Josep Albors. Eset España.
Josep Albors Director de Investigación y Concienciación Eset España

Ciberataques a infraestructuras en Ucrania: ¿menos graves de lo previsto o hay motivos para preocuparse?

Ciberataques a infraestructuras en Ucrania.

Cuando se inició la invasión rusa de Ucrania no fueron pocos (yo incluido) los que vaticinaron el uso y la importancia que tendrían los ciberataques a las infraestructuras críticas y organismos oficiales ucranianos. Y así fue durante varias semanas, pero después se empezó a ver cómo la guerra convencional, la que causa muertos, heridos y sufrimiento de forma directa, se impuso. E incluso en las últimas semanas hemos visto cómo se ha estado bombardeando la infraestructura eléctrica ucraniana para provocar apagones y minar la moral de la población de cara al invierno.

¿Significa esto que todos los que pensábamos que la llamada «ciberguerra» tendría un papel destacado en este conflicto estábamos equivocados? Puede que no tanto.

Contexto

Para entender los ciberataques que se han llevado a cabo desde el inicio de la guerra en Ucrania, hemos de remontarnos varios años atrás, a inicios de 2014, coincidiendo con la invasión rusa de la península de Crimea. Ya entonces se observaron operaciones en el ciberespacio dirigidas a obtener una ventaja estratégica en el conflicto; operaciones que eran orquestadas por grupos APT (amenazas persistentes avanzadas) afines al Kremlin o directamente bajo su control o bajo el de alguna de sus organizaciones.

Sednit, The Dukes, Turla, Energetic Bear, Invisimole o Gamaredon son algunos de los alias por los que se conocen estos grupos y que han estado involucrados en varias operaciones relacionadas con ciberataques cuya finalidad, en no pocas ocasiones, era obtener una ventaja geoestratégica para Rusia.

Pero entre todos estos grupos destaca uno en particular, conocido como Sandworm, debido a las innovaciones que ha ido realizando a lo largo de los años con las amenazas que ha utilizado en sus ataques.

No se puede negar categóricamente la influencia de los ciberataques en la guerra

Ciberataques en Ucrania: Black Energy

Si ponemos como punto de partida 2014, incluso antes, entre 2012 y finales de 2013, veremos cómo el malware Black Energy intensificó sus ataques contra varios sectores en Ucrania y países vecinos como Polonia. Esta amenaza, descubierta en 2007, pasó de ser un simple troyano encargado de realizar ataques de denegación de servicio distribuidos (DDoS) a convertirse en un sofisticado malware con arquitectura modular que fue utilizado, entre otros fines, en ataques dirigidos pensados para recopilar información de objetivos interesantes y permitir la ejecución de otros códigos maliciosos.

El momento cumbre de esta amenaza se produjo a finales de 2015, cuando provocó un apagón en varias regiones de Ucrania aprovechando las conexiones de acceso remoto para ir cerrando el flujo eléctrico. La consecuencia directa fue que cerca de 230.000 ucranianos se quedaron sin energía eléctrica durante seis horas un frío diciembre de 2015.

Ese fue el primer aviso, pero no el último, puesto que, justo un año después, otra amenaza más sofisticada conocida como Industroyer trató de provocar un apagón similar con consecuencias más graves. En esta ocasión, los atacantes no se conformaban con dejar sin electricidad a una parte de la población, sino que su intención final era causar daños materiales en las subestaciones eléctricas que tenían como objetivo. Algo que, por suerte, no consiguieron.

Por si fuera poco, en junio de 2017, Ucrania fue el país más afectado por el falso ransomware NotPetya, camuflado como una amenaza que secuestraba los archivos del sistema, pero que en realidad los hacía inservibles. El método de distribución usado (una actualización de un programa de contabilidad muy utilizado por las empresas ucranianas) fue muy ingenioso y efectivo, y demostró la capacidad de los atacantes para comprometer la cadena de suministro.

Sofisticado malware llamado 'Black energy'.

Ciberamenazas usadas

Con esos antecedentes, no era de extrañar que muchos pensáramos que las ciberamenazas iban a ser ampliamente utilizadas durante la invasión rusa de Ucrania. De hecho, lo fueron durante los primeros compases de la guerra. Horas antes de iniciarse la ofensiva, durante la tarde del pasado 23 de febrero, el malware HermeticWiper afectaba a cientos de sistemas en más de cinco organizaciones ucranianas con la intención de destruir la información que contenían y de dejarlos inservibles.

Esta labor de destrucción en sistemas pertenecientes a organizaciones e infraestructuras críticas continuó durante las semanas siguientes, con amenazas destacadas como CaddyWiper, dirigido a objetivos muy concretos y que solo afectó a docenas de sistemas ubicados en varias entidades relacionadas con el sector financiero de Ucrania.

Además, los años de experiencia tratando de comprometer la infraestructura eléctrica ucraniana fueron usados de nuevo contra una importante empresa de distribución de energía. Sin embargo, los defensores estaban preparados y contaban con la ayuda de empresas como Microsoft y Eset, especializadas en detectar y detener este tipo de amenazas, por lo que los atacantes no consiguieron su objetivo de dejar sin luz a un importante número de habitantes.

Baja intensidad

Desde ese incidente, los ciberataques han pasado a ser de ‘baja intensidad’, incluyendo amenazas camufladas como ransomware destinadas a destruir o, como mínimo, dejar inaccesibles los archivos de los sistemas infectados. Estas amenazas han sido descubiertas a lo largo de los últimos meses, y si bien no resultan tan llamativas como las que vimos al inicio de la invasión, demuestran que siguen destinándose recursos a este frente.

Dicho esto, ¿podemos descartar la influencia que han tenido en el conflicto todos estos ciberataques? Personalmente no descartaría los observados hasta ahora ni los que están por venir solo porque no hayan causado daños relevantes. Precisamente, la preparación para protegerse de ciberataques que se han venido realizado en Ucrania tras sufrir numerosos incidentes en años anteriores ha permitido que los atacantes lo tengan más difícil en este campo.

Además, de la misma manera que sucede con el apoyo internacional a Ucrania, ofreciéndole armamento, inteligencia sobre las operaciones militares y suministros, en el campo cíber también hay un apoyo constante que le ayuda a lidiar contra los ciberataques que vienen desde territorio ruso. Así pues, la labor de los defensores es ahora un poco más fácil que hace unos años.

Tampoco debemos olvidar que algunas de las operaciones que emplean ciberamenazas no son descubiertas hasta tiempo después de producirse, por lo que es posible que se estén realizando operaciones encubiertas y que no seamos conscientes de ellas.

Por todo lo comentado hasta este momento, no se puede negar categóricamente la influencia de los ciberataques en el desarrollo del conflicto. Y por ese mismo motivo, los que alertaron de las posibles repercusiones que podrían tener estos incidentes tenían, y siguen teniendo, buenos motivos para seguir su evolución y alertar en consecuencia.