Los actores cibernéticos estatales rusos han centrado sus recursos en atacar a Ucrania y países de la OTAN

Los actores cibernéticos estatales rusos han centrado sus recursos en atacar a Ucrania y países de la OTANCCN / El Debate

Centro Criptológico Nacional

España, en la diana de los ciberataques de grupos prorrusos por su apoyo a Ucrania

  • El Informe de Ciberamenazas y Tendencias 2024 contabiliza más de 90 grupos 'hacktivistas' prorrusos. España es uno de los países más atacados debido a su apoyo a Ucrania

  • La mayoría de estos grupos utiliza la denegación de servicio distribuida (DDoS) como principal método de ataque

Adolfo Garrido
Adolfo Garrido

Madrid Actualizada 15:00

La guerra en Ucrania ha puesto en evidencia la importancia del ciberespacio como parte del campo de batalla. Este es uno de los puntos clave que aborda el 'Informe de Ciberamenazas y Tendencias 2024', elaborado por el Centro Criptológico Nacional (CCN). El CCN, dependiente del Centro Nacional de Inteligencia (CNI), analiza las principales amenazas registradas durante 2023 y las tendencias de los próximos años. El trabajo concluye que los actores estatales, los grupos 'hacktivistas' y los grupos cibercriminales concentran y generan la mayoría de los ciberataques a escala nacional e internacional.

El CCN alerta de que «la gran mayoría de la actividad hacktivista registrada en 2023 ha estado vinculada a dos conflictos armados activos: el conflicto rusoucraniano y el conflicto Israel-Hamás». El Centro subraya que decenas de grupos han surgido a raíz de estos conflictos, posicionándose a favor y en contra de ambos bandos, donde la mayoría ha utilizado la denegación de servicio distribuida (DDoS) como principal método de ataque. ¿Cómo es un ataque de este tipo? El Incibe indica que un ataque de denegación de servicio tiene como objetivo inhabilitar el uso de un sistema, una aplicación o una máquina, con el fin de bloquear el servicio para el que está destinado.

Existen dos técnicas de este tipo de ataques: la denegación de servicio o DoS (por sus siglas en inglés Denial of Service) y la denegación de servicio distribuido o DDoS (por sus siglas en inglés Destributed Denial of Service). La diferencia entre ambos es el número de ordenadores o IP´s que realizan el ataque. En el segundo caso, se emplean un gran número de ordenadores o direcciones IP, todas al mismo tiempo y hacia el mismo servicio objeto del ataque.

En 2023 se han contabilizado más de 90 grupos hacktivistas prorrusos. España es uno de los países más atacados por estos actores debido a su apoyo a Ucrania en el conflicto ruso-ucraniano. A raíz del conflicto entre Israel y Hamás, han surgido más de 60 grupos hacktivistas pro-Hamás. Los actores cibernéticos estatales rusos han centrado sus recursos en atacar a Ucrania y países de la OTAN. El 50% de sus víctimas pertenecen a organismos gubernamentales.

El informe subraya que, por lo que se refiere a la guerra Rusia-Ucrania, los grupos prorrusos no solo superan en número a los proucranianos, sino que «además tratan de mejorar sus capacidades para poder alcanzar sus ambiciosos objetivos».

En cuanto a los canales de comunicación empleados, Telegram es con diferencia el canal preferido de los grupos hacktivistas para coordinar sus ataques. Cabe destacar el grupo hacktivista prorruso NoName057. Este colectivo ha sido con diferencia el más activo en términos de número de ataques realizados, llevando a cabo cientos de ataques de DDoS contra objetivos en países críticos con la invasión rusa de Ucrania. NoName057 también destaca por el desarrollo de la plataforma DDoSIA, utilizada por los integrantes del grupo para lanzar los ataques de denegación de servicio.

Las víctimas de los cibergrupos rusos

Las víctimas de los cibergrupos rusosCCN

«A diferencia del panorama hacktivista en la guerra de Ucrania, donde la motivación de los grupos es política e ideológica, los grupos hacktivistas involucrados en la guerra entre Israel y Hamás parecen tener una motivación religiosa», subraya el estudio.

Otra de las conclusiones del detallado estudio del CCN es que la Federación de Rusia es uno de los actores cibernéticos más prolíficos del mundo y dedica importantes recursos a la realización de operaciones cibernéticas a escala global. El CCN cita investigaciones llevadas a cabo por organismos gubernamentales y entidades privadas para determinar que los actores cibernéticos estatales rusos más conocidos pertenecen a tres agencias de inteligencia rusas: el Servicio Federal de Seguridad de la Federación Rusa (FSB), el Servicio de Inteligencia Exterior de la Federación Rusa (SVR) y la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).

La 24.ª Brigada Mecanizada dispara un obús autopropulsado 2s5 'Hyacinth-s' de 152 mm hacia posiciones rusas

La 24.ª Brigada Mecanizada dispara un obús autopropulsado 2s5 'Hyacinth-s' de 152 mm hacia posiciones rusasAFP

Existen dos cibergrupos rusos asociados a estos servicios de Inteligencia.

Dos temibles grupos rusos

APT28

  • APT28 es un «actor hostil» atribuido a la unidad militar 26165 del Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia (anteriormente conocido como GRU) del Estado Mayor General de Rusia.
  • Está activo desde al menos desde 2004.
  • Puesto que pertenece a la agencia de inteligencia militar exterior de Rusia, el informe del CCN afirma que desde el inicio de la guerra en Ucrania la actividad de APT28 ha estado enfocada en el compromiso de objetivos en el bando ucraniano con el objetivo de obtener inteligencia que le proporcione una ventaja a Rusia en el conflicto.
  • Se identifica una tendencia por parte del grupo ruso a atacar organizaciones pertenecientes a sectores estratégicos. El objetivo más recurrente de este grupo es los organismos gubernamentales que, por la actividad que desarrollan, tienen acceso a información confidencial crítica.
  • Igualmente, los sectores de defensa, militar y aeroespacial también han sufrido numerosos compromisos por parte de este actor hostil.
  • En el contexto del conflicto ruso-ucraniano, las víctimas de APT28 pertenecientes a estos sectores probablemente tenían información privilegiada sobre los planes de Ucrania y el bloque occidental que otorgaría una ventaja estratégica a Rusia.
    ​(Fuente: Centro Criptológico Nacional)

ATP29

  • El actor hostil APT297 pertenece al Servicio de Inteligencia Exterior de la Federación Rusa (también conocido como el SVR), centrado principalmente en la inteligencia política.
  • Las víctimas de APT29 registradas en 2023 son principalmente Ucrania, Estados Unidos y otros países europeos que han expresado públicamente su apoyo a la causa ucraniana y que le han proporcionado ayuda humanitaria y militar.
  • APT29 centra sus esfuerzos en el compromiso de objetivos en sectores estratégicos. Hay una focalización en organismos gubernamentales y diplomáticos.
  • Se observa un número considerable de operaciones contra empresas de tecnologías de la información, que se ajusta con la ampliación del alcance de las operaciones cibernéticas que llevó a cabo el SVR a partir de 2018 para incluir como objetivo generalizado a las empresas de tecnología de la información.
    ​​(Fuente: Centro Criptológico Nacional)

Temas

comentarios
tracking