Cybersecurity and digital privacy

Qué sugieren los continuos ciberataques de Rusia en Ucrania sobre el futuro de la ciberguerra

Astraed

8 min read

Durante años, Ucrania ha sido un campo de pruebas ruso para las ciberarmas. Mientras las empresas y los países observan cómo se desarrolla el último capítulo de la guerra rusa en Ucrania, deberían prestar atención al frente del conflicto en Internet y pensar en cómo prepararse si (y más probablemente cuando) se extienda más allá de las fronteras de Ucrania. Si bien es casi imposible que las empresas se preparen para algunos ataques, como los de infraestructura, hay medidas que deben tomar de forma natural: asegurarse de que el software está actualizado y parcheado, comprobar que tiene un software de malware y antivirus eficaz y actualizado y asegurarse de que todos los datos importantes están respaldados en un lugar seguro.

••• Entre 1946 y 1958, el atolón de Bikini, en el Océano Pacífico Norte, se utilizó como[campo de pruebas](https://www.bikiniatoll.info/nuclear-testing-at-bikini-atoll/) para 23 nuevos artefactos nucleares que fueron detonados en varios puntos de su superficie, por encima o por debajo. El objetivo de las pruebas era principalmente entender (y, en muchos casos, presumir) cómo funcionaban realmente estas nuevas armas y de qué eran capaces. Puede que la era de las pruebas nucleares haya terminado, pero la era de la ciberguerra acaba de empezar. Y para Rusia, es probable que la guerra con Ucrania haya servido de campo de pruebas en vivo para su próxima generación de ciberarmas. Los países y las empresas que estén viendo cómo se desarrolla este último capítulo deberían recordar lo siguiente: el frente online de la guerra puede —y ha— saltado fronteras. A diferencia de los ataques convencionales, los ciberataques pueden ser difíciles de atribuir con precisión. Existe una negación plausible porque, en muchos casos, los ciberataques se pueden lanzar desde un host involuntario. Por ejemplo, se podría tomar el control parcial del ordenador de su casa, sin que usted lo sepa, y utilizarse para iniciar una cadena de ataques. Uno de esos hechos ocurrió en 2013 cuando[los refrigeradores inteligentes formaban parte de una red de bots](https://thehackernews.com/2014/01/100000-refrigerators-and-other-home.html) y se utiliza para atacar empresas. En 2016, se apoderaron de muchos miles de cámaras de seguridad domésticas y[utilizado para generar disrupción en las operaciones](https://krebsonsecurity.com/2016/10/hacked-cameras-dvrs-powered-todays-massive-internet-outage/) de Twitter, Amazon, Spotify, Netflix y muchos otros. Pero hay pruebas contundentes que relacionan a los piratas informáticos rusos con una serie de ataques en Ucrania. Volviendo a 2015, tras la invasión rusa de la península de Crimea, unos presuntos piratas informáticos rusos lograron[eliminar la energía eléctrica](https://www.industrialcybersecuritypulse.com/throwback-attack-blackenergy-attacks-the-ukrainian-power-grid/#:~:text=On%20Dec.,turn%2C%20took%20out%2030%20substations) para unos 230 000 clientes en el oeste de Ucrania. Los atacantes repitieron el truco al año siguiente y ampliaron la lista de objetivos a[incluir agencias gubernamentales](https://www.theguardian.com/world/2022/jan/14/ukraine-massive-cyber-attack-government-websites-suspected-russian-hackers) y el sistema bancario. En las horas previas a la invasión de las tropas rusas, Ucrania fue atacada por[malware nunca antes visto](https://www.nytimes.com/2022/02/28/us/politics/ukraine-russia-microsoft.html) diseñado para borrar datos: un ataque al[El gobierno ucraniano dijo](https://www.bbc.com/news/technology-60500618) estaba «en un nivel completamente diferente» al de los ataques anteriores. Es fácil entender por qué Ucrania es un objetivo atractivo para poner a prueba las capacidades de la ciberguerra. El país tiene una infraestructura similar a la de Europa occidental y Norteamérica. Pero a diferencia de los Estados Unidos, el Reino Unido y la Unión Europea (UE), Ucrania tiene recursos más limitados para contraatacar (aunque[EE. UU.](https://www.usaid.gov/sites/default/files/documents/USAID_UkraineCybersecurityChallenge_CaseStudy_final.pdf) y[UE](https://www.defensenews.com/global/europe/2022/02/22/european-union-cyber-defense-team-deploys-to-aid-ukraine/) ambos han brindado apoyo para reforzar sus ciberdefensas). Y aunque Rusia es el principal sospechoso, no cabe duda de que es posible que otros países, como Irán, Corea del Norte o China, también hayan estado probando su propio ciberarmamento en Ucrania. El punto más importante aquí es que hay pocas posibilidades de que los ciberataques se limiten a Ucrania. Los gobiernos y las empresas deberían prestar mucha atención a lo que está sucediendo allí, porque la ciberguerra puede —y lo ha hecho— rápidamente a través de las fronteras. ## ¿Cómo podría ser una verdadera