El 11 de mayo, el sitio web de RuTube, el mayor servicio de streaming de Rusia y competidor de YouTube, quedó fuera de servicio durante tres días seguidos en lo que la empresa calificó de “mayor ciberataque” que había sufrido nunca.
Al final del ciberataque, un grupo voluntario de tecnólogos y piratas informáticos conocido como Ejército Informático de Ucrania reivindicó la responsabilidad en su canal oficial de Telegram, calificando el ataque como “la mayor victoria de la ciberguerra”. Los hackers también afirmaron haber cambiado las contraseñas de los administradores, haber borrado y robado datos internos, e incluso haber bloqueado las tarjetas de acceso de los empleados a las salas de servidores de la empresa, encerrando a la gente.
Desde que se puso en marcha, apenas dos días después de que Rusia invadiera Ucrania, el Ejército Informático se ha cobrado varias víctimas, como Mvideo, una gran cadena rusa de electrónica de consumo; QIWI, un popular proveedor ruso de servicios de pago; Asna, una red de más de 10.000 farmacias en Rusia; y EGAIS, el sistema de información contable automatizado estatal unificado del gobierno ruso.
El grupo ha sido una figura central en la lucha que libran Ucrania y Rusia en el ciberespacio, y está abriendo nuevos caminos en cuanto a lo que puede hacer un grupo voluntario, casi hacker, en el contexto de una guerra.
“El Ejército de las Tecnologías de la Información de Ucrania es una construcción única e inteligente cuya configuración organizativa e impacto operativo probablemente informará sobre el arte de la guerra cibernética y de la información en futuros conflictos”, escribió Stefan Soesanto, investigador principal de ciberseguridad en el Centro de Estudios de Seguridad (CSS) de Zúrich, en un informe sobre el Ejército de las Tecnologías de la Información. “En el lado público, el Ejército de las TI sirve como recipiente que permite al gobierno ucraniano utilizar voluntarios de todo el mundo en sus actividades persistentes [de denegación de servicio distribuido] contra los sitios web del gobierno y las empresas rusas. A 7 de junio de 2022, esto incluye 662 objetivos. En el lado no público, el equipo interno del Ejército de las Tecnologías de la Información probablemente mantiene profundos vínculos con los servicios de defensa e inteligencia ucranianos, o está formado por ellos.”
¿Tienes información sobre las actividades de grupos de hackers ucranianos o rusos? Nos encantaría que nos lo comunicaras. Puedes ponerte en contacto con Lorenzo Franceschi-Bicchierai de forma segura en Signal en el +1 917 257 1382, Wickr/Telegram/Wire @lorenzofb, o en el correo electrónico [email protected]
Silas Cutler, investigador de ciberseguridad de Stairwell, se mostró de acuerdo y dijo a Motherboard que “lo que estamos viendo en términos del Ejército de las TI representa cómo será la ciberguerra en realidad”.
“Se trata en gran medida de personas que toman las armas y hacen lo que pueden sin grandes equipos de desarrollo coordinados”, añadió Cutler. “Y creo que es simplemente otra forma de luchar en la ciberguerra”.
Al igual que la guerra cinética que se libra en territorio ucraniano, no se esperaba que la ciberguerra fuera así.
Algunos esperaban que Rusia se apoderara de Ucrania con relativa facilidad. Casi cinco meses después, los ucranianos han montado una feroz resistencia y han hecho retroceder con éxito a las tropas rusas. En el ciberespacio, la mayoría esperaba que Rusia tuviera un día de campo, desatando sus unidades de hacking de élite para apagar la red, algo que ya hizo dos veces en el pasado. Esperaban que Rusia desencadenara ataques altamente sofisticados y perturbadores como NotPetya. Rusia no ha sido completamente infructuosa en este sentido. Sus hackers han utilizado varias cepas de malware wiper -programas maliciosos diseñados para destruir datos- contra objetivos, incluido un proveedor de Internet por satélite estadounidense. Pero también en el ciberespacio, los ucranianos han montado una férrea resistencia y han contraatacado.
Soesanto dijo a Motherboard que, antes de la guerra, se suponía que Rusia “había penetrado a fondo en las infraestructuras críticas ucranianas y, de ser así, había preposicionado herramientas antes de la invasión del 24 de febrero”.
Esa no parece haber sido la suposición correcta, pero podría haber varias explicaciones para ello: Quizá las unidades de hacking rusas no estaban preparadas para la invasión, o quizá la infraestructura ucraniana era más resistente de lo que se pensaba, o los ciberdefensores ucranianos están haciendo un buen trabajo, o las agencias de inteligencia occidentales les están ayudando, según Soesanto.
Lo que ha ocurrido, pues, es una especie de ciberguerra de guerrilla. Las capacidades cibernéticas de Ucrania parecen estar formadas en gran medida por voluntarios, y su mandato es hacer todo lo posible como parte de una organización grande y descentralizada.
