La guerra cibernética entre Rusia y Ucrania comenzó mucho antes de que las tropas del Kremlin pusieran sus botas sobre el terreno en febrero de 2022. Sin embargo, con el inicio de las hostilidades del mundo físico salieron a la luz nuevos cibercomandos cuyo objetivo iba más allá de las operaciones militares. “Aparecimos en la esfera pública al comienzo de la Operación Militar Especial de Rusia. Fue entonces cuando unimos fuerzas y decidimos salir de las sombras. No nos interesaba la fama, nos motivaba el deseo de hacer justicia y defender el honor de nuestra Patria, Rusia, en el espacio de la información, que es lo que seguimos haciendo hasta el día de hoy”, dicen desde NoName057(16).

NoName057(16) es el grupo de este tipo más activo contra objetivos españoles. El sector de la ciberseguridad les denomina hacktivistas (hackers activistas) y ellos aseguran que son voluntarios, aunque este es uno de los muchos puntos controvertidos acerca de estos comandos. Realizan ataques de perfil bajo, especialmente de denegación de servicio, que pueden bloquear webs y tumbar servicios digitales. Aunque de impacto limitado, las ofensivas de NoName057(16) traen de cabeza a las fuerzas de seguridad, ya que en estos dos años han logrado derribar páginas oficiales de ministerios, ayuntamientos, diputaciones o medios de comunicación.

La última ha sido este mismo marzo, en venganza por el compromiso español de apoyar la defensa de Ucrania cuando concluya el proceso de paz. El propio Pedro Sánchez lo reconoció la pasada semana en una visita oficial a Finlandia. “Estamos hablando con Finlandia también de ciberseguridad. Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reflejó ante su homólogo nórdico. “Nuestra amenaza no es una Rusia que lleve sus tropas por los Pirineos a la península, es una amenaza más híbrida, con ciberataques. Por tanto, lo que tenemos que hacer es no hablar solo de gasto en defensa, sino en seguridad”, insistió a su regreso, encajando la ciberseguridad en el debate sobre aumentar el gasto militar.

A pesar de la creciente preocupación oficial, no existen cifras claras sobre el impacto real de estos ataques en términos económicos o de seguridad nacional. Las autoridades no han publicado estimaciones sobre los costes derivados de las interrupciones de servicios digitales ni sobre los recursos destinados a contrarrestarlos, mientras que la actual Estrategia de Seguridad Nacional, de 2021, hace referencia a las acciones de guerra híbrida pero no a los hacktivistas ni a las consecuencias para la ciberseguridad de la invasión rusa de Ucrania.

La que se lleva a cabo contra estos grupos es una guerra de engaños y juegos de sombras en la que se emplean avanzadas herramientas para anonimizar el rastro digital de los atacantes, que los defensores intentan deshacer. Se lleva a cabo entre especialistas que, en raras ocasiones, se dan cita entre las trincheras para departir. Es lo que ha ocurrido cuando dos de estos grupos de hacktivistas han accedido a entrevistarse con un experto en ciberseguridad español, Rafael López, que ha compartido las trascripciones con elDiario.es.

Un fragmento de la conversación del portavoz de NoName057(16) con el experto en ciberseguridad español Rafael López.

“Que nos llamen como quieran, lo importante es que nos respeten y nos teman. Pero, en serio, nosotros nos consideramos ante todo un virus, el virus de la justicia, por muy patético que suene. Con nuestras acciones, mostramos la verdadera actitud del gobierno europeo hacia sus ciudadanos”, afirman desde NoName057(16) en su conversación con el experto.

Guerra de propaganda

Ambas partes ganan con la conversación. El comando pro-Putin, una forma de impulsar su propaganda sobre Ucrania y sobre las supuestas consecuencias que tiene interponerse en los deseos geoestratégicos del Kremlin. “Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, transmite NoName057(16).

Los defensores, por su parte, les ofrecen una nueva plataforma para que los atacantes digan demasiado o cometan un error que permita capturarlos. El pasado verano la Guardia Civil detuvo a tres personas en Manacor, Huelva y Sevilla por, presuntamente, colaborar con las ofensivas del grupo. “La particularidad de los ciberataques llevados a cabo por NoName057(16) es que son realizados mediante un software desarrollado por el propio grupo, bautizado como 'DDoSia', que es utilizado de forma voluntaria por individuos que apoyan los fines de esta organización hacktivista”, detalló entonces la Guardia Civil.

“Por supuesto, podemos entrar en casi cualquier lugar si queremos. Le damos un papel importante al trabajo analítico: seleccionamos cuidadosamente los objetivos de los ataques y los escenarios de impacto en el enemigo para causar el máximo daño”, presumen los miembros del grupo en su entrevista con López.

“En cuanto a los líderes de Europa... Bueno, es un grupo de personas perdidas que no entienden con quién o con qué están tratando. Si creen que están seguros, tenemos que decepcionarlos: no, no es así. Estamos en todas partes. Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso. No nos importa quién decidió jugar con fuego; siempre defenderemos a los nuestros y destruiremos todo lo que se interponga en nuestro camino. ¿Quieres probar suerte? Bueno, buena suerte. La necesitarás”, continúan.

Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer cuantos más adeptos, mejor

Rafael López — experto en ciberseguridad

Este tipo de declaraciones no pillan por sorpresa a sus adversarios. “Tienen un ego enorme y con cada ataque satisfactorio se van retroalimentando, algo muy común entre los activistas”, dice López sobre sus interlocutores. “Tienen un montón de afiliados y mucha gente que les está diciendo constantemente que son buenísimos. Están atacando a la OTAN y la OTAN les teme, están saliendo en prensa, te nombran las fuentes de inteligencia. Ellos saben que hay grupos de trabajo creados con la misión de intentar cazarlos”.

Fue el propio grupo el que empezó a seguir al experto en redes sociales a raíz de que este explicara sus actividades en los medios, lo cual este aprovechó para iniciar la comunicación. “Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer a cuantos más adeptos. Ellos basan su fuerza en sus conocimientos, pero también en tener muchos voluntarios que les ayudan, incluso dentro de los países donde actúan”.

A la caza de voluntarios

Los ataques de denegación de servicio como los que practica NoName057(16) se basan en sobrecargar un sistema, como un servidor o una red, con un exceso de tráfico o solicitudes de datos falsas, haciendo que deje de funcionar correctamente o se cuelgue. Los atacantes avanzados usan múltiples dispositivos para lanzar el ataque simultáneamente, dificultando su detección y defensa. Para eso, los activistas necesitan voluntarios que sumen sus dispositivos a la ofensiva, como presuntamente hacían los tres detenidos en julio en España.

“Los grupos de cibercrimen de corte activista, y más aún los de corte prorruso, buscan sobre todo publicidad, nombre, reputación. De ahí el discurso de que ellos son los mejores, que van en serio, que no tienen ningún tipo de freno y que pueden hacer lo que les dé la gana”, contextualiza Ainoa Guillén, especialista en Inteligencia de amenazas cibernéticas. “¿Qué quieren conseguir? Pues básicamente reclutar nuevos perfiles, porque ellos siempre están intentando reclutar gente que se sume a sus filas”.

En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros

NoName057(16)

Durante su entrevista con López, el grupo pro-Putin no deja pasar la oportunidad de presumir del éxito de sus campañas de reclutamiento. “Vemos que en Europa hay muchas personas valientes y reflexivas que se unen a nosotros, y esto nos motiva aún más y nos da esperanza en la restauración de un mundo justo. En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros”, afirman.

“En cuanto al número de nuestras ciberfuerzas, responderemos con una cita favorita del poeta clásico ruso Alexander Blok: Millones están con vosotros. Nosotros tenemos oscuridad, y oscuridad, y oscuridad. ¡Intentad luchar contra nosotros!”, contestan al ser preguntados al respecto por el especialista español.

Financiación externa

“Cada uno de nosotros tiene su propio capital y queremos gastar parte de estos fondos en algo real y contribuir a la historia. Muchos de nosotros trabajamos en empleos bastante ordinarios. Te puedes encontrar de todo en nuestras filas, desde un profesor hasta un trabajador de carga. Porque para nosotros, todos son importantes”, aseguran desde NoName057(16) sobre sus integrantes y su financiación. Los expertos lo ponen en duda: “Dependen del GRU, que es el servicio de inteligencia ruso”, recuerda López.

Otra de las razones que impiden a los especialistas confiar en la imagen activista que ellos proclaman es que grupos como NoName07(16) retribuyen a los voluntarios con criptomonedas cuando participan en sus acciones. “No es creíble”, coincide Guillén. “Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen. O incluso algo legal... Lo que está claro es que no puede salir de su bolsillo. Echa cuentas: si retribuyen con 50 o 100 dólares a los voluntarios, participan decenas en cada acción y lanzan operaciones casi todos los días...”.

No es creíble que no tengan financiación externa. Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen

Ainoa Guillén — especialista en Inteligencia de amenazas

También está el dominio de las herramientas de anonimización de la que hacen gala sus miembros, lo que no concuerda con integrantes con empleos “ordinarios”. “Ellos se especializan en una rama llamada Opsec, que es la seguridad operativa. Es el que se basa en ocultar su rastro y mantener el anonimato. Hay grupos que incluso fundaron academias propias donde enseñaban sus técnicas y, como docente, he de decir que tenían programas incluso mejores que los nuestros”, refleja la especialista.

