El avance ruso en Ucrania ha recibido una importante condena internacional. Aunque no han llegado a intervenir militarmente, muchos países y empresas occidentales han respondido imponiendo amplias sanciones, que han impedido al país y a sus ciudadanos acceder a bienes, servicios y fuentes de ingresos vitales.
Aunque aún está por ver el impacto de estas sanciones en el resultado del conflicto, lo cierto es que ya están causando una gran perturbación en Rusia y fuera de ella. Funcionarios estadounidenses y británicos han advertido que las represalias vendrán en forma de un aumento de los ciberataques contra empresas y organismos gubernamentales occidentales.
Esto no debería ser una sorpresa. Rusia tiene un largo historial de ciberguerra. Sin embargo, este tipo de ataque de estado-nación no comporta todo el panorama. Como ocurre con cualquier gran acontecimiento, el conflicto entre Rusia y Ucrania ha sido aprovechado por ciberdelincuentes oportunistas, que han adaptado y orientado sus tácticas para sacar provecho de la confusión y la desinformación.
Y esto no acaba aquí. También estamos viendo inusuales ataques a la inversa. Grupos de hackers como Anonymous afirman estar atacando a organizaciones occidentales que aún operan en Rusia. Esto vuelve a demostrar que, durante los grandes conflictos mundiales, el panorama de las ciberamenazas puede evolucionar de muchas maneras, algunas de las cuales no hemos visto antes.
La escalada de la ciberguerra
A medida que se intensifica la tensión, también lo hacen las presuntas ciberamenazas patrocinadas por los estados. En un ataque reciente, las cuentas de correo electrónico de personal de las fuerzas armadas ucranianas, posiblemente comprometidas, tenían como objetivo a empleados de gobiernos europeos implicados en la gestión de la logística de los refugiados que huyen de Ucrania.
Una amenaza similar, identificada como originaria de China, apuntaba a entidades diplomáticas europeas desde falsas direcciones de correo electrónico de la ONU. En esa ocasión, el grupo utilizó web bugs para hacer un perfil de sus víctimas antes de enviarles malware a través de URLs maliciosas.
Ambas campañas son ejemplos de la guerra híbrida moderna y, al igual que en la guerra tradicional, cabe esperar que se produzcan daños colaterales. Si bien las campañas mencionadas se dirigieron a organizaciones gubernamentales específicas, muchos de los ataques que se registran durante los conflictos son mucho más amplios.
No es ningún secreto que Rusia tiene un sólido historial como estado patrocinador de ciberataques. Seguimos vigilando la actividad de un grupo creador de amenazas avanzadas persistentes, que rastreamos como TA422 y conocido públicamente como APT28, y recientemente hemos publicado una línea de tiempo sobre su actividad.
También hay que tener en cuenta otro tipo de ataques, que no se lanzan como actos de guerra o como represalias, y que no son perpetrados por ningún estado-nación. En su lugar, son obra de ciberdelincuentes oportunistas, que buscan aprovecharse de un momento de gran presión, desinformación y perturbación. Esta amenaza está mucho más extendida y es indiscriminada, afectando a víctimas de varios países y sectores y poniéndonos a todos en la línea de fuego.
Los ciberdelincuentes, siempre oportunistas
Los ciberdelincuentes no son nada escrupulosos a la hora de ligar sus ataques a un acontecimiento importante para aumentar sus posibilidades de éxito. En 2020, con la pandemia apenas iniciada, se detectaron cientos de ganchos relacionados con el COVID 19, que ofrecían curas, vacunas y consejos médicos aprovechando el miedo de sus víctimas. Por supuesto, los mensajes maliciosos no ofrecían nada de lo anterior, sino que desviaban los datos, se apoderaban de los sistemas y exigían rescates.
Y en esta ocasión seguimos viendo lo mismo. Los ciberdelincuentes han lanzado campañas de phishing y estafas de donaciones de criptomonedas haciéndose pasar por organizaciones legítimas como el gobierno ucraniano, UNICEF o la Cruz Roja. El fraude de adelanto de pagos también es una táctica común en momentos como éste. En este caso, los estafadores fingen ser un ciudadano ruso sancionado o un ucraniano que lucha por acceder a fondos importantes. Se pide a la víctima que envíe una cantidad de dinero para ayudar a desbloquear los fondos. Una vez liberados, se promete a la víctima una parte de los ingresos como agradecimiento por su ayuda. Los ciberdelincuentes también están utilizando señuelos relacionados con las criptomonedas para engañar a los usuarios y apropiarse de donaciones que deberían ir dirigidas al ejército ucraniano.
Al igual que las campañas con temática de COVID 19 de hace dos años, estos ataques juegan con las emociones de las víctimas. Hastiados por el ciclo incesante de noticias y la preocupación inminente por una guerra europea o incluso mundial, muchos usuarios buscamos información clara y formas de ayudar. Y en ese proceso, al sentirnos impotentes ante la situación, es probable que sintamos que todo lo que podemos hacer es firmar una petición o enviar fondos. Y lo hacemos de buena fe. Por desgracia, no existe esa bondad en los ciberdelincuentes. Son maestros en la manipulación de los sentimientos de los usuarios para obtener beneficios ilícitos. No dudan en aprovechar incluso las peores crisis y conflictos para conseguir lo que quieren.
Defenderse día a día
Durante la última gran oleada de ataques temáticos, en el punto más candente de la pandemia, muchas organizaciones pusieron en marcha actividades de formación en ciberseguridad centradas específicamente en COVID 19. Diseñadas para ayudar a los usuarios a detectar los ganchos más comunes que circulaban en ese momento, resultaron ser un éxito. Alrededor del 80% de las organizaciones afirmaron que el aumento de la formación redujo la probabilidad de que sus usuarios fuesen víctimas de phishing.
Los equipos de seguridad deben volver a hacer lo mismo ahora. Sabemos que una formación en concienciación sobre seguridad relevante, dirigida y en contexto funciona. Por lo tanto, la formación debe adaptarse siempre a las amenazas a las que es más probable que se enfrenten los usuarios en cada momento.
Sin embargo, los ciberdelincuentes son implacables. Si bien es cierto que aumentan sus esfuerzos durante los periodos de inestabilidad, atacan a los usuarios durante todo el año. Por ello, para mantenerlos a raya es necesario contar con una defensa integral y de varios niveles en todo momento, no sólo cuando el riesgo es elevado.
Desde un punto de vista técnico, en este momento, y a lo largo de cualquier conflicto global en curso, las organizaciones deberían prestar mucha atención a qué ciberdelincuentes podrían estar buscando sus datos y deberían adoptar medidas de seguridad más agresivas y proactivas. Y, por supuesto, prestar más atención todavía en sus registros de datos, supervisando el tráfico de red de forma más rigurosa. Una gestión más estricta del acceso a los datos cuando se trata de terceros es también una necesidad mucho más crítica en estos momentos.
Adenike Cosgrove es estratega de Ciberseguridad de Proofpoint