Vivimos tiempos extraños. La información estratégica de los movimientos de un ejército se consigue a través de Google Maps, que confunde los pings de los teléfonos de los soldados con coches y señala como atascadas vías que no lo están. Google tuvo que desconectar la capa superior para evitar la localización indeseada de los combatientes.
El grupo de ciberdelincuencia Conti —que si no trabaja para el Gobierno ruso al menos no es perseguido por él y que cuenta con una infraestructura que ya quisieran muchas multinacionales— publica notas de prensa explicando que, contra su primera intención de proteger a la madre patria contra cualquier ataque exterior, ya no se involucrará en tan fervorosa tarea.
Conti habría ganado con su negocio de ransomware [un ataque que inutiliza los archivos informáticos del objetivo y le exige un rescate para recuperarlos] un contravalor en bitcoin preguerra de 2.700 millones de dólares desde 2017.
Esta cifra, publicada por Emsisoft, proviene de un análisis de ese ‘mercado’ que estima que las organizaciones cibercriminales habrían generado, por este concepto y solo en el año 2021, 74.000 millones de dólares al cambio, pagados, en buena medida, por las compañías de seguros que están empezando a excluir estos ataques de su cobertura. De hecho, fue el aseguramiento de este riesgo el que ha hecho florecer el negocio.
La conexión rusa
Estas organizaciones delictivas no existirían sin el apoyo cómplice de estados como Rusia, que se benefician de su actividad, tanto directa como indirectamente. El volantazo de Conti se produjo cuando un simpatizante ucraniano con acceso a las comunicaciones internas del grupo, filtró unos 60.000 mensajes dejando sus negocios expuestos.
Por su parte LockBit, un competidor de Conti, de afiliación claramente rusa, ha tomado nota de la represalia sufrida por Conti y han manifestado, en otra nota de prensa: “Para nosotros, [la ciberagresión] es sólo un negocio y somos apolíticos», y aclararon, por si hubiera alguna duda que solo están “interesados en el dinero que genera nuestro inofensivo y útil trabajo».
La rápida deserción de las organizaciones que han dirigido las amenazas de ciberseguridad más críticas a occidente en los últimos años deja en evidencia que las capacidades ciberofensivas de Rusia están muy relacionado con la delincuencia y la obtención ilegal de dinero, y que las fuerzas entrenadas que pudieran desplegar en el terreno del ciberespacio están tan preocupadas como los oligarcas del gas sobre su fortuna personal. Ya no hay romance sino bitcoins.
Como me cuenta mi amigo Alfredo Reino, experto en ciberseguridad, la informatsionnoe protivoborstvo (que se suele traducir como guerra o confrontación de información) se formalizó en 2014 y cuenta con diferentes actores. El FSB, sucesor de la KGB, se encarga de la monitorización y vigilancia internas lo que no le impide mantener excelentes relaciones con algunos grupos como Turla, Snake o Venomous Bear a los que se les atribuyen los ataques contra Estonia en 2007 y Georgia en 2008. El GRU, la inteligencia militar, que cuenta con varios grupos de capacidad ofensiva como Unit 26165 y Unit 74455. A él se le se atribuyen los ataques contra las elecciones EE UU en 2016.
Expertos en desestabilizar
Por su parte a NotPetya se le considera responsable de los ataques contra las elecciones e infraestructuras críticas ucranianas. A la OPCW los de 2018 o, probablemente, el ataque de France Telecom. El SVR, servicio de inteligencia en el extranjero, con grupos como APT29 (Cozy Bear), se centra en los ataques a gobiernos extranjeros (EE UU, Ucrania, Noruega, Holanda) y actividad hostil contra investigadores de las vacunas contra la covid-19.
Por último, el IRA (Internet Research Agency), que es una ‘troll factory’ y se encarga de la parte de desinformación, trolls, acoso, manipulación de opinión pública en extranjero, etc… IRA, conocida como los Troles de Ólguino, no es una entidad pública, pero funciona en estrecha colaboración con la Federación Rusa.
Todos estos grupos han usado a Ucrania como laboratorio de pruebas. Cualquier ataque nuevo, cualquier herramienta desarrollada, se ha probado primero en Ucrania: NotPetya, originalmente dirigido a pymes ucranianas, terminó siendo usado en grandes ataques que no solo han colapsado grandes corporaciones de todo el mundo, sino que les ha costado mucho dinero a entidades como Maersk, Merck, o Saint Gobain.
Del lado ucraniano, y sus voluntarios externos, hemos visto ataques de poca complejidad (denegación de servicios, que colapsa el acceso a una web o servicio), ataques a webs concretas del gobierno ruso que no han tenido tanto impacto operativo como de propaganda. En la guerra del relato Ucrania va ganando.
No está habiendo ciberataques novedosos de rusia
En general, y debemos alegrarnos por ello, no estamos viendo ataques novedosos que pongan en cuestión la capacidad de defensa de los atacados.
Nadie niega que las infraestructuras críticas nacionales siguen siendo vulnerables, pero no más que antes de la guerra. En el mundo de lo ciber como en el del campo de batalla físico, no estamos viendo nada novedoso en el comportamiento ruso ni en sus ataques ni en el empleo de la desinformación.
Cabe decir de manera poco humilde que, hasta ahora, en el aspecto ciber está siendo poco imaginativo y predecible. En cuanto a la desinformación, nos han acostumbrado tanto a ella que no nos han encontrado desprevenidos. Los intentos de colar propaganda por información se han desinflado y, en general, están teniendo muy poco impacto.
Tristemente, la guerra solo nos ha sorprendido en su descarnada brutalidad.
Texto de Paloma Llaneza, CEO de Razona LegalTech, directora Técnica eIDAS-TI de CERTICAR, y fundadora de The LLaneza Firm, publicado originalmente en SINC.