Pese a todo, la del activismo es una de las narrativas clave de estos grupos. También de Z-Pentest, otro de los más activos en España en los últimos tiempos, que también han sido recientemente entrevistados por López: “Cada vez que escuchamos algo sobre que estamos patrocinados por algún gobierno, nos reímos tanto que nos sale el café por la nariz. ¡No dependemos del presupuesto de ningún país!”.

Ciberataques contra infraestructuras críticas

Z-Pentest reivindicó los ataques de principios de marzo contra la Casa Real, La Moncloa, el Departamento de Seguridad Nacional, la propia Policía Nacional y varios ministerios. Se cree que el grupo es de origen serbio, pero también es un arma más de la diplomacia ciber del Kremlin. “Siempre estamos del lado de Rusia, no hace falta adivinarlo”, dicen en su entrevista con López: “Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso”.

Z-Pentest ha hecho ataques de denegación de servicio como los de NoName057(16), pero también ha mostrado capacidades de tener un impacto mucho mayor. En colaboración con otros grupos, Z-Pentest accedió a sistemas que gestionan bombas de petróleo y tanques de almacenamiento en Texas, demostrando su capacidad para manipular funciones críticas en infraestructuras industriales.

Un fragmento de la conversación del portavoz de Z-Pentest con el experto en ciberseguridad español Rafael López.

Durante su conversación con el experto español, su portavoz presume de poder hackear incluso sistemas de la industria militar. “Sí, por supuesto que los hay”, contestan cuando López pregunta si ya han comprometido plataformas de armas: “Pero no lo anunciamos a los cuatro vientos, a diferencia de aquellos que declaran abiertamente su seguridad y luego se preguntan por qué todo de repente salió mal. Guardamos silencio porque el silencio es nuestra mejor arma. Entramos por cualquier hueco, ya sea una vulnerabilidad en el sistema, un eslabón débil en la seguridad o simplemente una contraseña estúpida. Mientras alguien cree que todo está bajo control, nosotros ya estamos dentro, estudiando, analizando, esperando”.

“El mejor momento para atacar es cuando la víctima está convencida de que nadie la tocará. Y cuando ese momento llega… Bueno, el espectáculo comienza”, añaden.

No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario

Z-Pentest

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU reflejó en un informe de 2024 cómo los hacktivistas prorrusos habían fijado su punto de mira en los sistemas de tecnología operativa a pequeña escala tanto en Norteamérica como en Europa, “especialmente en los sectores de agua y aguas residuales, presas, energía y alimentos y agricultura”. “Tratan de poner en peligro los sistemas de control industrial modulares y expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina, aprovechando el software de acceso remoto y las contraseñas predeterminadas”, alertó la Agencia.

Z-Pentest es además uno de los grupos que ha subido el tono del discurso sobre las consecuencias para la población civil de sus ataques. “No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario. Y nos da igual quién se queje ante la ONU, publique mensajes indignados o grabe apelaciones emocionales después. No nos preocupamos por las consecuencias. Las consecuencias deberían temernos a nosotros”, dicen en su entrevista con López.

“Son grupos peligrosos”, confirma el experto. “Son grupos que están muy radicalizados, que hay que tenerlos muy en cuenta en el panorama actual de ciberguerra que existe porque su radicalización, la especialización y la profesionalización que tienen a la hora de atacar y de reclutar los hacen un enemigo muy importante”, concluye.

El periódico The New York Times informa este lunes de que el secretario estadounidense de Defensa, Pete Hegseth, ha ordenado al Comando Cibernético que detenga las operaciones ofensivas contra Rusia, en el marco de los esfuerzos de la Administración del presidente Donald Trump para mejorar las relaciones con Moscú y que el mandatario ruso, Vladímir Putin, participe en las negociaciones de paz en Ucrania.

El prestigioso diario cita a un funcionario y a otros dos exfuncionarios con conocimiento de las instrucciones de Hegseth, que no se han hecho públicas pero que forman parte de una reevaluación más amplia de las operaciones contra Rusia.

También la cadena de televisión CNN informa de que el Gobierno estadounidense ha suspendido “las operaciones y la planificación de las operaciones cibernéticas ofensivas contra Rusia”, según un alto funcionario. El funcionario ha considerado que es un “gran golpe”, ya que ese tipo de operaciones requieren tiempo e investigación para ser llevadas a cabo; además, ha advertido de que la suspensión deja a EEUU más vulnerable frente a potenciales ataques cibernéticos de Moscú.

Desde el Departamento de Defensa de EEUU, un alto funcionario ha declarado a CNN que “no hay mayor prioridad para el secretario Hegseth que la seguridad de los combatientes en todas las operaciones, incluido el dominio cibernético”.

El Ejército ucraniano ha lanzado a primera hora de este domingo 5 de enero una ofensiva militar en territorio ruso desde las posiciones tomadas por sus soldados en el mes de agosto en la región de Kursk. El avance, que ha contado con un importante apoyo de unidades de guerra electrónica, se produce a apenas dos semanas de la toma de posesión del presidente electo de EEUU, Donald Trump.

La contraofensiva militar ucraniana, la primera desde que decidió avanzar sobre territorio ruso en agosto de 2024, ha comenzado durante la madrugada cuando varias unidades de antiminado han abierto el camino para un numeroso grupo de blindados que se ha adentrado en territorio ruso desde las posiciones que aún controla el Ejército de Ucrania en la región de Kursk.

Numerosos canales de información militar rusos han dado la voz de alarma desde horas tempranas ante la actividad detectada por las fuerzas rusas en la zona, que han visto cómo el apoyo de unidades dedicadas a la guerra electrónica ha dejado casi inservibles los numerosos drones de Rusia e incluso han puesto en cuestión elementos tan necesarios para la guerra como internet o algunos radares.

Aunque el avance ucraniano es por el momento desconocido, tanto fuentes ucranianas como rusas reconocen “avances tácticos” importantes que estarían concentrados en torno a dos localidades: Berdin y Tetkino.

El jefe de gabinete del presidente de Ucrania, Andrí Yermak, ha dado por hecha esta mañana la ofensiva a través de un mensaje en la aplicación Telegram: “Kursk, buenas noticias, Rusia está recibiendo lo que se merece”.

Por su parte, el Ministerio de Defensa de Rusia ha confirmado el ataque ucraniano: “Para contrarrestar el avance de las fuerzas rusas en la dirección de Kursk, las tropas ucranianas lanzaron un contraataque sobre las 9.00 AM hora de Moscú”.

Ya a primera hora de la tarde, el Estado Mayor ucraniano informaba de que ha llevado a cabo a lo largo de este domingo un total de 42 combates en la región rusa de Kursk y que 12 continúan en activo.

La contraofensiva ucraniana se produce a apenas dos semanas de la toma de posesión del presidente electo de Estados Unidos, Donald Trump, que afirmó durante la campaña electoral que lo enfrentó a la demócrata Kamala Harris que acabaría con la guerra en Ucrania “en 24 horas” y que se reunió con el presidente Zelenski y su homólogo francés Emmanuel Macron con motivo de la reapertura de la Catedral de Notre Dame.

El presidente ucraniano defendió esta semana que cree que “Trump es fuerte e impredecible” y que le gustaría mucho “que la imprevisibilidad del presidente Trump se dirigiera principalmente hacia la Federación Rusa”.

La ocupación de territorio ruso podría buscar alcanzar una posición de negociación reforzada para los ucranianos ante el regreso al poder del magnate estadounidense y ser una forma de contrarrestar los avances rusos de la segunda mitad del año 2024. Ya en su visita de diciembre a Bruselas, Zelenski defendió que Kiev debe llegar a esa negociación con la mayor fortaleza posible.

En un extenso análisis en la red social X, el analista de Defensa especializado en Rusia Michael Kofman pronosticaba este mismo sábado que las Fuerzas Armadas de Ucrania podrían intentar una nueva ofensiva este invierno similar a la operación de Kursk en busca de “cambiar la narrativa y obtener más territorio ruso con el que negociar”.

Kofman advertía, sin embargo, de que aunque este tipo de decisión podría generar “éxitos tácticos” para los ucranianos, podría suponer “un riesgo considerable” para otras partes del frente de guerra.

Ucrania entró en la región rusa de Kursk en el mes de agosto y en un mes logró hacerse con el control de 1.100 kilómetros cuadrados. Pasados cinco meses de combates, la contraofensiva rusa, con ayuda de soldados norcoreanos, ha logrado recuperar más de la mitad del territorio ocupado por las tropas ucranianas.

Según el portal ucraniano de información militar 'Militarnyi', a finales de 2024 quedaban en Kursk bajo control de las Fuerzas Armadas ucranianas unos 460 kilómetros cuadrados.

La información personal de 29 diputados del Congreso y 10 senadores españoles está expuesta en la dark web, ese rincón de Internet oculto a los buscadores y navegadores tradicionales donde proliferan los foros para trapichear con drogas, armas, datos robados u otros servicios ilegales. En 14 de los casos la vulnerabilidad es crítica, pues la información filtrada incluye contraseñas de servicios digitales usados por los parlamentarios españoles a través de sus correos electrónicos oficiales.

