¿Qué es la ciberguerra y cómo se relaciona con la guerra de Rusia en Ucrania?

La invasión está en pleno, pero Rusia empezó la guerra contra Ucrania con ciberataques hace tiempo

Por

Bloomberg Línea — Estados Unidos y el Reino Unido apoyaron a Ucrania después de que los militares rusos lanzaran ataques contra el país en la madrugada del jueves. Las agencias de seguridad de esos países ya habían advertido a las organizaciones que reforzaran la seguridad contra los ciberataques procedentes de la Federación Rusa.

Un portavoz del Centro Nacional de Ciberseguridad del Reino Unido (NCSC, por sus siglas en inglés) dijo a Bloomberg Línea que el organismo “está al tanto de los informes de incidentes cibernéticos tras el ataque premeditado y no provocado de Rusia contra Ucrania. Estamos investigando urgentemente estos incidentes”.

“El NCSC no tiene conocimiento de ninguna amenaza cibernética específica para las organizaciones del Reino Unido en relación con la invasión rusa, pero recomienda firmemente a las organizaciones que sigan nuestra directriz sobre los pasos a seguir cuando la amenaza cibernética se intensifique”.

En las dos últimas semanas, el sitio web del Ministerio de Defensa y Servicios Armados de Ucrania y los bancos Privatbank y Oschadbank han sufrido ataques. La ciberacción tiene un menor costo en términos de reputación y respuesta, y también es más difícil probar la autoría de algún país por organizar un ciberataque, como explica Daniel Río Tinto, doctor en Ciencias Políticas y Estudios Internacionales por la Universidad de Birmingham y profesor de Relaciones Internacionales en la FGV (Escuela de la Fundación Getulio Vargas).

“Sería muy inverosímil imaginar que Rusia desembarque tropas en EE.UU. y el Reino Unido. En cambio, una intervención cibernética, atacando algún sistema electrónico para dar una señal a un determinado periódico, banco o agencia gubernamental sería mucho más factible. No para causar ningún efecto práctico significativo en esos países, sino con un efecto propagandístico”, explica.

Por su parte, el profesor de la FGV de Río y coordinador del Centro de Tecnología y Sociedad de la universidad, Luca Belli, cree que es “muy poco probable” que Rusia ataque las infraestructuras del Reino Unido o de EE.UU. “No hay ningún interés por parte de Rusia en atacar a otro país que haya apoyado a Ucrania. Pero lo que ya está ocurriendo es que empresas contratadas por Ucrania o empresas de Ucrania que trabajan en Europa han sido objeto de ciberataques”.

En EE.UU., la CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) recientemente publicó una guía para que las empresas se preparen para mitigar las operaciones de influencia extranjera dirigidas a sus infraestructuras críticas.

De acuerdo con la CISA, históricamente, los agentes cibernéticos patrocinados por el Estado ruso han utilizado tácticas para obtener acceso a las redes objetivo. Desde al menos enero de 2020 hasta febrero de 2022, la agencia, junto con el FBI y la NSA (la Agencia de Seguridad Nacional), ha observado que los ciberagentes rusos patrocinados por el Estado han atacado regularmente a los contratistas de defensa de EE.UU.

Las agencias vinculadas al gobierno afirman que estos actores han apuntado a los CDC que apoyan contratos para el Departamento de Defensa (DoD) y la Comunidad de Inteligencia de EE.UU. en áreas como los sistemas de mando, control, comunicaciones y combate; inteligencia, vigilancia, reconocimiento y objetivos; desarrollo de armas y misiles; diseño de vehículos y aviones; y desarrollo de software.

Marcelo Frullani, experto en derecho y tecnologías de la información de la Universidad de São Paulo, recuerda que en los últimos años Ucrania ha sido víctima de una serie de ciberataques que han hecho caer sistemas esenciales del país, como el energético o el bancario, por ejemplo.

“Aunque es muy difícil identificar el origen de estos ataques, los gobiernos de varios países indican que Rusia está detrás de ciberataques en todo el mundo”, refirió.

