Ciberataques en medio de conflictos armados: cuando la guerra se vuelve digital

Vivimos en medio de un contexto político tenso. La invasión rusa a territorio ucraniano ha disparado las alarmas ante la posibilidad de una guerra mundial con repercusiones nucleares que perjudicarían la vida de millones de personas en el planeta y, mientras los gobiernos, los ejércitos y los diplomáticos buscan solucionar -con palabras o con armas- el conflicto, paralelamente se libra una batalla muy distinta a las convencionales: en el internet.

Grupos hacktivistas a favor de Ucrania y de Rusia han sido noticia los últimos días por ocasionar desperfectos en la red de manera puntual: mientras que dejaban sin acceso a los ucranianos de los portales de los bancos y los sitios web de ministerios como Defensa, Interiores o Relaciones Exteriores, otros infectaban malware en computadoras para provocar caos y fuertes daños económicos a los inocentes en el país. En medio del avance de la tecnología, es momento también de hablar de los ciberataques y el ciberterrorismo.

Ciberataques y tensión política

Las guerras han existido a lo largo de la historia de la humanidad y cada vez han ido cambiado de acuerdo a los medios, canales y recursos de la época, los cuales han variados, pero siempre han tenido la misma finalidad: golpear, retrasar u hostigar a una nación y a sus habitantes. Y con la llegada de las computadoras, sistemas informáticos y el internet, los delincuentes, pero también los agentes gubernamentales, encontrarían un nuevo camino para ello.

“Ya hemos tenido evidencias de ataques cibernéticos atribuidos a naciones como ofensores de otras naciones u organizaciones, públicas o privadas, en países en situación de conflicto geopolítico. La frecuencia de estos episodios está en aumento y se prevé un crecimiento de este tipo de ciberataques como una nueva forma de táctica ofensiva en el quinto dominio que constituye el ciberespacio”, comenta Juan Marino, líder regional de Ciberseguridad de Cisco Latinoamérica.

Remontémonos a 1982, en plena Guerra Fría. En medio de un fuerte recelo entre Estados Unidos y la extinta Unión Soviética, el servicio de inteligencia estadounidense CIA instaló un troyano en el sistema del gaseoducto Siberiano, según cuenta Tomas C. Reed en su libro "At the Abyss: An Insider’s History of the Cold War".

La Unión Soviética había iniciado la construcción de ese enorme gasoducto, que debía ir desde Siberia hasta Europa Occidental, destinado a la venta de gas natural a Occidente. Los soviéticos habían establecido como prioridad máxima hacerse con el software necesario para el control automático de esta enorme construcción; solo necesitaban los programas, los cuales tenían que ser robados de Canadá. Y es por eso por lo que los estadounidenses crearon un señuelo con una versión modificada del programa objetivo que provocaría el desperfecto del sistema, un llamado troyano.

Y todo salió como lo esperaban: la URSS robó el programa y lo instaló en su gaseoducto, lo que culminó con una explosión en un lugar hasta ahora no especificado de la nación. El ciberataque había funcionado.

 

“¿Es común? Sí. Muchos gobiernos tienen como parte de sus ejércitos y de su equipo de defensa, una división que se encarga de ver todo este sistema cibernético. Países grandes como China, Rusia, Estados Unidos, Irán, Israel, Corea del Norte. Se encarga de velar por revisar estos temas, de prevenir este tipo de incidentes, de responder ante este tipo de situaciones”, señala Camilo Gutiérrez, jefe de Laboratorio de ESET Latam. “Entonces, si ya los gobiernos tienen están organizados pensando en defenderse de este tipo de ataques, es porque claramente alguien los está haciendo”.

“Cualquier organismo, sea público o privado, por el hecho de estar conectado a internet está hoy sufriendo ciberataques de todo tipo. En pandemia crecieron exponencialmente por la enorme necesidad de estar hiperconectados”, señala Pablo Lázaro, quien es director de la carrera de Ciberseguridad en la Universidad Scalabrini Ortiz de Argentina (UNSO) y quien fuera director de investigaciones del ciberdelito del Ministerio de Seguridad de la República Argentina. “En este sentido, se logró el objetivo de conectar cada vez más, pero se vulneró la ciberseguridad y sus tres grandes ejes: la confidencialidad de la información, la disponibilidad y su integridad”.

Otro ciberataque icónico dirigido a una nación sucedió en 2010. Un gusano informático llamado Stuxnet fue dirigido a las altas infraestructuras de Irán con el fin de “retrasar la puesta en marca de la planta nuclear de Bushehr”, según medios como el India Times, BBC o Daily Telegraph. El ataque fue calificado como “guerra electrónica” por el gobierno iraní, atribuyendo su autoría a los servicios de inteligencia de EE. UU. e Israel.

