El dominio cibernético en la guerra ruso-ucraniana

Este artículo proporcionará un análisis del papel del dominio cibernético en el primer año de la guerra ruso-ucraniana, y lo que nos enseña sobre la guerra moderna.

Credibilidad de las fuentes

En primer lugar, debe tenerse en cuenta una limitación crítica de la información disponible. Las descripciones de los ataques cibernéticos se basan en informes de los medios de comunicación de publicaciones que tienen sus propias agendas. Las publicaciones de ambos lados se utilizan a menudo para la guerra psicológica. Como hemos visto hasta ahora, ambos combatientes en esta guerra se involucran en el engaño y las noticias falsas. Estos factores dominan el campo de batalla hasta tal punto que es imposible saber qué versión de la parte está más cerca de la verdad.

Ciberataques antes de la guerra

Rusia ha estado llevando a cabo operaciones cibernéticas contra Ucrania desde 2014: operaciones de recopilación de inteligencia, operaciones de influencia y operaciones esporádicas de interrupción esporádica de baja intensidad contra la infraestructura nacional ucraniana. Los ataques relevantes para la guerra actual comenzaron aproximadamente un mes y medio antes de que estallaran las batallas terrestres. A principios de enero de 2022, Estados Unidos advirtió a Ucrania que sus infraestructuras estatales críticas estaban bajo amenaza de ataque cibernético. Poco después de esta advertencia, los sitios web de los ministerios del gobierno ucraniano (Educación, Interior, Asuntos Exteriores y otros) fueron desfigurados y se publicaron mensajes advirtiendo a los residentes de Ucrania sobre Rusia.

El Servicio de Seguridad Interna de Ucrania afirmó en ese momento que no se había robado nada como parte de los ataques, pero las pruebas realizadas por funcionarios estadounidenses y Microsoft revelaron virus en las redes ucranianas, particularmente las de infraestructuras críticas como el Ministerio de Defensa de Ucrania, instalaciones de generación de energía, instalaciones nucleares y otros. Aproximadamente dos semanas antes de que comenzara oficialmente la campaña, Estados Unidos envió asistencia experta y soluciones tecnológicas para proteger la infraestructura ucraniana.

Ciberataques rusos durante la guerra

El día antes del estallido de la guerra, y en su primer día, se lanzaron muchos ataques cibernéticos contra la infraestructura nacional, las oficinas gubernamentales y el sistema bancario de Ucrania. La mayoría fueron ataques de denegación de servicio (DoS) y desfiguración del sitio web. Ucrania, que había sufrido ataques cibernéticos contra su compañía eléctrica durante la primera guerra en 2014 y el corte de electricidad en partes del país durante aproximadamente medio día en ese momento, estaba preparada para la campaña actual.

En los primeros meses de la guerra, Rusia atacó repetidamente objetivos estratégicos ucranianos e infraestructuras nacionales como instituciones bancarias, la compañía eléctrica, instalaciones nucleares y la infraestructura de transporte, pero los ataques fracasaron. Los rusos lanzaron varios ataques, principalmente relacionados con la eliminación de información de servidores y computadoras. Un grupo cibernético ruso llamado Armagedón atacó a civiles y organizaciones en Ucrania para recopilar información sobre el estado mental allí, así como otra información que ayudaría en la campaña terrestre y el cierre de la infraestructura nacional ucraniana. La mayoría de los ataques rusos desde principios de febrero de 2022 hasta octubre de 2022 se dirigieron contra instituciones gubernamentales, infraestructuras de TI y el sector energético.

Los ataques cibernéticos también se utilizaron en combinación con operaciones de la fuerza terrestre o ataques de fuego. En abril de 2022, durante el ataque terrestre para capturar la central nuclear de Zhaporozhiya, se llevaron a cabo ataques cibernéticos contra las redes corporativas de la planta. Los ataques cibernéticos fracasaron, pero la planta fue capturada. En otro caso, los rusos intentaron interrumpir el funcionamiento de la sede de la Fuerza Aérea de Ucrania en la ciudad de Vinnytsia (200 kilómetros al sur de Kiev). Primero llevaron a cabo un ataque cibernético contra la red regional de comunicaciones y luego dispararon ataques consecutivos con misiles esporádicos contra el aeródromo y la propia sede. Un ataque similar fue lanzado contra instalaciones gubernamentales, militares y de infraestructura nacional en la ciudad de Dnipro. El ataque comenzó con un ataque DoS en las computadoras y el sitio web del municipio y continuó con un ataque de 11 misiles de crucero en varias instalaciones de la ciudad.