La revelación proviene de un análisis realizado en conjunto por la firma de ciberseguridad Constella Intelligence y Proton, una empresa suiza que ofrece servicios de correo electrónico privado y VPN. Las identidades de los políticos españoles con cuya información se está mercadeando en la web oscura no se han revelado. “Todos los datos son anónimos para limitar el riesgo de las personas expuestas”, han explicado fuentes de Proton a elDiario.es.

La empresa sí ha contactado personalmente a cada afectado para comunicarle la situación. “Una única vulneración podría significar un grave problema de seguridad nacional. En una época en la que las personalidades políticas están, cada vez más, en el punto de mira por sus prácticas en ciberseguridad, es más importante que nunca que quienes están bajo la mirada pública se aseguren de que su identidad digital goce de la mayor protección posible”, afirma.

Es habitual que los ciberdelincuentes que comercian con información robada en la dark web compren y revendan las bases de datos en diferentes lugares, multiplicando la gravedad de cada vulnerabilidad. Según la investigación, los datos de los 39 diputados y senadores españoles afectados están expuestos en al menos 117 filtraciones diferentes. “Estas filtraciones tuvieron lugar cuando los políticos se registraron en servicios de terceros (LinkedIn, Adobe, Dropbox, etc.) mediante sus direcciones de correo electrónico oficiales y estos servicios fueron posteriormente atacados”, detalla.

Aunque la web oscura no nació como un lugar destinado únicamente a las actividades ilegales, el anonimato que proporciona la ha convertido en un lugar ideal para este tipo de transacciones. Como documentó este reportaje de elDiario.es, es un mercado con precios estandarizados y cada vez más profesionalizado donde se puede adquirir la materia prima que los ciberdelincuentes usan para cometer estafas. La clave bancaria de una tarjeta de crédito española, por ejemplo, puede valer unos 20 euros.

La vulnerabilidad más habitual en el caso de los políticos españoles analizados que tienen sus contraseñas expuestas, es que esta sea la clave de LinkedIn. “Si bien la adquisición hostil de una de estas cuentas no le daría al atacante o a un gobierno extranjero acceso a secretos de Estado, podría revelar comunicaciones privadas y otros datos confidenciales que podrían usarse para estafar o chantajear a los políticos implicados”, dicen los investigadores.

Peor en Francia, Italia y Reino Unido

Con todo, los diputados y senadores españoles son los que salen mejor parados del estudio, que también ha incluido a parlamentarios franceses, italianos y británicos. En porcentaje, un 6,4% de los 615 miembros del Congreso y del Senado tienen un su información filtrada. En Francia esa proporción sube al 18% y en Italia, del 14%. Los británicos son con creces los más atacados, con casi la mitad de ellos (44%) con su información expuesta en la web oscura.

“Se identificaron un total de 402 filtraciones en Italia, 1306 en Francia, 2110 en el Reino Unido y un total de 2311 entre los eurodiputados”, recoge el estudio, que califica la situación en estos países como “alarmante”: “Se divulgaron 320 contraseñas en texto plano asociadas a cuentas vulneradas de miembros de la Asamblea Nacional francesa, 216 en el caso de sus homólogos del Reino Unido, 161 entre los eurodiputados y 118 de sus homólogos italianos”.

Las empresas autoras recomiendan a las autoridades aumentar la ciberseguridad de estos representantes púbicos. Por ejemplo, destacan que el hecho de que sus direcciones de correo oficiales les identifiquen con nombres y apellidos aumenta la posibilidad de que los ciberdelincuentes puedan seleccionarlos como objetivo en una brecha de seguridad, por lo que aconsejan usar “alias de correo”. “Con un alias de correo, la identidad de una cuenta queda oculta. Además, si un alias se filtra o cae en malas manos, el usuario puede borrarlo fácilmente sin que afecte a su dirección de correo electrónico real o a sus otros alias”.

También recuerdan la utilidad de los gestores de contraseñas (servicios que generan una clave única y robusta para cada servicio, dificultando su hackeo e impidiendo su reutilización) o analizar la web oscura cada cierto tiempo para comprobar qué datos pueden haberse filtrado.

“En un contexto en el cual la ciberdefensa es una preocupación de primer orden a nivel nacional y europeo, las autoridades públicas están en el centro de los problemas estratégicos y de toma de decisiones. Son un objetivo primordial para los agresores del estado de cualquier origen. Esta investigación pone de relieve que es urgente implementar buenas prácticas y concienciar a los políticos de los crecientes problemas de ciberseguridad”, destacan sus autores.

Los cambios tecnológicos que trae consigo la inteligencia artificial generativa no escapan a ningún sector. Tampoco al de la defensa y el contraespionaje, que se esfuerzan por estar preparados para los nuevos ataques que podrían surgir de la mano de esta tecnología. Así lo han confesado altos mandos militares y de los servicios de inteligencia este martes en la conferencia de ciberdefensa organizada por Google.

“La inteligencia artificial puede ser una herramienta o una amenaza. Así que nosotros lo utilizamos para estar preparados para cualquier ataque que utilice este tipo de nueva tecnología. No podemos estar ciegos al respecto. Tenemos que aprender a utilizarla para estar preparados para lo que venga”, ha expuesto Enrique Pérez de Tena, jefe de Relaciones Internacionales y Cooperación del Mando Conjunto del Ciberespacio, una unidad militar especializada en el ámbito digital que integra a miembros de la Armada y de los Ejércitos de Tierra y del Aire.

Pérez de Tena ha explicado que la red se ha convertido en un entorno donde “hay una guerra que se libra todos los días”. Una guerra en la que hay diferentes bandos, aunque en unidades como la suya no pueden “confiar en nadie”. “Hoy en día, las corporaciones como Microsoft, Google o Amazon tienen el poder. ¿Por qué? Porque tienen los datos. Así que si tengo que elegir, prefiero estar en su bando que en el de sus enemigos”, ha reflejado el militar, que ostenta el rango capitán de fragata, equivalente a teniente coronel.

Pero compartir bando no significa que los aliados tengan siempre los mismos objetivos. “Ellas son empresas privadas y como tales su objetivo es ganar dinero. Ese no es mi objetivo”, proseguía Pérez de Tena. “Si tengo que estar en un bando, prefiero que sea en el suyo. Pero no confiamos en nadie por defecto”, desarrollaba.

España cuenta con tres equipos de referencia en la respuesta ante emergencias informáticas. Uno es el Instituto Nacional de Ciberseguridad, que cubre a empresas privadas y ciudadanos. El segundo es el Mando Conjunto de Ciberdefensa, de ámbito militar. El tercero es el Centro Criptológico Nacional, dependiente del CNI, que cubre al sector público y las infraestructuras críticas.

Carlos Abad es su responsable de ciberseguridad. “El primer reto es la velocidad a la que todo esto está sucediendo. La tecnología evoluciona a tal velocidad que ni siquiera los expertos pueden seguirla”, ha enumerado en referencia a los riesgos que presenta la inteligencia artificial para su organismo, que también realiza labores de contraespionaje.

“Lo segundo a tener en cuenta es que la superficie de ataque ha crecido”, ha continuado. “No sólo tenemos que proteger nuestras aplicaciones de redes tradicionales, sino también las de inteligencia artificial, que permite una amplificación masiva en las redes sociales y aumenta la amenaza y el desafío que tenemos que enfrentar”, ha descrito en el evento de Google, organizado en Málaga, sede del principal centro de ciberseguridad de la multinacional a nivel europeo.

Abad sí ha tendido la mano a la compañía estadounidense (“Podemos trabajar juntos, no veo muchos problemas si separamos los datos sensibles del resto de datos”, ha afirmado) y ha indicado que en este momento su principal preocupación es la formación de los responsables empresariales y del sector público. “Gerentes, directores y directores generales. Porque cuando les hablas de inteligencia artificial, creen que actúa como por arte de magia y piensan que aprietas un botón y todo se soluciona”, ha expuesto: “Es importante que sepan lo que la IA puede hacer por ti y lo que no”.

Google tiende la mano

Google se ha ofrecido a colaborar tanto con las empresas privadas como con los gobiernos para impedir que la inteligencia artificial se convierta en una amenaza de seguridad. “Toda la información que nosotros tenemos es pública y la compartimos con los gobiernos y con las empresas privadas”, ha declarado en conversación con elDiario.es su directora de seguridad en la nube para Europa, Oriente Medio y África, Cristina González Pitarch.

Aunque no se puede descartar que esta tecnología sirva para lanzar ataques más sofisticados contra instituciones y organizaciones, la directiva de la multinacional manifiesta que ese momento aún no ha llegado. “Vamos un paso por delante”, presume, explicando que la inteligencia artificial está siendo más útil para “detectar” y “cazar” esas ofensivas que para lanzarlas. “Los ataques tradicionales siguen siendo lo que más estamos viendo”, revela.

Vemos muchos ataques de Rusia, muy centrados en Ucrania. Pero también contra sedes diplomáticas de otros países de la UE. Su misión es desestabilizar y conseguir dinero

Los nombres de los atacantes que cita González Pitarch son viejos conocidos. Actores localizados en Rusia, China y Corea del Norte. “Vemos muchos ataques de Rusia, muy centrados en Ucrania. Pero también se está viendo ahora que esos mismos ataques se desarrollan contra sedes diplomáticas de otros países de la Unión Europea. Su misión es desestabilizar y conseguir dinero. Esos ataques pueden ser muy lucrativos y Rusia los está utilizando para financiarse”, relata.