“Este caso es uno de los más reconocidos. Se descubrió que habían sido gobiernos que habían estado detrás de detener el avance del programa nuclear iraní. Hicieron un ataque muy dirigido, muy específico, para afectar la infraestructura nuclear de Irán”, recuerda Camilo.

Con el tiempo, los ataques han ido cambiando tanto de actores como de métodos. De manera remota, atacantes intentan vulnerar los sistemas de puntos clave de investigación o en una ciudad, como sus petroleras o hasta de agua potable, como sucedió con el reciente caso de Colonial Pipeline, en 2021. El ataque detuvo las operaciones del oleoducto de la compañía y obligó al presidente Joe Biden a declarar un estado de emergencia en medio de escasez de gasolina.

En aquella ocasión, el grupo responsable fue la empresa criminal de ransomware (secuestro de datos) llamada DarkSide, pero no se descartó el apoyo del gobierno ruso en el ataque. Los atacantes robaron casi 100 gigabytes de datos y amenazaron con publicarlos en Internet si no se pagaba el rescate: 5 millones de dólares, pero en criptomonedas.

“Se utilizan cripto como forma de recompensa por el supuesto anonimato, pero ya se ha demostrado que, dado que toda la información de la blockchain es pública, se pueden rastrear direcciones e incluso, de este modo, se han llegado a atrapar delincuentes”, refiere Matias Romero, Country Manager de Buenbit Perú. “Por eso, siempre recomendamos que la primera inversión por realizar antes de ingresar al ecosistema cripto sea informarse sobre él. Asimismo, se debe a que existe una infinidad de presuntos exchanges que no tienen interés en proteger a sus usuarios, sino que funcionan como puentes para este tipo de delitos.

“Buenbit está comprometido con la práctica de políticas y procedimientos internacionalmente reconocidos y destinados a la Prevención de Lavado de Activos y Financiamiento del Terrorismo. Tomamos medidas para garantizar la verificación de los usuarios y la seguridad de las transacciones financieras. Estos controles son obligatorios para todos tanto al momento del registro como en diversas operaciones. La única manera de proteger a los usuarios de actividades fraudulentas y estafas es realizando los requerimientos de seguridad pertinentes. Así, evitamos la documentación engañosa u otra información falsa y nos reservamos el derecho de investigar ciertos usuarios o transacciones que se hayan detectado como riesgosas o sospechosas. De ahí que sea tan relevante conocer la trayectoria y la opinión de los usuarios de cada mercado”, refiere Romero. 

Actualmente, en medio del contexto ucraniano, los ciberataques volvieron a hacerse presentes. "Este tipo de ataques son llevados a cabo por Estados a través de los servicios de inteligencia e infraestructura especialmente creada. Vemos con claridad la huella de servicios de inteligencia extranjeros", indicó el jefe del departamento de ciberseguridad del Consejo de Seguridad de Ucrania (SBU), Ilyá Vityuk, quien señaló que el alto costo de una operación de este tipo descarta la posibilidad de que actuara un hacker solitario o un pequeño grupo.

Pero el propio país está reuniendo su armada tecnológica. El embajador designado de Ucrania en Corea del Sur, Dmytro Ponomarenko, solicitó al país coreano ayuda tecnológica para fortalecer "las capacidades de seguridad cibernética" y está juntando a una serie de voluntarios para su “ejército TI”. “Habrá tareas para todos. Seguimos luchando en el frente cibernético. La primera tarea está en el canal para especialistas cibernéticos.", dice el viceprimer ministro de Ucrania, Mykhailo Federov.

Las unidades se han dividido por objetivos: la unidad defensiva se centrará en los sistemas de agua y energía, mientras que las unidades ofensivas ayudarán al ejército a realizar operaciones de espionaje digital.

Aunque es común que se indiquen responsables a dedo,conocer el origen en específico de un ataque es muy difícil.

“Nosotros tenemos evidencia o podemos tener acceso a los artefactos o códigos maliciosos que se han utilizado para hacer ese tipo de ataques, pero entre llegar a encontrar eso y saber quién lo utilizó, es un trecho muy largo”, refiere el experto de ESET. “Es precisamente eso lo que tienen este tipo de ciberataques, que al ser delitos que pueden llegar a ser transnacionales. Por ejemplo, el actor cibercriminal puede estar en un país utilizando los recursos que están en otro país para atacar otra nación diferente, una organización que está en un país diferente. Entonces, quizás para ese gobierno, para esa empresa. el ataque viene del país uno, pero resulta que los atacantes no están en ese país, sino que están en otro y se conectan para hacer ataques desde allí… A pesar de que las evidencias marquen hacia un punto, afirmar algo sería irresponsable”.

