La desescalada no llega a la red: así son los ciberataques que colapsan Ucrania
Las ofensivas virtuales han colapsado las webs de varios ministerios y los servicios de los principales bancos del país. Las autoridades piensan que detrás puede haber algo más grave
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fec6%2Fae6%2Fea2%2Fec6ae6ea28fc9ee7fa50bc52f327eca3.jpg)
Cualquier conato de desescalada en Ucrania no ha llegado al ciberespacio. En una semana en la que ha habido ciertos indicios de que el 'suflé' militar se desinflaba, las ofensivas virtuales no han tomado el mismo camino y han abatido una decena de webs estatales —ministerios de Defensa y de Asuntos Exteriores y el Ejército entre ellas— y a los dos principales bancos del país, Sberbank y Privatbank. Se trató de un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) que anuló la operatividad de estas plataformas a base de sobrecargar sus servidores con peticiones de acceso. Según el Gobierno Ucraniano, ha sido el ataque más grande de la historia del país.
Las autoridades de Ucrania ya han dejado caer que detrás puede haber algo más grave que la 'simple' caída de unas cuantas páginas. “El objetivo clave del ataque era desestabilizar, sembrar el pánico y hacer lo posible para crear cierto caos en el día a día de los ucranianos”, ha señalado el ministro de Transformación Digital, Myjailo Fedorov, que dejó caer que había “trazos de servicios de Inteligencia extranjeros”.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F22c%2F710%2Ffc7%2F22c710fc7e1137ce88e079c03659683c.jpg)
Uno de los aspectos que más se ha recalcado es la similitud con la ola de ataques que tuvo lugar a mediados de enero y en los que también se apuntó a Rusia como responsables. Uno de ellos tumbó cerca de 70 webs estatales ucranianas que solo mostraban un mensaje: "Tened miedo y esperad lo peor". Esta vez, los clientes de los bancos no solo no han podido acceder durante horas a sus servicios, sino que algunos vieron cómo su cuenta se quedaba a cero, aunque en unas horas se consiguió restablecer (el proceso de rescate de las webs estatales fue más lento).
En el caso de Privatbank, determinados usuarios recibieron un SMS en el que se explicaba que no funcionaban los cajeros de la entidad, pero esos mensajes no eran oficiales. Según la policía ucraniana, el objetivo no era tanto el 'phishing' como sembrar la confusión. "Es posible que los atacantes hayan recurrido a esta pequeña travesura porque sus planes más grandes no están funcionando", ha sugerido el Centro Ucraniano de Comunicación Estratégica.
"Siempre que puedas generar duda, incertidumbre y miedo, tienes poder"
Jessica Cohen, directora de Ciberinteligencia en Tarlogic, expone que este tipo de ataques “son muy propios de contextos de desinformación” y enfatiza que "no solo pasa en Ucrania, sino que es algo propio de las guerras híbridas". “Siempre que puedas generar duda, incertidumbre y miedo, tienes poder, sobre todo si ya existen fracturas sociales previas. Es una forma de que se perciba inestabilidad en las instituciones o los servicios bancarios, de modo que la sociedad pierde adherencia respecto al estado, algo que suele ser de lo más problemático”, esclarece antes de recordar que uno de los bancos más afectados tenía 20 millones de clientes. "Aunque sean nada más que unas horas, genera mucha merma".
Esta especialista también señala que "los ataques DDoS técnicamente son sencillos, pero dirigidos por estados son más complejos y tienen financiación para hacerlos de forma mucho más eficaz". Además, tienen una gran ventaja frente a los ataques físicos: es prácticamente imposible demostrar al 100% quién hay detrás.
Difícil de parar, casi imposible de identificar
Ilya Vityuk, jefe del Departamento de Ciberseguridad de la Agencia de Inteligencia de Ucrania, ha resaltado que "el único país que está interesado en este tipo de ataques a nuestro país, especialmente en el contexto de pánico masivo por una posible invasión militar es, por desgracia, la Federación Rusa". En Estados Unidos ya han apuntado en la misma dirección, mientras que en el Kremlin han sido tajantes: "No sabemos nada al respecto, pero no nos sorprende que Ucrania siga culpando a Rusia de todo", ha respondido el portavoz del Kremlin, Dmitri S. Peskov. "Rusia no tiene nada que ver con ningún ataque DDoS".
