Defensa refuerza la protección contra ciberataques tras detectar que Rusia busca información de la OTAN

La OTAN está en alerta: en plena invasión de Ucrania, Rusia ha intensificado sus ciberataques contra infraestructuras informáticas de países de la Alianza en busca de datos sobre posibles estrategias militares. Los intentos de ataque no son nuevos, pero en las últimas semanas «se han disparado». De momento, explican fuentes militares, «no se ha comprometido ninguna información, ya que ninguno de los ataques ha tenido éxito». Que se sepa, de momento. Pero tanto el Mando Conjunto del Ciberespacio como el Centro Criptológico Nacional (CCN) ha decidido reforzar la protección de las redes informáticas que utilizan las Fuerzas Armadas y los servicios de inteligencia.

Detrás de las columnas de blindados rusos, las flotas de helicópteros y los cazabombarderos que sobrevuelan Ucrania estos días, Vladímir Putin tiene a su servicio de otro ejército mucho más discreto: el de los hackers que trabajan para los servicios de inteligencia militar rusa, el Glávnoye Razvédyvatelnoye Upravlenie (GRU). Una galaxia de siglas y facciones, con nombres de lo más variopinto (Fancy Bear, Swallowtail, Earworm o Cozy Bear) que trabajan con un sólo objetivo: infiltrarse en redes informáticas de otros países -con especial predilección por los pertenecientes a la OTAN- y extraer valiosa información de tipo militar o diplomática sin ser detectados.

Tanto las Fuerzas Armadas españolas como el Centro Nacional de Inteligencia (CNI) llevan años enfrentándose a esta amenaza casi a diario. Pero con la llegada de la invasión rusa a Ucrania, admiten fuentes militares dedicadas profesionalmente a este ramo, los ataques han aumentado. «Son diarios. Y muy bien dirigidos, pero no están consiguiendo nada. No se ha comprometido ninguna información».

El aumento de los intentos de ataques no sólo se ha registrado en España, sino también en el resto de miembros de la Alianza Atlántica. Así lo ha confirmado también el Ejército francés a una delegación española del Mando Conjunto del Ciberespacio (MCCE), en un encuentro celebrado la pasada semana en Francia.

En España, una de las consecuencias de estos ataques ha sido «el refuerzo de personal y medios técnicos» puestos a disposición de misiones de alerta y respuesta temprana ante ciberataques. Tareas que también involucran al CNI, que el pasado mes de noviembre firmó una alianza estratégica con el Estado Mayor de la Defensa para atajar este tipo de ciberataques procedentes de Rusia.

Aviso del CNI

Sólo unas semanas antes de que Rusia diese inicio a la invasión de Ucrania, el Centro Criptológico Nacional (CCN), la división de ciberamenazas del CNI, advirtió en un informe que España debía asumir los nuevos riesgos que se avecinaban en esta materia.  De ahí la recomendación que lanzaron a todos los organismos de la Administración: apagar los ordenadores por las noches y no abrir correos electrónicos sospechosos.

Justo cuando en la OTAN ya se consideraba la guerra como un hecho inminente, desde el CCN se advertía que «la situación geopolítica de los últimos años marca una tendencia creciente en relación con las operaciones de ciberespionaje, una progresión que viene confirmada por el incremento del número de países que han adquirido la capacidad de obtener, recopilar y explotar inteligencia del ciberespacio».

«Estas capacidades se instrumentalizan a través de los denominados grupos APT (Amenaza Persistente Avanzada, del inglés Advanced Persistent Threat), integrados por personal muy especializado, con grandes conocimientos técnicos y dotados de significativos recursos económicos y materiales, que suelen llevar a cabo acciones de intrusión en las redes objetivo para permanecer ocultos durante el mayor tiempo posible sin ser detectados mientras extraen información de interés con fines diversos». No se habla abiertamente de Rusia, pero se señala veladamente al Gobierno de Vladímir Putin al determinar que estos ataques  «suelen provenir de países que desean mejorar su posición a nivel político, estratégico o económico».

El documento del CCN asumía que los ataques se iniciaban mediante una «fase de intrusión» previa a las redes públicas españolas, que es precisamente la que se está detectando en estos momentos. «Los principales vectores de entrada que se están observando por parte de los atacantes son el correo electrónico y los servicios no seguros expuestos. Habitualmente, en el caso del correo electrónico, se trata de correos dirigidos a una o varias víctimas con un documento malicioso adjunto (generalmente, haciendo uso de macros para la descarga del código dañino) o persuadiendo al usuario para que visite una web previamente comprometida. Una vez allí, una falsa actualización del navegador, la instalación de complementos o mecanismos similares logran la descarga de la primera etapa del malware», describe el CCN.