Imagen cortesía de Giovana Fleck

El 3 de enero de 2022, Microsoft detectó una actividad inusual en dos servidores de Microsoft Exchange, el envío de gran cantidad de datos a direcciones IP. Las investigaciones revelaron que los atacantes, después identificados como hackers rusos, utilizaron una vulnerabilidad de Microsoft para robar todo el contenido de varios buzones de usuarios de países como Ucrania, Estados Unidos y Australia. Este fue el primero de una serie de ciberataques a Ucrania, que entre otras cosas provocaron la caída de sitios web del Gobierno, emisión de mensajes amenazadores, obligaron a los ucranianos a sacar dinero de cajeros automáticos, ataques DDoS a la banca, amenazas de bomba en escuelas, e incluso un malware wiper que borra todos los datos de una red.

Rusia nunca ha reconocido estos ataques, pero hay pruebas convincentes de que Moscú contrata o al menos anima a los hackers rusos para que perpetren ataques.

Rusia se ha visto implicada antes en ciberataques a Ucrania, Estonia, Georgia y Estados Unidos. En 2014, cuatro días antes de las elecciones generales en Ucrania, se instaló un malware en el sistema electoral central ucraniano, que presentó al candidato favorable a Rusia como ganador. Este malware corrompió y eliminó archivos esenciales, y dejó el sistema de recuento de votos inoperable. Después de que cerraron los colegios electorales, la Comisión Electoral Central Ucraniana sufrió ataques DDoS que deshabilitaron su red. Como resultado, no pudieron anunciar resultados hasta dos horas después. Durante esas dos horas, los medios rusos anunciaron que el candidato que apoyaban había ganado las elecciones con un 37 % de los votos.

En 2015, cibertropas rusas lanzaron ataques remotos de malware contra Ucrania. Un malware conocido como BlackEnergy atacó correos electrónicos individuales de varias empresas energéticas. Cuando esas personas pulsaban en el archivo adjunto a un correo, activaban el destructivo malware KillDisk, que borra partes de los discos duros del computador e impide que los sistemas puedan reiniciarse, lo que causó apagones de electricidad en Ucrania. Los hackers lanzaron simultáneamente un ataque TDoS (denegación de servicio telefónico) para impedir que los ciudadanos llamasen al servicio técnico eléctrico para informar del apagón. Este doble ataque provocó un serio corte de electricidad en Ucrania que afectó a más de 225 000 ciudadanos. Este incidente se considera el primer ataque remoto a infraestructuras públicas con ciberarmas.

Estrategia comprobada: ciberataques a vecinos de Rusia

En 2007, durante una disputa entre Rusia y Estonia tras la decisión de Tallin de reubicar uno de los memoriales soviéticos de la Segunda Guerra Mundial, cibertropas rusas derribaron la banca estatal y los sistemas de la administración pública de Estonia tras secuestrar y utilizar un millón de computadores de todo el mundo, en una operación llamada BotNet. Se estima que Rusia utilizó más de un millón de computadores de 70 países en este ataque. Estonia pidió ayuda a la OTAN invocando el artículo V sobre defensa colectiva, pero aunque la OTAN no pudo ofrecer apoyo en ese momento, la situación planteó el problema de los ciberataques y la cuestión de si requieren la defensa colectiva de la Alianza. Tiempo después, la Alianza adoptó el concepto estratégico de «prevenir, detectar, defenderse de ciberataques y recuperarse, utilizando si es necesario los procesos de planificación de la OTAN para mejorar y coordinar la capacidad nacional de ciberdefensa, poniendo a todas las instituciones de la OTAN bajo ciberprotección centralizada e integrando mejor el conocimiento, advertencia y respuesta de la OTAN con los Estados miembros».

En agosto de 2008, Rusia y Georgia iniciaron un conflicto armado por Osetia del Sur, territorio independizado de Georgia. Mientras llevaba a cabo operaciones militares, Rusia perpetró ataques DDoS contra numerosos sitios web georgianos que afectaron severamente a comunicaciones y servicios financieros. En respuesta, el Banco Nacional de Georgia ordenó el 9 de agosto a todos los bancos que dejaran de ofrecer servicios electrónicos. Lamentablemente, la infraestructura física de Georgia atravesaba Rusia y Azerbaiyán (además de un simple cable óptico a Turquía). Durante la escalada del conflicto, tropas rusas bloquearon los cables ópticos de tráfico telefónico internacional y secuestraron el tráfico internacional de telefonía móvil y fija. Este bloqueo causó una sobrecarga en el resto de canales utilizados por civiles y organizaciones no gubernamentales.

