Fuente: 20 minutos.es
Hace cinco años dos ataques cibernéticos, NotPetya y WannaCry, se salieron de control y fueron más allá de sus objetivos iniciales. Es posible que la historia se vuelva a repetir, aunque Rusia niega una ofensiva.
Durante la madrugada de este jueves, Rusia daba el último paso adelante que le faltaba en la invasión de Ucrania. Las primeras explosiones sacudían distintas ciudades del país europeo, se registraban bombardeos de artillería en la frontera y las tropas rusas avanzaban en territorio ucraniano por Crimea.
Pero existe otra ofensiva, más silenciosa, sobre la que los expertos llevan semanas alertando: la ciberguerra ya está en marcha y podría tener graves consecuencias mundiales.
A principios de enero, numerosos sitios web del Gobierno de Ucrania fueron desconfigurados y los sistemas de las agencias gubernamentales ucranianas fueron infectados con malware disfrazado de ataque de ransomware, una operación descubierta por primera vez por investigadores de Microsoft.
En este ataque se dejaron muchas ‘falsas banderas’ que intentaban implicar que el ataque era obra de disidentes ucranianos o partisanos polacos, pero los expertos apuntan a que se trató solo de una estrategia para confundir y distraer por parte de Rusia, el principal sospechoso, que sigue negando responsabilidad en lo sucedido.
Las ‘banderas falsas’, la atribución errónea, la interrupción de las comunicaciones y la manipulación de las redes sociales son componentes clave en el playbook de la guerra de información de Rusia. Este tipo de estrategias se utilizan para “ganar tiempo y confundir al enemigo, aunque solo sirven durante un tiempo, ya que tarde o temprano se sabrá qué tipo de ataque se realiza, desde dónde y en qué dirección va”, comenta el especialista en ciberseguridad de Hiberus, Adrián Jiménez.
El pasado 15 de febrero se desencadenaron una serie de ataques debilitantes DDoS contra sitios web gubernamentales y militares ucranianos, así como contra tres de los mayores bancos de Ucrania. Según la inteligencia estadounidense estas ofensivas provienen del Departamento Central de Inteligencia ruso (GRU), si bien el país presidido por Putin niega toda relación con las mismas.
El último ciberataque se ha producido esta misma semana y el objetivo han sido varios bancos y páginas del Gobierno y el Parlamento, según informó el ministro de Transformación Digtal de Ucrania, Mykhailo Fedorov. “Aproximadamente a las 16.00 hora local (14.00 GMT) comenzó otro ataque DDoS (denegación de servicio) masivo en nuestro Estado”, escribió en su cuenta oficial de Telegram, asegurando que “el objetivo era desestabilizar la situación y desatar el pánico”. La web del Parlamento fue restaurada poco después.
Crónica de una muerte anunciada
Ya en respuesta a la primera ofensiva, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos -CISA, por sus siglas en inglés- advirtió a los operadores de infraestructura crítica que tomaran “medidas urgentes a corto plazo” contra estas amenazas por ser “posibles amenazas” para el país norteamericano. Incluso el presidente Joe Biden dijo durante una rueda de prensa que podría responder a futuros ciberataques rusos contra Ucrania con sus propias capacidades cibernéticas.
Es precisamente el hecho de que no es la primera vez que Rusia hace tambalear al mundo en el terreno cibernético por lo que la CISA hizo saltar las alarmas. La agencia recordaba dos ciberataques de 2017, NotPetya y WannaCry, que se salieron de control y fueron más allá de sus objetivos iniciales, se propagaron rápidamente por Internet e impactaron en el mundo entero, con costes de miles de millones de dólares.
Además, con el añadido de que NotPetya fue ya un ciberataque ruso dirigido a Ucrania durante una época de alta tensión.
Si nos remitimos a estos hechos veremos que cuesta más bien poco que la situación se descontrole: NotPetya, haciéndose pasar por ransomware -aunque en realidad era una pieza de código puramente destructiva y altamente viral-, se dirigió inicialmente a empresas privadas ucranianas antes de que se extendiera y destruyera sistemas en todo el mundo.
Y ahora, ¿podría escalar el ciberconflicto y afectar al resto de Europa y al mundo? “El alcance del ciberataque (hasta donde van a intentar romper cosas) va a estar definido en algo tan nimio como una lista de direcciones IP en un archivo .txt a la que hará referencia un programa dentro del ordenador de un atacante, sin más. Este ejecutará el programa malicioso y, bueno, esperemos no estar dentro de esa lista de direcciones IP”, comenta Jiménez.
