Las recientes revelaciones sobre la estrecha asociación entre el Kremlin y NTC Vulkan, una consultora de seguridad cibernética rusa con vínculos con el ejército, brindan algunas ideas poco comunes sobre cómo el régimen de Putin utiliza el ciberespacio como arma.
Más de 5.000 documentos han sido filtrados por un denunciante anónimo, enojado por la conducta de Rusia en la guerra en Ucrania. Pretenden revelar detalles sobre herramientas de piratería para tomar el control de servidores vulnerables; campañas de desinformación nacionales e internacionales; y formas de monitorear digitalmente las posibles amenazas al régimen.
Aunque siempre es necesario tener precaución antes de aceptar afirmaciones sobre capacidades cibernéticas, cabe destacar que varias agencias de inteligencia occidentales han confirmado que los documentos parecen genuinos.
La filtración también corrobora la opinión de muchos estrategas: que el gobierno ruso considera las capacidades cibernéticas ofensivas como parte de un esfuerzo holístico para degradar a sus enemigos. Esto incluye sembrar desconfianza a través de las redes sociales, la recopilación de kompromat (material comprometedor) y la capacidad de apuntar a infraestructura crucial.
Esa lista de enemigos es larga y ha crecido desde la invasión a gran escala de Ucrania por parte de Putin en febrero de 2022. Naturalmente, el Concepto de Política Exterior 2023 recién publicado por el Kremlin identifica a Estados Unidos como la «principal fuente de amenazas» a la seguridad rusa. .
Pero Ucrania, todos los miembros de la OTAN y la Unión Europea, y varios otros estados se identifican como «países hostiles», incluidos Australia, Japón, Singapur y Nueva Zelanda.
Guerra en las sombras
Rusia utiliza una variedad de métodos para hacer la guerra en el ciberespacio.
En un extremo del espectro, utiliza grupos adscritos a agencias oficiales, como el GRU (inteligencia militar) y el FSB (aparentemente inteligencia doméstica, pero también lleva a cabo misiones en el extranjero).
Los grupos del GRU incluyen Sandworm y Fancy Bear. Otro grupo, Cozy Bear, está asociado con el FSB.
Uno o más de estos grupos han sido responsables de una serie de ataques cibernéticos prominentes en una variedad de objetivos, que incluyen:
- el Pentágono en 2015
- la red eléctrica de Ucrania en 2015
- la Convención Nacional Demócrata de 2016
- los ataques de ransomware NotPetya de 2017, que se dirigieron a Ucrania pero se extendieron por todo el mundo
- Elecciones alemanas y francesas en 2017 y 2018
- el comité olímpico internacional
- ONG y grupos de expertos con sede en EE. UU.
- Datos de la vacuna COVID-19
- el Comité Nacional Republicano de 2021
- y un intento de 2022 de provocar un apagón en Ucrania.
En el otro extremo del espectro, las operaciones de información rusas utilizan regularmente ejércitos de bots y trolls, así como «curadores ciudadanos» desprevenidos, para difundir narrativas falsas.
Hacerlo es barato y aumenta la distancia entre el atacante y sus agentes, lo que permite una negación plausible.
Al igual que la guerra biológica, también arma a los objetivos para que hagan el trabajo de propagar la enfermedad narrativa.
Las campañas de información rusas operan a nivel mundial, entre las naciones que considera tanto amigas como adversarias. Los medios armados por Rusia se pueden encontrar en África, donde la organización paramilitar rusa Wagner ha estado especialmente activa, así como en el sur de Asia y Australia.
En muchos aspectos, las operaciones de información rusas imitan la doctrina geopolítica soviética durante la Guerra Fría. Esto se centró en cortejar áreas del mundo donde Occidente era más débil.
Pero en el espacio gris entre las agencias oficiales, los idiotas útiles y los apoderados involuntarios hay un área de creciente énfasis en la ciberguerra rusa: la subcontratación. Algunas de ellas, como Vulkan, conservan un aura de respetabilidad como consultoras que realizan trabajos gubernamentales y contratan a otras empresas.
