Entretelones de la ciberguerra del 2022

El enfrentamiento entre Rusia y Ucrania se ha transformado en una guerra híbrida en donde se mezclan los ataques físicos y otros hechos por hackers.

El enfrentamiento entre Rusia y Ucrania ya no es solo físico, sino que se ha transformado en una guerra híbrida en donde se mezclan los bombardeos desde aviones con los ataques hechos por hackers. Una nueva amenaza ante la cual las empresas no pueden hacerse de la vista gorda.

A las guerras que se libraban en tierra, mar y aire, en la última mitad del siglo pasado los avances en aeronáutica le sumaron el espacio. Ahora, que se abre el ciberespacio como un nuevo campo de batalla, las guerras se volvieron hibridas y las estrategias para aprovecharlo han cambiado enormemente. “En esta nueva quinta dimensión trabajan los hackers y los genios del software al servicio de la geopolítica y las estrategias militares”, advirtió Ernesto Castillo, especialista en seguridad del CAEN (Centro de Altos Estudios Nacionales).

Si el arte de la guerra – explicó – logra el éxito cuando se puede doblegar al enemigo sin desarrollar una batalla física, si la victoria máxima consiste en dejar al enemigo paralizado y sin capacidad de respuesta, pero sin atacar las vidas de las personas, un contundente ataque en el ciberespacio es la manera eficiente de hacerlo posible, añadió.

Este año hemos sido testigos del ataque ruso a Ucrania bajo esta modalidad híbrida. Expertos en seguridad informática europeos temían que se diera un incidente de grandes proporciones que paralizara las comunicaciones y los sistemas esenciales, pero eso, hasta ahora, no ha ocurrido. Sin embargo, sí se registraron ciberataques mucho antes de iniciarse las acciones militares, los cuales, además, no han cesado.

En enero, el Centro de Inteligencia sobre Amenazas de Microsoft (MSTIC) detectó evidencia de una operación de malware destructiva (usaron el FoxBlade) dirigida a múltiples organizaciones en Ucrania. La compañía alertó del ataque, lo contuvo y les pidió protegerse de manera proactiva, no solo a Ucrania, sino a todos los países vecinos miembros de la OTAN. A mediados de enero, un wiper de datos se extendió por Ucrania, el llamado WhisperGate, el cual se hizo pasar por un ransomware.

Record Future advirtió a las organizaciones estadounidenses que podrían verse afectadas por ataques indirectos en represalia.

En febrero los ataques estuvieron dirigidos a bancos y ministerios ucranianos, antes y durante la ofensiva militar. En esta oportunidad se trató de un malware tipo wiper o limpiaparabrisas bautizado “HermeticWiper”, según informó ESET. Su propósito era destruir los datos de las víctimas, pero también accedió a la red. ESET detalló que HermeticWiper fue compilado desde diciembre de 2021, lo que sugiere que el ataque pudo haber estado en proceso durante algún tiempo antes de explotar.

El viceprimer ministro ucraniano Mykailo Fyodorov confirmó que sufrieron un ciberataque masivo que afectó a las principales páginas web oficiales del Gobierno y bancos en febrero, pero no confirmó de qué tipo de malware se trataba, aunque trascendió que se sumaron muchos ataques DDoS (Denegación de servicio distribuida, según sus siglas en inglés). Symantec Threat Intelligence de Broadcom detalló que también se detectó ataques de borrado de datos en Letonia y Lituania.

Estos ataques DDoS son los más comunes en ciberguerra. Las autoridades ucranianas alertaron que tenían un número muy elevado de PC y smartphones intentando acceder a webs al mismo tiempo, lo que las saturó y colapsó. El Grupo de Análisis de Amenazas de Google (TAG) anunció que, después de observar intentos de ataques DDoS contra numerosos sitios de Ucrania, les ofreció su servicio de protección gratuita Project Shield (proyecto escudo). Se estima que más de 150 páginas web de Ucrania lo usan.

