El CNI atribuye al espionaje ruso ciberataques de represalia por el apoyo español a Ucrania

La guerra de Ucrania es el primer “conflicto multidominio, donde los ataques convencionales y los ciberataques se han ejecutado indistintamente. […] Se ha visto un modelo de guerra donde se han combinado las campañas de desinformación con campañas de impacto, utilizando tierra, mar, aire y ciberespacio para afectar a los principales servicios ucranianos, desde bancos a agencias de noticias o subestaciones eléctricas”, asegura el Centro Criptológico Nacional (CNI), organismo dependiente del Centro Nacional de Inteligencia (CNI), en su informe Ciberamenazas y Tendencias 2023. Pero Ucrania no ha sido el único objetivo de los piratas informáticos a las órdenes del Kremlin. También “España ha estado en el punto de mira tras los diversos gestos de respaldo a Ucrania”, añade el servicio secreto español, en alusión a la entrega de material militar y ayuda financiera a Kiev.

El informe del CNI identifica al grupo Noname057(16) como autor del ciberataque de Denegación de Servicio Distribuido (DDoS) lanzado el 14 de octubre de 2022 contra la página web del Ministerio de Defensa español. “El grupo aseguró que el ataque era en represalia por el envío de armas a Ucrania por parte del Gobierno de España”, subraya el documento. Noname057(16) surgió en marzo de 2022, recién iniciada la invasión de Ucrania, y coordina sus ataques con otro grupo de hackers prorrusos, KillNet, en países de la OTAN como Alemania, Francia, Estados Unidos, Polonia, las repúblicas bálticas o España.

Aunque el CNI no lo vincula explícitamente, otros expertos también atribuyen a Noname057(16) el ataque que, durante la jornada electoral del pasado 23 de julio, sufrió la página web del Ministerio del Interior a través de la cual se difundían los datos del recuento de votos. Y también el ciberataque múltiple que las webs del Ayuntamiento, el metro y la compañía de autobuses de Granada recibieron en octubre de este año, tras la visita a la ciudad del presidente ucranio, Volodímir Zelenski, para participar en la cumbre de la Comunidad Política Europea.

El informe sí se hace eco de que, en octubre de 2022, otro actor virtual denominado Ziyaettin, que operaba un servicio de botnet para la automatización de ciberataques a demanda de sus clientes, anunció sendos ataques contra la web del Banco de España y la de La Moncloa.

“Se ha podido observar cómo, a lo largo de 2022, los grupos activistas prorrusos han tenido una implicación directa en la guerra de Ucrania. Varios de estos grupos han estado focalizados en actividades dentro de las fronteras ucranianas, [pero] otros han utilizado estos ataques como método coercitivo sobre los Estados que han ayudado con material militar o de cualquier otro tipo al Gobierno de Zelenski”, explica el centro de ciberseguridad del servicio secreto español. “El movimiento hacktivista de origen prorruso seguirá siendo una amenaza para los países occidentales que muestren un apoyo directo al Gobierno de Ucrania, aunque se espera que el desgaste temporal asociado a la guerra provoque un descenso en su actividad”, apostilla.

Sin embargo, muchas veces los atacantes no son hacktivistas en la órbita del Kremlin, sino que están directamente encuadrados en la propia maquinaria bélica rusa. Es el caso de APT28, también conocido como Fancy Bear, un grupo al que el Centro Criptológico Nacional vincula a la unidad 26165 del GRU (el servicio de inteligencia de las Fuerzas Armadas rusas) y califica como “uno de los actores [cibernéticos] que mayor actividad registra desde su aparición en 2004″.

El CCN atribuye a dicho APT28, especializado en tareas de espionaje, el ataque de phishing (pesca de contraseñas y datos personales) lanzado en marzo de este año contra una empresa española del sector de defensa. Aunque no especifica de cuál se trata, la fecha coincide con el ciberataque sufrido por el astillero público Navantia, constructor de los buques de guerra españoles; entre otros, el nuevo submarino S-81, cuya entrega el pasado jueves a la Armada ha supuesto un hito tecnológico para la industria militar. El mes pasado, este mismo grupo habría protagonizado otros dos ataques contra ministerios a los que el CNI tampoco identifica a través de la red SARA, que conecta las redes de comunicaciones de las administraciones públicas españolas y las instituciones europeas.

Otro grupo activo en España es el APT29, al que el CNI vincula con el SVR o Servicio de Inteligencia Exterior ruso y al que atribuye, durante el año pasado, “varias campañas contra personal de embajadas de la Unión Europea y la OTAN”, mediante el envío de correos electrónicos desde cuentas legítimas de representaciones diplomáticas. Según el centro de inteligencia español, el APT29 habría accedido en julio pasado a servicios en la nube del sector público español.

Al margen de los hackers rusos, el CNI registra actividades en España del grupo APT15, vinculado al Estado chino, con ciberataques en mayo y octubre de este año; así como de una gran cantidad de grupos ligados al cibercrimen, que estarían detrás de los incidentes informáticos más conocidos, como los que afectaron la Agencia Estatal de Administración Tributaria (AEAT), en febrero pasado; el Hospital Clínic de Barcelona en marzo; o el Ayuntamiento de Sevilla, en septiembre.

El Centro Criptológico Nacional (CCN) espera acabar este año con más de 105.000 ciberincidentes gestionados, lo que supone un incremento de más del 90% respecto al año pasado y un 51% más que en 2021. Respecto a los incidentes críticos, los de mayor gravedad, suman en total 120, un 60% más que el año pasado (75), pero aún por debajo del récord alcanzado en 2021 (139).

Estos últimos datos se han presentado en las jornadas organizadas esta semana en Pozuelo de Alarcón (Madrid) por el Centro Criptológico Nacional (CNN) y el Mando Conjunto de Ciberdefensa (MCCD). En las mismas han participado más de 6.600 profesionales de 37 países y de 2.000 entidades españolas, europeas e iberoamericanos, del sector público y el privado, del empresarial y el universitario, en el que ha sido el mayor evento de ciberseguridad celebrado hasta ahora en España. Bajo el paraguas de la presidencia española de la UE se celebró la primera reunión conjunta del Grupo de Cooperación NIS y del Grupo de Resiliencia de Entidades Críticas, que agrupa a los responsables de los Veintisiete en la protección de las redes de comunicaciones y de las infraestructuras críticas (centrales de energía, aeropuertos, hospitales, etcétera).