“No existe, al menos de forma pública, evidencia directa de lo que llaman ataques coordinados por un estado. Eso sí, a partir de distintos análisis, se puede saber que tal ciberataque fue ejecutado en determinado territorio, por ejemplo, Corea, Rusia, EE. UU. mismo y demás”, puntualiza Lázaro. “Esto no necesariamente quiere decir que estén en Rusia porque podrían estar en un proxy de otra nación, pero sin duda es un indicio. Puedes pedir colaboración a ese otro gobierno para investigar grupos que operan en su territorio y, si este gobierno no ayuda, es cuando menos sospechoso”.

Ciberataques: prioridad alta

Los países involucrados en estos conflictos son quienes tienen mayor estructura tecnológica, pero también los que tienen mayor número de ataques. Entonces, ¿qué pasaría si habláramos de guerra cibernética en Latinoamérica?

“De acuerdo con los datos de FortiGuard Labs, el laboratorio de análisis e inteligencia de amenazas de Buenbit, Perú sufrió más de 11.5 mil millones de intentos de ciberataques en el 2021. Esta cifra equivale a 32 millones de intentos de ataques cibernéticos al día o 1.3 millones cada hora, en promedio”, informa Matías Romero. “Asimismo, en América Latina hubo más de 91,000 millones de intentos de ciberataques durante el mismo periodo. En la región, los países más afectados por el aumento de los ataques cibernéticos fueron México, con 60,800 millones; Brasil, con 16,200 millones; Perú, en la tercera ubicación; y Colombia, con 3,700 millones”.

Según el Observatorio de Ciberseguridad de la OEA, “si bien Perú aún no cuenta con una estrategia nacional de seguridad cibernética, sí ha puesto en marcha una política nacional de ciberseguridad que, entre otras cosas, destaca la necesidad de crear una estrategia nacional de ciberseguridad y un comité nacional de ciberseguridad”.

“La pandemia también ha alentado los riesgos. En Latinoamérica muchas entidades gubernamentales entran al sistema, a internet, para acceder a información de manera remota, obviamente por facilidad, pero no se revisa muy bien este tipo de problemas”, refiere Gutiérrez. “Hay un reto bastante importante todavía a nivel de infraestructura. En países latinos todavía hay empresas trabajando con Windows XP o 7, sin actualizaciones de seguridad”.

Por eso, es importante que los ciberataques sean una prioridad para los gobiernos locales, quienes deben procurar asegurar la información de la mejor manera a través de mecanismos y planes ya no a futuro, sino inmediatos.

“La respuesta es multidimensional y tal vez como punto de partida es necesario situar esta problemática en el nivel más alto en las agendas de gobierno, a fin de lograr el desarrollo político e institucional necesario para aumentar las defensas en infraestructuras críticas y soberanía digital. Un buen síntoma es que el World Economic Forum ya presenta estas discusiones dentro de las prioridades en el panorama de riesgos globales”, refiere Marino. “Otra dimensión está referida a la educación de los funcionarios y tomadores de decisiones en temas de ciberseguridad, desde la perspectiva de estrategia y uso de los recursos. A mayor educación, más probabilidad de que el tema sea una prioridad y los esfuerzos se traduzcan en planes factibles de ejecutar y monitorear”.

“Las naciones deben prepararse desarrollando estrategias nacionales de ciberseguridad, una estrategia que se compone de planes, procedimientos y directivas a todos los organismos con los 5 puntos clásicos que son el monitoreo, la prevención, la respuesta, la remediación y el plan de continuidad de las operaciones”, refiere el experto argentino. “La pregunta es ¿qué pasa cuando me hackean o tengo un ciberataque? ¿Cómo voy a responder? ¿Cómo voy a continuar operando? Muy pocas naciones tienen un plan activo: muchas han desarrollado una estrategia, sacaron un decreto, alguna ley, pero hemos visto muchas falencias, incluso muchas falencias de filtrado de información”.

“Se vuelve un tema clave e importante que los gobiernos, en mayor o menor medida se tienen que pesará a ocupar”. “No solo tienen que defenderse de una guerra, sino que las infraestructuras pueden llegar a estar expuestas por alguna persona o un grupo de personas con una motivación detrás”, finaliza Camilo.

Te recomendamos METADATA, el podcast de tecnología de RPP. Noticias, análisis, reseñas, recomendaciones y todo lo que debes saber sobre el mundo tecnológico. Para escucharlo mejor, #QuedateEnCasa.