Análisis de una ciberguerra híbrida entre Rusia y Ucrania | Stormshield

La invasión rusa de Ucrania destacó por primera vez en la historia de los conflictos, con el uso generalizado de ciberataques. Esta evolución ha transformado el panorama de la guerra tradicional, planteando muchos interrogantes. Analizamos más de cerca una ciberguerra híbrida en la que las fuerzas implicadas son una combinación de campos de batalla tradicionales y una nueva dimensión digital.

 

El preludio de la guerra en Ucrania: ¿qué papel desempeñan las ciberherramientas en un conflicto armado?

Dicho de otro modo, la pregunta es: ¿cuándo empezó el ciberespacio a formar parte del ámbito militar? Como suele ocurrir, la historia nos proporciona los recursos necesarios para comprender mejor el contexto y, en este caso, el carácter sin precedentes de esta ciberguerra. Y para conocer los primeros años de experimentación en el ciberespacio, tenemos que remontarnos a las décadas de 1980 y 1990. Pero lo que caracteriza a estos años es esencialmente la desconexión entre el impacto en el mundo real de estas operaciones y la mitología que las rodeaba. "En aquella época, algunos analistas afirmaban que era posible poner de rodillas a poblaciones enteras únicamente por medios ciber", afirma Pierre-Olivier Kaplan, ingeniero de I+D del equipo de inteligencia sobre ciberamenazas de Stormshield. Esta visión apocalíptica estaba algo alejada de la escala limitada de los ciberataques de la época; la misma mentalidad psicótica era también evidente en la narrativa relativa al famoso "efecto 2000". "Sin embargo, el acontecimiento ciber-Pearl Harbor nunca llegó a producirse", señala Pierre-Olivier Kaplan. Sin embargo, después la situación evolucionó hasta desembocar en ciberataques a gran escala. Dirigidos contra infraestructuras críticas y sensibles, su impacto se dejó sentir a nivel nacional en algunos países, como los ataques contra Estonia en 2007, India en 2009, Irán en 2010 con Stuxnet, Ucrania (ya) en 2015 y 2017 con los malware Black Energy, CrashOverride y Triton, y Corea del Sur en 2018 con Olympic Destroyer. A pesar de las pruebas circunstanciales que apuntan a determinadas fuerzas estatales, no se ha reivindicado oficialmente la autoría de estos ataques. Pero (a excepción de Olympic Destroyer) tienen algo en común, como explica el director de ciberseguridad y gestión de producto de Stormshield, Sébastien Viou: "Conocemos el objetivo preferido de estos ciberataques: la energía. El objetivo es cortar los recursos de un país y fatigar a su población. En este caso, las ciberarmas no buscan matar, sino hacer la vida precaria o incluso insostenible". Entonces, ¿es exacto considerar un ciberataque como un acto de guerra? "En realidad, sí, pero desde un punto de vista puramente semántico, no", afirma Pierre-Olivier Kaplan. "Porque, una vez más, es extremadamente difícil precisar con certeza el origen de los ciberataques, sobre todo porque ningún Estado ha reivindicado abiertamente la autoría de estos actos".

¿Un juego de engaño? ¿Un deber de secreto? ¿Un ejercicio de equilibrismo internacional? Para Pierre-Olivier Kaplan, la ausencia de tales reivindicaciones se explica por el carácter nebuloso de este tipo de ataques que, aunque no formen parte oficialmente de la doctrina militar convencional, siguen teniendo el sello de métodos asociados a ciertos Estados. Según él, el uso de ciberataques en apoyo de operaciones militares se remonta de hecho al conflicto ruso-georgiano de 2008. "El ejemplo de Georgia en 2008 es, en este sentido, un caso clave. La táctica de inundar los sitios gubernamentales con ataques generalizados de denegación de servicio (DDoS) es un modus operandi ruso estándar. Pero las autoridades rusas nunca han reivindicado formalmente la autoría de la intrusión, que paralizó algunos sitios sensibles del país, porque hacerlo habría puesto oficialmente en el punto de mira las prácticas de algunos grupos hacktivistas independientes”. Estos son, de hecho, satélites de los servicios rusos, sin formar parte realmente de las instituciones militares oficiales. Por tanto, operan en una zona gris geopolítica que aún está por aclarar. Durante su discurso en el FIC 2021 en Francia, la entonces ministra de Defensa, Florence Parly, se refirió a una "Guerra Fría en el ciberespacio" y a las cuestiones muy específicas asociadas a ella: "A diferencia de la Guerra Fría histórica, que contaba con sus propios mecanismos de desescalada para evitar un escenario de apocalipsis nuclear, una nueva Guerra Fría ciber, en la que participaran Estados o actores no estatales, no se regiría ciertamente por la misma moderación. No hay "teléfono rojo" en el mundo de la ciberseguridad. Peor aún, algunos actores siguen siendo reacios a establecer reglas de juego para los enfrentamientos en el ciberespacio. Por tanto, podríamos enfrentarnos a una escalada rápida e incontrolada”, que provocaría crisis sin precedentes y efectos en cascada imprevistos.

