberseguridad y el establecimiento de controles de ciber protección más estrictos para reducir la superficie de riesgo.
Las medidas de protección contra el ransomware, especialmente las copias de seguridad sólidas y bien evaluadas, también pueden ser defensas eficaces contra algunos wipers destructivos que suelen utilizarse durante la ciberguerra.
Por último, ha quedado claro que, cuanto más cerca esté una persona u organización del conflicto, ya sea físicamente o a través de una alianza, más probabilidades tendrá de convertirse en objetivo. Aunque la mayoría de los ataques se enfocan en organismos gubernamentales e infraestructuras críticas de los países en guerra, cualquier individuo dentro de esos territorios es un objetivo común, al igual que las personas y organizaciones aliadas de cualquiera de los bandos.
Mirando al futuro
Mientras continúe el conflicto físico en Ucrania, también lo hará la ciberguerra. En este sentido, se espera que la intensidad de los ataques físicos de Rusia contra Ucrania aumente en el próximo año, y que los ciberataques se incrementen paralelamente. Cuanto más se prolongue el enfrentamiento, más posibilidades habrá de que los aliados de todo el mundo se conviertan en blanco de asaltos, incrementándose también las opciones de que se produzcan nuevos altercados.