Al mismo tiempo, a través de las redes sociales y los ataques a sitios de noticias y estaciones de radio, los rusos llevaron a cabo operaciones de influencia a gran escala de desinformación y noticias falsas contra el gobierno ucraniano y la OTAN. Estas operaciones continúan hoy.

Los rusos llevaron a cabo operaciones ofensivas también contra los EE.UU., Gran Bretaña, Alemania, Polonia, Letonia y otros países. Estas operaciones estaban destinadas a perturbar las infraestructuras nacionales, pero también a crear un elemento disuasorio contra la intervención en la guerra.

Ciberataques ucranianos durante la guerra

Los ucranianos respondieron vandalizando sitios web del gobierno ruso en los primeros días de la guerra, creando ataques DoS y tratando de crear un entendimiento en Rusia de que Ucrania respondería a la agresión rusa en el dominio cibernético, así como en el campo de batalla.

El presidente ucraniano, Volodymyr Zelensky, incluso pidió a los piratas informáticos de todo el mundo que se unieran al ejército cibernético ucraniano para atacar sitios web e infraestructura rusos, así como para formar parte de una campaña de influencia cibernética. En esta última operación, los ucranianos piratearon sitios web del gobierno ruso, enviaron mensajes a los teléfonos celulares de ciudadanos rusos condenando la guerra, piratearon el sitio web de la televisión rusa y transmitieron mensajes allí, e incluso piratearon el sitio web de la Agencia Espacial Rusa. La organización Anonymous afirma haber penetrado y derribado el sitio web del servicio de inteligencia estatal ruso, el FSB. Además de interrumpir las funciones del Estado ruso, el objetivo es influir en la opinión pública mundial y rusa para poner fin a la guerra.

Recopilación de inteligencia en el dominio cibernético

El propósito de la inteligencia militar en tiempos de guerra es recopilar información sobre las capacidades del oponente, la planificación de la campaña, las acciones y las ubicaciones de las unidades para que puedan detenerse y destruirse de manera rápida y eficiente. La inteligencia militar se recopiló antes y durante la guerra en Ucrania por diversos medios, como la inteligencia humana (HUMINT), la inteligencia de señales (SIGINT), la inteligencia visual (VISINT) y otros. Otro método crítico de recopilación de inteligencia es OSINT, o inteligencia de código abierto. OSINT hace uso de Internet, aplicaciones y redes de comunicación abiertas.

La recopilación de OSINT aprovecha la gran cantidad de información disponible en redes sociales, aplicaciones y sitios web a los que el acceso no está obstruido y que proporciona la firma de los usuarios. Esta información se puede recopilar y analizar con relativa rapidez y con alta precisión por medios tecnológicos. Dicho esto, puede ser difícil saber cuándo la información recopilada es confiable y no desinformación.

La información se recopiló de fotos, videos e historias cargadas por soldados y civiles que participan o ven operaciones. Esta información fue utilizada por la parte ucraniana para identificar la ubicación de las fuerzas rusas y convertirlas en objetivos. En junio de 2022, los rusos informaron su intención de retirarse, pero las fotos y videos subidos a las redes sociales por soldados rusos mostraron que no se estaban retirando y que el anuncio ruso era un engaño. Según los informes, estos videos y fotos fueron reportados por ciudadanos ucranianos a los servicios de seguridad locales.

La segunda dimensión de la recopilación de inteligencia en el ciberespacio es la recopilación de información visual, principalmente a través de la compra de imágenes satelitales que se venden en línea. Esta información se utilizó principalmente para designar objetivos de ataque y para estudiar las maniobras del oponente. Los países que no tienen satélites fotográficos recopilan datos de sitios web que operan sus propios satélites.