De acuerdo con Frullani, el gobierno de Putin también es acusado de interferir en las elecciones de otros países mediante la difusión de desinformación. “Este poder de injerencia en otros países, utilizando herramientas de tecnología de la información, ha sido calificado incluso de sharp power por los estudiosos del tema”.

Agentes dolosos utilizan operaciones de control, incluyendo tácticas como la desinformación, para moldear la opinión pública, socavar la confianza, amplificar la división y sembrar la discordia, dice la CISA.

Según la agencia, los actores extranjeros llevan a cabo estas acciones para sesgar el desarrollo de la política y socavar la seguridad de EE.UU. y sus aliados, perturbar los mercados y fomentar el descontento.

" Si bien las operaciones de control tienen precedentes históricos, la evolución de la tecnología, las comunicaciones y los sistemas conectados en red han creado nuevos vectores de explotación. Una sola narrativa de desinformación puede parecer inocua, pero cuando se promueve de forma consistente, a audiencias específicas, y es reforzada por compañeros y personas con influencia, puede tener efectos combinados”, afirma.

La CISA afirma que las operaciones de influencia extranjera se han unido a la actividad cibernética para desviar contenidos, crear confusión, aumentar la ansiedad y distraer de otros sucesos. “A la luz del desarrollo de las tensiones geopolíticas entre Rusia y Ucrania, ha aumentado el riesgo de que las operaciones de control exterior afecten a las audiencias locales. Las operaciones de control exterior observadas recientemente en otros países demuestran que los gobiernos extranjeros y los actores relacionados pueden emplear rápidamente sofisticadas técnicas de influencia para dirigirse a las audiencias estadounidenses con el fin de perturbar la infraestructura crítica de EE. UU. y socavar los intereses y las autoridades de EE. UU.”

Las directrices y recomendaciones de la agencia para las empresas y organizaciones incluyen la evaluación del entorno de la información, la identificación de las vulnerabilidades, el fortalecimiento de los canales de comunicación, la participación en la comunicación proactiva y el desarrollo de un plan de contingencia.

Frullani explica que los ciberataques que interrumpen los servicios esenciales pueden ser variados. En algunos casos, se tumban sitios web; en otros, se produce un secuestro de datos a través de un ataque llamado “ransomware”, con una petición de rescate para la devolución de esa información, mientras que los ataques dirigidos a la desinformación suelen producirse a través de las redes sociales.

“Los ataques no suelen venir directamente del gobierno ruso, sino de grupos de hackers que reciben estímulos y protección de Rusia”, afirma. Para él, aunque Brasil no esté involucrado en el conflicto, no se puede escapar de las consecuencias de la ciberguerra. “Los ataques a servidores ubicados en Estados Unidos, por ejemplo, pueden causar daños en muchos otros países que dependen de esa infraestructura”.

Además, el experto afirma que aunque el objetivo de un ataque sea una determinada empresa ubicada en Ucrania, a menudo no es posible evitar que empresas ubicadas en otros países también se vean afectadas. “Aunque el enfrentamiento armado se limite a Ucrania, ciertamente la ciberguerra producirá impactos en todo el mundo”.

Según el mapa de ataques de ciberamenazas de Imperva, entre el 22 y el 23 de febrero, los tres principales orígenes de los ataques en todo el mundo procedieron de Estados Unidos (52%), Alemania (11%) y Reino Unido (6%), mientras que los tres principales objetivos de los ataques fueron Estados Unidos (44%), Australia (7%) y Reino Unido (5%).

Por su parte, la firma de seguridad informática Kaspersky señala que los ciberataques en Ucrania no han cesado desde hace cinco años y no hay indicios de que vayan a detenerse.

La compañía dijo que los ataques recientes son dirigidos, como el Whispergate. Kaspersky también dijo que ha identificado una nueva amenaza llamada HermeticWiper, que se aprovecha de los controladores legítimos del software EaseUS Partition Master para corromper los discos duros y comprometer los sistemas de archivos.

