Meses antes de la invasión rusa, un equipo de estadounidenses se desplegó por Ucrania en busca de un tipo de amenaza muy específico.
Algunos eran soldados del Comando Cibernético del Ejército de EE. UU. Otros eran contratistas civiles y algunos empleados de empresas estadounidenses que ayudan a defender la infraestructura crítica del tipo de ataques cibernéticos que las agencias rusas habían infligido a Ucrania durante años.
Estados Unidos había estado ayudando a Ucrania a reforzar sus defensas cibernéticas durante años, desde que un infame ataque en 2015 a su red eléctrica dejó parte de Kiev sin electricidad durante horas.
Pero esta oleada de personal estadounidense en octubre y noviembre fue diferente: fue en preparación de una guerra inminente. Las personas familiarizadas con la operación describieron una urgencia en la búsqueda de malware oculto, del tipo que Rusia podría haber plantado y luego dejado inactivo en preparación para lanzar un ataque cibernético devastador junto con una invasión terrestre más convencional.
Los expertos advierten que Rusia aún puede desatar un devastador ataque en línea contra la infraestructura ucraniana del tipo que los funcionarios occidentales han esperado durante mucho tiempo. Pero años de trabajo, junto con los últimos dos meses de refuerzo específico, pueden explicar por qué las redes ucranianas se han mantenido hasta ahora.
Los funcionarios de Ucrania y EE. UU. tienen cuidado de describir el trabajo de los “equipos de cibermisión” como defensivo, en comparación con los miles de millones de dólares en armas letales que se han invertido en Ucrania para combatir y matar a los soldados rusos.
Los ataques rusos han sido mitigados porque “el gobierno ucraniano ha tomado las medidas apropiadas para contrarrestar y proteger nuestras redes”, dijo Victor Zhora, un alto funcionario del gobierno ucraniano.
En los Ferrocarriles de Ucrania, el equipo de soldados y civiles estadounidenses encontró y limpió un tipo de malware particularmente pernicioso, que los expertos en seguridad cibernética denominan «wiperware»: deshabilita redes informáticas completas simplemente eliminando archivos cruciales a pedido.
Solo en los primeros 10 días de la invasión rusa, casi 1 millón de civiles ucranianos escaparon a un lugar seguro en la red ferroviaria. Si el malware no se hubiera descubierto y se hubiera activado, «podría haber sido catastrófico», dijo un funcionario ucraniano familiarizado con el problema.
Un malware similar pasó desapercibido dentro de la policía fronteriza, y la semana pasada, mientras cientos de miles de mujeres y niños ucranianos intentaban salir del país, las computadoras en el cruce a Rumania se desactivaron, lo que aumentó el caos, según personas familiarizadas con el asunto. .
Con un presupuesto mucho menor (alrededor de $ 60 millones), estos equipos también tuvieron que sentar las bases con empresas privadas que proporcionan la columna vertebral para la mayor parte de la infraestructura que se esperaba que atacaran los piratas informáticos rusos, ya sea afiliados al gobierno o no.
El último fin de semana de febrero, la Policía Nacional de Ucrania, junto con otros brazos del gobierno ucraniano, se enfrentaban a una avalancha masiva de los llamados «ataques de denegación de servicio distribuidos», que son ataques relativamente sencillos que destruyen las redes al inundarlas con demandas de pequeñas cantidades de datos de una gran cantidad de computadoras.
En cuestión de horas, los estadounidenses se pusieron en contacto con Fortinet, una firma de seguridad cibernética de California que vende una “máquina virtual” diseñada para contrarrestar un ataque de este tipo.
La financiación se aprobó en cuestión de horas y el Departamento de Comercio de EE. UU. brindó autorización en 15 minutos, y dentro de las ocho horas posteriores a la solicitud, un equipo de ingenieros instaló el software de Fortinet en los servidores de la policía ucraniana para defenderse del ataque, dijo una persona familiarizada con la rápida -Dijo operación de bomberos.
El hecho de que estos ataques a menudo tengan como objetivo el software disponible en el mercado, en su mayoría de fabricantes occidentales, ha obligado a las principales empresas estadounidenses y europeas a dedicar recursos a la defensa de las redes ucranianas.
Microsoft, por ejemplo, lleva meses ejecutando un Centro de inteligencia de amenazas que ha metido sus recursos entre el malware ruso y los sistemas ucranianos.
El 24 de febrero, unas horas antes de que los tanques rusos comenzaran a llegar a Ucrania, los ingenieros de Microsoft detectaron y realizaron ingeniería inversa de una pieza de malware recién activada, dijo el presidente de Microsoft, Brad Smith, en una publicación de blog.
En tres horas, la compañía emitió una actualización de software para protegerse contra el malware y advirtió al gobierno ucraniano sobre la amenaza, y agregó que habían advertido a Ucrania sobre “ataques a una variedad de objetivos”, incluido el ejército. Siguiendo el consejo del gobierno de EE. UU., Microsoft extendió la advertencia de inmediato a los países vecinos de la OTAN, dijo una persona familiarizada con la decisión nocturna.
“Somos una empresa y no un gobierno o un país”, escribió Smith, pero agregó que Microsoft y otros fabricantes de software debían permanecer atentos a lo que sucedió en 2017, cuando un malware atribuido a Rusia se propagó más allá de las fronteras del ciberespacio ucraniano. al resto del mundo, deshabilitando computadoras en Merck, Maersk y en otros lugares y causando $ 10 mil millones en daños.
Hasta ahora, los expertos que han observado los ataques cibernéticos rusos se han sentido confundidos por su falta de éxito, así como por el menor ritmo, intensidad y sofisticación de lo que se sabe que son capaces los piratas informáticos del gobierno ruso.
Las defensas ucranianas han demostrado ser resistentes, dijo un funcionario europeo que fue informado esta semana por los estadounidenses en una reunión de la OTAN, pero las ofensivas rusas han demostrado ser mediocres. La razón, dijo, es que hasta ahora, Rusia ha contenido a su cuerpo de élite en la arena cibernética, tanto como lo ha hecho en el campo de batalla, tal vez subestimando a los ucranianos.
Un ejemplo, dijo, fue el hecho de que, en lugar de comunicarse únicamente a través de teléfonos cifrados de grado militar, los comandantes rusos a veces se aprovechan de las redes de teléfonos celulares ucranianos para comunicarse, a veces simplemente usando sus teléfonos celulares rusos.
“A los ucranianos les encanta: hay tantos datos simplemente mirando estos teléfonos, ya sea que estén usando aplicaciones encriptadas o no”, dijo. Luego, los ucranianos bloquean los teléfonos rusos de sus redes locales en momentos clave, bloqueando aún más sus comunicaciones.
“Entonces de repente ves a los soldados rusos arrebatando los teléfonos celulares de los ucranianos en la calle, asaltando los talleres de reparación de SIMS”, dijo. “Esto no es algo sofisticado. Es bastante desconcertante.