La guerra en Ucrania no es la primera en la que se llevó a cabo una campaña paralela en el dominio cibernético. Es precisamente la conexión entre los dominios cibernético y físico lo que hace que el ciberespacio sea un elemento de la guerra moderna, uno que muchos países y organizaciones desean explotar.

En la primera guerra ucraniana en 2014, los rusos utilizaron operaciones cibernéticas para ayudarlos en la campaña terrestre. El ejemplo más destacado fue un ataque al sistema eléctrico ucraniano que dejó a cerca de un cuarto de millón de hogares sin electricidad durante horas. La preparación para este ataque se llevó a cabo aproximadamente un año y medio antes del ataque real, creando una puerta trasera que permitiría a los rusos penetrar en la red eléctrica ucraniana en el momento que elijan.

Los ataques a las infraestructuras nacionales se llevan a cabo para producir efectos psicológicos, económicos y militares que ayudan a la campaña militar. Tales ataques toman tiempo. No son ataques en tiempo real como los que se ven en las películas de “Misión Imposible”. Para llevar a cabo un ataque cibernético a la infraestructura nacional, se debe recopilar inteligencia sobre el objetivo durante un largo período. Se debe preparar un plan operativo y se debe insertar malware adecuado que se oculte dentro del objetivo hasta la activación.

Después de la guerra de 2014, los ucranianos y los estadounidenses estudiaron el modus operandi ruso y elevaron el nivel de seguridad en las infraestructuras nacionales ucranianas, frustrando así la mayoría de los ataques cibernéticos rusos contra la infraestructura ucraniana en la guerra actual.

Teniendo en cuenta las limitaciones de la información publicada y la difusión de información fraudulenta por ambas partes, se puede concluir que en esta campaña, a diferencia de la anterior, las operaciones cibernéticas no tuvieron un papel real en la desactivación de las capacidades e infraestructuras nacionales ucranianas. De hecho, a pesar de la eliminación de información de los servidores (los ucranianos afirman que la mayor parte de la información fue respaldada en lugares invulnerables), los logros rusos fueron mínimos y no superaron el nivel de acoso.

Sin embargo, la campaña cibernética en Ucrania creó efectos cognitivos y psicológicos que influyeron en el discurso público global, la OTAN y las poblaciones de ambos países. Si bien los ataques cibernéticos rusos contra Ucrania deslegitimaron a Rusia y llevaron a otros países a proporcionar a los ucranianos asistencia adicional en defensa cibernética, sin embargo, crearon una gran ansiedad en Ucrania. Si bien es difícil aislar esta ansiedad de los temores más amplios de la población local durante el ataque ruso, es probable que el dominio cibernético eleve significativamente la ansiedad de la población ucraniana.

Los medios de comunicación mundiales han legitimado en su mayor parte e incluso alentado los ataques cibernéticos ucranianos contra Rusia. Ni siquiera desaprobaron el llamado del presidente ucraniano a los piratas informáticos de todo el mundo para lanzar tales ataques, un movimiento interesante en el que a los elementos criminales sin conexión directa con la campaña se les otorgó esencialmente legitimidad para actuar contra Rusia por parte de un mundo occidental silencioso. Los grupos rusos de ataque cibernético, por el contrario, han recibido constantemente desprecio y condena.

La evidencia indica que durante el primer año de la guerra, el dominio cibernético tuvo un efecto militar insignificante. Los adversarios emplearon operaciones cibernéticas principalmente con fines de guerra psicológica e influencia en la opinión pública local y global.

Análisis

En el dominio cibernético, donde las capacidades de ataque cambian todos los días dependiendo de las debilidades recién descubiertas y las nuevas herramientas de ataque, los países no necesariamente tienen ventajas sobre los atacantes civiles. Un país puede invertir esfuerzo, dinero y recursos humanos para encontrar debilidades, capacidades de ataque y capacidades de defensa, pero esto no necesariamente le otorga superioridad sobre sus enemigos en el dominio cibernético. Los hackers pueden encontrar nuevas debilidades en cualquier momento. La supremacía cibernética, a diferencia de la supremacía militar, es, por lo tanto, un concepto flexible y dinámico que puede cambiar rápidamente.