 

Una guerra híbrida ciber/física

Conflicto digital, guerra informática, guerra de maniobras o ciberguerra: ¿cómo debe describirse la guerra en Ucrania? Las descripciones cambian según con quién se hable. Oficialmente, la guerra fue descrita como ciberguerra por el General de División Aymeric Bonnemaison, comandante de la Ciberdefensa francesa, en una reunión de la Comisión de Defensa Nacional y Fuerzas Armadas celebrada en diciembre de 2022: "Sin duda ha habido una ciberguerra en Ucrania".

Sea cual sea la terminología elegida, el conflicto ruso-ucraniano marca una primicia en el uso de ciberarmas, ya que se distingue del conflicto ruso-georgiano por el empleo de tácticas de ciberataque diversificadas en apoyo del esfuerzo bélico. O incluso para ayudar a financiarlo... "Hemos asistido a un crecimiento exponencial de los ciberataques con ransomware en los últimos años", señala Viou. "Es bien sabido que los grupos rusos están detrás de una gran parte de ellos, y que existen conexiones entre ellos y el Estado ruso; la única conclusión posible es que se trataba de una preparación financiera para la guerra, aunque es una que, por desgracia, nunca se podrá verificar”. "En este conflicto, he identificado cuatro tipos diferentes de operaciones ciber repetidas: destrucción, interrupción, inteligencia e influencia", afirma Pierre-Olivier Kaplan. La primera consiste en destruir infraestructuras, desde simples servidores informáticos hasta sistemas eléctricos enteros. La interrupción consiste en oleadas de ataques DDoS con el objetivo de neutralizar determinadas infraestructuras durante un tiempo determinado. La inteligencia, más tradicional, se basa en la recopilación de información sensible. Por último, la influencia consiste en la manipulación de la opinión a través de las redes sociales, gracias a redes de bots y trols. En conjunto, estos cuatro enfoques proporcionan un conjunto de herramientas para desestabilizar un Estado en el mundo actual de la ciberseguridad. La guerra ruso-ucraniana marca un punto de inflexión en esta carrera por adquirir ciberarsenales.

"Los estrategas del Kremlin imaginaban que la guerra sería breve y duraría sólo tres semanas", añade Pierre-Olivier Kaplan. Tanto es así que, al principio del conflicto, la mayoría de los ciberataques registrados procedían principalmente de "grupos ciberguerrilleros con escasa interacción con el personal físico del lado ruso". En aquel momento, sólo existía una correlación limitada entre la guerra de maniobras físicas y la guerra en el ciberespacio. Sólo a partir de finales de 2022, y del estancamiento manifiesto en el bando ruso, aumentó significativamente el volumen de ciberataques. Proliferaron las operaciones de interferencia de radio – por ejemplo, para interrumpir el uso de drones militares. Y la coordinación entre el frente físico y ciber se convirtió entonces en una estrategia de pago. "Esta completa hibridación entre una guerra de trincheras, que se remonta a los oscuros días de la Guerra Mundial de 1914-18, y una guerra tecnológica basada en los ciberataques y el espionaje informático, ha sido una de las características clave de este conflicto", añade Viou. Al mismo tiempo, a partir de abril de 2022 se abrió otro frente: la guerra de la información. Con el descubrimiento de una fosa común en la ciudad de Bucha, que había sido ocupada por las fuerzas rusas, estas masacres de civiles fueron ampliamente difundidas por la prensa internacional. Las fuerzas rusas se vieron acorraladas por la presión mediática y se vieron obligadas a presentar una contranarrativa centrada en los abusos del ejército ucraniano. Estas contraofensivas propagandísticas son esenciales en un momento en que la sensibilidad de la opinión pública internacional puede llevar a un gobierno a cambiar su estrategia militar. En última instancia, estas tres formas de guerra – militar, ciber e informativa – se solapan constantemente.