Marina Krotofil, una profesional de la ciberseguridad de origen ucraniano que ha sido consultora del gobierno, estuvo de acuerdo en que la ciberguerra en el contexto de Rusia golpeando las infraestructuras críticas, y la infraestructura de TI con ataques, métodos y herramientas complejas y novedosas, “no ocurrió”.
“Sin duda, Rusia dirigió un esfuerzo significativo contra las infraestructuras digitales de Ucrania, pero no han mostrado ninguna estrategia, herramienta o técnica novedosa/no vista”, dijo Krotofil a Motherboard en un chat online. “La mayoría de los intentos eran oportunistas: penetraban en las organizaciones en las que podían entrar y los escenarios de ataque eran estándar, como la filtración de datos o los wipers”.
El Ejército de las Tecnologías de la Información fue creado por Mykhailo Fedorov, viceprimer ministro y ministro de Transformación Digital de Ucrania, en un tuit que enlazaba con un grupo de Telegram.
Tras el tuit, el Ministerio de Transformación Digital publicó un mensaje en su canal de Telegram en el que pedía voluntarios. “Os instamos a que utilicéis cualquier vector de ataques cibernéticos y DDoS contra los recursos rusos”, decía el mensaje.
En la primera publicación del canal oficial de Telegram del Ejército de las Tecnologías de la Información, el grupo anunció: “Tarea nº 1: Os animamos a utilizar cualquier vector de ataques cibernéticos y DDoS contra estos recursos”, enumerando 31 bancos, empresas y sitios web gubernamentales rusos.
En el momento de escribir este artículo, el canal oficial de Telegram del Ejército de las Tecnologías de la Información cuenta con casi 250.000 suscriptores, y el grupo ha estado activo casi a diario desde su creación. Al principio, sin embargo, los miembros del Ejército de las Tecnologías de la Información volaban a ciegas.
“No teníamos literalmente nada, ni siquiera ideas sobre cómo debía funcionar, porque surgió de la nada”, dijo a Motherboard en una llamada telefónica un miembro del Ejército de las Tecnologías de la Información, que pidió permanecer en el anonimato para protegerse. “Francamente, tuvimos que inventarlo todo desde cero”.
We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.
— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022
Motherboard se puso en contacto con el miembro utilizando una dirección de correo electrónico vinculada a la dirección de correo electrónico oficial que el IT Army anuncia en su grupo de Telegram. Una persona que está detrás de la dirección de correo electrónico oficial dijo a Motherboard que la otra dirección también es utilizada por el Ejército de las Tecnologías de la Información.
El miembro dijo que su función es de gestión, evaluando lo que funciona y lo que no, e ideando estrategias para futuras operaciones. Dijo que se unió al Ejército de TI por la voluntad de ayudar a su país a luchar contra los rusos, como muchos otros de sus compatriotas ucranianos.
“Cuando estalló la guerra, mucha gente empezó a mirar cómo podía ayudar al país, para ganar o sobrevivir. Y hablando con franqueza, por supuesto, no todo el mundo está preparado para el servicio militar, para ir al frente, disparar y morir, y todas esas cosas”, dijo. “Así que mucha gente pensó en unirse a los ataques DDoS porque es bastante impactante presionar a los civiles y militares de Rusia”.
Desde entonces, el Ejército de las Tecnologías de la Información ha utilizado sobre todo el DDoS como su arma preferida, hasta el punto de que ahora publica sus propias herramientas de DDoS. Pero con el tiempo, el grupo ha llevado a cabo otros tipos de ciberataques, más o menos sofisticados.
A principios de abril, el grupo desfiguró los sitios web de Sukhoi[.]ru (fabricante ruso de aviones) y Gazprom[.]ru (empresa energética de propiedad estatal mayoritariamente rusa), subiendo declaraciones falsas del director general de Sukhoi, Yuri Slyusar, y del director general de Gazprom, Alexie Miller, en las que criticaban al gobierno ruso por la guerra de Ucrania.
Poco después, el Ejército Informático hackeó Rossgram, el clon ruso de Instagram. El grupo afirmó haber violado su base de datos de inscripciones beta, creó una aplicación falsa de Rossgram, envió invitaciones a las inscripciones beta y envió notificaciones a los usuarios que instalaron la aplicación falsa diciendo que Rossgram había sido hackeado y, finalmente, filtró la base de datos de inscripciones beta en línea.
Pero los éxitos y las actividades del ejército informático no siempre encontraron un apoyo generalizado.
“En mi opinión, sería un error [por parte del gobierno] respaldar esta actividad, pero como ciudadano, como persona que desea que nuestro país prevalezca en esta guerra absolutamente sin precedentes, increíble en el siglo XXI, les agradecería su ayuda para debilitar a nuestro enemigo”, dijo Victor Zhora, el subdirector del SSSCIP, en una llamada telefónica a Motherboard.