Además, en marzo se dio una batalla en las redes sociales. Mientras, por un lado, el regulador ruso anunció el bloqueo a Facebook, Instagram y Twitter por difundir ilegalmente información crítica para su nación; por otro lado, las compañías norteamericanas vienen censurando propaganda rusa en sus plataformas, pero dejando circular llamados a la violencia contra los rusos en el contexto de la invasión. Incluso se están identificando a los soldados rusos con ayuda de tecnologías de reconocimiento facial en las redes sociales. A partir de fotografías tomadas en Ucrania se contrasta las bases de datos.

Ya no es necesario destruir físicamente un activo crítico, basta con alterar la programación de cómo funciona para afectarlo. Eso cambia la manera de hacer guerra y requiere que tomemos consciencia de cómo nos estamos protegiendo

Y esto no se ha detenido. El Equipo de Investigación y Análisis Global (GReAT) de Kaspersky dispone de un mapa mundial que monitoriza todos los ciberataques en tiempo real. En los últimos días, informaron, Rusia y sus aliados aparecen como principal foco de ataques. De hecho, el mismo Anonymous, que le declaró la guerra a Rusia, empezó a exponer datos de sus funcionarios y hasta bloqueó una señal de televisión. Record Future advirtió a las organizaciones estadounidenses que podrían verse afectadas por ataques indirectos en represalia. Sus analistas estiman que estamos en un punto muerto: ambas naciones están en alerta, a la espera de un gran evento, que puede ser catastrófico si cumple sus objetivos.

Fuente: El País

Experiencias previas

Ernesto Castillo refirió que las ciberguerras son algo que ya se viene desplegando desde hace varios años atrás. El recuerdo más cercado es el ataque NotPetya que impactó a Ucrania en junio de 2017 antes de causar estragos en todo el mundo secuestrando datos (ransomware), pero hay otros sucesos más antiguos que involucran a Estados Unidos, Israel, el Reino Unido, Rusia, Irán o China y no necesitaron de una avanzada militar para realizarse.

En el 2007 hubo ataques rusos contra Estonia en simultáneo a una ofensiva militar. Los dos bancos cayeron, las webs oficiales dejaron de funcionar e incluso hasta el suministro de gasolina estaba parado, lo que generó mucho desconcierto, comentó Castillo. Fue el primer gran ataque de envergadura en simultáneo que generó la creación de un centro de seguridad cibernética.

El temor a que este tipo de ataque masivo se repita y amplíe a centrales nucleares en Ucrania tiene asidero, porque ya ha sucedido. En 2010 se atacó la planta nuclear iraní con un software malicioso que cambió las revoluciones, es decir la velocidad con la que opera la central, y pudo destruirla por completo. No se identificó el responsable, pero muchos asumen que fue Israel. Ese mismo año un grupo hindú atacó 36 sitios de Paquistán. Y poco antes se registró un ataque a Google que fue atribuido a China.

Entre 2014 y 2016 hubo varios incidentes en Ucrania, que incluyeron rastreo de celulares para acceder a la geolocalización y poder realizar ataques. En 2015 lograron tomar una central eléctrica y dejaron sin energía a una ciudad por seis horas. Hubo más de 300 mil afectados al tomar control de 30 subestaciones. Enviaron un código por un correo, entraron a los sistemas, robaron credenciales, luego tomaron la VPN y como no se exigía doble verificación, llegaron a controlar los equipos y desconectarlos.

Amenazas latentes

Los ataques podrían ser mucho peores de lo que hasta ahora se ha concretado. Erick Iriarte, CEO de eBIZ, advierte que se podrían paralizar todos los activos críticos de una nación, incluyendo el sistema de salud, saneamiento, transporte, financiero y las telecomunicaciones. El bloqueo de SWIFT (código interbancario transnacional) por parte de occidente es un golpe para el que Rusia ya estaba preparándose con una red interna. De hecho, Rusia y China tienen la peculiaridad de poder tener su propia red de comunicaciones cerrada, un equivalente a su propio internet con tráfico que fluye solo dentro de su país, completó Castillo.