Los ataques desde China, por el contrario se centran en “infraestructuras esenciales” o “en cosas pequeñas que usamos todos los días, lo que llamamos el Internet de las Cosas”, afirma. Se trata de una alerta que también ha lanzado Enrique Pérez de Tena y que está relacionada con la tecnología 5G. “Aumenta las vulnerabilidades de forma exponencial. Ahora puedo tener 2.000, pero mañana pueden ser 10.000. Nosotros tenemos que cubrir todos esos agujeros, pero los chicos malos sólo tienen que encontrar uno”, ha explicado.

En cualquier caso, la responsable de Google indica que España, aunque este lejos físicamente de los puntos de conflicto actuales, no es ajena a esa belicosidad en el terreno digital. “Esos ataques de naciones son los más preeminentes, son los que los que nosotros vemos”, apunta.

La receta para evitar estos riesgos, según la multinacional, es aumentar la formación de personal cualificado para enfrentarse a ellos. En ese sentido, Google ha anunciado este martes la inversión de un millón de euros en la Universidad de Málaga para ayudar a poner en marcha un programa de seminarios de ciberseguridad.

Junts per Catalunya ha denunciado en la noche de este sábado que ha sufrido un ciberataque desde diferentes países, si bien ya ha sido neutralizado y no ha afectado a la votación telemática que el partido organiza este fin de semana sobre el acuerdo alcanzado con el PSOE para la investidura de Pedro Sánchez.

En un comunicado, Junts ha explicado que el ciberataque se ha producido “desde diferentes países” y ha consistido en “unas 70.000 agresiones planificadas”.

El partido ha añadido que el ciberataque ha podido ser neutralizado y denunciado ante la Agencia de Ciberseguridad de Catalunya.

El ataque, ha agregado el partido, no afecta al proceso de validación interna del acuerdo con el PSOE, cuyas votaciones telemáticas finalizarán este domingo por la tarde.

El grupo de ciberdelincuentes autodenominado NoName057, conocido por sus acciones en favor de los posicionamientos geopolíticos del Kremlin, ha reivindicado este viernes varios ciberataques contra las páginas oficiales de instituciones públicas españolas. Según afirman, han llegado a tumbar los portales de la Moncloa, del Ministerio de Economía y Transformación digital, del Instituto Nacional de Ciberseguridad (Incibe) y de varias administraciones locales de Granada, como el Ayuntamiento, la Oficina de Turismo o la del Metro.

En este momento, las páginas de las instituciones de la ciudad nazarí son las únicas que permanecen fuera de servicio. elDiario.es no tiene constancia de que los portales del Gobierno central hayan llegado a estar inoperativos en algún momento. El Incibe ha confirmado que la oleada de ciberataques ha ocasionado “pequeños cortes de disponibilidad en portales web”, pero que “se ha garantizado el perfecto funcionamiento de todos los operadores esenciales”. 

NoName057 ha justificado el ataque en la visita de Volodímir Zelenski a España. “Acudió a la ciudad española de Granada para reunirse con el presidente español, Pedro Sánchez, con el fin de tratar el suministro de sistemas antiaéreos Hawk a Ucrania”, afirman en su canal de Telegram. Los lanzadores de misiles Hawk están fabricados por EEUU, cuentan con capacidades de detección, identificación, seguimiento y destrucción de objetivos aéreos a media y baja altura, con un alcance de 40 km.

Se trata de un sistema en servicio desde 1962 y que se encuentra al final de su vida útil. España envió varios de ellos a Ucrania en noviembre de 2022 y se ha comprometido a hacer llegar a Kiev otros seis lanzadores en la reunión que los líderes de los 27 miembros de la UE han mantenido en Granada, a la que ha acudido como invitado el presidente ucraniano.

“Parece que el segmento español de Internet ha estado esperando nuestra visita, ¡así que tenemos prisa por atacarlo con misiles DDoS de largo alcance!”, ha ironizado el grupo. Los ataques de denegación de servicio (o DDoS, por sus siglas en inglés) consisten en colapsar el acceso a los servicios digitales mediante una avalancha de peticiones de información. NoName07 los realiza con herramientas propias y “tomando prestados” los equipos de sus partidarios, que pueden instalar un programa informático para que sus dispositivos realicen esas peticiones de información cuando el grupo lo ordene.

Los ataques DDoS son una variante muy sencilla de ciberataque, popularizada por grupos hacktivistas a principios de la década de los 2010. Aunque pueden usarse como cortina de humo para acciones como el robo de información, por si mismos su único efecto es tumbar páginas web y otros servicios digitales.

No es la primera campaña del grupo NoName057 en España. A finales de julio reivindicaron una campaña de ataque que tumbó las páginas de varios medios de comunicación. En aquella ocasión también justificaron su acción por la colaboración militar entre España y Ucrania.

Rusia es habitualmente relacionada con la ciberdelincuencia internacional. Uno de los motivos es que sus autoridades suelen hacer la vista gorda con las mafias que actúan en la red si estas centran sus ataques en el mundo occidental. A veces, obedecen a órdenes superiores y otras simplemente gracias a los sobornos. Esto hace que se identifique a los “hackers rusos” con ciberataques de toda índole, muchos de los cuales no tienen ninguna relación con el estado ruso ni son perpetrados por ciudadanos rusos.

Uno de los comandos que los especialistas en ciberseguridad saben que actúan bajo órdenes directas del Kremlin es Fancy Bear, formado en algún momento entre 2004 y 2008. Su código es APT28, derivado de las siglas en inglés de Amenaza Persistente Avanzada y se les señala como los autores de ciberoperaciones de alto nivel guiadas por motivaciones geoestratégicas marcadas desde Moscú. Entre ellas están el hackeo a Emanuel Macron, la incursión en las redes informáticas del Bundestag, el ataque a medios de comunicación franceses haciéndose pasar por miembros del ISIS, al Comité Nacional Demócrata durante las elecciones de EEUU o contra Ucrania durante los años previos a la invasión.

Una de sus últimas campañas fue contra organizaciones científicas. En esa operación cayó el Consejo Superior de Investigaciones Científicas (CSIC), el Instituto de investigación Max Plank de Alemania o la NASA. “Su objetivo fue el robo de información de bases de datos del CSIC”, explica Ana Junquera, investigadora de amenazas de la firma de ciberseguridad española Tarlogic. Qué datos buscaba Fancy Bear es un misterio, pero su ataque tuvo al centro español completamente paralizado durante un mes.

Junquera ha presentado una investigación sobre Fancy Bear en el marco de la RootedCon, el mayor congreso de ciberseguridad de España. La experta ha detallado el modus operandi de este grupo, las diferentes fases en las que desarrollan sus ataques y cómo se puede detectar su rastro.

Dependientes del GRU

El nombre “Fancy Bear” es una denominación occidental para este comando cibernético ruso, que se cree forma parte del GRU, la inteligencia militar rusa dedicada a operar en el exterior. La palabra “Bear” hace referencia a “oso” en inglés, un término usado para denominar a los hackers rusos. “Fancy” significa “sofisticado” y se le asigna por una palabra que el investigador que rastreó por primera vez su actividad encontró en el código del malware utilizado por el grupo.

El Gobierno ruso ha negado repetidamente cualquier vinculación con las acciones de Fancy Bear, pero los especialistas coinciden en señalar que las pruebas demuestran lo contrario. La primera son los objetivos del comando, que no siguen las motivaciones económicas de las mafias tradicionales sino las prioridades geoestratégicas del Kremlin. Los expertos que los han investigado han detectado además que su actividad siempre se desarrolla en horarios que van desde las 8.00 a las 20.00 horas de Moscú. “Es bien conocido que cada gobierno tiene por lo menos un grupo APT a su servicio. Rusia no iba a ser menos”, señala Junquera.

Su calificación como APT indica que es un actor que realiza operaciones cibernéticas de forma continuada. Cuando las defensas de sus objetivos mejoran, ellos encuentran nuevos vectores de ataque. Esto les diferencia de la gran mayoría de grupos de ciberdelincuentes habituales, cuyo período de actividad suele estar mucho más acotado a la vida útil de un determinado conjunto de herramientas de ataque especializadas. También están más dispuestos a llevar a cabo infiltraciones muy largas en las redes de sus objetivos, otra práctica que los ciberdelincuentes tradicionales prefieren evitar.

Operaciones con siete fases

Como ha expuesto Junquera, las operaciones de Fancy Bear suelen tener siete fases. La primera es la de reconocimiento, en la que se recopila información sobre el objetivo. La segunda es la militarización, durante la que se desarrollan las herramientas y el software que usarán durante el ataque. Después llega la fase de distribución, en la que se introduce ese software en las redes de la víctima aprovechando los puntos débiles descubiertos en la fase de reconocimiento, ya sea phishing o por conexiones físicas.

Las primeras tres fases se producen en la sombra, pero el punto de inflexión llega en la cuarta. Es la explotación, en la que se dispara el malware contra el objetivo y se compromete el equipo o su red. Después se produce la fase de instalación, “en la que el adversario busca establecer persistencia en el sistema, instalando puertas traseras, por ejemplo”, ha explicado Junquera. Las dos últimas son las de control, en la que Fancy Bear puede tomar el mando de los sistemas de la víctima para extraer información o ejecutar algún comando; y la de acciones sobre los objetivos, la “fase en la que el atacante se pretende expandir a otros objetivos (movimiento lateral) o realizar otras acciones sobre el objetivo como, por ejemplo, encriptar sus datos (ransomware)”.