También incluyen la Agencia de Investigación de Internet en San Petersburgo, que se utilizó para coordinar ataques en las redes sociales contra el Partido Demócrata de EE. UU. durante las elecciones de mitad de período de 2018, lo que llevó a una acusación por parte del Departamento de Justicia.
Otros son bandas criminales organizadas, como la acertadamente llamada «EvilCorp», que usan malware para recopilar datos bancarios o información personal de las personas.
La violación de noviembre de 2022 de la aseguradora de salud privada de Australia, Medibank, fue un ejemplo, que expuso detalles de salud confidenciales de los pacientes, como tratamientos para la adicción a las drogas o el VIH.
Las revelaciones de Vulkan
La filtración de Vulkan agrega más detalles a lo que sabemos sobre los métodos, tácticas y objetivos rusos en el ciberespacio. Se identifica que el grupo GRU Sandworm autorizó a Vulkan para ayudar a construir «Skan-V», una pieza de software que puede monitorear Internet para detectar servidores vulnerables para piratear.
Otro proyecto de Vulkan, conocido como «Fracción», fue diseñado para monitorear los sitios de redes sociales en busca de palabras clave para identificar a los opositores al régimen, tanto en el país como en el extranjero.
Un proyecto aún más grande en el que Vulkan parece haber estado involucrado fue «Amezit». Esta es una herramienta que permitiría a los operadores tomar el control de Internet tanto dentro de Rusia como en otras naciones y secuestrar los flujos de información.
Para funcionar, sus usuarios deben poder controlar la infraestructura física, como las torres de telefonía móvil y los nodos inalámbricos de Internet. Luego, Amezit se puede usar para imitar sitios legítimos y perfiles de redes sociales, borrar contenido que podría considerarse hostil y reemplazarlo con desinformación.
Dado el requisito de poseer infraestructura física, está claro que Azemit fue diseñado no solo como una pieza de software, sino para operar en conjunto con los instrumentos coercitivos de un estado.
Esto tiene usos tanto internos como externos. A nivel nacional, podría usarse para silenciar la disidencia en regiones rusas inquietas. En una zona de guerra, como Ucrania, podría usarse junto con las fuerzas armadas de Rusia para interceptar las comunicaciones del gobierno e intercambiar fuentes de información genuinas por fuentes falsas.
La fuga de Vulkan también incluyó información sobre objetos físicos. Aunque no es una lista de objetivos concisa, su software permitió a los usuarios mapear la infraestructura física. Esto incluyó aeropuertos en todo el mundo, el Ministerio de Relaciones Exteriores de Suiza y la planta de energía nuclear Muhlberg cerca de Berna.
Lo que es más, la entrega de documentos presentaba grupos mapeados de servidores de Internet en los Estados Unidos. Y el proyecto Skan-V identificó un sitio en los EE. UU. etiquetado como «Fairfield» como un punto de entrada potencialmente vulnerable.
Si los documentos son precisos, el trabajo de Vulkan para el gobierno ruso muestra cuán extensos han sido los intentos del Kremlin para monitorear la infraestructura digital, recopilar información sobre vulnerabilidades y desarrollar la capacidad para secuestrarla.
Combatir los ciberataques rusos
Las amenazas cibernéticas son insidiosas porque pueden usarse en múltiples combinaciones y apuntar a diferentes objetivos. Las campañas de pirateo y filtración contra figuras influyentes se pueden mezclar con intentos de sabotear infraestructura vital, realizar espionaje corporativo, socavar la cohesión social y la confianza, y llevar narrativas marginales al centro político.
Se pueden introducir por goteo en el ecosistema digital. O, al igual que la campaña que acompañó la toma de Crimea por parte de Rusia en 2014, pueden emplearse todos a la vez en una tormenta de nieve cibernética.
Esto hace que los ataques cibernéticos sean muy difíciles de resistir y aún más difíciles de disuadir. Son un arma de disrupción potencialmente masiva que puede resultar en bajas reales. Apagar la red eléctrica en una ciudad, por ejemplo, puede provocar la muerte de personas en soporte vital en hospitales, accidentes de tránsito y exposición al frío extremo en ciertas regiones.
►La entrada Filtración de archivos Vulkan muestra cómo el régimen de Putin utiliza el ciberespacio como arma se publicó primero en MxPolítico.◄
