LEYENDO

Pasado, presente y futuro de la ciber-estructura r...

Pasado, presente y futuro de la ciber-estructura rusa

El pasado miércoles EE.UU señalaba formalmente a Rusia como responsable de la devastadora campaña de ciberataques que recientemente afectarón a agencias gubernamentales y corporaciones en todo el país.

La investigación de este último incidente, corre a cargo de un grupo de trabajo conocido como Cyber ​​Unified Coordination Group (UCG), compuesto por el FBI, la CISA (la Agencia de Seguridad de Infraestructura y Ciberseguridad) y la ODNI (la Oficina del Director de Inteligencia Nacional), además de contar con el apoyo de la NSA.

A lo largo de estos últimos años Rusia ha desplegado capacidades cibernéticas altamente sofisticadas para llevar a cabo operaciones de desinformación, propaganda, espionaje y ciberataques a nivel global. Para llevar a cabo dichas operaciones, Rusia mantiene numerosas unidades especializadas en el entorno cyber, que a su vez están supervisadas por sus diversas agencias de seguridad e inteligencia.

Las agencias de seguridad rusas a menudo compiten entre sí y realizan operaciones similares y contra los mismos objetivos, un hecho que dificulta notablemente la atribución de dichos ataques. Es por ello que resulta interesante contar con una panorámica de las diversas agencias y unidades rusas y sus atributos de cara a comprender mejor por qué y cómo realiza Rusia sus operaciones cibernéticas.

Según la información disponible, las primeras operaciones cibernéticas rusas consistieron principalmente en ataques de denegación de servicio (DDoS) y, a menudo, se llevaron a cabo mediante el reclutamiento de piratas informáticos profesionales y del ámbito civil. En 2007, Estonia fue blanco de un ciberataque a gran escala, del que la mayoría de los observadores culparon a Rusia. Los objetivos en este caso iban desde la banca online y los medios de comunicación hasta webs gubernamentales y servicios de correo electrónico.

Poco después, Rusia volvió a utilizar ataques DDoS durante su pugna con Georgia en agosto de 2008.  A pesar de que Rusia negó su responsabilidad, Georgia fue víctima de un ciberataque a gran escala que se correspondía con el modus operandi ruso. Los analistas identificaron 54 objetivos potenciales, entre ellos: medios gubernamentales y financieros (incluido el Banco Nacional de Georgia, que suspendió todas las operaciones electrónicas durante 12 días).

En el curso de estas dos últimas décadas, Rusia ha incrementado considerablemente su personal y capacidades para realizar una amplia gama de operaciones cibernéticas. Ninguna agencia rusa de seguridad o inteligencia tiene la responsabilidad exclusiva de estas actividades y los analistas señalan que esto contribuye a la competencia entre las agencias por los recursos, el personal y la influencia, e incluso  algunos expertos lo citan como una posible razón para que las unidades cibernéticas rusas realicen operaciones análogas en el marco de esta competición.

El Departamento Central de Inteligencia (GRU), es la agencia de inteligencia militar de Rusia y ha estado implicado en algunas de las operaciones cibernéticas más notorias y dañinas perpetradas por Rusia. Acciones que incluirían la interferencia electoral en las elecciones presidenciales estadounidenses de 2016. El GRU también controla varios institutos de investigación que ayudan a desarrollar herramientas de piratería y malware.

Son identificadas por diferentes nombres: APT (Advanced Persistent Threat) 28, Fancy Bear, Voodoo Bear, Sandworm y Tsar Team. El gobierno estadounidense ha identificado dos grupos principales dentro del GRU. La Unidad 26165 (responsables entre otros casos de piratear la Campaña del Congreso Demócrata; el Comité Nacional Demócrata y la campaña presidencial de Hillary Clinton). Múltiples gobiernos occidentales también han vinculado a esta Unidad 26165 con operaciones cibernéticas contra numerosos objetivos políticos, gubernamentales y del sector privado Europa.

A la unidad 74455 se la ha vinculado con algunos de los ciberataques rusos más dañinos de la última década. Se sospecha que serían los responsables de la publicación coordinada de correos electrónicos y documentos robados durante las elecciones presidenciales estadounidenses de 2016. A diferencia de otros grupos que se limitarían principalmente a penetrar los sistemas y recopilar información, la Unidad 74455 parece contar con potentes capacidades cibernéticas ofensivas. En octubre de 2020, el Departamento de Justicia señaló a miembros pertenecientes a esta unidad como responsables de numerosos ciberataques, incluyendo el ataque NotPetya Malware de 2017. En junio de 2017, se constató la utilización de malware contra numerosos objetivos en Ucrania.

El Servicio de Inteligencia Exterior (SVR, también conocido bajo el nombre de APT29, Cozy Bear o Dukes) es el principal servicio ruso de inteligencia civil. Es responsable de la recopilación de inteligencia extranjera utilizando métodos electrónicos, cibernéticos y humanos. Según los expertos operan poniendo especial énfasis a la hora de mantener el secreto y evitar la detección, al contrario de la temeridad atribuida a otros grupos. La mayoría de las operaciones cibernéticas vinculadas a la SVR se han centrado en recopilar información en lugar de causar. Informaciones recientes vinculan  al SVR con el ciberespionaje en la investigación de la vacuna contra el COVID-19 y la firma de ciberseguridad FireEye. Los informes también relacionan el SVR con el ataque SolarWinds que mencionábamos al principio.

El Servicio Federal de Seguridad (FSB) es la principal agencia de seguridad nacional de Rusia, responsable de la seguridad interna y la contrainteligencia. Sus misiones incluyen proteger a Rusia de las operaciones cibernéticas extranjeras y monitorizar a la criminalidad informática nacional. En los últimos años, el FSB habría vistos ampliados sus cometidos para incluir la recopilación de inteligencia extranjera y las operaciones cibernéticas ofensivas, focalizándose en el sector energético y de infraestructuras. En este sentido, se le ha acusado de coaccionar a hackers civiles para que trabajen como contratistas bajo la amenaza de prisión.

El Servicio de Protección Federal (FSO) sería el responsable de la seguridad física y electrónica del gobierno y su personal. Como tal, contaría con capacidad para la seguridad de las comunicaciones del gobierno ruso y no existen indicios de que haya llevado a cabo operaciones ofensivas.

La famosa Agencia de Investigación de Internet es una organización privada, financiada por el cercano confidente de Putin, Yevgeniy Prighozin, que ha apoyado las operaciones de desinformación y propaganda del gobierno ruso. Este grupo se ha centrado en la desinformación haciéndose pasar por activistas y personas nacionales, principalmente a través de redes sociales.

A pesar lo visto, Rusia enfrenta desafíos importantes en materia cibernética. Al igual que les sucede a la mayoría de entidades gubernamentales de este tipo. Los servicios de seguridad rusos encuentran problemas para contratar personal cualificado y la corrupción en el seno de sus organismos es otro de los principales escollos que ponen en riesgo sus operaciones.

 


Analista especializado en el entorno de la información y Defensa.

ARTÍCULOS RELACIONADOS