Para llevar a cabo esta cadena de acciones, Fancy Bear utiliza diversas herramientas, algunas de diseño propio y otras de uso habitual por parte de los grupos de ciberdelincuentes. También es habitual que realice ataques de falsa bandera en los que pretende responsabilizar a otro actor de sus acciones, por lo que copia sus estrategias, métodos o mensajes.

Por todo ello, Junquera ha señalado que al contrario de lo que ocurre con otros grupos de ciberdelincuentes, el método más eficaz para descubrir si Fancy Bear está detrás de una acción concreta no es el análisis de los “indicadores de compromiso” tradicionales (las pistas tras un ciberataque, como el lenguaje del código malicioso utilizado).

Al contrario, señala que es más útil analizar las “tácticas, técnicas y procedimientos utilizados por el grupo”. Estas “indican el comportamiento del adversario y es en lo que debemos centrar nuestros esfuerzos defensivos” y son más “genéricas y difíciles de cambiar”. Durante su charla, la experta ha expuesto los detalles técnicos que marcan el comportamiento de Fancy Bear, así como una veintena de herramientas que el grupo usa para conseguir que su víctima descargue los archivos maliciosos que se usarán más tarde para 'ciberatarla' o para generar puertas traseras que dificulten que pueda defenderse en un futuro.

“El incidente está cerrado. La página web del Parlamento Europeo y los servicios relacionados ya están restaurados y funcionan con normalidad. Los sistemas del Parlamento ya no están bajo un ataque DDOS (Distributed Denial of Service). Nuestros equipos técnicos seguirán vigilando la situación”, comunicaba a primera hora de este jueves Eva Kaili, vicepresidenta de la Eurocámara y responsable de su área digital. La institución sufrió un ciberataque la tarde del miércoles que tumbó su web y la inutilizó durante horas.

La presidenta de la institución, la conservadora maltesa Roberta Metsola, lo denominó como “un sofisticado ciberataque”. “Un grupo pro-Kremlin ha reivindicado la responsabilidad”, añadió. Por el momento, el Parlamento Europeo no ha dado más detalles sobre el incidente, o si este tuvo ramificaciones más allá del ataque DDOS. Un tipo de ofensiva que, pese a las declaraciones de Metsola, está considerada una de las más formas más sencillas de ataque informático. Pero ante la cual la Eurocámara estaba desprotegida.

En una primera reacción al suceso, varios especialistas en ciberseguridad expresaron en conversación con elDiario.es su extrañeza de que el Parlamento Europeo no contara con un CDN. Este servicio, Red de Distribución de Contenidos por sus siglas en castellano, construye una serie de nodos distribuidos por el mundo para encauzar el tráfico de Internet y hacer que el usuario final no tenga que conectarse directamente al servidor central para acceder a una información. Se trata del mismo principio que cualquier otro sistema de distribución: los lectores de un periódico impreso no van a la imprenta a por él, sino a su quiosco más cercano.

Un CDN hace que una usuaria de Valladolid no tenga que conectarse a los servidores del Parlamento Europeo en Estrasburgo para acceder a su web. Lo hará con su nodo más cercano, que podría estar en Madrid. Se trata de un servicio extremadamente habitual en webs importantes como la de la Eurocámara por utilidad para reducir la latencia y agilizar las descargas de datos. Pero también es extremadamente útil para mitigar ciberataques básicos como los DDOS, que se basan en concentrar mucho tráfico sobre una web hasta que los servidores no pueden asumirlo y se caen.

Es fácil ver qué servicios digitales usan CDN y cuáles no. Es un dato que las máquinas se transmiten cuando establecen conexión. La página del Parlamento Europeo no tiene, lo que hace que estuviera mucho más expuesta contra un ataque básico de DDOS. “Mi abuela podría organizar un ataque como este contra el Parlamento Europeo con cuatro clics y el dinero para pagarlo”, ironizaba uno de los especialistas consultados: “Cualquiera con acceso a la web puede organizarlo”.

Los ataques DDOS fueron muy populares entre movimientos hacktivistas como Anonymous precisamente por su sencillez. En los últimos tiempos siguen realizándose, pero más como un elemento de distracción para ocultar otro tipo de ofensivas. Según ha comentado Eva Kaili, el Parlamento no detectó ofensivas paralelas al DDOS.

elDiario.es se ha puesto en contacto con la Eurocámara para preguntar por esta ausencia de un elemento que muchos especialistas consideran una de las capas de ciberseguridad más básicas. “El Parlamento Europeo no comenta sobre asuntos de seguridad, incluidos los de ciberseguridad”, han respondido fuentes oficiales.

Avalancha zombi

Killnet es una mafia de cibercrimen rusa con vínculos documentados con el Kremlin. Es el grupo señalado por el Parlamento Europeo por haber reivindicado el ciberataque. Este miércoles se compartieron supuestas capturas de la reivindicación de la acción por parte de Killnet en su canal de Telegram, pero los expertos consultados por este medio revelan que no hay evidencias sólidas por el momento. “La atribución más directa la ha hecho Anonymous Rusia, que no es una fuente demasiado fiable”, expone José Lancharro, director del departamento de servicios ofensivos de la firma de ciberseguridad española Tarlogic.

Una de las especialidades de Killnet son los ataques de denegación de servicio. Los lanzan para sus propios fines y por encargo de todo aquel que pague sus tarifas. Se trata de una ofensiva más efectista que efectiva. Aunque logre su objetivo y tire la web de la víctima, no tiene por qué implicar robos de información o compromiso de las redes internas. Incluso aunque la web no cuente con CDN, lo habitual es que los técnicos puedan recuperarla en pocas horas.

“Se basan en redes de bots”, explica Diego Suárez, director de Tecnología de Transparent Edge, la única empresa española especializada en servicios de CDN. “Hay todo un mercado negro en Internet de uso y alquiler de estas botnets, que al final no son más que un montón de dispositivos conectados convertidos en zombies. Pueden ser ordenadores, teléfonos móviles o aparatos del Internet de las cosas que han sido infectados con malware y son utilizados para estos ataques sin que el usuario lo sepa”.

Las ofensivas de DDOS se basan en pedir a todos esos dispositivos que han sido comprometidos previamente por los ciberdelincuentes que se conecten a un determinado servicio. En este caso, la página del Parlamento Europeo. Lo que suele ocurrir es que esa web no pueda asumir el súbito aumento de tráfico y se caiga. “Tú no te vas a dar cuenta de que el móvil está haciendo eso porque no deja ninguna señal. Lo único que puede ocurrir es que percibas que va más lento y al final termines reiniciándolo o pasándole un antivirus”, expone Suárez.

Los CDN se convierten en medidas de mitigación efectivas porque redistribuyen el tráfico por todo el mundo, evitando que se concentre en un solo punto y tumbe el sistema. “Puedes hacerlo con tu propia tecnología pero no es una cuestión práctica y de economías de escala. Ocurre lo mismo que con el sistema eléctrico: puedes autoabastecerte y tener una red cerrada como la de Texas, pero si tienes un problema que supera tus capacidades todo se viene abajo, como les ocurrió el año pasado”, concluye el experto.

Las nuevas amenazas están en la Red. Por eso, Sevilla acogerá los próximos días 25 y 26 de noviembre la VII Conferencia de Ciberseguridad SecAdmin, que reunirá a más de 300 de hackers informáticos y profesionales de la ciberseguridad nacionales e internacionales para debatir sobre la ciberguerra, nuevos tipos de ciberataques que amenazan a empresas, ciudadanos y todas las novedades del sector.

Este evento, abierto al sector privado, público, universidades y aficionados a las tecnologías en el campo de la ciberseguridad; está organizado por Dolbuck, con el apoyo institucional de la Diputación de Sevilla, y se ha posicionado como uno de los más relevantes e influyentes del sur de España en este campo, con charlas, talleres, keynotes y ponencias de alto nivel.

Esta edición vuelve, tras dos años de parón causados por la pandemia, bajo el lema ‘El Reencuentro’ con ponentes destacados del panorama nacional e internacional, que abordará temáticas de gran actualidad como la ciberguerra, ese nuevo campo de batalla no sangrienta pero igualmente peligrosa cuya víctima principal es la privacidad de los datos personales. La periodista y escritora Cristina Martín Jiménez será la encargada de explicar cómo se ven expuestos los datos de los ciudadanos en esta tercera Guerra Mundial más digital que física, los países que la están protagonizando y las víctimas reales de este conflicto.

44% de las pymes españolas han sufrido un ciberataque y la principal víctima de ellos son los datos personales y/o industriales

Cada día son más las empresas y ciudadanos que están expuestos a nuevos tipos de ciberataques. El 44% de las pymes de España han sufrido un ciberataque, y tan solo 3 de cada 10 empresas declara que sus empleados sabrían cómo reaccionar en caso de ciberataque, según el último informe de la compañía Hiscox. En esta línea, José Luis Verdeguer, conocido como ‘Pepelux’, hablará sobre el fraude telefónico, actividad que mueve billones de euros al año y que afecta tanto a negocios como a usuarios. Por su parte, Jordi Murgó, leyenda del hacking y del hacktivismo español, actualmente ingeniero de software de BBVA, abordará el malware bancario y el conocido hacker Pedro Candel expondrá los fallos de seguridad en los protocolos de la aviación y cómo se puede falsear la posición de un avión haciendo creer a un controlador aéreo de una posible colisión cuando realmente no la hay. Un panel que se completa con internacionales como Miroslav Sampar, conocido por ser el creador de “SQLMap”, así como muchas figuras de gran relevancia en la escena nacional de la ciberseguridad.

