"Estamos ante la I Ciberguerra Mundial": así ayuda Microsoft a defender Ucrania ante las agresiones "híbridas" de Rusia

REDMOND (WASHINGTON, EEUU)— "Estamos ante la I Ciberguerra Mundial". 

Así de contundente se ha mostrado Tom Burt, vicepresidente corporativo de Seguridad y Confianza de Microsoft, durante el Future of Security de la compañía, un evento que ha tenido lugar en Redmond, la sede de la multinacional, donde se han dado a conocer las últimas tendencias en la materia y en el que se han expuesto las claves de los ataques de Estado-nación. 

Tal y como ha explicado el directivo, la Guerra de Ucrania es híbrida, lo que implica que los ataques físicos y online se suceden continuamente, hasta un máximo de 5 veces a la semana. Normalmente, están dirigidos a ministerios y organismos gubernamentales, pero también a diferentes empresas del sector privado para "hacer daño" a la economía del país o robar propiedad intelectual para apoyar el espionaje internacional.

Sin embargo, la multinacional afirma que ellos no hacen nada para ayudar al país a gestionar un ataque "ofensivo", pero sí les avisa de las diferentes amenazas que descubren o les proporciona tecnología para defenderse.

Solo durante el año pasado los ciberataques dirigidos a infraestructuras críticas aumentaron del 20% de todos los ataques de Estados-nación detectados por Microsoft a un impresionante 40%. Esta alza se debió en gran parte al objetivo de Rusia de dañar la infraestructura ucraniana y al espionaje agresivo dirigido a los aliados de Ucrania, incluyendo Estados Unidos. 

Rusia también aceleró sus intentos de comprometer a las compañías de TI para interrumpir u obtener inteligencia de los clientes gubernamentales de esas compañías en los países miembros de la OTAN. El 90% de los ataques rusos que detectaron el año pasado se dirigieron a los estados miembros de esta organización, mientras que el 48% de dichos ataques se dirigieron a compañías de TI establecidas en los países miembros de la OTAN.

Qué tipo de ciberataques realizan: desde empresas eléctricas, hasta suministro de agua pasando por la logística

La guerra en Ucrania es, probablemente, la más sofisticada e inteligente que se ha vivido hasta el momento. ¿La razón? Las herramientas tecnológicas que poseen los atacantes son tan evolucionadas que pueden atacar prácticamente cualquier sector para desestabilizar a su enemigo.

"Hemos visto a Rusia centrarse, especialmente en los últimos tiempos, en bombardear las instalaciones eléctricas, para tratar de ejercer una gran presión sobre el gobierno ucraniano al imponer todas estas dificultades a sus ciudadanos porque no tienen electricidad... y más ahora que viene el duro invierno", señala Burt. Lo interesante de todo esto es que no solo se trata de ciberataques, sino que, a su vez, ha habido ataques militares físicos a estas instalaciones para tener una mayor coordinación.

De la misma forma que pasó con la electricidad, los sistemas de suministro de agua también se vieron comprometidos y, desde hace algún tiempo, los rusos están atacando el transporte y la logística por razones obvias en términos militares. 

Lo peor es que estos ataques no solo suceden en Ucrania. Recientemente, gracias al equipo de ayuda DaRT de Microsoft (Microsoft Diagnostics and Recovery Toolset), se ha descubierto que Polonia recibió también un ataque coordinado en este sentido. De hecho, no hubo mayor problema con la empresa logística en cuestión porque, precisamente, lo que permite esta herramienta es restaurar rápidamente archivos perdidos importantes y detectar y quitar malware, incluso cuando el equipo no está conectado a la red. "Gracias a ellos pudieron minimizar el ataque", explica Burt.

La sofisticación de estos ataques es tan alta que parecen ransomware, aunque no lo son debido a que, a pesar de que exigen un pago cuando se infecta a la víctima, no borran los datos, sino que los encriptan mediante un sistema de cifrado. "El objetivo es ser destructivo y dañino. A pesar de que exigen un pago, en los ataques Estado-nación no tienen ninguna intención de devolverte los datos, algo que sí pasa en los ransomware estándar", confirma Burt.

