Adam Meyers, SVP Intelligence en CrowdStrike

El conflicto en Ucrania mantiene muchos frentes abiertos y uno fundamental es el tecnológico. Desde el inicio de las hostilidades el pasado mes de febrero, los profesionales de la ciberseguridad de todo el planeta se encuentran en alerta por las posibles implicaciones del conflicto en el mundo conectado. 

La ciberguerra no es un término nuevo. Ni siquiera la ciberguerra entre Rusia y Ucrania es algo que nos pueda pillar desprevenidos. Ya en 2013, con las protestas del Euromaidan, los servicios rusos de inteligencia comenzaron sus operaciones a través de Voodoo Bear con el objetivo de deslegitimar la confianza de la población ucraniana en las instituciones oficiales del país. Algunos de los ataques más conocidos perpetrados por este grupo incluyen los cortes en los servicios de electricidad en diciembre de 2015 y en 2016. Pero la mayor inquietud provocada por Voodoo Bear llegó en junio de 2017, cuando un ataque a la cadena de suministro de diferentes industrias esenciales ucranianas supuso el despliegue de NotPetya por todo el mundo. Este ataque causó unas pérdidas estimadas en 10.000 millones de dólares.

En esta ocasión, cuando el ejército ruso comenzó a reunir sus fuerzas en la frontera con Ucrania, se observó también un aumento en los ciberataques contra el país. Ya desde enero, la campaña Whispergate buscó como objetivos principales la eliminación de ciertas webs y el robo de datos, que aparecieron a la venta en la dark web unos días después desde perfiles asociados con el adversario ruso Ember Bear. No es casualidad que estos ataques ocurrieran inmediatamente después de las primeras reuniones entre EEUU y Rusia para tratar el despliegue de las fuerzas armadas rusas cerca de la frontera.

Desde entonces los ataques contra objetivos digitales se han sucedido de diferentes formas, ya fuera contra bancos como el Oschadbank y el PrivatBank o contra sitios gubernamentales como el Ministerio de Defensa. Y una vez iniciado el conflicto militar, algunos de los primeros objetivos fueron las capacidades de comunicación satelital de Ucrania y la propaganda a través de la difusión de noticias falsas con implicaciones psicológicas contra la población.

Los ciberdelincuentes “comunes”, más centrados en objetivos financieros tradicionalmente, también han aprovechado el conflicto para desplegar su fuerza en apoyo a Rusia. Grupos como Wizard Spider (responsable del malware Trickbot o del ransomware Ryuk) anunciaron un apoyo sin fisuras a su gobierno. Y este tipo de atacantes son los más preparados para causar daño en las empresas de cualquier tamaño y origen. Por eso, es fundamental que en este momento que vivimos, las empresas sean capaces de estar en contacto permanente con las autoridades de ciberseguridad de sus respectivos países para conocer las amenazas en tiempo real y ser ágiles a la hora de alertar o solicitar ayuda. De la misma manera, es importante formar e informar a los profesionales de la organización para que sean capaces de responder ante cualquier incidente de forma responsable. Y aunque no es algo propio de situaciones excepcionales sino que debería ser una rutina diaria desde siempre, las empresas deben contar con las medidas de protección esenciales, entre las que destacan autenticación multifactor, soluciones de respuesta y detección en el endpoint (EDR), aplicaciones SaaS cuando sea necesario o arquitecturas de confianza nula y soluciones de threat hunting. Para las empresas más pequeñas, para las que puede ser complicado desplegar todas estas soluciones, la recomendación es sencilla: confiar en un proveedor de servicios de seguridad gestionada (MSSP) o de detección y respuesta gestionadas (MDR).