Mientras las tropas rusas se concentraban en la frontera el 14 de enero, docenas de sitios web del gobierno ucraniano fueron desfigurados con las palabras “ten miedo y espera lo peor”.
El ataque coordinado fue visto por funcionarios de seguridad cibernética ucranianos y occidentales como una advertencia inicial de que Rusia libraría una temible guerra digital junto con una invasión terrestre del país. Poco después, se detectaron una serie de ciberataques importantes en grupos de energía y comunicaciones, pero luego se repelieron con la misma rapidez.
Un mes después de la guerra del Kremlin, los funcionarios ucranianos se han consolado con el hecho de que las redes críticas han resistido semanas de ataques cibernéticos, pero como advirtió un funcionario, los mayores recursos de Rusia significaban que podría desgastar constantemente la resistencia en línea. “Nuestras redes son nuestra gente”, dijo. “Y Rusia está matando a nuestra gente”.
Este relato de la primera fase de la guerra cibernética de Rusia contra Ucrania se basa en entrevistas con funcionarios ucranianos y occidentales con conocimiento directo de los hechos, muchos de los cuales no se han informado previamente.
Casi al mismo tiempo que los sitios del gobierno ucraniano fueron desfigurados en enero, Ukrenergo, la compañía de transmisión de energía propiedad del gobierno, observó un aumento en los intentos de ingresar a sus redes. Los ingenieros de la empresa ya estaban en alerta máxima, con la tarea de evitar que se repitiera un ataque cibernético de 2015 en el que piratas informáticos rusos cortaron la electricidad en partes de Kiev.
Para febrero, el número de intentos fallidos era tres veces mayor que el año anterior, dijo Oleksander Kharchenko, asesor del Ministerio de Energía. Un intento particularmente audaz involucró a un empleado local comprometido que intentaba colar un código malicioso en las instalaciones de la empresa.
El funcionamiento de casi 6.000 aerogeneradores propiedad de la alemana Enercon se vio afectado por un probable ciberataque a un sistema satelital horas después de que Rusia lanzara su invasión © Benoit Tessier/Reuters
“Estaban intentando todo, tratando de entrar a través de nuestro sitio web, probando DDoS”, dijo Kharchenko, describiendo una denegación de servicio distribuida, donde miles de computadoras envían solicitudes simultáneas para desactivar los sistemas. “Fue 24/7”.
Una hora después del anuncio del presidente ruso, Vladimir Putin, antes del amanecer del 24 de febrero, de que había ordenado tropas en Ucrania, miles de módems en toda Europa central perdieron la conexión con un satélite que volaba a 36.000 km sobre la tierra.
Mientras los módems que conectaban a los clientes del satélite estadounidense ViaSat emitían sus advertencias, el pérdida repentina de datos cascada a través de Europa. Unas 5.800 turbinas eólicas propiedad de la alemana Enercon cambiaron al modo de respaldo cuando la compañía perdió su capacidad de monitorear su operación de forma remota. Miles de personas en Italia, Alemania y Polonia perdieron sus conexiones a Internet. Viasat ha reconocido un «evento cibernético», pero no ha culpado a Rusia por ello.
En Ucrania, esa pérdida repentina de conexión de datos afectó a sus bases militares dispersas, según dos funcionarios ucranianos. Pero cuando docenas de módems de grado militar dejaron de funcionar repentinamente, las tropas se trasladaron rápidamente a otras comunicaciones cifradas. “Siempre hay sistemas de respaldo”, dijo una de las personas con conocimiento del incidente. “Fue justo cuando empezó la guerra, pero los equipos estaban entrenados para esta situación, para evitar a toda costa la catástrofe”.
Las redes de telecomunicaciones y las redes de energía de Ucrania se han mantenido en gran medida resistentes, y algunas, como la de Mariupol, se derrumbaron solo después de que una lluvia de misiles y morteros destruyó la infraestructura física, dijo. Víctor Zhoraun alto funcionario encargado de coordinar las defensas cibernéticas del país con los aliados occidentales.