La existencia del Ejército Informático es “la indicación de la voluntad de los ucranianos de defender a su país en el ciberespacio”, y sus acciones han obligado a los rusos a defenderse de los ciberataques, lo que significaba que no podían concentrar todas sus fuerzas en atacarse a sí mismos, añadió Zhora.
Zhora dejó claro que su agencia se dedica a la “ciberdefensa” y no coordina ninguna actividad ofensiva.
El Ministerio de Transformación Digital no respondió a las repetidas peticiones de comentarios sobre si trabajan directamente con el Ejército de las Tecnologías de la Información. Sin embargo, el Ministerio publica actualizaciones sobre las actividades del Ejército de las Tecnologías de la Información tanto en un comunicado de prensa en su sitio oficial, como en su canal oficial de Telegram.
“En mi opinión, sería un error [que el gobierno] avalara esta actividad”.
Krotofil dijo que, al menos al principio, “el ciberespacio se convirtió en una zona gris no regulada en la que individuos de todo el mundo pueden participar y hacer lo que quieran”, lo que significaba que las actividades de los voluntarios del Ejército de las Tecnologías de la Información “no estaban reguladas y puede que no siempre estuvieran guiadas por el buen juicio, ya que esas personas eran y son civiles que no tienen los conocimientos adecuados para actuar estratégicamente”.
Pero con el tiempo eso ha cambiado, los voluntarios adoptaron “unas “normas de conducta” adecuadas […] para limitar los ataques a objetivos no relacionados”, y “las actividades se regularon más y se pensaron mejor y algunos grupos seguro que realizaron un trabajo útil [de inteligencia de fuente abierta] o permitieron operaciones en el territorio de Ucrania”, dijo a Motherboard en un chat online.
Soesanto dijo a Motherboard en una llamada telefónica que el Ejército de las Tecnologías de la Información está ahora comprometido con menos objetivos, pero está mejor organizado y “metodológicamente estructurado”.
Al mismo tiempo, grupos como el Ejército de las Tecnologías de la Información han hecho que el seguimiento de lo que hacen los hackers en el conflicto sea un poco más difícil para los investigadores.
“La cantidad de aficionados y voluntarios que, desde el comienzo de la guerra en Ucrania, se han lanzado a intentar ayudar a uno u otro bando jugando a ser una especie de ‘cibersoldado’ ha hecho que el seguimiento de lo que está ocurriendo sea más difícil a veces”, dijo Shane Huntley, jefe del Grupo de Análisis de Amenazas de Google, en una llamada telefónica a Motherboard. “Hay que trabajar para determinar qué es un ataque serio del gobierno y qué puede ser de unos aficionados demasiado entusiastas”.
El futuro del ejército informático, en este momento, es una cuestión muy abierta.
Una de las razones por las que el gobierno ucraniano no ha respaldado abiertamente al Ejército de TI es porque, en cierto modo, algunas de sus acciones son cuestionables. ¿Es legítimo atacar sitios web y empresas civiles en tiempos de guerra? Por ahora, los expertos occidentales en ciberseguridad no se han pronunciado al respecto, pero eso podría cambiar, sobre todo si el Ejército de TI sigue atacando a Rusia una vez que la guerra haya terminado.
“Si la narrativa cambia hacia: ‘Vale, estáis atacando la infraestructura civil rusa, y no nos parece bien, porque viola las normas y el derecho internacional’, entonces creo que será una especie de mala imagen para Ucrania”, dijo Soesanto,
“¿Será algo que cierren? ¿Qué es lo responsable?” dijo Cutler, especulando sobre el futuro del Ejército de TI. “También será interesante ver qué nuevos grupos se forman a partir de esto, porque si tienes un grupo de personas que se unieron a esto con un objetivo común, se familiarizaron trabajando entre sí en una capacidad operativa, cuando el conflicto termine, ¿se van a disolver o van a seguir adelante?”
Según el miembro del Ejército de TI, el grupo “se disolverá el mismo día en que termine la guerra, porque prácticamente el sentido de esto es ejercer más presión sobre el enemigo, y no veo ningún sentido en mantenerlo activo cuando la guerra haya terminado”.
Es demasiado pronto para escribir la historia completa de lo que sucederá en materia de hacking en el resto de la guerra; seguramente hay operaciones que han sucedido de las que no hemos oído hablar, o de las que quizás nunca oigamos hablar.
“La niebla de la guerra y la propaganda de ambos bandos hace que sea muy difícil evaluar lo que está ocurriendo en el ciberespacio más allá de las cosas del hacktivismo, el Ejército de TI y las campañas de phishing que [la agencia de ciberseguridad de Ucrania] SSSCIP está revelando cada semana”, dijo Soesanto. “Dentro de un año probablemente seremos mucho más sabios en lo que respecta a todas las operaciones cibernéticas militares que actualmente no vemos y de las que no sabemos nada”.