Rusia no solo ataca sobre el terreno, también lo hace en la red. Pero si ya es difícil determinar el estado de la guerra en la propia Ucrania, más difícil todavía es conocer hasta qué punto se están recibiendo ciberataques. Ahora Google, junto a la firma de ciberseguridad Mandiant que adquirió el año pasado, ha publicado un completo análisis sobre el estado de la ciberguerra con Rusia.
Un incremento de más del 300% en ciberataques. En comparación con 2020, el número de ataques mediante phishing y otros ciberataques aumentó en un 250% contra usuarios de Ucrania y en más de un 300% contra usuarios de los países de la OTAN.
Entre los objetivos de Ucrania además de militares se encuentran diplomáticos, así como agencias de infraestructuras críticas y servicios de emergencia. En total más de 150 organizaciones militares de los dominios gov.ua y mil.gov.ua fueron el objetivo de ataques provenientes de hackers relacionados con el gobierno ruso. El 48,9% de los objetivos de los ciberatacantes rusos en Ucrania se centró en webs militares y del gobierno, mientras que el 34,3% fue a través de campañas en Gmail.
Frozenlake y Pushcha. El grupo de atacantes más activo contra países de la OTAN ha sido Frozenlake, que unos meses antes de la invasión de Ucrania lanzó una campaña de phishing extrema durante 11 días que afectó a más de 14.000 usuarios.
En el caso de Pushcha, un grupo de ciberdelincuentes asociados al gobierno de Bielorrusia, se detectó un fuerte ataque centrado en las elecciones de Polonia y Lituania el pasado 2022. Son dos grupos muy bien detectados por Mandiant, aunque se encuentran otros como Coldriver, Summit o Frozenvista.
Fases y objetivos muy definidos. El número de ciberataques contra Ucrania fue mayor durante los primeros cuatro meses de 2022 que en los 8 años anteriores, teniendo su punto máximo justo al comienzo de la invasión.
Hay que recordar que Rusia mantiene una guerra con Ucrania desde hace tiempo. Durante la invasión de Crimea se lanzó el ataque NotPetya, que llegó a afectar más de 300.000 ordenadores en todo el mundo.
Se han detectado hasta seis campañas bien definidas de ataques, que apuntaron en un principio contra operaciones militares, posteriormente contra infraestructuras y luego contra entidades financieras.
Solo en 2022, Google ha desmantelado hasta 1.950 campañas dirigidas contra su plataforma por organizaciones rusas como IRA (Internet Research Agency), KrymskybridGe, una firma de consultoría relacionada con el gobierno ruso y de grupos asociados a la inteligencia rusa como Ventbridge, News Front, ANNA News o UKR Leaks.
Microsoft también tiene detectados muchos de estos ataques. Otro reciente informe es el de Microsoft, donde explica la actuación de grupos rusos como Actinium, Nobelium, Strontium, DEV- 0257 o Iridium. De ellos, el 55% de apuntaban a Estados Unidos. Por sectores, el tecnológico era el más afectado con un 29%, mientras que el 18% de los ciberataques iban contra organizaciones no gubernamentales.
El cibercrimen de Europa del Este ha escalado. El principal objetivo de Rusia en todas sus operaciones ha sido modelar la percepción pública, según describe Google. La invasión también ha afectado notablemente al ecosistema del cibercrimen en Europa del Este. Según prevé la compañía, esto tendrá un impacto a largo plazo en la coordinación entre grupos delictivos en la zona.
Europa es consciente de ello. No es casualidad que el Centro Europeo de Ciberseguridad se ubique en Bucarest, pues en Rumanía existe un fuerte ecosistema de ingenieros y expertos en ciberseguridad acostumbrados a enfrentarse a los grupos rusos.
La ciberguerra afecta hasta las labores solidarias de la OTAN. El último ejemplo del impacto de estos ciberataques contra países de la OTAN lo hemos conocido con las labores de emergencia para hacer frente al terremoto que ha afectado a Turquía y Siria. Según describe The Telegraph, el equipo de operaciones especiales de la OTAN fue víctima de un ataque DDoS durante unas horas, lo que afectó al equipo de transporte aéreo estratégico.
En España también se han sucedido diversos ciberataques cuyo origen apunta a Rusia, entre ellos el del CSIC, contra el Poder Judicial y múltiples contra las redes del Ministerio de Defensa. No sabemos qué ocurrirá, pero sí parece seguro que los ciberataques por parte de grupos relacionados con el gobierno ruso van a seguir intensificándose durante un tiempo.
Imagen | Jacobs School of Engineering - David Baillot
Ver 66 comentarios