El conflicto entre Rusia y Ucrania está poniendo en jaque la ciberseguridad en todo el mundo. Las amenazas a la ciberseguridad se extrapolan de esta guerra híbrida hasta el punto que los CISO de todo el mundo están en alerta ante el impacto que puede tener en sus organizaciones y organismos.
Aunque el pasado 24 de febrero fue la fecha en la que Rusia puso en marcha toda su maquinaria bélica para invadir Ucrania, ésta cuenta con un largo historial de ciberataques que se remontan a hace casi diez años.
De hecho, en 2015 se produjo el primer ataque contra una red eléctrica en la historia al ser atacadas tres empresas ucranianas de suministro de energía. La firma de seguridad iSight Partners apuntaba a la APT Sandworm y a seis oficiales del GRU, la dirección general de inteligencia rusa, de estar detrás de estas acciones.
Los ciberataques no cesaron y, en 2017 llegó NotPetya, el malware de tipo ransomware más destructivo conocido hasta el momento y que provocó pérdidas por valor de más de 10.000 millones de dólares en todo el mundo. De nuevo, expertos informáticos que trabajaban para el GRU estaban detrás de estos ataques.
Si bien estas han sido dos de las acciones más sonadas, Rusia ha estado detrás de muchos otros ciberataques contra Ucrania, algo que empezó a intensificarse a principios de este año. A mediados del pasado mes de enero, unos 70 sitios web pertenecientes al gobierno ucraniano sufrieron ciberataques masivos DDoS y, de nuevo, la sombra rusa estaba detrás de ellos. Expertos de Microsoft descubrieron que los servidores de agencias ucranianas tenían malware, conocido como WhisperGate, con connotaciones de NotPetya.
Un mes después, otro ciberataque tumbaba las páginas web de las Fuerzas Armadas y del Ministerio de Defensa ucraniano, así como del principal banco del país, el Privatbank. Considerado como el mayor ataque de denegación de servicio sufrido hasta el momento, solo era el preludio de lo que estaba por llegar.
Preludio de la guerra híbrida
La ofensiva militar rusa iniciada el 24 de febrero coincidió con un ciberataque masivo que dejaba fuera de funcionamiento páginas web gubernamentales. La amenaza también se extiende a otros países ya que el Centro de Inteligencia sobre Amenazas de Microsoft alertaba de la existencia de un programa destructivo ‘limpiador’ que tenía como objetivos los equipos de ministerios gubernamentales e instituciones financieras ucranianas. Una amenaza que también ha afectado a usuarios de Letonia y Lituania.
Un día después, se detectaba una campaña de phishing enviando correos electrónicos con enlaces maliciosos.
Los ciberataques no han hecho más que empezar. Los expertos apuntan que no se debe descartar que Rusia lleve a cabo un ciberataque masivo sobre Ucrania y que podrá extenderse a otros puntos del mundo como represalia por las sanciones impuestas por Europa y Estados Unidos.
De lo que no cabe duda es que Rusia quiere conseguir sus objetivos tanto sobre el terreno como en el ciberespacio. Y es que sabe que este escenario impacta directamente sobre el resultado del conflicto. Frente a estos ataques, Ucrania también está movilizando a expertos informáticos para hacer frenar el impacto de estas amenazas. Según apunta la agencia Reuters, el gobierno ucraniano está reuniendo a voluntarios para contener los ataques de los ciberdelincuentes rusos y preparar sus propios ciberataques contra infraestructuras informáticas del Kremlin.
Para este propósito, los ucranianos cuentan con la ayuda de Anonymous, que ha declarado la guerra digital al Kremlin. A este grupo se le atribuye el ataque que dejó sin funcionar a varios sitios web del gobierno ruso el pasado 26 de febrero, así como de la emisora estatal rt.
El uso del ciberespacio atacando infraestructuras críticas se ha convertido en un elemento que, si bien no decidirá la guerra, desempeña un papel crucial.
Recomendaciones de ciberseguridad
En este contexto, los ciberataques no respetan los límites geográficos y las consecuencias de la amenaza rusa puede tener un impacto mundial. Por eso, organismos gubernamentales han instado a tomar medidas para proteger las redes.
El gobierno español alertaba a sus funcionarios hace unos días sobre la importancia de que cambiaran sus contraseñas lo antes posible y evitar ataques como el que sufrió el SEPE el año pasado por el ransomware Ryuk. Además, el Centro nacional de Protección de Infraestructuras Críticas (CNPIC), dependiente del Ministerio del Interior, ha recomendado a empresas estratégicas del sector eléctrico, financiero y de transporte, que refuercen sus protocolos de ciberseguridad.
Desde el National Cyber Security Centre (NCSC) también han publicado una serie de recomendaciones para frenar las consecuencias de posibles ciberataques y minimizar su impacto. Entre estas recomendaciones destacan:
Aplicar parches y actualizaciones de seguridad
Actualizar los sistemas operativos y el software es la mejor forma de evitar que los ciberdelincuentes exploten posibles vulnerabilidades.
Usar contraseñas seguras
Es recomendable que los usuarios no utilicen contraseñas comunes y fáciles de adivinar y, en su lugar, utilicen un gestor de contraseñas. Cualquier dispositivo en la red con contraseñas predeterminadas debe cambiarse.
Usar la autenticación multifactor
La autenticación multifactor (MFA) proporciona una barrera adicional frente a los ciberataques de forma que, si un nombre de usuario y contraseña han sido robados o descifrados, sigue siendo muy difícil para los atacantes acceder a la cuenta. Si MFA está configurado correctamente, se alerta al usuario sobre cualquier intento de iniciar sesión en su cuenta.
Concienciar del peligro del phishing
Muchos ciberataques comienzan con correos electrónicos de phishing, por lo que es importante que los usuarios reciban formación sobre cómo identificar algunas de las técnicas más comunes que usan los ciberdelincuentes.
Comprobar el buen funcionamiento del software antivirus
El software antivirus y los cortafuegos pueden ayudar a detectar enlaces sospechosos, malware y otras amenazas distribuidas por ciberataques y deben instalarse en todos los dispositivos. Al igual que otro software, es importante confirmar que el software antivirus esté actualizado con las últimas actualizaciones y que esté activo y funcionando correctamente.
Conocer la red
No puede defender la red si no sabe lo que hay en ella. Por eso, los equipos de seguridad de la información deberían poder identificar activamente todos los dispositivos y usuarios en la red, además de poder detectar actividades potencialmente sospechosas.
Comprobar periódicamente las copias de seguridad
Las copias de seguridad son un componente vital para garantizar la ciber resiliencia y pueden desempeñar un papel importante en la minimización de las interrupciones en caso de un ciberataque, en particular ransomware o malware. Las copias de seguridad deben realizarse a intervalos regulares, almacenar una copia de las copias de seguridad y probar regularmente que funcionan.
Tener en cuenta el acceso de terceros a la red
La gestión de las redes de TI puede ser compleja y, a veces, requiere que las organizaciones tengan ayuda externa, proporcionando a los usuarios no regulares un acceso de alto nivel. Las organizaciones deben tener una comprensión integral de qué acceso pueden tener los usuarios externos y tener en cuenta la eliminación de los controles de seguridad.
Tener un plan de respuesta a incidentes
Incluso si las organizaciones han seguido todos los consejos pertinentes, aún deben elaborar un plan de cómo reaccionar en caso de un ciberataque. Es clave pensar en diferentes escenarios, ya que la planificación anticipada y la ejecución de ejercicios de entrenamiento pueden reducir el impacto de un ciberataque.