ciberguerra mundial? Dado que EE. UU. y la UE se han unido en apoyo de Ucrania, el alcance de una ciberguerra podría ser amplio. Las ciberescaramuzas a gran escala pueden convertirse en globales debido a un efecto indirecto. Hay algún precedente de cómo sería un derrame. En 2017, un presunto ataque ruso con un malware denominado «NotPetya» interrumpió aeropuertos, ferrocarriles y bancos de Ucrania. Pero NotPetya no se quedó en Ucrania. Es[se propagó rápidamente](https://www.business-standard.com/article/technology/notpetya-how-a-russian-malware-created-the-world-s-worst-cyberattack-ever-118082700261_1.html) en todo el mundo, infectando —y durante un período de tiempo prácticamente cerrado— a una amplia gama de empresas multinacionales, incluidas la empresa naviera mundial Maersk, el gigante farmacéutico Merck, la filial europea de FedEx, TNT Express, entre otras. En mi investigación con mis colegas y[investigaciones de otros](https://www.bbc.com/news/technology-59612917), hemos observado que la mayoría de los ciberataques no han sido tan devastadores como podrían haber sido. Puede que se deba a que el atacante no era plenamente consciente del daño que se podía haber causado, pero quizás lo más probable es que solo se tratara de «pruebas» de las ciberarmas. Como [nuestras investigaciones han demostrado](https://www.semanticscholar.org/paper/Identifying-and-Mitigating-Cyber-Attacks-that-could-Angle-Madnick/6761a9c2c451bd0690a9a09413f7c52215a06b81), no solo es posible provocar el cierre de sistemas como las redes eléctricas, sino también que exploten o se autodestruyan, daños que podrían tardar semanas o más en repararse. Hasta ahora ha habido pocos ataques de este tipo, pero en algunos casos, acerías y gasoductos [han sido destruidos](https://www.semanticscholar.org/paper/Identifying-and-Mitigating-Cyber-Attacks-that-could-Angle-Madnick/6761a9c2c451bd0690a9a09413f7c52215a06b81). Probablemente el caso más conocido fue el [Ciberataque a Stuxnet](https://www.wired.com/2014/11/countdown-to-zero-day-stuxnet/) que se cree que tiene[destruyó unas 1000 centrifugadoras](https://www.jpost.com/defense/stuxnet-may-have-destroyed-1000-centrifuges-at-natanz) en una planta iraní de enriquecimiento de uranio. Entonces, ¿qué aspecto podría tener una verdadera ciberguerra global? Dada la interdependencia de los sectores de infraestructuras críticas, como la electricidad y las comunicaciones, un ataque agresivo probablemente derribaría muchos sectores al mismo tiempo, lo que aumentaría el impacto. Además, en un ataque «sin restricciones» en el que se infligía el máximo daño, el objetivo principal sería causar también daño físico duradero. ## Los dos tipos de ciberataques A menudo observo dos impactos diferentes de los ciberataques: directos e indirectos. _Ataques indirectos_: Por indirecto, quiero decir que ni usted ni su ordenador son atacados individualmente. El objetivo sería la red eléctrica, las cadenas de suministro, los sistemas bancarios, el tratamiento del agua, las comunicaciones y el transporte. No hay mucho que pueda hacer personalmente para defender estos sistemas. Pero, ¿qué tan bien y cuánto tiempo puede viajar sin electricidad, comida, agua ni dinero en efectivo? _Ataques directos_: Por directo, me refiero a un ataque contra usted. En la guerra, la población civil, deliberada o accidentalmente, también puede ser atacada para debilitar el deseo de continuar la guerra. En la ciberguerra, los métodos técnicos son muy similares, pero las consecuencias pueden ser más personales. Por ejemplo, qué pasa si roban o borran todos los datos de su ordenador, especialmente si son las únicas copias de fotos o documentos. Entonces, ¿qué puede hacer para protegerse? _Ciberataque indirecto_: Puede que usted personalmente no tenga forma de proteger la infraestructura crítica del país. Sin embargo, al influir colectivamente en el gobierno, se puede motivar al sector privado a mejorar su protección, preparación y, quizás lo que es más importante, a mejorar su resiliencia ante este tipo de infracciones. Puede que muchos no se den cuenta de que no es necesario denunciar muchos tipos de ciberataques. Como resultado, el gobierno y otras empresas similares no tienen ni idea de que se están produciendo ciberataques, tanto los intentos como los reales. Por ejemplo, las compañías de oleoductos no estaban obligadas a denunciar ciberataques hasta _después_ la publicidad del[Ataque al oleoducto colonial](https://www.npr.org/2021/05/26/1000400943/homeland-security-expected-to-issue-1st-cybersecurity-regs-for-pipelines). Creo que los «malos» comparten información mucho mejor que sus objetivos, quienes pueden tener interés en guardar silencio sobre un ataque. Eso tiene que cambiar si queremos estar mejor informados y preparados. En cuanto a la resiliencia de nuestra infraestructura, a menudo no nos damos cuenta de lo mal preparados