Quiénes están detrás de estos ataques y por qué: grupos organizados y hacktivistas para influir en la opinión pública o para generar destrucción

Otro de los puntos interesantes es saber si, además de los gobiernos implicados, hay más agentes involucrados en estos ciberataques.

Recientemente se descubrió que detrás de NotPetya, un ransomware variante de Petya que afectó a objetivos ucranianos causando daños por más de 10.000 millones de dólares, había un grupo organizado llamado Sandworm o Unidad 74455 que pertenecía al GRU (Departamento Central de Inteligencia de Rusia). Este ataque paralizó empresas de la talla de Maersk, la farmacéutica Merck, la subsidiaria europea de Fedex, TNT Express o el productor de alimentos Mondelèz, entre otros.

Sin embargo, Burt reconoce que, por sí mismo, no puede reconocer quienes están detrás de estos ataques en la mayoría de los casos. "No podemos decir qué persona es la responsable de estos ciberataques, pero a veces sí que se identifican con un número o alias y podemos hacer esa conexión", explica.

También se conocen casos de ciberataques en empresas españolas, como los ejecutados por los hacktivistas rusos Sparta o Killnet el pasado noviembre.

Lo más interesante de todo esto es que los ataques de Estado-nación no solo tienen como objetivo principal el hecho de la destrucción de datos. También tienen una segunda pata basada en la desinformación que pretende erosionar la opinión pública a nivel nacional e internacional.

De esta forma, propagan narrativas falsas basadas en fake news para desmoralizar a las tropas que luchan contra los atacantes o para hacer creer a nivel internacional que están ganando la guerra. "Esto en Europa y Estados Unidos no funciona tan bien como en los países del sur, donde los medios propagandísticos rusos son las fuentes de comunicación más consultadas", añade Burt.

Esta estrategia se aplicó a finales de 2021, por ejemplo, para apoyar la narrativa falsa de Rusia en torno a las supuestas bioarmas y laboratorios biológicos en Ucrania. Pero además de este país, el equipo de Microsoft ha observado que otros países, incluidos China e Irán, implementan operaciones propagandistas para extender su influencia global en una variedad de temas.

¿Hay una solución definitiva? No, pero la nube es un gran aliado

Una de las mejores decisiones que tomó Ucrania nada más empezar la guerra es cambiar toda su infraestructura física y dar el salto a la nube. Hasta entonces, los sistemas eran mucho más vulnerables, ya que, en el momento en el que atacaban un sistema de almacenamiento de datos, perdían información de lo más valiosa.

Precisamente por eso, prácticamente 10 días después del comienzo de la guerra, Zelensky, presidente de Ucrania, firmó una ley para que el gobierno pudiera subirse a la nube, ya que hasta entonces no se podía. Así, Microsoft ayudó a unos 18 ministerios de forma altruista a pasar sus sistemas de físico a cloud sin que supusiera ningún coste para ellos. Concretamente, el valor de esta ayuda humanitaria asciende a un total de 400 millones de euros (a lo que habría que añadir el coste del personal, que no está dentro de esta cifra).

La razón por la que este movimiento se ejecutó de forma tan precipitada es porque el Gobierno de Ucrania se dio cuenta de que uno de los primeros misiles rusos fue directo al centro de datos donde se almacenaba la información del Estado y eso era peligroso. Si tú almacenabas la información en un solo lugar físico y se destruía, esto podía causar daños irreparables.

De esta forma, lo que les aconsejaron desde Microsoft es subirse a la nube para mitigar los ataques en la medida de lo posible ya que, si la información está en el cloud, tienen menos posibilidades de acceder a ella y destruirla.

Además, otro punto importante para hacer frente a estos ciberataques sería activar la autenticación multifactorial, aplicar parches de seguridad e implementar soluciones de seguridad modernas de cualquier proveedor reconocido.