Ucrania y los países de la OTAN sufren un tercio del ciberespionaje global

«La interconectividad del ciberespacio –explica el documento del CCN– supone que los objetivos de los ciberataques van más allá de las fronteras territoriales de los países beligerantes. Es decir, cualquier país, empresa, organización o individuo puede verse afectado». Este fenómeno, añade el informe, «también se ha dado tras el inicio de la guerra entre Israel y Hamás, pero de forma distinta dada su naturaleza asimétrica. La reducción del umbral para llevar a cabo ataques tras el estallido de estos conflictos armados ha ampliado el panorama de ciberamenazas de actores afiliados a Estados, grupos hacktivistas y grupos cibercriminales». Por tanto, la amenaza crece.

Como ya se ha señalado, Rusia es uno de los actores cibernéticos más potentes del mundo y dedica importantes recursos a la realización de operaciones hostiles a escala global. «De acuerdo con investigaciones llevadas a cabo por organismos gubernamentales y entidades privadas –precisa el informe–, los actores cibernéticos estatales rusos más conocidos pertenecen a tres agencias de inteligencia de ese país: el Servicio Federal de Seguridad de la Federación Rusa (FSB), el Servicio de Inteligencia Exterior de la Federación Rusa (SVR) y la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU)».

En 2023 decenas de campañas han sido atribuidas a actores estatales rusos, que han llevado a cabo operaciones contra múltiples países, incluido España. Los datos registrados muestran víctimas en América del Norte, Asia, Europa, África y Oceanía. Sin embargo, destaca la cantidad de incidentes registrados en Ucrania, fenómeno explicado por la invasión rusa de ese país que comenzó en febrero de 2022.

Entre los atacantes detectados está APT28, vinculado al GRU y activo desde 2024; y APT29, adscrito al SVR. El primer grupo ha centrado sus operaciones contra Ucrania y contra países del bloque occidental que le están proporcionando apoyo en el conflicto, como es el nuestro. El segundo, centrado principalmente en la inteligencia política, incluyendo no solo el desarrollo y la ejecución de políticas exteriores, sino también de políticas internas y los procesos políticos que impulsan, ha actuado, además de contra Ucrania, contra Estados Unidos y otros países europeos que han mostrado su apoyo a la causa ucraniana y que le han proporcionado ayuda humanitaria y militar. Y de nuevo España está entre ellos.

Además de Rusia, China es otro de los países que también lidera las actividades de ciberespionaje en el mundo y que por supuesto afectan a España, aunque en menor medida. El documento del CCN explica que ese Estado «tiene las competencias cibernéticas y las capacidades de ciberguerra más avanzadas y practicadas de Asia. Los actores estatales chinos han demostrado una adaptación remarcable para responder ante acontecimientos geopolíticos globales, cambiando ágilmente sus métodos de operar y la selección de objetivos estratégicos. Un ejemplo de esta cualidad ha sido un mayor foco en entidades gubernamentales y diplomáticas europeas a partir de la guerra en Ucrania». En su caso, el actor cibernético utilizado es Mustang Panda, que ha demostrado su capacidad para asimilar rápidamente nuevas herramientas y tácticas en sus operaciones. Se centra sobre todo en tres focos: Europa, Australia y Japón. «Los ataques contra organizaciones europeas han supuesto un cambio con respecto a los objetivos habituales de Mustang Panda», advierte el documento del Centro Criptológico Nacional.

Según fuentes de la máxima solvencia consultadas por ABC, tanto Rusia como China están detrás de entre el 80 y el 85 por ciento de los ciberataques que sufre nuestro país. Pero aún es más significativo que ambos protagonizan cerca de la mitad de los incidentes críticos que sufrimos. Por tanto, la prevención y combate contra las actividades de sus actores hostiles es una prioridad.

El informe del CCN identifica además como actores relevantes en el ciberespionaje a nivel global a Corea del Norte e Irán, aunque en estos casos sus actividades afectan en mucha menor medida a nuestro país.

Si detrás del ciberespionaje se encuentran los dos conflictos bélicos ya mencionados, lo mismo se puede decir de los ataques hacktivistas; es decir, de la realización de actos, normalmente dañinos, en el ciberespacio para promover unas ideas políticas, religiosas o sociales.

En la guerra abierta tras la invasión de Ucrania el hacktivismo tiene un papel clave, no sólo por el número de ataques de grupos prorrusos contra todo tipo de objetivos ucranianos, sino también por los actos hostiles contra los países que han dado algún tipo de respaldo a Ucrania.

El grupo prorruso más activo es NoName057, liderado por un equipo pequeño de administradores, y se centra en llevar a cabo ataques DDoS (denegación de servicios) contra objetivos situados en países que no forman parte del conflicto armado pero que han expresado y demostrado su apoyo a la causa ucraniana. «Su fuerza –explica el documento del Centro Criptológico Nacional– reside en la red de particulares que simpatizan con la causa y participan en los ciberataques. Los integrantes del grupo se organizan a través de un canal de Telegram donde definen los objetivos de sus ataques y utilizan la herramienta llamada DDoSIA para lanzar ataques de DDoS a gran escala contra los objetivos definidos».

En el caso de España, este grupo no se limita a atacar por haber apoyado a Ucrania, sino que también ha utilizado como pretexto manifestaciones y protestas de diversa índole contra el gobierno central, como por ejemplo sucedió con unas movilizaciones organizadas por bomberos. Sin duda, NoName057 ha sido con diferencia el grupo hacktivista que más ha atacado a nuestro país en 2023, actuando contra empresas públicas y privadas de transportes y logística terrestre, marítimo y aéreo, organismos gubernamentales, entidades bancarias y financieras y compañías de telecomunicaciones.

En cuanto al conflicto entre Israel y Hamás, cuando estalló el 7 de octubre de 2023 se dio un fenómeno similar al que se observó al comienzo del conflicto ruso-ucraniano: surgieron decenas de grupos hacktivistas que se posicionaron a favor y en contra de ambos bandos. Sin embargo, operan desde otros países que no están alineados con las tesis que ellos defienden.

El CCN también aborda las vulnerabilidades publicadas; es decir, debilidades o errores en el código de un sistema o dispositivo que cuando se explota puede comprometer o poner en riesgo la seguridad de la información personal o de una organización. En 2023 fue de 28.823, en torno a tres mil más que el ejercicio anterior. Por tanto, continúa también aquí la tendencia ascendente.

En todo caso, no todas las vulnerabilidades son de la misma importancia y las que más preocupan son las críticas, así llamadas porque se propagan sin que sea necesaria la participación del usuario. Además, ponen en riesgo la confidencialidad, disponibilidad e integridad de los datos personales y de los recursos de los que disponga el sistema. Del total de las detectadas, 4.645, el 16 por ciento tienen esta clasificación, lo que de media supone que se publique una cada dos horas.