España se prepara para una guerra en el ciberespacio: los cibercriminales rusos

Contra todo pronóstico, incluso los menos favorables, al final el juego de poder entre Rusia y Europa ha llevado al peor escenario posible, porque Vladimir Putin ha dado la orden: Rusia invade Ucrania, y el mundo teme lo que pueda llegar a pasar. La Tercera Guerra Mundial no ha estallado aún, y es muy difícil que lo haga porque todos tienen arsenales nucleares y el resultado sería apocalíptico.

Pero podría hacerlo digitalmente, porque los hackers al servicio del gobierno ruso están llevando este conflicto al ciberespacio, a la Red de redes.

Pulsa H para hackear

Turla APT, a sueldo

Conocidos en la ciberescena, Turla APT es un grupo de hackers rusos cuyo ‘trabajo’ en la última década ha sido asociado a no pocos ciberataques a organizaciones gubernamentales, diplomáticas, tecnológicas y hasta de investigación. Y se les ha rastreado a esas actividades porque al grupo le gusta usar una mezcla de técnicas y malwares muy conocidos - fácilmente identificables- junto a un repertorio de nuevas ciberarmascreadas por ellos.

Turla, conocidos también por otros nombres como Snake, Waterbug o Venomous Bear, centra muchos de sus ataques en entidades de naciones pertenecientes o dentro de la OTAN y la Commonwealth de Estados Independientes (una organización de repúblicas post-soviéticas en Eurasia formada tras la disolución de la Unión Soviética en 1991).

De hecho, los investigadores de la compañía experta en ciberseguridad Kaspersky creen que Turla APT está financiada por nada menos que el Estado Ruso, y ha sido usada en todo tipo de operaciones de ciberespionaje, como los recientes ataques a diferentes entidades diplomáticas a través de todo el territorio europeo.

Hidden Cobra y el Bureau 121 de Corea del Norte

Hace unos años os hablamos del Bureau 121, la división militar de Corea del Norte que capta, adiestra y convierte a jóvenes universitarios recién salidos de la carrera en expertos piratas informáticos. En sí el Bureau 121 es muy conocido por todas las agencias de seguridad del mundo, pero una Alerta Técnica del FBI y la Homeland Security de 2017 puso a otro grupo, Hidden Cobra, en primera plana, describiéndolos como un ejército de hackers que ha estado lanzando ciberataques desde el año 2009 en todo el mundo, pero principalmente hacia Corea del Sur, el enemigo constante de Kim Jong-un, y hacia sectores críticos de la infraestructura de Estados Unidos.

Este informe recoge cómo las agencias gubernamentales han usado y animado a los ciberanalistas a que vigilen de cerca Hidden Cobra, avisándoles de que ellos seguirán hackeando para cumplir cualesquiera que sean los objetivos estratégicos y militares que Corea del Norte y su dictador han establecido con un equipo o comando que también se les conoce por el nombre de Guardians of Peace y Lazarus Group.

Los Estados Unidos afirman que Hidden Cobra es quien está detrás del hackeo que Sony Pictures sufrió en 2014 como represalia por la película The Interview, que trata sobre dos reporteros americanos que van a asesinar al dictador de Corea del Norte. También se les atribuye, aunque no con tanta disposición, uno de los mayores pirateos que hemos visto en este siglo provocado por el ransomware Wannacry, que en 2017 tumbó las infraestructuras públicas, privadas y civiles de medio mundo en 150 países usando irónicamente herramientas creadas por la NSA, la Agencia Nacional de Seguridad americana.

Guerra Digital

Ya sean tipo ‘Freelance’ como TurlaAPT o directamente una división del ejército como el Bureau 121, los hackers se han convertido en una herramienta clave -y a menudo la mejor- para lidiar con políticas exteriores y entre países en los tiempos actuales que vivimos, en los que nuestra vida está entera en ese aparato que llevamos en el bolsillo, completamente expuesta aunque pensamos que no es así.

Según el informe de las compañías de seguridad digital Thales y Verint llamado The Cyberthreat Handbook, tenemos que de más de la mitad de los equipos de cibercriminales que hay:

Rusia ha invadido Ucrania. Pero las órdenes de Putin no han sido sólo en el espacio físico. Enseguida ha puesto a todos esos grupos de hackers que tiene a sueldo en modo ‘Autónomo’ a trabajar.  Pero en silencio, siempre en silencio, vía digital.

Preparando el Terreno

El Experimento Runet

Consciente de lo que se juega si fuese hackeada, Rusia llevó a cabo un experimento en el año 2019 tan ambicioso como inaudito: desconectar el país entero de la Red. Pero no sólo las instituciones gubernamentales o instalaciones militares, sino cada casa, router y servidor. Un cierre total y absoluto de la madre Rusia a la Red de redes.