“Hay algo bueno y malo a la vez y es que ya estamos en un mundo en el que constantemente hay atacantes intentando romper los sistemas con máquinas automatizadas que rastrean Internet en busca de vulnerabilidades críticas. Y vivimos con ello”, añade.
¿Cómo afectan estos ciberataques a la ciudadanía?
El problema de los conflictos en el terreno virtual es que son más silenciosos y que como nada explota parecen menos graves. Pero la ciberguerra utiliza las mismas técnicas que los combates bélicos más históricos: el objetivo es tumbar las comunicaciones e infraestructuras críticas para la población.
Por poner un símil comprensible, en las guerras de bombas y balas los enemigos pueden tener como uno de sus principales blancos los trenes de mercancías, por ejemplo, que llevan alimentos o material de hospital, para que el bando contrario no tenga con qué suplir sus necesidades básicas.
En un conflicto cibernético los malos de Internet irán a por los sistemas gubernamentales que utiliza la ciudadanía para sus servicios básicos, a por las infraestructuras hospitalarias o a destruir los equipos de una cadena de suministro de alimentación, por ejemplo.
“Por llevarlo a nuestro terreno: imagina que un país tiene algo contra España y consigue tirar alguna de las páginas que terminan en ‘gob.es’. Podría afectar a servicios como los trámites telemáticos tipo Cl@ve, DNIe, facturación de gestión pública, autónomos, el portal del paciente…”, explica el experto en ciberseguridad.
¿Cómo podría escalar el ciberconflicto para afectar al resto de Europa y al mundo?
Siguiendo con los parecidos con NotPetya, desde 2017 ha habido un debate continuo sobre si las víctimas internacionales fueron simplemente daños colaterales no intencionales o si el ataque se dirigió a empresas que hacen negocios con ‘los enemigos de Rusia’.
En cualquier caso y sea o no algo buscado, todo apunta a que aquella situación puede volver a ocurrir y las repercusiones para el resto del mundo podrían no limitarse a las represalias intencionales de los operativos rusos. Y es que, a diferencia de las contiendas bélicas sobre el terreno, en el mundo virtual no hay fronteras físicas y los ataques pueden escalar y salirse de control más fácilmente.
¿Cómo funcionan este tipo de ciberataques?
Se está recurriendo mucho a ataques tipo DDoS, que significa Denegación de Servicio Distribuida. El ejemplo más típico es que un atacante, que tiene una colección de dispositivos infectados (bots), programa una tarea y todos sus bots van a hacer un montón de ‘peticiones https’ a una página web. “Esto sería como abrir billones de navegadores a la vez, todos apuntando a la web que se quiere tirar”, dice con palabras más sencillas el especialista de Hiberus. La web, al no ser capaz de atender todas las peticiones, acaba colapsando.
“A partir de aquí, en el mejor de los casos, la web responde únicamente a algunas de las peticiones que le llegan (pueden ser peticiones legítimas de usuarios intentando acceder a dicha página o pueden ser peticiones de los bots). En el peor de los casos, la web cae, la máquina sobre la que se ejecuta la página se reinicia y el servicio se detiene”, continúa Jiménez.
¿Cuál es el peor escenario posible?
El experto alerta de que el peor escenario es “en el que no lo peleamos, en el que no destinamos más recursos a auditar nuestros sistemas y a descubrir por dónde nos pueden entrar antes de que lo descubran los atacantes”. “Un escenario en el que no tenemos un plan de recuperación en caso de desastre. De no destinar medios a hacer una buena defensa solo podremos ser testigos de ver cómo cae todo”, destaca.
Si nos ponemos en lo peor, continúa explicando Jiménez, nos imaginamos un ejército de atacantes buscando ‘vulnerabilidades 0-days’ -vulnerabilidades desconocidas por los creadores del software– o buscando puertas traseras abiertas en nuestros sistemas que desconozcamos, lo que desembocaría en una caída masiva de los servicios y las infraestructuras críticas como las telecomunicaciones, los sistemas que gestionan el tráfico, la energía eléctrica, el agua, la sanidad, la banca… y después de eso irían las empresas privadas: hacerse con el control de las fábricas de donde salen los recursos básicos como el material médico, la alimentación o el combustible, entre otras muchas.