“Ya no es necesario destruir físicamente un activo crítico, basta con alterar la programación de cómo funciona para afectarlo. Eso cambia la manera de hacer guerra y requiere que tomemos consciencia de cómo nos estamos protegiendo”, alertó Iriarte. Las peculiaridades de las ciberguerras es que no solo no dependen de la movilización física, sino que pueden incluir a terceros “mercenarios” que no pertenecen a un solo país, añadió Iriarte. Claro ejemplo es la adhesión de Anonymous, compuesto por hackers del mundo entero, al bando occidental. Ellos no coordinan con el ejercito ucraniano, pero están en contra del ataque ruso, así como estuvieron en contra de los carabineros en Chile varios años atrás.

Existen ataques electromagnéticos que no se han dado, pero podrían darse, añadió Castillo. Por ahora se han dado desactivaciones del GPS para evitar rastreos, pero no se han bloqueado las redes de telefonía. Una bomba podría destruir la operatividad de los chips empleados en los teléfonos y afectar al bando enemigo. El teléfono no se destruye, no se afecta la vida humana y nada se incendia, simplemente se inutiliza el chip, comentó. Si ha eso se le suma desactivar el sistema de transporte público y cortar el suministro de energía/gas, se tiene a una ciudad dominada sin derramar sangre, complementó.

En Latinoamérica, Perú es el país con mayor cantidad de detecciones de ransomware (23%) en el último año.

Los analistas de Recorded Future advierten que esta guerra puede continuar incluyendo tanto ataques cibernéticos con malware como batallas al nivel de información, incluyendo difusión de fake news. Las empresas y organizaciones del mundo entero, recomendaron, no solo deben estar alertas a nuevos virus o ataques de ransomware, sino tener diseñados planes de acción y respuesta ante el posible intento de borrar todos sus datos o ser controlados por un tercero desde fuera.

Desde Eset se ha advertido que el ransomware es una de las principales preocupaciones de las empresas, quienes también pueden ser objeto de ataques en medio de esta ciberguerra si llega a convertirse en la 4ta guerra mundial. El ransomware realiza ataques a objetivos específicos para secuestrar datos. Ellos bloquean la información, pero también la extrae y la roba, para cobrar un mayor monto. En Latinoamérica, Perú es el país con mayor cantidad de detecciones (23%) en el último año. También hay bastantes ataques de fuerza bruta.

¿Está nuestro país preparado para una ola de ataques de esta magnitud? Ernesto Castillo refiere que nos tomó ocho años tener una ley y una división encargada de esta dimensión en el Ejército del Perú. Ahora lo que urge es que salga el reglamento de la ley, enfatizó, porque ya lleva tres años en elaboración. Se ha avanzado en la formación – ya estamos lanzando una maestría además de tres cursos de especialización – pero todavía nos falta como sociedad mayor consciencia sobre su importancia para ser precavidos y desplegar medidas adecuadas de seguridad antes de ser, como empresas o individuos, víctimas de un ciberataque.

NOTICIAS RELACIONADAS

Invertir en ciberseguridad cuesta menos que resolver efectos de un ataque

Ante recientes eventos de fuga de datos personales experimentados en Interbank y la Municipalidad de Miraflores, los expertos coinciden en que tanto el sector público como privado debe realizar una planificación estratégica en seguridad informática para estar preparados en caso se concrete un ataque. No solo se necesita invertir en tecnología sino también capacitar al personal en manejo de crisis.

Interbank: de la falla en sus aplicativos a filtración de datos

El banco aceptó que un tercero había tenido acceso a datos de sus clientes y suspendió el acceso a los aplicativos en línea del banco. La recomendación de los expertos es cambiar las contraseñas, pero luego de que Interbank anuncie que el problema ha sido resuelto al 100%.

Deepfakes: una realidad ante la que estar alerta

Los ciberataques que hacen uso de los deepfakes se vienen elevando en forma considerable y es bueno incorporar herramientas de control para prevenir su uso, no solo en la generación de desinformación (fake news) sino en fraudes, y extorsiones. En muchos casos los delincuentes se valen de mensajes de videos falsos para insertar malware y lograr robar datos y dinero.