Este evento, estructurado en 18 ponencias y 6 talleres, se convierte en “un foro clave de conocimiento sobre materia de ciberseguridad y un punto de encuentro entre empresas y talento nacional e internacional vinculado al ámbito de la administración de sistemas, programación y seguridad de la información” explica el CEO de Dolbuck y experto en ciberseguridad Adrián Ramírez.

El VII Congreso tendrá lugar en el Teatro María Auxiliadora de Sevilla con un aforo máximo aproximado de 350 personas. Para asistir solo tienes que adquirir tu entrada en el siguiente enlace https://secadmin.palbin.net/ .

La guerra entre Rusia y Ucrania es una de las primeras que se libra abiertamente por tierra, mar, aire y ciberespacio. Apoyando a los ucranianos hay numerosas brigadas internacionales digitales que, con la careta de Anonymous o sin ella, se han lanzado a boicotear objetivos rusos como ferrocarriles o fábricas de armas. Al otro lado se han situado algunos de los más famosos capos del cibercrimen ruso.

“Utilizaremos todas nuestras capacidades para tomar medidas de represalia en caso de que los belicistas occidentales intenten atacar infraestructuras críticas en Rusia o en cualquier región de habla rusa del mundo”, ha avisado la mafia de cibercriminales Conti Team. “Usaremos nuestros recursos para contraatacar si el bienestar y la seguridad de los ciudadanos pacíficos están en juego”, añaden en una suerte de comunicado oficial publicado en la deep web.

Conti es uno de los grupos más activos y peligrosos de la industria del cibercrimen. Es un operador especializado de ransomware, un ataque informático que inutiliza los archivos informáticos del objetivo y le exige un rescate para recuperarlos. Una de sus armas es Ryuk, el virus que tumbó múltiples empresas e instituciones públicas españolas en 2020 y 2021, como el SEPE o el Ministerio de Trabajo.

Antes de que Vladímir Putin invadiera Ucrania, este tipo de posicionamientos era casi inaudito. Sin embargo, desde el comienzo de la guerra los analistas de ciberseguridad ven como declaraciones como estas se suceden, especialmente entre grupos de ransomware como Conti. Todas ellas son organizaciones altamente profesionalizadas que venden estos ataques como un servicio para el que pueda pagarlo y se cree que operan desde territorio ruso.

Su salida en defensa del Kremlin tiene poco que ver con el patriotismo. De hecho, Conti ha expresado que no apoya la guerra. Pero como cualquier mafia, intentará defender el ecosistema donde gana dinero. “Muchísimos grupos de cibercriminales han tenido el beneplácito para operar desde Rusia, que siempre ha hecho la vista gorda”, explica a elDiario.es José Lancharro, director de BlackArrow, la división de servicios ofensivos y defensivos de la firma española de ciberseguridad Tarlogic.

A cambio de que el Kremlin mire para otro lado, estas mafias no atacan objetivos en territorio ruso o en su zona de influencia. “Muchos grupos muy conocidos han operado a sus anchas desde Rusia gracias a una especie de pacto de no agresión. Los malware que utilizan están programados para detectar si la máquina comprometida utiliza un lenguaje de la antigua Unión Soviética y, si es así, no la atacan”, revela este experto.

Rusia solo actúa contra estos grupos en casos extremos como el que se dio el pasado verano, cuando Joe Biden llamó directamente a Putin para exigirle que parara los pies a uno de ellos si no quería que interviniera él. Esta situación ha creado una relación de intereses comunes entre el Kremlin y muchas mafias del cibercrimen, aunque “no están bajo control del Gobierno ruso, que tiene otros equipos de ciberataque que sí financia y dirige directamente”, destaca Lancharro.

¿Creíble?

Desde BlackArrow han identificado otros cuatro conocidos grupos de ciberdelincuentes que han anunciado que defenderán los intereses del Kremlin. Sus nombres son Cooming Project, SandWorm, CyberGhost y Free Civilian. Teniendo en cuenta que vienen de mafias, que se producen en medio de una guerra abierta y con el juego de sombras y contrainteligencia que caracteriza a la deep web, ¿son creíbles estos posicionamientos?

Todos los especialistas consultados por este medio aseguran que hay que tomárselos muy en serio. “Hay que estar atentos porque lo pueden hacer. No es una amenaza vacía”, expone Igor Unanue, jefe de Tecnología de la española S21Sec. “Tiene muchos visos de veracidad. Por el sitio donde lo han publicado (el foro donde los cibercriminales comunican sus acciones) y porque no es un caso aislado sino varios grupos”, coincide Eusebio Nieva, director técnico de Check Point.

“Estamos en un contexto de guerra y vemos muchas campañas orientadas a desinformar, por lo que siempre hay que cogerlo con pinzas. Pero nosotros le damos veracidad a que se están movilizando porque ya existen datos concretos sobre acciones en las que estos grupos están en el ajo”, añade Lancharro, de BlackArrow.

Otro de los motivos que apoyan la tesis de que algunas mafias se están posicionando para defender a Rusia es que hacerlo les convierte en un objetivo del bando enemigo. Es decir, no tolerarían que alguien lo hiciera en su nombre sin desmentirlo. A Conti su declaración de apoyo a Moscú le ha salido cara, puesto que poco después de hacerla ha sufrido una filtración interna como venganza. Sus intentos de extorsión a sus víctimas de los dos últimos años han sido publicados en la deep web, con todas las conversaciones y detalles de sus delitos. Los analistas creen que puede haber sido un miembro descontento con el posicionamiento de su banda, o bien de hackers contrarios a la invasión rusa de Ucrania.

Batalla desigual

Si bien capos tan importantes como los de Conti se han posicionado a favor del Gobierno ruso, están en minoría frente a los grupos de hackers que están operando a favor de los intereses de Ucrania. En cualquier caso, las listas de adhesiones son difusas. Los expertos apuntan que sería lógico que la mayoría de grupos estén actuando en secreto o mediante la identidad colectiva Anonymous, lo que les permite no convertirse en un objetivo a atacar como le ha pasado a Conti.

En el ciberespacio los rusos están en minoría, pero eso no iguala la contienda. Desde BlackArrow destacan que las bandas del cibercrimen ruso están muy bien organizadas en comparación con los grupos descentralizados que se colocan la máscara de Anonymous. Además tienen acceso a malware muy avanzado gracias a su negocio. El último, un virus altamente destructivo que se ha detectado por primera vez en sistemas informáticos ucranianos tras la invasión, y que básicamente destruye todo lo que contengan sin posibilidad de recuperarlos, con rescate o sin él.

Según Check Point, los ciberataques contra Ucrania han aumentado un 196% desde el inicio de la guerra, por solo un 4% aquellos que sufre Rusia. Eso no significa que estos últimos sean de fogueo. En los últimos días objetivos como el principal fabricante de armas bielorruso, el sistema de ferrocarriles ruso o múltiples instituciones públicas del Kremlin han caído víctimas de ciberataques. También se han producido filtraciones de información confidencial del ejército ruso.

El último blanco de los hackers que actúan a favor de Ucrania ha sido Roscosmos, la Agencia Espacial Rusa. El entorno de Anonymous ha reivindicado una ofensiva exitosa contra su centro de control este miércoles, lo que habría paralizado sus satélites. El director de Roscosmos lo ha negado, avisando de que si se detectan vínculos entre un ciberataque contra esta infraestructura y un gobierno extranjero, lo considerarán una declaración de guerra.

Cuentas de Twitter que utilizan la identidad colectiva Anonymous han declarado la “ciberguerra” contra Rusia y reivindicado la autoría de varios ataques informáticos contra instituciones públicas del país y medios de comunicación financiados por Moscú. Uno de los perfiles anunció a última hora de este miércoles la caída del “canal de propaganda” RT (Russia Today), que esta madrugada ha confirmado haber recibido un ciberataque en sus versiones en inglés y en ruso. La ofensiva ha paralizado su actividad durante unas horas, que ha podido retomar posteriormente.

Otra de las cuentas que utilizan esta identidad hacktivista ha anunciado que “Anonymous está actualmente involucrado en operaciones contra la Federación Rusa. Nuestras operaciones se dirigen al gobierno ruso. Es inevitable que el sector privado también se vea afectado”. Otros perfiles han reivindicado que sus ataques han llegado a tumbar la web oficial del Kremlin y la de instituciones como la Comisión antimonopolio, aunque amabas se encuentran accesibles en este momento.

El Centro Nacional de Coordinación de Incidentes Informáticos de Rusia, dependiente del Servicio Federal de Seguridad (FSB) declaró el nivel de amenaza de ciberataques como “crítico”. El organismo advierte que existe la “amenaza de un aumento en la intensidad de los ataques informáticos a los recursos de información rusos, incluidas las instalaciones de infraestructura de información crítica en el contexto de la operación militar de Rusia en Ucrania”, recoge la agencia independiente rusa Interfax.