La intensidad de los ataques, además de las redes eléctricas, ha disminuido desde el comienzo de las hostilidades, agregó. “Ahora tenemos períodos de más tranquilidad que antes, y eso podría explicarse por la concentración de nuestro adversario en la guerra convencional en los ataques contra civiles ucranianos en lugar de la infraestructura de TI”.
Los ingenieros ucranianos, en particular los que protegen la infraestructura civil de los ciberataques, han podido solicitar el apoyo de empresas occidentales como Cisco, Microsoft y Google, que actualmente defienden al menos a 150 empresas ucranianas.
Intercalados con estos hay ciberataques ocasionales de feroz intensidad. El 24 de febrero, cuando se cortaron las conexiones satelitales de ViaSat, unos 100 piratas informáticos altamente calificados de casi una docena de grupos con vínculos con Rusia y Bielorrusia también estaban llevando a cabo ataques en todo el país, dijo Serhii Demadiuk, subsecretario de Seguridad Nacional. y Consejo de Defensa, y ex jefe de la policía cibernética de Ucrania.
“Los ataques cibernéticos a la infraestructura de TI, que precedieron a la invasión física y el bombardeo de las ciudades ucranianas, son la operación cibernética más compleja de la historia y son uno de los primeros ejemplos de cómo es una guerra cibernética real”, dijo Demadiuk.
En un caso, dijo, una gran organización de seguridad ucraniana con más de 5000 empleados y 1000 servidores evitó una pérdida devastadora de todos los datos con solo 90 minutos libres debido a las advertencias de un socio estadounidense.
Esos ataques aún no han cesado. El 14 de marzo, una institución financiera atacada el primer día de la guerra vio otra ola del llamado malware de borrado que intentaba borrar todos sus datos, dijeron investigadores de Symantec, junto con un intento de borrar datos en un importante proveedor de TI.
“Los ucranianos ahora tienen la experiencia que tal vez no tenían en 2015”, dijo matt olney, que encabeza un grupo de inteligencia de amenazas dentro de Cisco. “Han aprendido las lecciones de los últimos cinco o seis años”.
Olney ayudó a estudiar el ataque ruso original en 2015 que eliminó partes de la red eléctrica de Ucrania y un malware de 2017, apodado NotPetya, que eliminó efectivamente gran parte de los sistemas informáticos. Cisco tiene alrededor de 500 personas trabajando para ayudar a los clientes a responder a los ataques.
“[The Ukrainians] construyó los procesos, las cosas aburridas, los libros de jugadas”, dijo Olney. “Las cosas que son simplemente desagradables de hacer en tiempos de paz. Ahora que estamos en esta situación crítica, todos están dando sus frutos”.
En un caso, el bombardeo requirió que los ingenieros transportaran físicamente los servidores a una ciudad diferente y los volvieran a poner en línea, una tarea laboriosa y compleja incluso en tiempos normales, para mantener los sistemas en funcionamiento, dijo.
Funcionarios estadounidenses han sugerido que parte de la sorprendente resiliencia de Ucrania en el campo de batalla cibernético se debe a que Rusia no ha desatado por completo su potencial para ataques devastadores.
«¿Por qué no hemos visto al verdadero equipo A?» dijo el senador estadounidense Mark Warner en una conferencia la semana pasada. “Todavía estoy relativamente asombrado de que realmente no hayan lanzado el nivel de malicia que incluye su arsenal cibernético”.
Otros, incluido Olney de Cisco, sugirieron que Rusia estaba usando su arsenal cibernético para un espionaje más tradicional, como piratear redes occidentales para adelantarse a las sanciones o monitorear los movimientos de tropas.
También existe una creciente preocupación de que Moscú aún pueda arremeter contra una gama más amplia de objetivos. Joe Biden, el presidente de EE. UU., advirtió el martes a las empresas estadounidenses que fortalecieran sus barricadas cibernéticas ante la expectativa de un ciberataque ruso.
“La magnitud de la capacidad cibernética rusa es bastante importante”, dijo Biden. “Y está llegando”.