Centro Criptológico Nacional Tres agencias de inteligencia controlan a los principales grupos rusos de ciberataque
NoName057(16) ha atacado en España empresas públicas y privadas de transportes y logística terrestre, marítimo y aéreo, organismos gubernamentales, entidades bancarias y financieras y compañías de telecomunicaciones
China vuelca su ciberespionaje en entidades gubernamentales y diplomáticas europeas
España, en la diana de los ciberataques de grupos prorrusos por su apoyo a Ucrania
La Federación de Rusia es uno de los «actores» cibernéticos más prolíficos del mundo y dedica importantes recursos a la realización de operaciones cibernéticas a escala global. Así consta en el último informe de «Ciberamenazas y Tendencias 2024», del Centro Criptológico Nacional, que apunta a España como uno de los países más afectados por los ciberataques rusos debido a su apoyo a Ucrania. El Centro Criptológico Nacional depende del Centro Nacional de Inteligencia (CNI), cuya directora es Esperanza Casteleiro.
De acuerdo con investigaciones llevadas a cabo por organismos gubernamentales y entidades privadas, «los actores cibernéticos estatales rusos más conocidos pertenecen a tres agencias de inteligencia rusas»: el Servicio Federal de Seguridad de la Federación Rusa (FSB), el Servicio de Inteligencia Exterior de la Federación Rusa (SVR) y la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU).
A lo largo de 2023, decenas de campañas cibernéticas han sido atribuidas a actores cibernéticos estatales rusos. Estos grupos han llevado a cabo operaciones contra múltiples países. Los datos registrados muestran víctimas en América del Norte, Asia, Europa, África y Oceanía. Sin embargo, el informe destaca la cantidad de incidentes registrados en Ucrania, «fenómeno explicado por el conflicto armado entre Rusia y Ucrania que comenzó en febrero de 2022».
Las organizaciones de sectores estratégicos son el objetivo estrella de las operaciones llevadas a cabo por estos grupos. El CCN indica que más del 50 % de las víctimas registradas en 2023 pertenecen a organismos gubernamentales. También se observa un interés preferente por las empresas del sector de la defensa y organismos militares, representando cerca de un 20 % de las víctimas, «probablemente debido en parte a la necesidad de inteligencia militar producto de su involucración en la guerra de Ucrania».
Como señala el informe, desde el inicio de la guerra en Ucrania, los conflictos armados han estado marcados por la involucración de «grupos hacktivistas», cuyo método preferido de ataque ha sido la denegación de servicio distribuida (DDoS).
Los grupos prorrusos superan en número a los proucranianos, detectándose una preferencia por la utilización de Telegram como canal preferido de estos grupos para coordinar sus ataques. Cabe destacar el grupo hacktivista prorruso NoName057(16). Este colectivo ha sido con diferencia el más activo en términos de número de ataques realizados, llevando a cabo cientos de ataques de DDoS contra objetivos en países críticos con la invasión rusa de Ucrania. NoName057(16) también destaca por el desarrollo de la plataforma DDoSIA, utilizada por los integrantes del grupo para lanzar los ataques de denegación de servicio.
No obstante, este grupo no se limita a atacar a España con motivo de su apoyo a Ucrania. El CCN ha detectado que también ha utilizado como pretexto manifestaciones y protestas de diversa índole contra el gobierno central. La imagen que se reproduce a continuación es una captura de una publicación de NoName057(16) en su grupo de Telegram en la que anuncian ataques de DDoS contra objetivos españoles como muestra de apoyo a unas protestas organizadas por bomberos españoles.
NoName057(16) ha sido con diferencia el grupo «hacktivista» que más ha atacado a España durante el año 2023, atacando empresas públicas y privadas de transportes y logística terrestre, marítimo y aéreo, organismos gubernamentales, entidades bancarias y financieras y compañías de telecomunicaciones. La siguiente imagen interceptada por el CCN es una captura de un mensaje de NoName057(16) publicado en su canal de Telegram, donde proclaman ataques a España tras el anuncio de envío de armamento y material militar a Ucrania.
APT28
El CCN determina dos cibergrupos hostiles fundamentales asociados a los servicios de inteligencia rusos. El primero es APT28, atribuido a la unidad militar 26165 del Centro Principal de Servicios Especiales de la Dirección Principal de Inteligencia (anteriormente conocido como GRU) del Estado Mayor General de Rusia y que está activo desde al menos 2004. Puesto que pertenece a la agencia de inteligencia militar exterior de Rusia, desde el inicio de la guerra en Ucrania «la actividad de APT28 ha estado enfocada en el compromiso de objetivos en el bando ucraniano con el objetivo de obtener inteligencia que le proporcione una ventaja a Rusia en el conflicto», señala el CCN. En cualquier caso, su objetivo preferente son los organismos gubernamentales que, por la actividad que desarrollan, tienen acceso a información confidencial crítica. Igualmente, los sectores de defensa, militar y aeroespacial.
APT29
APT29 pertenece al Servicio de Inteligencia Exterior de la Federación Rusa (también conocido como el SVR), centrado principalmente en la inteligencia política, incluyendo el «desarrollo y la ejecución de políticas exteriores», así como el «desarrollo y la ejecución de políticas internas y los procesos políticos que impulsan». Las víctimas de APT29 registradas en 2023 son principalmente Ucrania, Estados Unidos y otros países europeos que han expresado públicamente su apoyo a la causa ucraniana y que le han proporcionado ayuda humanitaria y militar. Se centra en organismos gubernamentales y diplomáticos. Además, el CCN detecta un número considerable de operaciones contra empresas de tecnologías de la información.
XVIII Jornadas STIC CCN-CERT
La directora del CNI aboga por redoblar esfuerzos para defender a España en dos «frentes»: el físico y el virtual
Sobre el CCN
Las funciones del Centro Criptológico Nacional (CCN) quedan recogidas en la Ley 11/2002 reguladora del Centro Nacional de Inteligencia, el RD 421/2004 de regulación del CCN y en el RD 311/2022, de 3 de mayo, que regula el Esquema Nacional de Seguridad. Su misión es contribuir a la mejora de la ciberseguridad española, siendo el centro de alerta y respuesta nacional que coopere y ayude a responder de forma rápida y eficiente a los ciberataques y a afrontar de forma activa las ciberamenazas, incluyendo la coordinación a nivel público estatal de las distintas Capacidades de Respuesta a Incidentes o Centros de Operaciones de Ciberseguridad existentes.