Este jueves el Ministerio de defensa de Ucrania elevó una petición de ayuda a los expertos en ciberseguridad del país para que se alistaran como voluntarios para defender las redes del país de los ataques rusos. “¡Cibercomunidad ucraniana! Es hora de participar en la ciberdefensa de nuestro país”, se leía en una solicitud compartida a través de Google docs a la que tuvo acceso en exclusiva la agencia Reuters. Esta enumeraba una serie de habilidades de especial interés para Kiev, como el desarrollo de malware.

El ataque perpetrado contra RT ha sido de denegación de servicio (DDoS), uno de los más sencillos de lanzar pero también de defender. Es el mismo tipo de ofensiva digital que individuos y grupos hacktivistas bajo el seudónimo de Anonymous emplearon desde 2008 para tumbar webs de instituciones públicas y multinacionales de todo el mundo. Una de las campaña de ciberataques más famosa realizada bajo esta identidad colectiva fue la que tuvo como objetivo el gobierno de EEUU y multinacionales como Amazon o Paypal, en protesta por la persecución y expulsión de sus servidores de Wikileaks.

No obstante, si bien hasta 2015 sus acciones tuvieron objetivos progresistas, posteriormente esa línea se desdibujó. Fuentes de ciberinteligencia han explicado en varias ocasiones a este medio que a partir de entonces, las cuentas de Anonymous se han utilizado para reivindicar ciberataques que en realidad se han perpetrado por parte de estados o empresas que han utilizado el seudónimo para evitar ser descubiertas.

El ataque de Rusia contra Ucrania ha provocado la reactivación de las acciones de corte hacktivista bajo este seudónimo. La principal experta en este movimiento, Gabriella Coleman, no descartó en una entrevista con elDiario.es que este pudiera “resurgir en cualquier momento y hacerse muy visible. No hay nada que prevenga que gente con especiales conocimientos técnicos se reúna en determinados puntos de encuentro de Internet, usen este tipo de herramientas como Anonymous y comiencen de nuevo con el hacking desde una lógica progresista”.

“Aunque esta cuenta no puede pretender hablar en nombre de todo el colectivo de Anonymous, sí podemos informar de las verdades de las acciones colectivas de Anonymous contra la Federación Rusa. Queremos que el pueblo ruso entienda que sabemos que es difícil para ellos hablar contra su dictador por miedo a las represalias”, ha publicado una de las cuentas que han reactivado la actividad del seudónimo.

El mismo perfil también ha dejado un aviso para los que estén pensando en sumarse a este movimiento. “Advertencia: Todos sabemos cómo funciona el sistema de justicia penal en los Estados Unidos. Así que, si eres nuevo por aquí y estás pensando en participar en aventuras online contra Rusia pero no sabes nada sobre cómo mantener tu propia privacidad online: No lo hagas”.

Las fuerzas rusas han entrado este viernes a Kiev y los combates se desarrollan ya a menos de 10 kilómetros del Parlamento. Aunque sobre el terreno no hay tropas de la OTAN ni de la UE, equipos internacionales de especialistas en ciberdefensa sí trabajan de la mano con Kiev para apoyar la seguridad de sus redes y formar una línea de defensa que impida que los ciberataques rusos se contagien por el resto del continente.

La ONU ha confirmado que su infraestructura de comunicaciones recibió un ciberataque en abril de este año y que actualmente está “respondiendo” a otros, después de que Bloomberg reportara que piratas informáticos robaron datos que podrían afectar a agencias de la organización. “Podemos confirmar que unos atacantes desconocidos fueron capaces de violar partes de la infraestructura de Naciones Unidas en abril de 2021”, ha reconocido en un comunicado el portavoz Stéphane Dujarric, que hizo referencia al reporte y a la firma de ciberseguridad Resecurity, que descubrió la vulneración del sistema.

“Naciones Unidas es a menudo objeto de ciberataques, incluyendo campañas sostenidas. También podemos confirmar que se han detectado y se está respondiendo a más ataques que están vinculados a la vulneración anterior”, agregó. Según el artículo de Bloomberg, que cita a Resecurity, los piratas informáticos accedieron a la infraestructura de Naciones Unidas usando las credenciales de un empleado que habían sido robadas y compradas en la “dark web”, y “recolectaron información sobre las redes informáticas de la ONU”.

La firma detectó el ciberataque de abril y descubrió que los piratas seguían activos en agosto, pero dijo a ese medio que la ONU dejó de responderle cuando le ofreció pruebas de que se habían robado datos durante el incidente. “Este ataque se había detectado antes de que fuéramos notificados por la compañía citada en el artículo de Bloomberg, y ya se habían planeado y estaban siendo implementadas acciones correctivas para mitigar el impacto de la vulneración”, explicó el portavoz de la ONU.

“En ese momento, agradecimos a la compañía que compartiera información relacionada con el incidente y le confirmamos la vulneración”, añadió. La seguridad cibernética en infraestructuras críticas es un problema creciente para las autoridades de EEUU, donde en los últimos meses se han producido ciberataques en sectores clave.

Uno de los más graves fue el sufrido en mayo por Colonial, la mayor red de oleoductos del país, mientras que ese mismo mes fue víctima, JBS, el procesador de carne más grande del mundo, y en julio hubo otra ofensiva contra Kaseya, una empresa de software que brinda servicios a más de 40.000 organizaciones en todo el mundo. El Gobierno de Joe Biden, que ha apuntado a Rusia como responsable de varios de los ataques, ha pedido recientemente a las empresas privadas que “eleven el listón” en ciberseguridad.

“Yo, la verdad, cuando se dice que se han hecho ciberataques y no se ven los efectos tangibles… es algo que dejo siempre en suspenso. El ciberataque tiene que tener un efecto y tiene que suponer una ventaja para el que lo realiza. En este caso se han manifestado pero no vemos ningún resultado. No veo la tecnología que se ha utilizado, ni cómo se ha atacado, ni cuál ha sido el resultado final, por lo que no tengo opinión sobre la efectividad de ese ciberataque”.

Esta fue la respuesta del coronel Javier Candau, jefe de ciberseguridad del Centro Criptológico Nacional, preguntado por eldiario.es acerca del supuesto ciberataque de EEUU contra Irán. El pasado fin de semana, la Casa Blanca informó a diversos medios de que su unidad de ciberguerra había hackeado los sistemas que controlan el lanzamiento de misiles de los iraníes. Estos niegan que el ciberataque tuviera éxito.

La ofensiva de EEUU se encuadra en la escalada de tensión entre Trump y el país de los ayatolás tras el derribo de un dron del ejército americano que volaba sobre territorio iraní. A la vez que lanzaba el ciberataque el presidente estadounidense frenó, según se ha informado, una ofensiva física por “el alto coste humano” que suponía. Sin embargo, las circunstancias que rodean el hackeo del sistema de misiles iraní hacen dudar a los expertos. Hay cosas que no cuadran en ese ciberataque.

Hasta ahora, el paradigma de acto de ciberguerra era el virus Stuxnet. También lo sufrió Irán: en 2010, este gusano informático se coló en el sistema de la central nuclear de Natanz a bordo de una memoria USB infectada. Tomó el control de las centrifugadoras usadas para enriquecer uranio y las destruyó.

Stuxnet estaba concienzudamente programado para acelerar al máximo las máquinas durante cortos períodos de tiempo. Los científicos iraníes no comprendían qué ocurría. Tampoco los observadores de la Agencia Internacional de Energía Atómica, que visitaron Natanz durante uno de los episodios. Stuxnet se encargaba de borrar los datos sobre la sobreaceleración de las máquinas tras forzarlas. Al cabo de unos meses, unas 1.000 centrifugadoras de uranio de Natanz terminaron por desintegrarse por el esfuerzo. Que el culpable fue este virus informático no se descubrió hasta mucho después.

Stuxnet es considerado la primera ciberofensiva evidente de la historia y fue la que marcó los pasos de la ciberguerra. Infectó y explotó vulnerabilidades de numerosos equipos informáticos críticos iraníes, que usaban Windows. Su efecto sigue todos los parámetros que refería Candau: se empleó una tecnología (un gusano informático) de una manera específica (un agujero de Windows que el atacante conocía) y un resultado (centrifugadoras autodestruidas).

El hackeo también fue ejemplar en el último de los puntos que se asocian a estas acciones: casi una década después, no se ha podido verificar la identidad del atacante.

Cambio de paradigma... o propaganda

Como recordaba el responsable del Centro Criptológico Nacional, el organismo especializado en ciberseguridad del Centro Nacional de Inteligencia (CNI), la acción reconocida por EEUU no cumple con las pautas que se suelen asociar a las acciones de ciberguerra. No hay pruebas de que nada se haya roto y no hay constancia de la tecnología usada ni de cómo se ha empleado. En cambio, sí hay un supuesto autor, que además ha reconocido su papel.

“Parece que estamos ante un cambio de paradigma, antes esto se hacía pero no se contaba”, expuso Candau.

Las circunstancias que rodean lo sucedido han provocado dudas de expertos en ciberseguridad, que dudan sobre el interés estratégico de la acción. Si EEUU dispone de una tecnología capaz de inutilizar los sistemas de misiles iraníes, ¿por qué revelar su existencia solo para contestar el derribo de un dron? La acción daría a Irán oportunidad de mejorar sus defensas informáticas sin ofrecer un retorno claro a cambio, ya que no parece probable que el ejército iraní estuviera barajando lanzar sus misiles próximamente.

