kⒶosTICa

La ciberguerra que no se cuenta

Portada del informe de CyberPeace Institute.

El CyberPeace Institute acaba de hacer públicos los resultados de una nueva investigación sobre la guerra digital que está teniendo lugar en paralelo a la invasión física en Ucrania. Se trata de una combinación de ciberamenazas que convierten los datos en armas, ya sea para destruir, interrumpir actividades o desinformar. Los resultados de su rastreo de esta contienda digital pueden consultares en su Plataforma de Ciberataques en Tiempos de Conflicto #Ucrania.

Desde el CyberPeace Institute advierten que, si bien es cierto que estos ataques cibernéticos contra objetivos militares y civiles no son nuevos, la cantidad registrada contra infraestructura crítica sí es motivo de alarma. Durante el conflicto se han registrado cerca de 226 ciberataques y operaciones en este ámbito, lo que da una media de 9,8 ataques por semana.

Antes incluso de que estallara la guerra el pasado 24 de febrero, ya se registraron ciberataques en Ucrania que podrían guardar una estrecha relación con la invasión. Es el caso de ataques de denegación de servicio (DDoS) a dos de los bancos nacionales más grandes el 15 y 16 de febrero, a los que siguieron otros el 23 de febrero a los ministerios ucranianos de Asuntos Exteriores, Defensa o de Interior.

Según se detalla en el informe, más allá de los ciberataques para difundir desinformación y propaganda, los dirigidos contra servicios de comunicación y centrales eléctricas violan el Derecho Internacional Humanitario. Además, los sectores energético, minero y financiero también están siendo objetivo de los ataques, tanto en Ucrania como en Rusia, a medida que aumenta el número de sanciones impuestas. Como ejemplo de ello, el ataque con el denominado malware wiper (borrado de datos) AcidRain en la red satelital KA de Viasat en Ucrania el mismo día de la invasión rusa, que afectó a una importante compañía de energía alemana perdiendo el acceso de monitorización remota a más de 5.800 turbinas eólicas.

Los ataques con el objetivo de robo de datos con fines de espionaje, vigilancia o inteligencia son los más numerosos, alcanzando los 89 ataques, llamando la atención de que buena parte de ellos han sido realizados por colectivos en nombre del activismo, como Distributed Denial of Secrets o Anonymous. Especialmente los datos relacionados con organizaciones rusas, tanto públicas como privadas, se publican en internet a un ritmo nunca visto antes.

A este tipo de ataques les siguen con 72 casos los de disrupción, sobre todo a través de ataques de denegación de servicio (DDoS), que se iniciaron contra organizaciones ucranianas al principio del conflicto para ir saltando a las rusas después de que el propio gobierno de Zelenski los alentara. En esta misma línea, los ataques contra los organismos públicos de países de la OTAN también se han ido sucediendo, especialmente tras algunos anuncios geopolíticos o económicos.

Los ciberataques con el objetivo de la destrucción, ya fuera eliminando permanentemente los datos o dañando los sistemas haciéndolos irrecuperables, se cifraron en 25 a través de malware wiper. Desde el pasado mes de enero, se han identificado seis cepas significativas de malware de borrado de datos (WhisperGate / WhisperKill, HermeticWiper, IsaacWiper, AcidRain, CaddyWiper, DoubleZero) dirigidas a entidades y organizaciones ucranianas.

Por su parte y aunque se ha puesto mucho el énfasis en la desinformación, este tipo de ataques fue el menor registrado, con 20 incidentes, centrados en la difusión de información falsa y propaganda con campañas de spam vía SMS avisando, por ejemplo, de fallos técnicos de cajeros automáticos, o con ciberataques en cadenas de televisión para difundir teletipos falsos.

Los 226 ciberataques registrados no tuvieron como objetivo únicamente a Ucrania o Rusia; de hecho, hasta 24 países se vieron afectados con impacto hasta en 19 sectores distintos de actividad, siendo la Administración Pública la más afectada.

En el caso de España, la investigación del CyberPeace Institute detectó dos ciberataques. El primero de ellos se produjo el 15 de marzo contra Iberdrola, comprometiendo la información personal (DNI, domicilio, números de teléfono y direcciones de correo electrónico) de 1,3 millones de clientes. La información de cuentas bancarias o  tarjetas de crédito no se habrían visto afectadas. Según la eléctrica, el mismo día fue resuelto el incidente, detectando más ataques masivos en días posteriores que fueron desbaratados. El segundo de los ataques en nuestro país se produjo contra el Congreso de los Diputados y Diputadas, también el 15 de marzo. Se trató de un DDoS que dejó KO a la web de la Cámara Baja durante al menos 45 minutos, para horas después volver a hacer que la web estuviera caída.