Defendiendo Ucrania: Primeras lecciones de la guerra cibernética

No es de sorprender que Rusia atacase al centro de datos del gobierno ucraniano con un ataque temprano con misiles de crucero, y otros servidores locales también fueron vulnerables a ataques por armas convencionales. Rusia también realizó ataques "de barrido" contra redes de equipos locales. Pero el gobierno ucraniano también ha sustentado exitosamente sus operaciones militares y civiles actuando de forma rápida para trasladar su infraestructura digital a la nube pública, hospedada en centros de datos de toda Europa.

Esto ha requerido pasos urgentes y extraordinarios por parte de los miembros del sector tecnológico, incluida Microsoft. Si bien el trabajo del sector tecnológico ha sido crucial, también es importante pensar sobre las lecciones duraderas que resultan de estas tareas.

Dado que estas ciberactividades son invisibles para el ojo humano, es más difícil que los periodistas e incluso los militares las rastreen. Microsoft ha visto cómo los cuerpos militares rusos han iniciado varias olas de ciberataques destructivos contra 48 agencias y empresas ucranianas distintas. Estos ataques intentaron penetrar dominios de red poniendo en peligro en primera instancia cientos de PC y después distribuyendo malware diseñado para destruir el software y los datos de miles de PC adicionales.

Las cibertácticas rusas en la guerra son distintas de las empleadas en el ataque de NotPetya contra Ucrania en 2017. El ataque usó malware destructivo de tipo gusano que podía saltar de un dominio de PC a otro y, por tanto, cruzar fronteras a otros países. Rusia ha tenido cuidado durante 2022 a la hora de limitar este "software de borrado" destructivo e dominios de red específicos dentro de Ucrania. Pero los ataques destructivos recientes y continuos se han vuelto más sofisticados y comunes de lo que reconocen la mayoría de informes. Y el ejército ruso continúa adaptando estos ataques destructivos a las necesidades cambiantes de la guerra, incluido el uso conjunto de ciberataques y armas convencionales.

Un aspecto definitorio de estos ataques hasta la fecha ha sido la fuerza y el éxito relativo de las ciberdefensas. Si bien no son perfectas y ciertos ataques destructivos han tenido éxito, estas ciberdefensas han demostrado ser más fuertes que las cibercapacidades ofensivas. Esto refleja dos tendencias importantes recientes. En primer lugar, los avances en inteligencia sobre amenazas, incluido el uso de inteligencia artificial, han ayudado a posibilitar la detección de estos ataque de forma más eficaz. Y segundo, la protección de puntos de conexión conectados a Internet ha posibilitado la distribución de código de software de protección de forma rápida, tanto en servicios en la nube como en otros dispositivos informáticos conectados, para identificar y desactivar este malware. Las innovaciones constantes en las épocas bélicas y las medidas adoptadas por el gobierno ucraniano han fortalecido aún más esta protección. Pero será necesario contar con vigilancia e innovación continuas para mantener esta ventaja defensiva.

Desde Microsoft hemos detectado actividades de intrusión de redes por parte de Rusia contra 128 organizaciones y 42 países fuera de Ucrania. Si bien los Estados Unidos han sido el principal objetivo de Rusia, esta actividad también ha dado prioridad a Polonia, donde se coordina la mayor parte de la actividad logística de ayuda militar y humanitaria. Las actividades rusas también han tenido como objetivo a los países bálticos, y durante los últimos dos meses se ha visto un incremento en los ataques contra redes de PC en Dinamarca, Noruega, Finlandia, Suecia y Turquía. También hemos visto un incremento en actividad similar contra los ministerios de asuntos exteriores de otros países de la OTAN.

Los ataques rusos tienen como prioridad los gobiernos, en especial los miembros de la OTAN. Pero la lista de objetivos también incluye a grupos de expertos, organizaciones humanitarias, empresas tecnológicas, energéticas y otros proveedores de infraestructura crítica. Desde el inicio de la guerra, los ataques rusos que hemos identificado han tenido un porcentaje de éxito del 29 %. Un cuarto de estos ataques exitosos han llevado a la filtración confirmada de datos de organizaciones, aunque, tal como se explica en el informe, es probable que esto subestime el éxito ruso.

Siguen preocupándonos los PC gubernamentales en entornos lugares en lugar de en la nube. Esto refleja el estado actual y global de las ofensivas de ciberespionaje y ciberprotección defensiva. Tal como demostró el incidente de SolarWinds hace 18 meses, las agencias de inteligencia rusas cuentan con capacidades extremadamente sofisticadas para implantar código y operar como una amenaza avanzada persistente (APT) que puede obtener y filtrar información confidencial de una rede de forma constante. Se han producido avances considerables en la protección defensiva desde entonces, pero la implementación de estos avances ha sido más desigual entre los gobiernos europeos que en los Estados Unidos. Como resultado, siguen existiendo debilidades defensivas colectivas significativas.

Estas actividades combinan tácticas desarrolladas por la KGB a lo largo de varias décadas con las nuevas tecnologías digitales e Internet para dar un mayor alcance geográfico a las operaciones de influencia en el extranjero, un mayor volumen, objetivos precisos y una mayor velocidad y agilidad. Por desgracia, con planificación y sofisticación suficiente, estas operaciones de ciberinfluencia cuentan con una buena posición para aprovechar la apertura continuada de las sociedades democráticas y la polarización pública característica de la actualidad.