“Este nuevo programa malicioso utiliza nuevas técnicas para evitar el análisis y también depende de un certificado digital válido, lo que lo hace mucho más complejo que WhisperGate”, dijo la firma.

De acuerdo con Kaspersky, también se han reportado ataques dirigidos a bancos ucranianos y el malware utilizado es una variante de la amenaza Mirai, conocida como Katana. “Este malware estaba a la venta en foros clandestinos y ahora se puede encontrar de forma gratuita en GitHub. Normalmente, Katana infecta routers domésticos y equipos IoT (internet de las cosas) obsoletos”.

Una guerra invisible

Algunos entienden que la ciberguerra no es una “guerra” sino otra categoría de uso de la fuerza, como explica el profesor Rio Tinto. La ciberguerra es una forma de usar la fuerza. Es una forma de causar daño modificando la vida cotidiana del adversario para producir un efecto político en algunos países.

Ariane Roder, politóloga del COPPEAD/UFRJ y especialista en relaciones internacionales, explica que en la guerra tradicional, el conflicto se desencadena cuando hay una invasión militar de un territorio soberano, mientras que en la ciberguerra, los ataques de los hackers son sistemáticos y orquestados en las redes de datos con los objetivos de espiar información crítica y sensible y desestabilizar al enemigo invadiendo sus sistemas.

Thiago Diogo, director de ingeniería de la multimillonaria IDTech Unico, afirma que la ciberguerra es invisible, difícil de percibir y de que se detecte su origen. No se trata sólo de una ventaja financiera, sino de soberanía. “Los gobiernos vienen invirtiendo en la creación de ciberejércitos, con equipos especializados en el tema, para defender sus intereses en el mundo digital, tanto para monitorear adversarios y grupos radicales como para posibles ataques”.

La ciberguerra es cualquier actividad hostil a los sistemas de información originada por el gobierno de un país que puede llegar a sacudir las relaciones diplomáticas con otra nación, señala Raphael Tedesco, gerente de alianzas de NSFOCUS en América Latina

“Las implicaciones pueden ser innumerables y van mucho más allá de las directamente vinculadas al tipo de servicio atacado, desde subestaciones eléctricas, tratamiento de agua y otros elementos básicos de supervivencia, hasta incluso mercados financieros y empresas vinculadas a gobiernos opositores, pudiendo generar un colapso social en el país atacado.”

Las armas digitales pueden ser programas informáticos maliciosos, entre otras herramientas que pueden utilizarse para tomar el control de la infraestructura tecnológica de un país contra la población local.

A diferencia de la ciberdelincuencia, en la que los piratas informáticos pueden intentar entrar en los bancos para robar dinero en beneficio propio, la ciberguerra es activada por un actor político para interferir en el sistema financiero del país objetivo y provocar el caos en las infraestructuras, como interrupciones de la electricidad, por ejemplo.

“La dimensión de los ataques de esta naturaleza puede, por ejemplo, impedir las eventuales defensas, los contraataques y la toma de armas por parte del enemigo, dejando a quien sea víctima de un ataque totalmente vulnerable”, afirma Tedesco.

Sebastian Stranieri, CEO de VU Security, señala que la ciberguerra es el uso de recursos tecnológicos con el fin de extraer información confidencial, modificar planes o sistemas de comunicación de un tercero.

“Algunos de sus objetivos son obstaculizar las comunicaciones, el acceso al sistema financiero o los sistemas tecnológicos que gestionan los recursos naturales. Por otro lado, es casi imposible verificar si detrás de un ataque de este tipo hay un equipo formal y entrenado relacionado con un gobierno. Dada la soberanía de Internet, cualquiera podría hacer esfuerzos contra un objetivo. Pero es cierto que la única forma de generar un impacto masivo es a través de la cantidad y sofisticación de los recursos disponibles”, afirmó.

Rusia se ha dado a conocer por el uso de medios cibernéticos con fines políticos. “No es algo exclusivo de Rusia. China y EE.UU. también utilizan constantemente los medios cibernéticos de forma ofensiva y defensiva”, añade el profesor Rio Tinto.