 

Ciberfuerzas participantes

Esta guerra en Ucrania ha proporcionado una oportunidad para que los grupos hacktivistas intensifiquen sus esfuerzos en todos los ámbitos, desde los que trabajan en nombre del Estado ruso hasta los que defienden los esfuerzos de defensa ucranianos. Con el ciberespacio como nuevo campo de batalla, varios grupos hacktivistas se han alineado explícitamente con el tema de sus afiliaciones políticas.

Y en este conflicto concreto, ¿cuáles son las (principales) fuerzas implicadas? En cuanto a los beligerantes prorrusos, "desde la ciberdestrucción selectiva hasta el ciberacoso total, los métodos utilizados por los hacktivistas adoptan la forma de ataques masivos de denegación de servicio (DDOS)", señala un informe de Thales de febrero de 2023. Estos métodos "contribuyen a los procesos rusos de guerra de la información con el objetivo de desgastar a las organizaciones tanto privadas como públicas". Del mismo modo, Sekoia.io informa de las colaboraciones explícitas entre ciertos grupos de hacktivistas y los servicios de inteligencia del Kremlin. Tales afiliaciones directas caracterizan ahora la guerra en Ucrania. Los grupos de hacktivistas "han elegido su bando", escriben los expertos de ENISA, enumerando cerca de 70 grupos que han tomado las armas, como el Ciberejército prorruso de Rusia, demostrando algunos de estos grupos un notable nivel de sofisticación operativa. El sitio francés Numerama señala la presencia del grupo atacante prorruso Conti, que fue rápidamente descubierto y contraatacado por los ucranianos. Pero también figuran los poderosos Killnet y NoName, que se considera que son operados a distancia por el Estado ruso. Estos grupos poderosos y bien identificados coexisten con pequeños grupos aislados que, por patriotismo, toman partido y lanzan ataques por iniciativa propia. "Son de hecho los operadores corsarios del ciberespacio", dice Pierre-Olivier Kaplan, "en el sentido de que actúan de forma independiente". Los militares del Kremlin también pueden contar con el apoyo de organismos estatales, "como el SVR, el servicio de inteligencia exterior, y su brazo armado ciber, que llevan a cabo las denominadas operaciones disruptivas y de apoyo", señala Pierre-Olivier Kaplan. "El servicio de inteligencia interior FSB opera en el sector de la inteligencia militar, mientras que el servicio de inteligencia interior GRU del ejército ruso se encarga de llevar a cabo operaciones ofensivas de tipo malware para destruir los sistemas de defensa enemigos". La cooperación entre estos tres servicios ilustra la ciberguerra dirigida directamente por el Estado ruso.

Desde el principio de la invasión, la parte ucraniana organizó la respuesta creando su Ejército Ucraniano de TI, un grupo de voluntarios formado bajo supervisión estatal para lanzar ciberataques contra objetivos rusos. Con un fuerte juego en términos de ataques de denegación de servicio a gran escala (DDoS), este grupo también lleva a cabo operaciones de inteligencia para revelar información que pueda debilitar a los atacantes rusos. Este grupo estatal cuenta con el apoyo del grupo Anonymous, que se declaró "oficialmente en guerra contra el gobierno ruso", a través de un tweet el 24 de febrero de 2022. EY estima que 2.500 sitios rusos han sido atacados por este grupo internacional de activistas desde el inicio de la ofensiva. "En Polonia, Squad 303 también prestó su apoyo explícito al bando ucraniano. Del mismo modo, en Bielorrusia, un grupo ciberpartisano opuesto al gobierno pro-Kremlin defiende los intereses ucranianos en operaciones de ciberguerra", añade Pierre-Olivier Kaplan. Por razones históricas, Estados Unidos también se implicó en una fase temprana proporcionando a los ucranianos herramientas, como el acceso a los servicios de Microsoft, para reforzar la ciberseguridad de las infraestructuras críticas de Ucrania. Según el experto, esta ayuda permitió al país "evitar lo peor". En concreto, la ayuda estadounidense contribuyó a resistir el ataque ruso a través del malware conocido como "Hermetic Wiper", que atacó servidores informáticos, empresas gubernamentales y el satélite de telecomunicaciones KA-SAT en las primeras horas de la invasión rusa. Fue gracias a otra compañía estadounidense, Starlink, que el enlace de satélite en Ucrania se mantuviera durante estas semanas de desestabilización.

La contribución de los grupos partisanos auxiliares fue, por tanto, decisiva para apoyar los esfuerzos de la ciberseguridad de las dos partes implicadas. "Sin embargo, es importante no exagerar la fiabilidad de todos estos grupos auxiliares", subraya Pierre-Olivier Kaplan. “Por ejemplo, en el bando prorruso, el motín del difunto líder del Grupo Wagner, Yevgeny Prigozhin, demostró la capacidad de rebelión de estas entidades satélites".

