Ucrania iba a ser un gran laboratorio para la ciberguerra, Rusia echaría abajo todos sus sistemas de comunicación y abastecimiento antes incluso de que su primera unidad militar pisara el país. Las predicciones no se han cumplido, son tanques y misiles los que han ganado las victorias. A menos que los ucranianos hayan sabido defenderse en ese terreno con tanta determinación como en el campo de batalla. En estos momentos la única información fiable es que los sistemas de comunicaciones del gobierno, bancos, sistema de pagos del país, producción y distribución de energía continúan funcionando.
Llamamos a todos los hackers a ayudarnos
En el primer día de guerra el gobierno ucraniano hizo un llamamiento a todos los hackers que quisieran sumarse como voluntarios para defender el país. El Ministerio de Defensa no ha dado más detalles, pero Yegor Aushev, cofundador de Cyber Unit Technologies, empresa de ciberseguridad que ha apoyado a la administración ucraniana en el futuro, ha aportado algún dato. Según su testimonio, los voluntarios del denominado IT Army han sido organizados en dos grupos, el más nutrido el defensivo, dedicado a mantener en funcionamiento infraestructuras críticas como centrales eléctricas y de abastecimiento de aguas. El menor, ofensivo, dedicado a realizar ataques sobre los sistemas rusos.
Ucrania tenía previsto crear este año su unidad militar cibernética, y no ha llegado a tiempo. El país, además, ha sufrido numerosos ataques de ciberataques rusos, y ambas razones justifican la urgencia del llamamiento. En las navidades de 2016 la práctica totalidad de habitantes de la ciudad de Frankivsksin quedaron sin electricidad durante seis horas. La operación fue de una sofisticación extrema, porque no solo dejó en la oscuridad a los clientes, sino a los técnicos encargados de operar la red eléctrica. Había sido planeada por los atacantes durante meses.
En verano de 2017 fue un virus denominado NotPetya. Infectó bancos, ministerios, periódicos y compañías eléctricas, expandiéndose a partir de la actualización de un programa de contabilidad empleado por 400 000 usuarios ucranianos. Por su distribución en cadena un 10 % de los afectados mundiales fueron empresas alemanas, y la naviera Maersk perdió a causa de este virus 250 millones de euros. Según la investigación de la CIA, y del Ministerio de Defensa británico, NotPetya tuvo su origen en el GRU, servicio de inteligencia militar de las fuerzas armadas rusas. Y según la investigación de la revista Wired, en el comando ruso Sandworm. El pasado 28 de febrero se detectó que Sandworm estaba usando un nuevo malware, oculto en los cortafuegos, denominado Cyclops Blink, capaces de amenazar, entre otros, el sistema GPS.
La invasión física fue el 24 de febrero, el primer ataque el 14 de enero
El 14 de enero un ciberataque masivo sobre Ucrania tumbó las redes de comunicación del Ministerio de Exteriores, y del gabinete ministerial. Mientras estuvieron caídas, un mensaje aparecía en sus pantallas: «¡Ucranianos! Todos vuestros datos personales online han sido borrados y no pueden recuperarse, temed y esperad lo peor». El gobierno del país estaba convencido de que fue lanzado por Rusia, aunque en aquel momento se dudaba de la veracidad de las afirmaciones estadounidenses (que la guerra fuese inminente). Las fuerzas de Putin preparaban el terreno para la invasión física precedida de la tecnológica. Ucrania registró 125 ciberataques en diciembre, y 262 en enero.
Les encontraron preparados. Ucrania ha sido el mayor campo de pruebas para los hackers del GRU ruso durante ocho años. Usando el país como laboratorio han aprendido a atacar, reforzarse, y acertar. De hecho las agencias de inteligencia estadounidenses aseguran que el ataque a la empresa Colonial, que inhabilitó el flujo de petróleo en un área del sur de EE. UU., pudo ser una puesta en práctica de lo aprendido por los rusos en Ucrania. Lograron bloquear el oleoducto de Colonial, y la empresa pagó 4.13 millones de euros por su liberación.
El pasado diciembre llegaron equipos especializados en la guerra cibernética a Ucrania, enviados por Estados Unidos y Reino Unido, en previsión de la guerra inminente. Además el presidente Biden anunció en rueda de prensa que reforzarían esos equipos para dar un mayor apoyo al gobierno ucraniano. Sabemos que las fuerzas armadas estadounidenses están asesorando a las ucranianas, por lo que cabe pensar que esté sucediendo lo mismo en el plano tecnológico.
El papel de Microsoft también fue fundamental en los primeros días del conflicto. Identificó un malware, FoxBlade, lanzado contra Ucrania, e inhabilitó su capacidad para borrar los datos de los ordenadores. Avisó a las autoridades ucranianas y, a continuación, en contacto con el gobierno estadounidense, compartió la información del código con los países del Báltico para evitar su difusión. Actualmente Microsoft está implicada con las autoridades de EE. UU. en la defensa activa de Ucrania.
Parte actualizado de la ciberguerra y lista de combatientes
Desde el 24 de febrero los ataques hackers sobre Ucrania han sido masivos, centrados en tres objetivos, el sistema financiero, el militar y el gubernamental. La noche de ese mismo día el ministro ucraniano de Transformación Digital, Mykhailo Fedorov, hizo una llamada a la calma en Telegram a sus ciudadanos, los ataques habían sido contenidos. Los servicios se han mantenido desde entonces, con cortes en las zonas atacadas y bombardeadas, restablecidos cuando ha sido posible.
Desde el primer día de la invasión los grupos de activistas hackers se posicionaron en un lado u otro de la guerra. Ocho del lado ucraniano, y nueve del ruso.
