El presidente del Gobierno, Pedro Sánchez, se reunió en Kiev con su homólogo ucranio el pasado 24 de febrero. Allí anunció ayudas por valor de 1.000 millones de euros anuales durante una década para apoyar el esfuerzo bélico del país. Dos días después del encuentro, se desató una campaña de ciberataques contra objetivos institucionales y empresariales españoles que todavía está activa. Las intrusiones han sido reivindicadas por grupos de hackers rusos y se inscriben en lo que Sánchez ha llamado la guerra híbrida que sostiene Moscú contra los países de la UE. “Con estos ataques queremos decirle al gobierno (sic) español que deje de apoyar a Ucrania. Si esto no sucede (sic) pasaremos a las webs gubernamentales. Y también a las grandes empresas”, publicó el grupo de hackers rusos TwoNet en un grupo de Telegram el pasado 3 de marzo.
Varios grupos de hackers han lanzado decenas de ataques a instituciones y empresas españolas desde que Pedro Sánchez escenificó hace tres semanas su apoyo a Ucrania
El presidente del Gobierno, Pedro Sánchez, se reunió en Kiev con su homólogo ucranio el pasado 24 de febrero. Allí anunció ayudas por valor de 1.000 millones de euros anuales durante una década para apoyar el esfuerzo bélico del país. Dos días después del encuentro, se desató una campaña de ciberataques contra objetivos institucionales y empresariales españoles que todavía está activa. Las intrusiones han sido reivindicadas por grupos de hackers rusos y se inscriben en lo que Sánchez ha llamado la guerra híbrida que sostiene Moscú contra los países de la UE. “Con estos ataques queremos decirle al gobierno (sic) español que deje de apoyar a Ucrania. Si esto no sucede (sic) pasaremos a las webs gubernamentales. Y también a las grandes empresas”, publicó el grupo de hackers rusos TwoNet en un grupo de Telegram el pasado 3 de marzo.
Entre las víctimas que han confirmado serlo o cuyas intrusiones han sido identificadas por la comunidad hacker se cuentan ayuntamientos, diputaciones, consejerías de comunidades autónomas y ministerios como los de Interior, Defensa, Exteriores o Inclusión, Seguridad Social y Migraciones. El Centro Criptológico Nacional (CCN-CERT), el Estado Mayor de la Defensa (EMAD) o el Departamento de Seguridad Nacional también han sido atacados, igual que La Moncloa, la Casa Real, fundaciones como el Real Instituto Elcano o Cidob, empresas como El Corte Inglés o Legálitas y medios como Newtral.
La mezcla de objetivos no es casual: se combinan ataques a sistemas presumiblemente poco defendidos, como los de los ayuntamientos o diputaciones, con los de las instituciones más representativas del poder soberano (Moncloa, Defensa, Interior o CCN). “Estos ciberataques buscan notoriedad y crear la sensación de que estamos desprotegidos”, sostiene Marcelino Madrigal, experto en redes y ciberseguridad.
La mayoría de ciberataques registrados en las últimas tres semanas (al menos 70, según fuentes consultadas) son de denegación de servicio distribuido (DDoS), que consisten en saturar los sistemas bombardeando los servidores con un aluvión de solicitudes. “Una vez caídas, los atacantes hacen una captura de pantalla como prueba de su éxito y la exhiben como un trofeo”, apunta Hervé Lambert, director de operaciones globales de Panda Security.
Esta variedad de ciberataques, de muy baja complejidad técnica, logran interrumpir los servicios de los sistemas objetivo, aunque no borran datos. “De manera general, lo que hemos visto son interrupciones puntuales y breves, que no han tenido tampoco consecuencias duraderas en la operatividad”, señalan fuentes del Instituto Nacional de Ciberseguridad (Incibe).
¿Grupos autónomos o coordinados?
Se ha identificado a al menos siete grupos de hackers vinculados a Rusia como autores de la campaña de ciberataques. Entre los más activos se cuentan TwoNet o NoName057, pero también han participado otros, como People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet o Z-Pentest. “Aunque no se puede confirmar con certeza, probablemente están ligados de una u otra forma al gobierno ruso y a sus intereses”, asegura José Rosell, consejero delegado de S2Grupo. Es casi imposible atribuir la procedencia de un ciberataque si quien lo perpetra tiene suficientes conocimientos técnicos y quiere pasar desapercibido. De ahí que muchos gobiernos recurran extraoficialmente a la arena cibernética para realizar acciones de sabotaje.
