El de ciberguerra es un concepto muy ambiguo del que a menudo se abusa. Incluso a nivel académico hay debate sobre el tema, pero, por lo general, con este término se entiende un tipo de acción capaz de causar un ‘daño físico’. Por lo tanto, está a un nivel más alto que la mayoría de los ataques cibernéticos. Otro elemento definitorio de la ciberguerra es la cooperación o la superposición entre los grupos de hackers activistas y los estados.
Para muchos, el conflicto entre Rusia y Ucrania es el escenario de la primera guerra cibernética real. Ataques y contraataques con virus y códigos robados acompañan al conflicto sobre el terreno que se libra con armas y bombas. En Rusia hay varios colectivos de hackers relacionadas con la inteligencia militar y los servicios secretos del país. Más otras que no son identificables como vinculadas al gobierno, pero que, de alguna manera, lo apoyan.
Dos analistas de la Organización del Tratado del Atlántico Norte (OTAN), David Cattler y Daniel Black, en un artículo para la revista ‘Foreign Affairs’, enfatizaron que es la propia naturaleza de la ciberguerra la que distorsiona las percepciones y hace que cueste ver cuando se produce. «Toda la evidencia a nuestra disposición indica que Rusia ha empleado una campaña cibernética destinada a dar a sus tropas una ventaja en la guerra en Ucrania», escriben.
La primera ciberguerra
El primer día de la invasión, el pasado 24 de febrero de 2022, el movimiento de tropas en tierra estuvo acompañado del uso de malware y otras formas de ciberataques que los dos analistas definen como «sin precedentes». Según un análisis de Microsoft y dos firmas de ciberseguridad, Symantec y Eset, los ataques se dirigieron a agencias gubernamentales, instituciones militares y servicios de emergencia. El alcance de los daños sufridos por los ucranianos fue eclipsado, en parte, por el horror de los bombardeos.
En los últimos ocho años, desde el comienzo del conflicto en Donbass (Ucrania) en 2014, el país ha sufrido varios ataques. Un ejemplo de ello es el ocurrido en 2015, concertado por el grupo ruso ‘Voodoo Bear’. Atacó la red eléctrica ucraniana provocando cortes del suministro a más de 200 000 ciudadanos. Después, Ucrania aprendió a defenderse. Además, el movimiento de hacking internacional conocido como Anonymous se ha fijado como objetivo sabotear los sistemas informáticos rusos para aislar a Vladímir Putin. El banco central ruso ha sido una de sus metas.
En general, tras varios años en los que el cibercrimen ha sido impulsado sobre todo por razones económicas, se observa una reanudación de las actividades patrocinadas por los estados y dirigidas a los enemigos políticos. Un análisis detallado del escenario internacional se ofrece en el último ‘Global Threat Report’ de la empresa de ciberseguridad CrowdStrike.
Esta nueva dimensión bélica ve desplegadas a las naciones más experimentadas en la guerra digital: China, Estados Unidos, Rusia, Corea del Norte, Irán e Israel. El conflicto Rusia-Ucrania no será el último de una ciberguerra destinada a inhabilitar servicios esenciales, como las telecomunicaciones o la electricidad. Y siempre acompañada de campañas de desinformación a gran escala.
China, Irán y Corea del Norte
Además de los ya conocidos hackers rusos, también se ha intensificado el protagonismo de China. Los grupos del país asiático solían utilizar técnicas que requerían la interacción del usuario, como abrir documentos maliciosos. A partir de 2021, comenzaron a centrarse en las vulnerabilidades de los dispositivos y servicios de internet.
En particular, se enfocaron en una serie de vulnerabilidades de Microsoft Exchange, usadas para lanzar intrusiones contra varias empresas de todo el mundo. Además, continúan aprovechando las VPN, los enrutadores y las ‘puertas traseras’ de los dispositivos.
Desde finales de 2020, un grupo de ciberdelincuentes vinculados a Irán ha potenciado el uso de ransomware para atacar diversas organizaciones de Estados Unidos, Israel, la región de Medio Oriente y el norte de África. Los datos incautados se distribuyen a través de webs dedicadas a la filtración de noticias, redes sociales y plataformas que permiten que las amenazas amplíen su efecto contra los países objetivo.
Los ciberdelincuentes con base en Corea del Norte siguen siendo una de las amenazas más activas en el ecosistema del cibercrimen. Investigaciones recientes revelaron cómo la República Popular Democrática de Corea ha empezado a colaborar con grupos relacionados con las criptomonedas para mantener altos los ingresos durante las fases de interrupciones económicas causadas por la pandemia y otras sanciones.
Una de las técnicas empleadas se conoce como cryptojacking. Consiste en el uso no autorizado de los recursos informáticos de una persona física o jurídica para minar criptomonedas. Los programas de cryptojacking pueden ser malware instalado en el ordenador de la víctima a través de técnicas de phishing, webs infectadas u otros métodos comunes en los ataques de malware.
Nuevos actores
Este año se han identificado también dos nuevos grupos de ciberdelincuentes apoyados por Turquía y Colombia. Un ejemplo de su actividad es lo que sucedió en abril de 2021, cuando expertos en ciberseguridad detectaron grupos con base en Turquía atacando datos almacenados en la nube de Amazon Web Services (AWS). Lograron comprometer el entorno de esta plataforma mediante la explotación de credenciales robadas.
La presencia de estos nuevos actores muestra la difusión de las capacidades de ataque de los gobiernos, más allá de los que están asociados con estas operaciones. De hecho, se trata de un área en la que acortar las distancias entre potencias es más fácil. Las inversiones, comparadas, por ejemplo, con las requeridas por los armamentos tradicionales, son menores y sostenibles incluso para los pequeños estados. Y el beneficio puede ser muy alto. Por lo que la ciberguerra o ciberguerrilla será cada vez más un teatro de competencia entre naciones.
Por Alberto Barbieri
Imágenes | Khashayar Kouchpeydeh/Shutterstock, Jefferson Santos/Unsplash
