Red Seguridad 099

red seguridad cuarto trimestre 2022 19 servicios esenciales monográfico apagón similar con consecuencias más graves. En esta ocasión, los atacantes no se conformaban con dejar sin electri- cidad a una parte de la población, sino que su intención final era causar daños materiales en las subestaciones eléctri- cas que tenían como objetivo. Algo que, por suerte, no consiguieron. Por si fuera poco, en junio de 2017, Ucrania fue el país más afectado por el falso ransomware NotPetya, camuflado como una amenaza que secuestraba los archivos del sistema, pero que en reali- dad los hacía inservibles. El método de distribución usado (una actualización de un programa de contabilidad muy utili- zado por las empresas ucranianas) fue muy ingenioso y efectivo, y demostró la capacidad de los atacantes para com- prometer la cadena de suministro. Ciberamenazas usadas Con esos antecedentes, no era de ex- trañar que muchos pensáramos que las ciberamenazas iban a ser ampliamente utilizadas durante la invasión rusa de Ucrania. De hecho, lo fueron durante los primeros compases de la guerra. Horas antes de iniciarse la ofensiva, durante la tarde del pasado 23 de febrero, el ma- lware HermeticWiper afectaba a cientos de sistemas en más de cinco organiza- ciones ucranianas con la intención de destruir la información que contenían y de dejarlos inservibles. Esta labor de destrucción en sistemas pertenecientes a organizaciones e in- fraestructuras críticas continuó durante las semanas siguientes, con amenazas destacadas como CaddyWiper, dirigido a objetivos muy concretos y que solo afectó a docenas de sistemas ubicados en varias entidades relacionadas con el sector financiero de Ucrania. Además, los años de experiencia tra- tando de comprometer la infraestructura eléctrica ucraniana fueron usados de nuevo contra una importante empresa de distribución de energía. Sin embar- go, los defensores estaban preparados y contaban con la ayuda de empresas como Microsoft y Eset, especializadas en detectar y detener este tipo de amena- zas, por lo que los atacantes no consi- guieron su objetivo de dejar sin luz a un importante número de habitantes. Baja intensidad Desde ese incidente, los ciberataques han pasado a ser de “baja intensidad”, incluyendo amenazas camufladas como ransomware destinadas a destruir o, como mínimo, dejar inaccesibles los ar- chivos de los sistemas infectados. Estas amenazas han sido descubiertas a lo largo de los últimos meses, y si bien no resultan tan llamativas como las que vi- mos al inicio de la invasión, demuestran que siguen destinándose recursos a este frente. Dicho esto, ¿podemos descartar la influencia que han tenido en el conflic- to todos estos ciberataques? Personal- mente no descartaría los observados hasta ahora ni los que están por venir solo porque no hayan causado daños relevantes. Precisamente, la prepara- ción para protegerse de ciberataques que se han venido realizado en Ucra- nia tras sufrir numerosos incidentes en años anteriores ha permitido que los atacantes lo tengan más difícil en este campo. Además, de la misma manera que sucede con el apoyo internacional a Ucrania, ofreciéndole armamento, inteli- gencia sobre las operaciones militares y suministros, en el campo cíber también hay un apoyo constante que le ayuda a lidiar contra los ciberataques que vienen desde territorio ruso. Así pues, la labor de los defensores es ahora un poco más fácil que hace unos años. Tampoco debemos olvidar que algu- nas de las operaciones que emplean ci- beramenazas no son descubiertas hasta tiempo después de producirse, por lo que es posible que se estén realizando operaciones encubiertas y que no sea- mos conscientes de ellas. Por todo lo comentado hasta este momento, no se puede negar categó- ricamente la influencia de los ciberata- ques en el desarrollo del conflicto. Y por ese mismo motivo, los que alertaron de las posibles repercusiones que podrían tener estos incidentes tenían, y siguen teniendo, buenos motivos para seguir su evolución y alertar en consecuencia.