“A raíz de que el ataque viene desde diferentes puntos, es complejo poder detener el impacto que tiene el ataque ni saber quién está detrás de este tipo de acciones”, explica Pablo González, analista de ciberseguridad, que también pone sobre la mesa que “pueden participar un gran número de máquinas o dispositivos”. Por tanto, destaca, “la magnitud de un ataque de este tipo tiene una dimensión muy elevada, por lo que es fácil imaginar la fuerza que el atacante”.
:format(jpg)/f.elconfidencial.com%2Foriginal%2F833%2Fbab%2Fb95%2F833babb95bf85b4bbdddea1edae01147.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F833%2Fbab%2Fb95%2F833babb95bf85b4bbdddea1edae01147.jpg)
Hay varias formas de realizar ataques DDoS. Este especialista indica que se pueden utilizar "vulnerabilidades en dispositivos IoT [internet de las cosas], en sistemas de tecnologías de la información o en máquinas de usuarios convencionales para formar diferentes redes de 'bots'". Si esto se consigue, se obtiene "mucho poder de computación, así como un ejército de máquinas distribuidas por el mundo".
Por otro lado, están los fallos en protocolos de red que, apunta González, "pueden proporcionar que una petición de una máquina se convierta en una respuesta pesada, como son los famosos ataques de amplificación", empleados mayoritariamente. ¿En qué consisten? Lo ilustra con un ejemplo. "En este tipo de ataques, si uno hace una petición que vale 1 byte y te responden con 10 bytes. Es decir, se genera un factor de amplificación de 10 y los atacantes consiguen redirigir dichas respuestas contra un objetivo", comenta antes de recordar que ahora también están proliferando los ataques de denegación de servicio de reflexión distribuida (DrDos), que "utilizan protocolos que favorecen las técnicas de amplificación".
Y una vez se ha desencadenado el ataque, ¿qué ocurre? "No suele haber un día después. Puedes recuperarlo en unas horas, atajar vulnerabilidades en unos días y solucionarlo al completo en meses o años", responde Cohen, de Tarlogic, que también explica que "se puede aprovechar y hacer un segundo ataque porque tienes las defensas bajas, y este puede ser tanto una acción de 'malware' como física". "Cuando son ataques auspiciados por estados, son coordinados al unísono y pueden meter un 'ransomware", especifica.
Por su parte, González destaca que "luchar contra este tipo de ataques crea muchos quebraderos de cabeza". Aunque hay varias soluciones según el tipo de ataque y su potencia, "hablamos de tal cantidad de datos y peticiones que llegan a los sistemas de una empresa o un gobierno que podrían hacerlo colapsar".
Cualquier conato de desescalada en Ucrania no ha llegado al ciberespacio. En una semana en la que ha habido ciertos indicios de que el 'suflé' militar se desinflaba, las ofensivas virtuales no han tomado el mismo camino y han abatido una decena de webs estatales —ministerios de Defensa y de Asuntos Exteriores y el Ejército entre ellas— y a los dos principales bancos del país, Sberbank y Privatbank. Se trató de un ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés) que anuló la operatividad de estas plataformas a base de sobrecargar sus servidores con peticiones de acceso. Según el Gobierno Ucraniano, ha sido el ataque más grande de la historia del país.
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fcb1%2F29d%2F64b%2Fcb129d64bc56e17eca4ec94c90372de7.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2F5f9%2Fb4e%2F72b%2F5f9b4e72b2cac47d0c1f5da2a37b2c5d.jpg)
:format(jpg)/f.elconfidencial.com%2Foriginal%2Fa71%2F164%2F126%2Fa71164126b5ae95e5cea1fcf2a39c54d.jpg)