¿El motivo? Según la agencia rusa RosBiznesKonsalting (RBK) se trató de probar y a la vez asegurarse y demostrar la independencia del Runet, el espacio del Internet ruso. Al desconectar el continente al completo, tanto las autoridades rusas como los grandes proveedores de Internet del país podrán comprobar de primera mano la eficacia del Runet, de sus comunicaciones y el grado de aislamiento.

Tal y como os contamos ayer en esta pieza, el experimento Runet en Rusia tuvo éxito. Y el país  puede desconectarse de la Red de Redes cuando quiera, disponiendo de una propia local operativa y al margen del resto.

El informe de la CISA

Según un informe publicado por la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) el 16 de febrero, desde al menos enero de 2020 hasta febrero de 2022, la Oficina Federal de Investigación (FBI), la Agencia de Seguridad Nacional (NSA) y la propia CISA han observado que ”los contratistas de defensa autorizados de Estados Unidos (CDC) han sido atacados regularmente por actores cibernéticos rusos patrocinados por el Estado ruso. Los actores han atacado a contratistas y subcontratistas grandes y pequeños con distintos niveles de protocolos y recursos de ciberseguridad”.

¿Objetivos? Socavar sus redes, protocolos e infraestructuras para acceder a los estamentos gubernamentales que protegen. Estos CDC apoyan contratos para el Departamento de Defensa (DoD) y la Comunidad de Inteligencia de Estados Unidos en las siguientes áreas:

Históricamente, según el FBI los actores cibernéticos patrocinados por el Estado ruso han utilizado “tácticas comunes pero efectivas para obtener acceso a las redes objetivo, incluyendo el spearphishing, la recolección de credenciales, las técnicas de fuerza bruta/pulverización de contraseñas y la explotación de vulnerabilidades conocidas contra cuentas y redes con seguridad débil. Estos actores se aprovechan de contraseñas sencillas, sistemas sin parches y empleados desprevenidos para obtener un acceso inicial antes de moverse lateralmente por la red para establecer la persistencia y exfiltrar datos".

En muchos intentos de compromiso, los hackers de Putin han empleado tácticas similares para obtener acceso a las redes empresariales y de la nube, priorizando sus esfuerzos contra el entorno ampliamente utilizado de Microsoft 365 (M365). Los piratas suelen mantener la persistencia utilizando credenciales legítimas y una variedad de malware al exfiltrar correos electrónicos y datos.

“Estas continuas intrusiones han permitido a los actores adquirir información sensible y no clasificada, así como tecnología de propiedad de los CDC y controlada para la exportación. La información adquirida proporciona información importante sobre los plazos de desarrollo y despliegue de las plataformas de armamento estadounidenses, las especificaciones de los vehículos y los planes de infraestructura de comunicaciones y tecnología de la información”.

Al adquirir documentos internos y comunicaciones por correo electrónico de propiedad exclusiva, “los adversarios pueden ser capaces de ajustar sus propios planes y prioridades militares, acelerar los esfuerzos de desarrollo tecnológico, informar a los responsables políticos extranjeros de las intenciones de EE.UU. y apuntar a posibles fuentes de reclutamiento”.

Dada la sensibilidad de la información ampliamente disponible en las redes no clasificadas de los CDC, el FBI, la NSA y la CISA prevén que los actores cibernéticos patrocinados por el Estado ruso seguirán apuntando a los CDC en busca de información de defensa estadounidense en un futuro próximo.

9 millones de euros de recompensa

En plena incertidumbre, en la web gubernamental americana de la CISA vemos el siguiente anuncio:

“Rewards for Justice ofrece una recompensa de hasta 10 millones de dólares (8,92 millones de euros al cambio actual) por información que conduzca a la identificación o localización de cualquier persona que, actuando bajo la dirección o el control de un gobierno extranjero, participe en actividades cibernéticas maliciosas contra la infraestructura crítica de Estados Unidos en violación de la Ley de Fraude y Abuso Informático (CFAA)”.

EEUU ya ofrece recompensas millonarias para capturar posibles atacantes a sus sistemas de defensa, infraestructuras y bases de datos. Y es que la guerra digital está en marcha desde antes de la invasión a Ucrania. Sabemos lo que por desgracia está pasando en suelo ucraniano, pero no lo que se prepara y ejecuta en el ciberespacio.

Tenemos un vistazo en Twitter y otras redes, porque la desinformación y los hackeos van de la mano: por un lado desinformas, confundes, haces que cuentas falsas y Bots IA que casi parecen humanos de verdad tuiteando empiecen con las ‘fake news’, y mientras todo el mundo discute, golpeas con ciberataques. La primera ya está en marcha, como gritan los ejemplos que esta columna de El Pais de Jordi Pérez Colomé exhibe. La segunda, está en proceso.

Con el incremento de los ciberataques toca actualizar procesos y procedimientos ante crisis graves, preparar simulacros. Y todo para evitar ser hackeados, de que los sistemas aguanten y las infraestructuras no se colapsen. EEUU, que ya ofrece recompensas, hace mucho que se viene preparando. Pero, ¿y en España?