Antes de la invasión militar rusa, Ucrania ya había denunciado ataques a sitios web relacionados con el gobierno y a servicios financieros. Rusia no ha reclamado la autoría de estos ataques. A diferencia de los ataques terroristas, es habitual que los ciberataques no tengan una autoría asumida.

La decisión de invadir Ucrania formaba parte de un conjunto más amplio de acciones contra el país que ya se estaban llevando a cabo.

El riesgo de una sociedad totalmente digitalizada

Los recientes ataques a sitios gubernamentales y bancarios en Ucrania se llevaron a cabo con herramientas triviales: varios usuarios accedieron a los sitios al mismo tiempo, provocando una caída. Para Belli, el gran problema es cuando estos ataques conducen a la toma de control de infraestructuras convencionales, como las redes eléctricas e incluso las centrales nucleares.

En 2017, el ciberataque “NotPetya” llegó a tomar el control de la operación de monitorización de la refrigeración de la llamada “Pata de Elefante”, la masa de corio del reactor del desastre de Chernóbil.

En un momento en el que la transformación digital, la ventaja paradójica de Ucrania es que todavía tiene la infraestructura convencional, con una red eléctrica y aeropuertos que no están totalmente digitalizados, según Belli.

“No es una infraestructura conectada de última generación. Incluso se puede apagar y controlar manualmente. Imagínate en un contexto de infraestructura totalmente digitalizada, es la opción más vulnerable en ese tipo de contexto. La digitalización en Ucrania es mucho más reciente e incompleta, todavía se puede desconectar el control digital y volver a lo manual, a lo analógico”, explica.

Es lo que ocurrió el año pasado, cuando el aeropuerto de Kiev sufrió un ataque y se apagaron algunos sistemas digitales para ponerlos en funcionamiento manualmente, lo que, según el profesor, sería más difícil en países donde la estructura digital está conectada a otros servicios, como en EE.UU., cuando el gasoducto quedó paralizado durante unas semanas por un ciberataque.

Según Stranieri, el usuario medio de internet sólo podrá saber si es víctima de las consecuencias de una ciberguerra en caso de que los servicios de comunicación se interrumpan y la gente no pueda utilizarlos, ya sea por cortes masivos o por microcortes.

“Otra posibilidad es cuando se trata de ataques a objetivos masivos, específicamente si ocurre en empresas financieras o de criptomonedas, así como en otras industrias que mantienen sucursales en gran parte del mundo o con un gran número de consumidores”.

Por otro lado, dijo que las fuerzas de defensa de los gobiernos sí pueden identificar si están siendo blanco de ataques, a partir del análisis de variables como el comportamiento, el movimiento o las modificaciones, entre otras.

“Los acontecimientos del pasado nos dicen que la tensión en el mundo cibernético reacciona en paralelo a la tensión en el mundo físico. Como experto, recomiendo a las empresas que refuercen sus políticas de seguridad y vigilancia proactiva en esta etapa tan triste para el mundo”, dijo Stranieri.

De acuerdo con Kaspersky, se espera que los ataques continúen, probablemente dirigidos a entidades nacionales, grandes instituciones y al sector financiero ucraniano. “Las empresas de fuera de Ucrania también deben permanecer vigilantes y tomar todas las precauciones para evitar los ataques dirigidos, así como los ataques a la cadena de suministro”.

La historia y lo que podría pasar de aquí en adelante

Roder destaca que la guerra del siglo XXI no se sustenta en los mismos pilares que la guerra de trincheras del siglo pasado. “Los efectos de la globalización y la digitalización afectan al propio diseño de la estrategia bélica”, explica.

Según ella, en el conflicto entre Rusia y Ucrania el mundo será testigo de una probable conjunción de la guerra militar con los ciberataques. “Rusia, además de ser la segunda potencia militar del mundo, cuenta con un sistema de inteligencia y ciberseguridad muy sofisticado tanto para defenderse como para atacar”, señala.

