Estos últimos años, la humanidad ha podido observar cómo se producía una escalada de la tensión entre Rusia y Ucrania, dando a entender la proximidad del futuro estallido de un conflicto de magnitudes que no se habían observado en el continente europeo desde hace décadas.
Durante los años comprendidos entre 2014 y 2017 se realizaron diversos episodios de ataques cibernéticos relacionados con el sistema eléctrico nacional de Ucrania y el sistema de elecciones, que suponen la antesala a los futuros ataques que derivan del conflicto actual.
En el plano ciber, se produjeron diversos ataques DDoS (denegación de servicio masiva) entre el 15 y el 22 de febrero de 2022 a varios servicios ucranianos, que quedaron temporalmente inactivos y afectaron a sitios web relacionados con los sectores bancarios, gubernamentales y militares. Esto supondría en el timeline la punta del iceberg que se desarrolla posteriormente.
Desde los grupos cibercriminales, con especial mención a aquellos relacionados con el ransomware, hasta los grupos hacktivistas, se han desarrollado varias campañas de acciones que nos hacen comprender la importancia del plano cibernético en este tipo de escenarios.
Posteriormente, a partir del 22 de febrero, cuando se declaró oficial el conflicto y comenzaron los ataques por parte de Rusia, los diferentes actores en el plano ciber tomaron sus posiciones en el tablero.
Por un lado, se produjeron una serie de ciberataques de carácter destructivo en torno al 24 de febrero con la proliferación del malware “Wiper” en sus diferentes vertientes (HermeticWiper, IsaacWiper, CaddyWiper…). Este tipo de código malicioso ha sido diseñado específicamente para dañar los sistemas de destino al borrar los datos del usuario, los programas, los discos duros y, en algunos casos, la información de la partición del disco duro. A diferencia del ransomware, los troyanos y otras variantes comunes de malware, los limpiadores no se enfocan en el robo o la ganancia financiera, sino que borran todo a su paso con fines puramente destructivos.
Posteriormente, el 8 de marzo, se observó la campaña RuRanson, una variante de wiper pero esta vez, dirigida a Rusia, por lo que los atacantes, de origen a priori desconocido, estuvieron utilizando esta creación contra sus propios enemigos.
También se desarrollaron diferentes campañas de phishing digiridas a Ucrania para la difusión de malware o la generación de confusión en los ciudadanos, como la campaña Sunseed Lua, dirigida al personal y los funcionarios de la Unión Europea que trabajaban con los refugiados ucranianos.
Posteriormente, algunos grupos cibercriminales relacionados con ataques de tipo ransomware como CONTI o Lockbit, se posicionaron en el conflicto. Mientras que Lockbit afirmó no tener relación con ningún estado en particular, CONTI en un primer momento emitió un comunicado en su blog donde se posicionaba abiertamente a favor de Rusia, que posteriormente fue modificado para ser más “correcto”, pero sin retirar su apoyo a dicho Estado.
Una reacción interesante respecto a este tipo de posicionamientos fue la filtración por parte de un afiliado del grupo de todos los datos de las personas implicadas en el colectivo criminal CONTI, así como publicaciones sobre sus mecánicas internas y otros datos privados, incluyendo conversaciones de chat, entre el 27 de febrero y el 1 de marzo.
Los grupos hacktivistas también han desempeñado su papel, aunque este se ha encontrado más enfocado a la difusión de información que al plano cibernético. Desde la emisión del himno de Ucrania en los canales de televisión rusos por parte de Anonymous hasta el pirateo de varias estaciones de televisión rusas para que emitieran vídeos de la guerra actual, incluyendo los bombardeos de áreas residenciales, o la filtración de miles de archivos del Roskomnadzor, el agente regulador que censura medios en Rusia.
Estos hechos se sucedieron entre el 27 de febrero y el 11 de marzo, haciendo de los primeros días de conflicto un escenario intenso de lucha contra la invasión ucraniana. Posteriormente, el 23 de marzo, Anonymous volvió a realizar una campaña de exposición de información, esta vez contra la compañía Nestlé por continuar operando en Rusia.
Desde entonces, se han sucedido diversos ataques de todo tipo, contra diversas infraestructuras, como la detección de una supuesta interferencia en las señales GPS de vuelos finlandeses por parte de la Federación Rusa que hizo cancelar los vuelos, o aquellos dirigidos contra el sistema nacional de compensación de pagos del Gobierno polaco, que, sin llegar a confirmarse su autoría, se sospecha que Rusia es una posible procedencia de estos.
El plano cibernético ha cobrado un especial interés en este tipo de conflictos a raíz de los ataques que han surgido durante el conflicto. Sin embargo, las campañas de exposición de información han sido las más sonadas y retransmitidas por los medios de comunicación, cobrando una especial relevancia.
La preocupación acerca de la exposición de datos continúa en aumento, ya que ha afectado desde organismos gubernamentales, como en el caso del periódico ucraniano Pravd, que filtró lo que parecen ser datos personales de 120.000 soldados rusos que luchan en Ucrania, como a medios de comunicación, con aquellas campañas llevadas a cabo por Anonymous donde se ha expuesto la información sobre lo sucedido en Ucrania a los ciudadanos rusos mediante los canales de televisión.
Se ha observado como las campañas de información y desinformación, así como las fake news, han cobrado también una especial relevancia en este terreno, con el fin de influir o modificar la opinión pública sobre el conflicto.
No solamente la filtración de los datos sensibles o la exposición de grupos cibercriminales como CONTI ha supuesto un hecho relativamente novedoso, sino que la información ha sido una pieza clave en las contiendas que han emprendido los diferentes colectivos.
Esto supone que en una mirada a hechos futuros, los investigadores y analistas tengan que plantearse el valor incalculable que tienen los datos, siendo la información una de las posibles armas a utilizar en futuros conflictos.
Por lo tanto, en futuros conflictos se ha de tener en cuenta este escenario, ya que da soporte a infraestructuras críticas y de suma importancia para los Estados, cuyas defensas nunca son suficientes cuando se suceden cadenas de ataques como los que se han ocurrido en el conflicto actual.
Además, la información se vuelve un enclave crítico en este tipo de eventos, ya que se han visto expuestos datos de carácter confidencial, que afectan tanto a ciudadanos como a compañías.
Continúa siendo una preocupación actual y un espacio que requiere de barreras de defensa específicas, por lo que se continúa con la mención especial a seguir desarrollando todos los mecanismos posibles para elevar el nivel de seguridad tanto como sea posible.
Ainoa Guillén González, coordinadora área ciberseguridad Sec2Crime