que estamos hasta que es demasiado tarde. Un ciberataque grave puede tener un impacto similar al de un desastre natural, ya que destruye la infraestructura esencial y crea crisis en cascada. Podría, por ejemplo, parecerse a la helada invernal de 2021 en Texas causada[interrupciones masivas, pérdida de electricidad y más de 200 muertes](https://www.texastribune.org/2022/01/02/texas-winter-storm-final-death-toll-246/). Y podría haber sido mucho peor. El [El Texas Tribune informó](https://www.texastribune.org/2021/02/18/texas-power-outages-ercot/) que «la red eléctrica de Texas estaba «a segundos y minutos» de una avería catastrófica que podría haber dejado a los tejanos en la oscuridad durante meses». También están los daños colaterales. En el caso de la helada de Texas, como[reportado por el Consejo de Seguros de Texas](https://www.usatoday.com/story/news/nation/2021/02/18/texas-winter-weather-frozen-pipes-burst-food-damage-expected/4489631001/) , una asociación comercial sin fines de lucro, «el número de reclamaciones por tuberías congeladas y reventadas no se parece a ningún otro hecho que se haya producido en el estado». Incluso la presión del agua en algunas ciudades se redujo significativamente debido al agua que fluía por la rotura de las tuberías. Muchas centrales generadoras de electricidad tuvieron que detenerse temporalmente debido a desequilibrios de carga, pero luego no pudieron reiniciarse. Esto se debía a que muchas de las «unidades de potencia de último recurso», básicamente los motores de arranque de las plantas, no funcionaban, probablemente porque no se habían probado. Eso es como enterarse de que las pilas de sus linternas solo están agotadas _después_ se ha cortado la energía eléctrica. Las empresas deberían esforzarse por garantizar que nuestra infraestructura se pueda recuperar rápidamente _después_ un ciberataque_[antes del ciberataque](/2020/01/how-to-safeguard-against-cyberattacks-on-utilities)_, y haga que auditores independientes comprueben esas garantías. _Ciberataque directo_: La mayoría de las cosas clave que puede hacer para evitar, o al menos minimizar, los daños directos que sufra usted y su ordenador se incluyen en el»[Ciberhigiene 101](https://us.norton.com/internetsecurity-how-to-good-cyber-hygiene.html)» categoría. Esto incluye medidas sencillas, como tener una contraseña segura y no hacer clic en enlaces sospechosos, precauciones que muchos de nosotros, lamentablemente, pasamos por alto. Pero ahora sabemos que hay formas de acceder a su ordenador, como [Viento solar](https://www.cisecurity.org/solarwinds) s,[Log4j](https://www.wired.com/story/log4j-flaw-hacking-internet/), y [Pegaso](https://www.trendmicro.com/en_us/research/21/i/analyzing-pegasus-spywares-zero-click-iphone-exploit-forcedentry.html), sin que haga nada y que no requiera su contraseña. Se llaman»[vulnerabilidades sin clic](https://www.kaspersky.com/resource-center/definitions/what-is-zero-click-malware).” Por lo tanto, prepararse para un ciberataque significa hacer todo lo posible para minimizar los posibles daños en caso de que el atacante entre. Esto incluye: - Asegurarse de que el software esté actualizado en toda la organización y de que se hayan parcheado las vulnerabilidades conocidas de las versiones anteriores. - Tener un software antivirus y de detección de malware eficaz y recuerde que puede que el malware ya esté latente en su ordenador, esperando órdenes. - Hace copias de seguridad frecuentes de sus datos importantes, como los documentos que solo se almacenan en un lugar, en caso de que se destruyan. También vale la pena tomar medidas en su organización para minimizar el riesgo y prepararse para responder en caso (o cuando) ocurra lo peor. Esto incluye: - Buscando lo posible[vulnerabilidades en su cadena de suministro cibernética](/2021/05/is-third-party-software-leaving-you-vulnerable-to-cyberattacks) y presionar a los vendedores de software de terceros para que prioricen la ciberseguridad. - Poner a prueba su[plan de respuesta a incidentes](/2021/03/cyberattacks-are-inevitable-is-your-company-prepared) — incluyendo escenarios de ejecución y ejercicios de mesa, para asegurarnos de que el plan es sólido y de que todos saben lo que tienen que hacer en caso de crisis. Hubo un tiempo, en las décadas de 1960 y 1970, en que el mundo temía una guerra nuclear mundial. Afortunadamente, superamos ese período. Con suerte, también evitaremos una devastadora ciberguerra mundial. Pero no hay garantía y, dado que las tensiones geopolíticas están aumentando a niveles altos, no es prudente confiar únicamente en la buena suerte. Cada uno de nosotros tiene que hacer todo lo que esté a su alcance para aumentar las probabilidades de ser superviviente. _Reconocimiento: Esta investigación se financió, en parte, con fondos de los miembros del consorcio Cybersecurity at MIT Sloan (CAMS)._

Read more