Josep Albors. Eset España.
Josep Albors Director de Investigación y Concienciación Eset España

La ciberguerra en Ucrania empieza mucho antes del conflicto armado

Tablero de ajedrez en representación de la ciberguerra.

Desde incluso antes de que empezase la invasión de Ucrania, muchos ojos estaban puestos en el arsenal de ciberamenazas y supuestas capacidades de Rusia para lanzar todo tipo de ciberataques e iniciar así una ciberguerra, tal y como se deduce tras revisar los múltiples incidentes que han afectado a Ucrania durante los últimos años.

Y es que Ucrania ha sido el campo de pruebas y principal objetivo de varios ciberataques que empezaron en 2014, tras la invasión rusa de Crimea y el inicio del conflicto en el Donbas. Si echamos la vista atrás, podremos recordar ataques graves a todo tipo de empresas del país como los protagonizados por los códigos maliciosos BlackEnergy en diciembre de 2015, Industroyer en diciembre de 2016 o NotPetya en junio de 2017.

Con estos antecedentes era de esperar que la ciberguerra fuera usada en apoyo a una invasión terrestre como la que llevamos observando desde hace meses. No obstante, la intensidad de estos no ha sido la esperada por muchos; y, en la mayoría de casos, se ha limitado a lanzar malware con la finalidad de destruir la información almacenada en los sistemas infectados.

Clases de ‘malware’ en una ciberguerra

Como ejemplos de este tipo de malware tenemos a HermeticWiper, detectado apenas unas horas antes del comienzo de la invasión; o CaddyWyper, descubierto a mediados de marzo. Sin embargo, también se ha hallado una nueva variante del malware dirigido a estaciones eléctricas, conocido como Industroyer2, el cual fue bloqueado antes de que pudiera causar daños al sistema de distribución de energía eléctrica en Ucrania.

Además de estos ataques dirigidos a empresas, sistemas gubernamentales e infraestructuras críticas, se han observado ataques convencionales del tipo DDoS (denegación de servicio) o ransomware lanzados en varias ocasiones por grupos de delincuentes que apoyan la invasión rusa de Ucrania. Esto ha tenido su respuesta por parte del colectivo Anonymous, quien ha conseguido acceder a información confidencial de compañías y organismos gubernamentales rusos que incluyen a las fuerzas armadas y que la han ido haciendo pública.

La principal preocupación de la comunidad internacional que se opone a esta invasión sigue siendo que estos ciberataques lanzados desde Rusia terminen afectando a servicios e infraestructuras ubicados fuera de Ucrania. De hecho, justo al inicio de la invasión, el investigador español Rubén Santamarta alertó de un incidente que dejó fuera de servicio a miles de terminales KA-SAT SATCOM, lo que posteriormente fue confirmado como un ciberataque.

La exposición española

En lo que respecta a los usuarios y empresas españolas, no se ha visto un incremento notable de ciberamenazas que esté directamente relacionado con la ciberguerra en Ucrania. Hemos observado la utilización de este conflicto como gancho de estafas y fraudes, algo que los delincuentes suelen hacer cuando se producen noticias de impacto. Pese a ello, no debemos confiarnos, ya que muchos grupos especializados en desplegar amenazas como el ransomware ya han manifestado su apoyo a la invasión rusa y es muy recomendable que, si no lo hemos hecho ya, aprovechemos la situación para mejorar nuestras defensas frente a las ciberamenazas.