A causa de la degradación de sus canales de comunicación, el Gobierno georgiano decidió censurar comunicaciones y noticias rusas y filtrar direcciones IP rusas en su red para detener los ataques DDoS. Esto redujo este tipo de ataques temporalmente, pero los hackers no tardaron en enmascarar sus direcciones IP y a atacar servicios georgianos en servidores extranjeros. Por ejemplo, los hackers rusos paralizaron servidores radicados en Estados Unidos con ataques DDoS después de que el Gobierno georgiano migró su servidor a un servidor web privado de Atlanta.

Tras el ataque DDoS ruso, numerosos hackers favorables a Georgia comenzaron un contraataque contra servidores rusos, incluidos algunos sitios web rusos de noticias. Pero con los sitios web, comunicaciones y noticias rusas bloqueadas, los ciudadanos georgianos no tardaron en caer un un apagón informativo. La censura de los medios y el filtrado de internet propagaron el pánico y ayudaron a difundir rumores y desinformación de una victoria rusa.

El Gobierno georgiano no logró desactivar las noticias falsas ni conectar con sus ciudadanos. El estado de confusión y sospecha tuvo un considerable efecto en la moral, que se reflejó en el campo de batalla.

En esta guerra, Rusia consiguió la victoria controlando los flujos, internet y la narrativa mediante la desactivación de servicios y sitios web gubernamentales, servidores financieros y negando a los ciudadanos georgianos el acceso a la información.

Lecciones para Ucrania

De todo esto puede extraerse una lección para los actuales retos que enfrenta Ucrania. Una vez que comenzaron los ciberataques rusos a Ucrania en febrero de 2022, un colectivo anónimo favorable a Ucrania anunció que había lanzado ataques a canales rusos de televisión para mostrar mensajes en defensa del país agredido, a la vez que se formaba un canal en Telegram en el que miles de miembros luchan por Ucrania en línea.

A diferencia de Georgia en 2008, Ucrania cuenta con el respaldo electrónico de la OTAN y sus vecinos. Después de que Rusia movió sus tropas hacia Kiev, la OTAN firmó un acuerdo con Ucrania para aumentar su cibercapacidad y darle acceso a la plataforma de información sobre malware de la Alianza. También la Casa Blanca ofreció apoyo cibernético al Gobierno ucraniano, y Elon Musk ofreció su red de satélites de banda ancha, Starlink, para poner en marcha los servidores gubernamentales. Además, la Unión Europea organizó un equipo de respuesta rápida cibernética (CRRT) encabezado por Lituania, y formado por 12 expertos de instituciones privadas y estatales de Lituania, Croacia, Polonia, Estonia, Rumanía y Países Bajos. Rumanía también ha puesto en marcha una colaboración para proporcionar apoyo técnico e información desinteresado sobre amenazas al Gobierno, empresas y ciudadanos de Ucrania.

A pesar de los intentos que ha hecho Ucrania por devolver el ataque, es difícil evaluar su éxito. Un posible indicador podría datar del 9 de mayo, cuando hackers interrumpieron el discurso de Putin en televisión durante la celebración del Día de la Victoria. Ese día, los usuarios rusos de televisores inteligentes y los espectadores en línea vieron cómo los nombres de sus programas de televisión cambiaban a «Tus manos están manchadas con la sangre de miles de ucranianos y cientos de sus niños. La televisión y las autoridades mienten. No a la guerra».

Cronología que muestra los principales eventos en el ataque ruso a la red ucraniana. Imagen cortesía de Giovana Fleck.

Sorprendentemente, a pesar de su capacidad, los hackers rusos solo han causado un daño moderado a la infraestructura digital de Ucrania. Ambas partes han incurrido en errores similares a los que se cometieron en Georgia. Recientemente, Putin bloqueó todos los sitios web de medios occidentales y redes sociales como Facebook, Instagram y Twitter para saturar a los ciudadanos rusos con el discurso ruso. Los servicios rusos de seguridad también han comenzado a registrar en la calle los teléfonos móviles de ciudadanos aleatorios, en busca de comentarios, fotos, vídeos o mensajes contra la guerra.

Al mismo tiempo, la Unión Europea decidió bloquear armas de propaganda rusa como Sputnik y Russia Today. El 20 de marzo, el presidente ucraniano también prohibió 11 partidos de izquierda de la oposición acusados de apoyar a Rusia. Estos partidos reúnen el 10 % de los escaños del Parlamento nacional.

Aparte de las sanciones, a los rusos se les niega el acceso a servicios de proveedores extranjeros, lo que hace más efectiva la censura rusa. Al mismo tiempo, el Gobierno ucraniano ha prohibido o bloqueado algunas voces de la oposición. Conforme la guerra progresa, la lección de Georgia es que el flujo de información a los ciudadanos podría ser un factor decisivo.

Para más información, visita la página del proyecto Unfreedom Monitor.