Poco se sabe de los equipos de hackers rusos involucrados en la campaña contra España, más allá de su autorreivindicada entrega a una causa común (la defensa de los intereses de Rusia) y de que se comunican entre sí mediante Telegram, la popular aplicación de mensajería instantánea de origen ruso. Usan ese canal para difundir sus comunicados y apuntar sus objetivos a través de convocatorias a las que se pueden sumar hackers autónomos. Están operativos desde que se inició la guerra, aunque en las últimas semanas han aumentado notablemente su actividad. “No habría que magnificar estos ataques, que son más bien rutinarios. Tienen un alto componente de propaganda”, apuntan a este periódico fuentes del CCN-CERT.
Curiosamente, a estos grupos de hackers rusos se han sumado otros de distinta procedencia, como Mr Hamza, de Argelia; un grupo hacktivista islamista de Malasia, Dxploit, o el grupo antiisraelí Dark Storm, que se ha atribuido esta misma semana un ciberataque que afectó a X. “Me llama la atención que Dark Storm haya intensificado su actividad en España durante la última semana, justo cuando lo hacen los grupos rusos. Es muy difícil saber si es por coincidencia, oportunismo o coordinación”, dice David Arroyo Guardeño, investigador principal del grupo Ciberseguridad y Protección de la Privacidad del CSIC.
A este cóctel hay que sumarle grupos pro rusos ubicados en España, que difunden los comunicados de los hackers y apoyan su trabajo. “Hay muchos canales de desinformación pro rusa que son los mismos que se declaran anti agenda 2030, que habían participado en las tractoradas o que difundieron propaganda antivacunas durante la pandemia. Parece claro que son células permanentes que buscan hacer ruido y desestabilizar al Gobierno”, aventura Madrigal.
Guerra híbrida
“Los ataques DDoS son molestos, pero no producen grandes daños”, apunta Madrigal. Y añade: “Estas campañas también se utilizan para sondear el nivel de seguridad que tiene una víctima de cara a futuros ataques”. Esa es precisamente una de las incógnitas que rodean a los ciberataques que sufre España: si su intensidad irá disipándose con el paso del tiempo o si son el prolegómeno de algo mayor todavía por llegar. Volcado en los últimos días en argumentar por qué España debe aumentar el gasto militar, el presidente del Gobierno ha inscrito esta campaña en la llamada guerra híbrida que sostiene Moscú contra buena parte de la UE. “Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reconoció el presidente el miércoles en Helsinki tras entrevistarse con su homólogo finlandés, Petteri Orpo. “Es importante enfrentarnos a un debate troncal [sobre el aumento del gasto militar]”, dijo.
“Los ataques DDoS a veces se usan como cortina de humo para encubrir operaciones más dañinas”, añade Lambert. “Al distraer la atención de los técnicos para reparar la caída visible, los atacantes podrían aprovechar la distracción para infiltrarse por otra vía, robar datos sensibles o implantar malware [código malicioso] sin ser detectados”.
Esta segunda tarea, más sofisticada, recaería en otra modalidad de hackers: las llamadas amenazas persistentes avanzadas (APT), equipos patrocinados por países compuestos por profesionales con capacidades equivalentes a las de los servicios secretos. “Rusia cuenta con grupos de ciberespionaje militar altamente sofisticados, como APT28 (Fancy Bear) y APT29 (Cozy Bear) –del SVR, inteligencia exterior–, que han estado activos en objetivos españoles”, abunda Lambert. Este experto recuerda que, en 2023, APT28 fue acusado de lanzar campañas de phishing (suplantación de identidad mediante comunicaciones fraudulentas) contra empresas de la industria de defensa española como Navantia para robar credenciales y datos tecnológicos sensibles. El mismo grupo habría atacado ese año redes internas de ministerios españoles, según informes del CNI. Por su parte, APT29 logró acceder también en 2023 a servicios en la nube del sector público español mediante correos comprometidos enviados desde embajadas.
“Los ataques DDoS recientes en España han sido principalmente un acto de ciberguerra de bajo nivel e impacto limitado, a modo de represalia visible por el apoyo a Ucrania. Sin embargo, no deben tomarse a la ligera: además de su efecto propagandístico y disruptivo momentáneo, pueden ser la punta del iceberg de una estrategia más amplia”, opina Lambert.
Feed MRSS-S Noticias