La cuestión de reclutar hackers aficionados o profesionales de todo el mundo es muy importante y puede afectar futuras campañas, incluso en Israel. Israel podría encontrarse enfrentando no solo ataques cibernéticos iraníes, Hamas y Hezbolá, sino también ataques de otros que comparten el objetivo de destruir a Israel. No podemos saber quién podría alistarse en tal campaña, ya sea de antemano o mientras está sucediendo. Tampoco podemos saber qué nuevas habilidades podrían poseer tales agentes libres. Estas personas podrían incluir ciudadanos israelíes que actúan en su contra en concierto con los enemigos de Israel.

Otro elemento importante del dominio cibernético en el primer año de la guerra ruso-ucraniana fue el fraude. Se difundió información falsa a través de canales de noticias y se difundieron perfiles falsos para confundir al enemigo sobre movimientos militares, lugares de reunión y planes de ataque. Los rusos transmitieron sus maniobras a través de sus propios canales de noticias, que a su vez fueron citados en informes de noticias globales. Estos anuncios a veces causaron que Ucrania activara fuerzas y maniobrara para la defensa cuando no era necesario, minando la preparación para movimientos militares reales.

El tercer y último componente del ciberespacio es la recopilación de inteligencia a través de redes sociales, sitios web y aplicaciones que permiten la localización de objetivos y fuerzas y la comprensión de las maniobras militares.

Recomendaciones

En primer lugar, la guerra ruso-ucraniana ha agudizado la comprensión de la necesidad de construir y actualizar las medidas de seguridad de la información, especialmente en torno a infraestructuras nacionales críticas como la electricidad, el transporte, el agua, el sistema financiero, las comunicaciones, el sistema de salud y las organizaciones de defensa. Además, deben reforzarse las medidas de protección para las empresas y organizaciones en las cadenas de suministro de las infraestructuras nacionales. Estos a menudo serán más vulnerables y menos conscientes del peligro. Por lo tanto, constituyen una vía de ataque al corazón de las infraestructuras nacionales.

En segundo lugar, las capacidades de recopilación de información en tiempo real deben fortalecerse en las redes sociales para identificar a los soldados enemigos y rastrear su actividad, ubicación e interacciones. Estas herramientas deben ser capaces de distinguir entre información genuina y falsa, lo que se puede hacer utilizando inteligencia artificial. Estas capacidades deben incluir la detección de teléfonos celulares adversarios, incluso cuando se usan entre la población civil, para crear objetivos en tiempo real. Cabe señalar que en la Segunda Guerra del Líbano, Hezbolá aparentemente tenía tales capacidades.

Por el contrario, la tercera recomendación, que es un corolario de la segunda, es fortalecer la conciencia de los soldados y civiles israelíes para mantener la seguridad de la información antes y durante el combate y no revelar secretos militares, incluida la ubicación de las fuerzas, su tamaño o su uso en las redes sociales. Se debe impedir que los soldados activen sus teléfonos durante las operaciones.

La cuarta recomendación es el desarrollo de un enfoque nacional, uniforme, cronometrado y coordinado entre todos los organismos pertinentes para crear desinformación e influencia en las redes sociales y los canales de los medios de comunicación. Si los diversos organismos trabajan juntos, pueden lograr una gran influencia en el ámbito interno, a los ojos del oponente y en el ámbito diplomático internacional, a menudo crítico.

La quinta recomendación es la creación de una superioridad permanente en el dominio cibernético, cuyo elemento principal es el desarrollo constante de debilidades, lagunas y puntos de acceso a los sistemas enemigos. Tal capacidad puede basarse en el autodesarrollo, pero también en el descubrimiento de las debilidades existentes en la red, con énfasis en los canales de Telegram y Darknet, así como en el funcionamiento de organismos privados en el servicio estatal.

El Comandante de la Marina (retirado) Eyal Pinko es investigador principal en el Centro Begin-Sadat de Estudios Estratégicos e investigador y profesor de inteligencia, ciberseguridad, seguridad nacional y seguridad marítima. Una versión de este artículo fue publicada originalmente por The BESA Center.