Google, a través de su departamento de análisis de amenazas, ha publicado un completo informe de 27 páginas en el que aborda cómo el conflicto de Ucrania ha transformado el paisaje de las ciberamenazas.
El primer apartado lo dedica a los atacantes de estado-nación y los que están respaldados por los distintos países. En el segundo se centra en las operaciones de información. Por último, el tercer apartado habla del cibercrimen y cómo la guerra ha dividido las lealtades de los atacantes motivados financieramente.
La compañía de la gran G subraya que se ha dado un cambio significativo en el enfoque de varios grupos hacia Ucrania, un aumento dramático en el uso de ataques destructivos contra el gobierno ucraniano, la infraestructura militar y civil, un pico en actividades de spear-phishing dirigidas a países de la OTAN, y un repunte en ciberoperaciones diseñadas para promover múltiples objetivos rusos.
Parece que los piratas informáticos apoyados por Rusia comenzaron a tomar posiciones antes de que estallase el conflicto. En 2021 ya habían intensificado sus ciberoperaciones, con un aumento del 250% del phishing ruso contra Ucrania
Desde que estalló la guerra se ha encontrado un crecimiento del phishing ruso del 300% dirigido contra usuarios en países de la OTAN.
Los actores de amenazas también han usado malware destructivo para interrumpir y degradar las capacidades gubernamentales y militares de Ucrania.
En paralelo, se han hecho ataques contra la infraestructura civil en intento de socavar la confianza del público en el gobierno de Zelenski.
Google observa ciberataques más destructivos en Ucrania durante los primeros cuatro meses de 2022 que en los ocho años anteriores con un notable pico de actividad al comienzo de la invasión.
La empresa de la gran G también ha percibido un aumentado considerable en la intensidad y frecuencia de los ciberataques rusos, con operaciones diseñadas para maximizar el acceso a las redes, sistemas y datos de las víctimas para lograr múltiples objetivos estratégicos.
Google explica como los actores de amenazas están hackeando y filtrando información para impulsar una narrativa específica. Además, destaca como Moscú ha aprovechado todo el espectro de información para dar forma a la percepción pública de la guerra. Rusia tiene tres objetivo: socavar el gobierno de Ucrania, fracturar el apoyo internacional al país invadido y mantener el apoyo interno para la guerra.
La compañía tecnológica también apunta que la invasión ha desencadenado un cambio importante en el ecosistema del Este de Europa que, probablemente, tendrá resultados a largo plazo e implicaciones tanto para la coordinación tanto entre grupos criminales como en la escala del cibercrimen a nivel mundial.
Algunos grupos se habrían dividido por lealtades políticas y geopolíticas, mientras otros han perdido operadores destacados. "Esto impactará en la forma en la que pensamos sobre estos grupos y nuestra comprensión tradicional de sus capacidades", señala la compañía.
El conflicto también ha dejado una tendencia hacia la especialización en el ecosistema de ransomware que combina tácticas entre actores, haciendo que la atribución definitiva resulte más difícil.
Curiosamente, el informe muestra cómo la guerra ha hecho que las prioridades de ciberespionaje de China también se modifiquen. Ahora, los atacantes respaldados por el país asiático están interesados en obtener información de Ucrania y países de Europa occidental.
Aparato informativo
Con el inicio de la invasión a Ucrania, Rusia ha puesto su aparato propagandístico en marcha. Su objetivo principal ha sido mantener el apoyo interno ruso para el conflicto. Para ello se ha servido de mensajes encubiertos y desinformación en torno a la guerra. Hay grupos que imitan a usuarios auténticos y entidades de noticias relacionadas de manera encubierta con la inteligencia rusa, según el informe de Google.
Al mismo tiempo Mandiant encontró grados notables de actividad encubierta en varias plataformas sociales como Telegram.
La guerra también ha ocasionado que afloren 'hacktivistas', sospechosos de estar vinculados a los servicios de inteligencia rusos. Google detectó el año pasado 1.950 instancias de actividad de operaciones de información rusas en sus plataformas.
Qué ocurrirá este 2023
De cara a este ejercicio, Google ha realizado algunas proyecciones para la comunidad de seguridad. Obviamente, la empresa diirigida por Sundar Pichai cree que los atacantes respaldados por el gobierno ruso seguirán realizando ciberataques contra Ucrania y los socios de la OTAN para promover los objetivos estratégicos rusos. Aunque Ucrania será el objetivo principal, se espera que las amenazas se extiendan cada vez más a estos países.
La firma también espera que Rusia continuará aumentando el ritmo y alcance de las operaciones de información para lograr sus objetivos, particularmente a medida que se den momentos clave relacionados con la financiación internacional, la ayuda militar, referendos nacionales, etc.
La guerra de Ucrania va a sentar cátedra, en el sentido de que el aspecto ciber jugará un papel integral en futuros conflictos armados, complementando las formas tradicionales de guerra.