Belli asegura que Rusia llevaba varios años preparándose para este momento, desde la anexión de Crimea en 2014, desarrollando no solo la capacidad de ciberataque sino experimentando periódicamente con nuevas técnicas. “Uno de los pocos consensos que hay en este momento es que todo lo que ha ocurrido en los últimos años es solo la punta del iceberg del arsenal digital”, dijo.

El profesor recuerda que en 2019 Rusia aprobó una ley para desconectar su infraestructura de internet como medio para no ser blanco de ataques. No es posible acceder a la web del ejército ruso, por ejemplo, que ha sido desconectada.

“Ha sido una defensa digital puesta en marcha por el ejército ruso, en la que se están desconectando los objetivos que pueden ser vulnerables. Pocas naciones tienen ahora mismo el mismo nivel de experiencia que Rusia y China”.

Vinícius Rodrigues Vieira es profesor de la Faap e imparte clases sobre temas tecnológicos y relaciones internacionales en los cursos de MBA de la FGV. Recuerda que en 2008, en la guerra de Osetia del Sur, Rusia realizó un ciberataque antes que el militar e intentó una ciberguerra con Estonia en 2007.

“En Georgia, tuvimos primero el ciberataque y luego la guerra. Ahora, con el conflicto de Ucrania, no sólo los países deben implicarse, sino también los actores privados estar atentos a las posibles inestabilidades de la red, ya que es un arma que los grandes países utilizan porque tiene un bajo costo con un alto daño potencial”.

Jeferson D’Addario, CEO del Grupo DARYUS, una empresa de gestión de riesgos, continuidad del negocio y ciberseguridad, dice que “en este momento, toda precaución es poca para todos los miembros de la OTAN”, pero para él, todavía no hay indicios de una ciberguerra global.

“Rusia es considerada un semillero de hackers y algunos grupos muy buenos técnicamente. Algunos vinculados con el gobierno y la defensa, otros con el crimen organizado”.

Recuerda que las empresas que hacen negocios con ambos países, vinculadas a la cadena de suministro, al software de defensa y seguridad, o vinculadas a las infraestructuras críticas de los países implicados, deben aumentar su índice de alerta y preparación.

“Casi todo lo que usamos o las infraestructuras críticas tienen conexiones tecnológicas, automatización, enlaces a internet, etc. En otras palabras, son susceptibles de ser hackeadas”.

Un estudio reciente de Aon enumeró los 10 principales riesgos mundiales, según más de 2.300 directivos de 60 países, en 16 sectores tanto públicos como privados. El riesgo más citado era la ciberseguridad.

Por ello, la VU recomienda cambiar los esquemas de vigilancia por un modelo activo. “Es un momento que se puede capitalizar, tomando medidas como restringir al máximo los accesos no prioritarios, iniciar conversaciones con los principales proveedores de ciberseguridad y solicitar su apoyo en las modificaciones que recomienden durante este periodo. También, reforzar la comunicación y el proceso de alerta interno, como en el trabajo coordinado con los equipos de ciberseguridad en caso de que sea posible verse afectado por un ataque”, añade Stranieri.

Por su parte, el portavoz de Unico afirma que muchos países tienen sus planes de contingencia y resiliencia cibernética para las infraestructuras críticas. “La ciberdelincuencia se alimenta del hecho de que hay una guerra digital. Así que las empresas tradicionales (que no se ocupan de las infraestructuras críticas) también tienen que tener la guardia alta y hacer lo que llamamos ciber higiene. Aumentar la supervisión, la capacidad de respuesta, revisar las cuentas con la adopción de la autenticación multifactor para todos, y estar muy atentos durante este periodo”.

Con un metaverso en desarrollo, D’Addario añade que la seguridad de la información y la ciberseguridad se han convertido en una necesidad fundamental. “Aquellos que no inviertan en ciberseguridad y manejen un joystick en las próximas décadas no estarán preparados para afrontar las crisis y la ciberdefensa”.