La Primera Guerra Mundial Digital

Los disparos resuenan en una parte concreta geográfica, pero los disparos virtuales tienen un rango mucho mayor de alcance. Por ello, y al igual que Estados Unidos, todos los países se están preparando para lo que podría venir, para la primera guerra mundial a nivel digital. USA ha apuntado públicamente a Rusia y le ha dicho “sabemos lo que estáis preparando”, y el resto de países obra en consecuencia. En el Reino Unido, fuera ya de Europa, lo han dejado claro a través de su Centro de Seguridad Cibernética Nacional: “Ningún servicio o sistema tecnológico está completamente libre de riesgos”.

Según cita El País a Manuel Ricardo Torres, uno de los 15 asesores internacionales en el ECTC (Consejo Asesor sobre Terrorismo y Propaganda) de la Europol, la Agencia de la Unión Europea para la Cooperación en la Protección de la Ley, “Rusia ha puesto de manifiesto que está dispuesta a utilizar todos los recursos que tiene a su disposición”, siendo de los más valiosos el recurso digital, la ciberguerra, porque Ucrania fue atacada tanto a nivel físico como digital, en una invasión doble.

Ricardo Torres lo apunta firmemente: “Ucrania ha sido el laboratorio de pruebas de la capacidad de ciberataques de Rusia y es lógico que en estos días asistamos a la puesta en marcha de este tipo de capacidades”. Y advierte que “conseguir ahora un nivel de robustez y de preparación suficiente no se improvisa. Muchas empresas e instituciones se encontrarán con la dura realidad de que, si no han hecho los deberes años atrás, ahora es muy difícil adoptar medidas de urgencia […] Esto también pasa en el ámbito civil. Esperar a que estalle una crisis para empezar a tomar medidas y dedicar los recursos necesarios hace que estas lleguen tarde”.

¿España está preparada?

La pregunta es tan simple como directa: ¿está España preparada en caso de que los hackers rusos lancen ciberataques a nuestras infraestructuras? La historia de los últimos años sugiere más bien que... no.

Ciberataque al SEPE

En la mañana del 9 de marzo del 2021, mucha gente en España tuvo problemas para hacer sus trámites online en el SEPE, Servicio Público de Empleo Estatal, el organismo que asumió todas las funciones y responsabilidades del antiguo INEM. ¿El motivo? Porque los servidores del SEPE estaban siendo víctimas de un ciberataque por parte de hackers. Así lo ha confirmaba el mismo Ministerio de Trabajo y Economía Social a la agencia de Europa Press.

El ataque se llevó a cabo con con un ransomware, un virus que 'secuestra' sistemas, y fue tan brutal que tumbó los sistemas durante un par de semanas, y paralizó la actividad del SEPE en el país como nunca antes había pasado. Y en abril del año pasado, las infraestructuras españolas sufrieron otro golpe brutal, con un ciberataque contra el INE, el Ministerio de Justicia y otros ministerios.

Ataque al Ministerio del Trabajo

Las medidas que se están tomando ya en España, ¿suficientes?

Fuentes de Telefónica nos han confirmado que en la compañía llevan desde anoche actualizando los procesos y procedimientos ante crisis graves, y preparando simulacros para anticipar ciberataques, el daño que podrían hacer, y los objetivos ante los cuales irían dirigidos. Además, el CCN-CERT, el Equipo de Respuesta a incidentes del Centro Criptológico Nacional español, ha pedido que se renueven todas las contraseñas de servicios públicos.

Ahora mismo, en este viernes 25 de febrero la incertidumbre es la reina. Ningún organismo, empresa, compañía o plataforma en España ni en otros países sabe exactamente lo que se le viene encima. Nadie, a excepción de los expertos en las divisiones de seguridad digital de las agencias de seguridad del mundo, sabe qué va a suceder en los próximos días, qué va a ser ciberatacado. Usando un ejemplo fílmico, el ejército romano en el prólogo de Gladiator (Ridley Scott, 2000) o Aragorn liderando las huestes de Rohan en el Abismo de Helm de El Señor de los Anillos: Las Dos Torres (Peter Jackson, 2002), los países han establecido o están corriendo para establecer sus defensas digitales: han colocado sus piezas, calculado y asumido bajas, y esperan. Esperan sin saber qué les lanzarán los germanos o Sauron.

Como decían en la miniserie bélica Hermanos de Sangre: “Sólo cavas tu pozo de tirador, te ocultas en él y esperas…”. El tiempo nos dirá si Putin quiere soltar la Primera Guerra Mundial Digital, o prefiere hacer ataques a objetivos específicos. Lo que sí está claro es la gran baza que el conflicto con Ucrania y toda la OTAN le está dando para seguir jugando a uno de sus juegos favoritos: La desestabilización de Occidente.