 

La posguerra de Ucrania: ¿tendrá repercusiones en futuras guerras?

Ahora, más que nunca, la noción de resiliencia es fundamental en estos dos años de ofensivas rusas en Ucrania. Hasta ahora, el ejército ucraniano se ha mantenido firme, aunque las últimas informaciones de la inteligencia militar noruega apuntan a una escalada del conflicto. Pero el impacto más llamativo es la integración de las ciberoperaciones y los ciberataques en las doctrinas militares, como el ciberataque estadounidense a un buque de guerra iraní sospechoso de espionaje a principios de 2024.

El uso de ciberarmas en este conflicto pone de relieve los opacos límites legales de la ciberguerra. Esto se debe a que la amenaza puede causar daños considerables a la población civil, especialmente en relación con los ciberataques selectivos contra infraestructuras críticas. Por otro lado, los ciberatacantes civiles pierden su protección como civiles, pero no tienen estatus militar. Y la cuestión de cómo categorizar sus acciones sigue sin estar clara. ¿Terrorismo? ¿Crímenes de guerra? ¿Crímenes contra la humanidad? Aunque no responde a esta última pregunta, a principios de octubre de 2022 el Comité Internacional de la Cruz Roja (CICR) publicó una lista de normas destinadas a gestionar mejor los ciberconflictos. La consigna: limitar el impacto sobre la población civil. En total, son ocho reglas o recomendaciones para los ciberatacantes: no realizar ciberataques contra bienes civiles; no utilizar programas maliciosos u otras herramientas o técnicas que se propaguen automáticamente y dañen indiscriminadamente objetivos militares y bienes civiles; al planificar un ciberataque contra un objetivo militar, hacer todo lo posible por evitar o minimizar los efectos que su operación pueda tener sobre la población civil; no lleves a cabo ciberataques contra instalaciones médicas y humanitarias; no lleves a cabo ciberataques contra objetos esenciales para la supervivencia de la población, o que puedan liberar fuerzas peligrosas; no amenazar con la violencia para sembrar el terror entre la población civil; no fomentar las violaciones del derecho internacional humanitario; seguir estas reglas aunque el enemigo no lo haga. Estas normas de precaución pueden aplicarse hoy en día en relación con los múltiples conflictos armados que retumban en todo el planeta, la mayoría de los cuales tienen repercusiones en el ciberespacio, como es también el caso del conflicto israelí-palestino.

 

Por lo tanto, es apropiado hablar de un tiempo antes del conflicto ruso-ucraniano, y después de él. El uso oficial de herramientas de ciberseguridad como arma de guerra ha abierto la puerta a un refuerzo y endurecimiento de los arsenales estatales de ciberseguridad – y también plantea la cuestión de una posible cooperación internacional reforzada en la lucha contra la ciberdelincuencia en tiempos de guerra. Nueva guerra, nuevas herramientas: después del asesor diplomático, ¿veremos ahora al ciberasesor diplomático?

Share on

[juiz_sps buttons="facebook, twitter, linkedin, mail"]
A medida que nuestra sociedad se digitaliza y las tensiones internacionales se multiplican, las consideraciones geopolíticas se convierten en criterios para elegir a los proveedores y los productos que diseñan. Esto significa que Europa tiene un papel esencial que desempeñar: ofrecer soluciones de ciberseguridad soberanas, fiables y seguras. Para contribuir a esta ciberseguridad soberana "Made in EU", Stormshield se ha establecido desde hace muchos años como una alternativa europea de confianza.
En Stormshield, nos dedicamos a proporcionar a las empresas una protección eficaz contra estas ciberamenazas. Esto toma la forma de un equipo dedicado a la inteligencia sobre ciberamenazas que tiene dos misiones clave: estudiar las ciberamenazas para comprenderlas y mejorar continuamente la protección que ofrecen los productos Stormshield. Su objetivo en todo esto es contribuir al esfuerzo de la comunidad de ciberseguridad para hacer frente a las ciberamenazas.
Acerca del autor
mm
Victor Poitevin Editorial & Digital Manager, Stormshield

Victor es el Editorial & Digital Manager de Stormshield. Depende del Departamento de Marketing y su misión es mejorar la visibilidad del Grupo en la web. Páginas web, redes sociales, blogs... todo el ecosistema Stormshield contribuye a ello. Y para responder a las grandes ambiciones digitales del Grupo, se apoyará en sus diversas experiencias en varios grandes grupos franceses e internacionales, así como en agencias de comunicación.