Con Ucrania están Anonymous, Ghostsec —apoyo del anterior y conocidos por sus ataques al ISIS—, los 175 000 voluntarios ucranianos reclutados por el ministro Feodorov, la IT Army ucraniana, con una lista de objetivos proporcionada por el gobierno. Sus logros, por el momento, ataques de denegación de servicio a la bolsa rusa, el banco Sberbank, el Servicio Federal de Seguridad (contrainteligencia y espionaje ruso), y varias acciones reivindicadas por Anonymous interfiriendo señales de televisión, webs y servicios de información para emitir noticias sobre lo que está ocurriendo en Ucrania.
El grupo ATW ha focalizado sus esfuerzos en atacar las infraestructuras rusas, especialmente las de ferrocarril, y de la empresa que los gestiona. Los Cyber Partisans de Bielorrusia, opuestos a la política de su país, han logrado bloquear los trenes en la línea entre Minks y Orsha.
Del lado ruso, Conti se ha comprometió a atacar las infraestructuras ucranianas, el grupo bielorruso de Minks UNC1151 ha estado centrado en retratar a los soldados ucranianos como débiles y cobardes en Facebook, y Zatoichi difunde bulos y fake news desde su cuenta de Twitter. De los otros cinco grupos solo TheRedBandits ha mostrado un logro, acceder al sistema de cámaras de la policía ucraniana. Aunque eso fue antes de iniciada la guerra, el 22 de febrero, anunciado como aviso de lo que vendría.
La primera guerra híbrida.
En su primera conferencia de prensa desde el comienzo de la invasión, Viktor Zhora, director del Servicio Estatal de Comunicaciones Especiales, calificó esta guerra como un conflicto híbrido. Y es cierto que se está librando en ambos frentes, pero está siendo más fácil saber cómo avanza el ejército ruso que las cibervictorias y ciberderrotas.
Los hackers no han deshabilitado sistemas vitales ni en el lado ucraniano ni en el ruso, y sus ataques no han sido determinantes en el desarrollo de la guerra física. Tampoco se han detectado desarrollos informáticos novedosos. Todas las armas empleadas ya se conocían de antes.
Esta semana, además, ha ocurrido algo insólito que debería reducir la importancia de los ataques cibernéticos. Los chats del grupo Conti (prorruso) fueron filtrados por uno de sus hackers, como repulsa por el apoyo explícito y público del grupo a las autoridades rusas. Esta exposición de sus datos han puesto sus negocios en peligro -llevan ganados 2.700 millones en extorsiones desde 20127-, por lo que se han apresurado a emitir una nota de prensa asegurando son apolíticos y no apoyarán más a la madre patria. Otros grupos se están retirando también apresuradamente de la ciberguerra, temiendo represalias similares. O sea, perder su millonario negocio.
Las últimas noticias este sábado las ha proporcionado en una videoconferencia Victor Zhora, subdirector del servicio estatal de comunicaciones especiales de Ucrania. Aclarando que sus ataques hacker van dirigidos exclusivamente contra los militares, tratando de recabar información táctica de los rusos. Y que en defensa continúan luchando contra el malware que el enemigo intenta diseminar por su red, ahora a través de particulares, además de atacando a los funcionarios.
La toma de la central nuclear de Zaporiyia como prueba clave.
Los expertos en ciberguerra anunciaron que cualquier conflicto del siglo XXI infraestructuras vitales como esta, una central que abastece un tercio de la electricidad de Ucrania, sería controlada a distancia por hackers. Ni siquiera se ha intentado.La población civil estuvo protegiéndola con barricadas y organizando su defensa una semana. El ejército ruso la tomó en una noche. Al estilo clásico, tiros e invasión de artillería.
Ni siquiera han tumbado internet.
El gobierno ucraniano ha negado la posibilidad de que Rusia pudiera dejarles sin la red. Llevan años descentralizando el sistema y creando nodos para defenderse de esa posibilidad, como puede observarse en el diseño de su infraestructura y nodos, en este mapa. Adicionalmente, Feodorov pidió a Elon Musk incorporar el servicio de su red Starlink a Ucrania, como respaldo a las comunicaciones estatales, desde el 26 de febrero, y el 28 mostraba una foto con los equipos satelitales de tierra Starlink, llegados al país.
El control de la red pasará por el control completo del país, es decir, Rusia deberá controlar la infraestructura de comunicaciones tomando su cento de control, como ha hecho en la central de Zaporiyia. Al modo clásico.
La fuerza de Rusia no están en los hackers, ni en el botón nuclear.
Lo dijo el coronel retirado de las fuerzas armadas rusas, Viktor Litovkin, en la presentación de las armas hipersónicas rusas. «Rusia no tiene dinero suficiente como para implicarse en una carrera armamentística cuantitativa, pero sí en una cualitativa».
Pese a la acusación de que el país está retrasado en muchas áreas tecnológicas, no lo está en todas, y sus capacidades militares le hacen un enemigo muy peligroso. Sus misiles hipersónicos con capacidad nuclear pueden lanzarse desde tierra o submarinos y atravesar el escudo antimisiles de la OTAN. Sus drones y vehículos autónomos, que incorporan sistemas de inteligencia artificial, se han demostrado eficaces en el Donbass, luego en Siria, y hace un par de años en la guerra de Nagorno Karabaj.
Sin certezas sobre el inmediato presente, lo único seguro es que esta guerra se libra en dos frentes, y así será en todos los conflictos bélicos venideros. Aunque las batallas más importantes seguirán siendo offline, el peso de los hackers tenderá a ser mayor. Las lecciones de Ucrania ya apuntan a que para ser efectivos tendrán que estar organizados y dirigidos desde el gobierno e, idealmente, constituidos como un cuerpo militar de élite.