A medida que avanza la guerra en Ucrania, las agencias rusas concentran sus operaciones de ciberinfluencia en cuatro audiencias distintas. La población rusa con el objetivo de mantener el apoyo a la campaña bélica. La población ucraniana con el objetivo de reducir la confianza en la voluntad y capacidad del país de resistir los ataques rusos. Las poblaciones europeas y estadounidenses con el objetivo de debilitar la unidad occidental y desviar las críticas contra los crímenes de guerra del aparato militar ruso. Y están empezando ha dirigirse a la población de países no posicionados, en parte para obtener su apoyo en las Naciones Unidas y otros organismos.

Las operaciones de ciberinfluencia rusas se basan en tácticas desarrolladas para otras ciberactividades. Al igual que los equipos de APT que colaboran con los servicios de inteligencia rusos, los equipos de manipulación persistente avanzada (APM) asociados con las agencias gubernamentales rusas actúa a través de las redes sociales y plataformas digitales. Difunden previamente narrativas falsas de formas similares a la colocación previa de malware y otro código de software. Después inician ataques simultáneos contra múltiples objetivos "informando" sobre estas narrativas desde sitios webs gubernamentales e influenciados por el gobierno, y amplifican sus narrativas mediante herramientas tecnológicas diseñadas para aprovecharse de las redes sociales. Entre los ejemplos recientes se incluyen las narrativas sobre biolaboratorios en Ucrania y varios esfuerzos para ofuscar los ataques militares contra objetivos civiles ucranianos.

Como parte de una nueva iniciativa en Microsoft, usamos IA, nuevas herramientas analíticas, conjuntos de datos más amplios y una plantilla de expertos en crecimiento para supervisar esta ciberamenaza y predecir sus próximos movimientos. Mediante estas nuevas capacidades podemos estimar que las operaciones de ciberinfluencia rusas han aumentado con éxito la difusión de propaganda rusa tras el comienzo de la guerra en un 216 % en Ucrania y en un 82 % en los Estados Unidos.

Estas operaciones continuadas rusas se basan en esfuerzos sofisticados recientes para difundir narrativas falsas sobre la COVID-19 en varios países occidentales. Estas operaciones incluyen operaciones de ciberinfluencia patrocinadas por el estado en 2021 que intentaron disuadir contra la vacunación mediante noticias de Internet en inglés a la vez que se animaba a la vacunación a través de sitios en ruso. Durante los últimos seis meses, operaciones de ciberinfluencia rusas similares han intentado fomentar la oposición pública a las políticas contra la COVID-19 en Nueva Zelanda y Canadá.

Microsoft continuará ampliando su trabajo en este campo durante las próximas semanas y meses. Esto incluye el crecimiento interno y el acuerdo que anunciamos la semana pasada para la adquisición de Miburo Solutions, una empresa líder en investigación y análisis de ciberamenazas especializada en la detección y la respuesta a operaciones de ciberinfluencia extranjeras.

Nos preocupa que muchas de las operaciones de ciberinfluencia rusas actuales pasan meses sin ser detectadas, analizadas o difundidas al público. Esto afecta cada vez más a una amplia gama de instituciones importantes tanto en el sector público como en el privado. Y cuanto más dure la guerra en Ucrania, mas importante se volverán estas operaciones para la propia Ucrania. Esto se debe a que una guerra más larga requiere apoyo público continuado frente al reto inevitable de una mayor fatiga. Esto hace que sea más importante fortalecer las defensas occidentales frente a estos tipos de ataques de ciberinfluencia extranjeros.

Tal como muestra la guerra en Ucrania, si bien ha diferencias entre estas amenazas, el gobierno ruso no las trata como esfuerzos independientes, por lo que no deberíamos analizarlas por separado. Además, las estrategias defensivas deben tener en cuenta la coordinación de las ciberoperaciones con operaciones militares cinéticas, como se ha demostrado en Ucrania.

Se necesitan nuevos avances para frustrar estas ciberamenazas y dependerán de cuatro pilares comunes (al menos a un alto nivel) y una estrategia común. El primer pilar defensivo debería reconocer que las ciberamenazas rusas se ven propagadas por agentes dentro y fuera del gobierno ruso y confían en tácticas digitales similares. Como resultado, se necesitan avances en tecnología digital, la IA y los datos para contrarrestarlos. Como reflejo de esto, un segundo pilar debería ser reconocer que, a diferencia de las amenazas tradicionales del pasado, las ciberrespuestas deben basarse en una mayor colaboración pública y privada. Un tercer pilar debería ser abrazar la necesidad de colaboración estrecha y multilateral entre gobiernos para proteger las sociedades abiertas y democráticas. Y el cuarto y último pilar defensivo debería preservar la expresión libre y evitar la censura en sociedades democráticas, incluso cuando sea necesario dar nuevos pasos para responder a la amplia gama de ciberamenazas que incluyen las operaciones de ciberinfluencia.

Una respuesta eficaz debe basarse en estos cuatro pilares estratégicos. Deben incluir capacidades colectivas para mejorar (1) la detección, (2) la defensa, (3) la interrupción y, (4) la disuasión de ciberamenazas extranjeras. Este enfoque ya se ve reflejado en muchos esfuerzos colectivos para responder a ciberamenazas destructivas y el ciberespionaje. También se aplican al trabajo crucial y continuo necesario para responder a ataques de ransomware. Ahora necesitamos un enfoque similar y completo con nuevas capacidades y defensas para combatir las operaciones de ciberinfluencia rusas.

Como se indicó en este informe, la guerra en Ucrania no solo ofrece lecciones sino también una llamada a la acción para aplicar medidas eficaces que serán vitales para la protección del futuro de la democracia. Como empresa, nos comprometemos a apoyar estos esfuerzos mediante inversiones nuevas y continuas en tecnología, datos y asociaciones que ayudarán a los gobiernos, las empresas, las ONG y las universidades.

Para obtener más información, lee el informe completo.