Así evoluciona la guerra digital día a día

  • Actualidad

Hacker

La compañía española Seresco ha analizado en un estudio la guerra cibernética derivada del conflicto armado de Rusia sobre Ucrania. Sus conclusiones indican que, mientras el ejército ruso bloquea sistemas informáticos ucranianos, el contraataque de Anonymous parece ir más orientado a conquistar la opinión pública: hackeando servicios rusos como la televisión, la Agencia Espacial o incluso el yate de lujo de Putin.

La guerra entre Rusia y Ucrania se está traduciendo en una guerra cibernética sin precedentes. Según un informe especial elaborado por la empresa tecnológica Seresco, el número de incidentes cibernéticos se ha multiplicado tanto de forma previa al inicio del conflicto, como de forma continuada a partir de ese momento, siendo mayoritariamente las organizaciones ucranianas el objetivo de la mayoría de los ciberataques.

Su análisis comienza explicando que, aunque el conflicto cibernético entre Rusia y Ucrania se remonta a varios años atrás, hay dos hitos destacados en la historia reciente. En diciembre de 2015 se produce un ataque sobre la empresa UKrainian Kyivoblenergo que provoca un corte de suministro para más de 225.000 clientes entre 1 y 6 horas en pleno invierno. En junio de 2017 un malware genera fallos de funcionamiento generalizados en todo tipo de empresas e instituciones ucranianas, incluyendo bancos, ministerios, diarios y empresas de electricidad.

Del ciberespionaje al boicot a las ayudas o la gestión de refugiados
Desde los días previos del conflicto se han sucedido multitud de campañas maliciosas dirigidas a organizaciones de Ucrania, tanto con el fin de realizar ciberespionaje, como corromper dispositivos y dejar sistemas inoperables. No obstante, desde el 24 de febrero, inicio de la invasión, se produce una escalada de ciberataques a nivel global. En España, por ejemplo, Universidades españolas coordinadas por la CRUE incrementan medidas de seguridad de sus sistemas informáticos tras haber detectado cuentas de usuario comprometidas y recibido ataques el día siguiente al estallido de la guerra.

A partir de entonces, el informe recopila multitud de incidencias sobre sistemas y empresas ucranianas: ataques a dispositivos de IoT (routers, grabadoras digitales, cámaras de vigilancia), o robos de archivos o datos. El 1 de marzo se detectaron campañas maliciosas de correo electrónico relacionadas con supuestas donaciones de “Ayuda a Ucrania”. Del mismo modo, se detectaron campañas dirigidas al personal del gobierno europeo involucrado en la administración de refugiados que huyen de Ucrania.

Detrás de muchos de estos ataques se encuentran grupos de hackers rusos. Uno de los más activos en este conflicto está siendo el grupo Gamaredon, también conocido como Primitive Bear, Armageddon o Shuckworm; un grupo de piratas informáticos, supuestamente operados por el Servicio Federal de Seguridad ruso (FSB).

Desde 2013, justo antes de la anexión rusa de la península de Crimea, el grupo ha centrado principalmente sus campañas cibernéticas contra funcionarios y organizaciones del gobierno ucraniano. Se han descubierto tres grandes clústeres de su infraestructura, utilizados para diferentes propósitos de phishing y malware. Asimismo, se les vinculan en dichas infraestructuras más de 700 dominios maliciosos, 215 direcciones IP y más de 100 muestras de malware.

Sandworm es otro grupo de amenaza, presuntamente asociado al Departamento Central de Inteligencia (GRU), que se trata del servicio de inteligencia militar de las Fuerzas Armadas de la Federación Rusa. Además de los ciberataques de 2015 y 2017 citados anteriormente, a este grupo se le atribuyen los ciberataques a los Juegos Olímpicos de invierno del 2018.

Anonymous, el contraataque a Rusia
Los ciberataques al gobierno ruso registrados hasta la fecha han sido atribuidos a Anonymous, un grupo clandestino y descentralizado de “hacktivistas” que supuestamente operan sin líder y sin jerarquía. Así, mientras la ciberguerra rusa se centra en bloquear sistemas informáticos críticos, los ataques de Anonymous parecen más orientados a ganar la batalla de la comunicación y propaganda en el pueblo ruso.

El día que inicia de la invasión, Anonymous se declara oficialmente en ciberguerra contra el gobierno ruso y tira múltiples portales web del gobierno y de medios de noticias de propaganda rusa. Dos días después, Rusia restringe el acceso a Twitter en su país para impedir a su ciudadanía visualizar contenido de los ataques en Ucrania.

Los nuevos ataques de Anonymous interceptan comunicaciones militares rusas y logran, el 26 de febrero, hackear canales de televisión estatales para proyectar contenido de los ataques a Ucrania. De nuevo el 7 de marzo hackean servicios de streaming rusos con el mismo propósito.

Otro de los ataques a Rusia se produce por parte de TheAnonleaks, grupo afiliado a Anonymous, que el 26 de febrero logró hackear el Sistema de Identificación Automática (AIS) del yate de lujo de Putin, haciendo creer que se había estrellado en Ucrania y cambiando su destino a posteriori. otro grupo de hackers afiliado a Anonymous logró el 1 de marzo deshabilitar el centro de control de la Agencia Espacial Rusa “Roscosmos”.

Recomendaciones
Aunque España pueda parecer un país ajeno al conflicto, el informe advierte de la necesidad de protección en empresas e infraestructuras españolas.

Entre las medidas básicas que deben tomar figuran las siguientes: hacer una monitorización continua de los sistemas; disponer de seguridad perimetral y detección de intrusos; contar con sistemas de protección antimalware en los equipos finales; realizar filtrado de correo que permita evitar el spear-phishing; aplicar filtrado de tráfico de red; llevar a cabo escaneos de vulnerabilidades y disponer de un plan para la corrección de éstas; aplicar parches de seguridad de forma periódica en todos los equipos; actualizar el firmware de los appliances y dispositivos de red; habilitar un doble factor de autenticación sobre todo para las conexiones externas a nuestra red; proteger las conexiones externas mediante el uso de VPN, y cambiar las contraseñas periódicamente.