“Desde el punto de vista estrictamente técnico, merece tomarse en consideración la opinión de los expertos”, opina Yolanda Quintana, autora de Ciberguerra, todo lo que no sabes sobre las nuevas amenazas y las guerras que se libran en la red. “Cuando lanzas una ciberarma sobre un enemigo, en gran medida estás entregando el 'código' de tus capacidades, con lo que tienes que asegurarte que el objetivo merezca la pena”.

“Si es cierto lo alegado por Irán, no parece que este haya sido el caso”, expresa la experta.

Para Pedro Baños, coronel en la reserva experto en geoestrategia, el ataque pudo tener sentido como una demostración de fuerza. “Antes situabas a tu armada frente a un puerto del enemigo. Ahora puedes realizar ese tipo de acciones de disuasión en el ciberespacio: demostrar que se tienen esas capacidades no es más ni menos que mostrar el músculo militar y también desincentivar al enemigo de llevar a cabo otro tipo de acciones”.

“Estamos en un mundo donde hay una gran opacidad y es muy difícil verificar el daño, incluso el origen de quién ha podido lanzar el ataque”, continúa Baños en conversación con este medio. No es descartable la hipótesis del ciberataque como movimiento político de un Trump que prepara la carrera para su reelección en 2020: “En la estrategia hay un juego propagandístico, un juego mediático, que también es muy importante”.

La ciberguerra fría

“Siempre es posible que sea propaganda. No se ha dado ningún dato sobre qué es lo que se ha conseguido e Irán no reconoce nada. No sé si habrá ocurrido de verdad, pero en mi opinión podemos darle credibilidad”, expresa a este medio Eusebio Nieva, director técnico de la firma de seguridad Check Point.

En cualquier caso, aunque este experto reconoce que EEUU “ha cambiado el juego” al reconocer el ciberataque al sistema de misiles iraní, recuerda que la capacidad de ciberatacar “hace mucho tiempo que está disponible” y “se ha convertido en un arma más” para los ejércitos.

Eso sí, es un arma mucho más parecida a un espía que a un tanque.

“Es como una guerra fría, en la que no tiene por qué haber bajas en ninguno de los dos bandos, aunque obviamente debilita al bando atacado cuando tiene éxito. Con un ciberataque abarcas mucho más que lo meramente destructivo. Puede afectar desde a la logística como a infraestructuras críticas, a desinformación, a recursos civiles, a empresas estratégicas...”, enumera.

Lo expuesto por Nieva coincide con el último informe de tendencias del Centro Criptológico. Este considera que la amenaza más seria para España en materia de ciberseguridad son los ataques de otros Estados y organizaciones financiadas por ellos y, de hecho, es la procedencia que se sospecha tras casi todas las intentonas de golpear infraestructuras críticas.

Estas acciones son una evolución del juego de espías tradicional y buscan, como este, el sabotaje o el robo de información. Los expertos creen que sustraer datos sobre la industria militar española era precisamente la motivación que movió al atacante que pasó meses infiltrado en las redes del Ministerio de Defensa.

“Es una fase previa. Con ciberataques no se va a conquistar un país, pero pueden servir para preparar el terreno o para desgastar. Los ha habido en Ucrania, en Estonia, en Letonia, no reconocidos por ningún estado pero que tienen todo el aspecto, todo el olor y todo el sabor de un ciberataque de este tipo, no es nada nuevo. Lo que es la primera vez que pasa es que anuncie que se ha utilizado contra otro país sin una declaración de guerra previa”, concluye el experto de Check Point.

Ilijana Vavan (Bosnia y Herzegovina) estudió computación en la Universidad de Twente (Países Bajos) y pronto supo que la programación era lo suyo. Pasó por varias multinacionales (Oracle, Microsoft, EGP Group) hasta que aterrizó en Kaspersky. Decidió fusionar sus habilidades comunicativas con los ordenadores hasta que en febrero de este año fue nombrada como directora general europea de Kaspersky Lab. Hablamos con ella una fría mañana de noviembre en el hotel Hyatt de Madrid, mientras bebemos café y charlamos sobre ciberseguridad y amenazas, sin olvidar nunca la perspectiva de género.

A lo largo de su carrera, ¿ha tenido algún episodio en el que haya sentido que se le valoró menos por ser mujer?

Sí. Te daré un par de ejemplos. Cuando estaba trabajando como consultora, llamé a un cliente para concretar unas cosas antes de la primera reunión. Quería preparármela bien y enterarme de cómo ese cliente veía las cosas con nosotros. Así que levanté el teléfono y le llamé. La persona al otro lado me dijo: “Perdona, ¿puedo hablar con el consultor en vez de que con su secretaria?”. Entonces le dije: “Oh sí, espera un segundo”. Le puse en espera y al poco tiempo cogí el teléfono de nuevo y dije: “Hola, soy yo otra vez, soy la consultora”.

Cuando hacía eso, a veces la gente se sentía tan avergonzada... Otras veces simplemente colgaban. Esto es solo un ejemplo, pero tengo tantos en los que la gente te rechaza como experta y no esperan ni que una mujer ocupe ese puesto técnico ni que sea ella la manager...

En la cabeza de la gente está que este es un trabajo típicamente masculino, así que durante mi carrera he tenido que romper todas estas barreras. Luego en Microsoft, cuando estaba en la transición para pasar a ser directora de ventas, fue muy difícil porque mucha gente no entendía que se promocionase a una mujer antes que a un hombre. Así que tuve que ser unas 10 veces mejor en mi trabajo que un hombre para optar a ese puesto. Diría que es difícil para las mujeres llegar a puestos altos.

¿Ha sido testigo o ha sufrido directamente actitudes machistas durante su experiencia laboral?

Sí, claro. Tuve un jefe en Microsoft que una vez me dijo: “¿Por qué trabajas tan duro? ¿Por qué no simplemente das un paso atrás y te relajas? Ahora que eres madre deberías coger un puesto de trabajo a tiempo parcial, no este con tanta responsabilidad y que encima es a jornada completa”. Por aquel entonces yo ya era supervisora. Mi respuesta fue: “Si no estoy equivocada, tú también eres padre, tienes un hijo, así que ¿por qué trabajas en este puesto? ¿Por qué no te echas a un lado para cuidar de tus críos? Y entonces se calló. A día de hoy aún no me ha contestado.

¿Dónde está la diferencia? Él es padre, yo soy madre. Él trabaja, yo también. Todos nos preocupamos de nuestros hijos, todos nos preocupamos de nuestras carreras laborales. Es una decisión personal: si alguien decide quedarse en su casa para cuidar a sus hijos está bien, y si alguien decide seguir su carrera profesional y a la vez ser madre, para mí también está bien. Pero siempre hay gente que te dirá que lo segundo no está bien. Este jefe era de esos. Y le callé, simplemente devolviéndole una imagen de sí mismo.

¿Qué le diría a todas esas personas que piensan como él?

Le diría que cada una de las personas del mundo, sin importar si son hombres o mujeres, deberían tener la libertad de elegir qué quieren hacer con sus vidas. Si una mujer siente que quiere adoptar un rol tradicional (en el sentido del rol que se adoptaba hace años) y ser una madre, ocuparse de la casa etcétera, eso está bien. Pero tiene que ser una elección libre, no una obligación que alguien le haya impuesto. Porque vemos que estas mujeres que son obligadas a ser madres son infelices, y una madre infeliz no puede criar a un hijo feliz. Si una mujer tiene el deseo de trabajar, su marido debería apoyarle porque en ese caso, toda la familia entera será feliz. Si es forzada a seguir un rol tradicional en su casa, incluso aunque quiera trabajar, entonces se convertirá en una persona infeliz y todo el mundo a su alrededor también lo será.

En España, según el Instituto de la Mujer, solo el 15% de las mujeres se decantan por estudios de Ciencia y Tecnología. Si miramos a Europa, solo una de cada tres personas relacionadas con las ciencias es una mujer. ¿Se le ocurre alguna explicación por la que estas cifras son tan bajas?solo el 15% de las mujeres se decantan por estudios de Ciencia y Tecnologíauna de cada tres personas

Sí. Si tú vas a la guardería verás que a las chicas les dan Barbies para jugar y a los chicos, coches o Lego's, juegos de construcciones. Con eso estás dando un mensaje que se queda en el subconsciente de los pequeños, indiferentemente de si son niños o niñas, de que los chicos deben jugar con coches y las chicas con muñecas. Cuando crecen, incluso aunque las niñas sean muy talentosas en terrenos como la ingeniería o las matemáticas, tendrán ese mensaje en el subconsciente de que su rol no es ser ingeniera, sino el de estar para la gente, por decirlo de alguna forma.

Necesitamos empezar a eliminar este prejuicio social desde edades muy tempranas y darle a los niños y niñas la libertad de jugar con los juguetes que les gusten. No influir en que si es una chica debe de vestir de un color, jugar con muñecas, estar con otras chicas... Y si eres un chico debes de jugar al fútbol, jugar con construcciones, etcétera. Porque quizá los chicos prefieran trabajar de cara al público o en ciertos terrenos sociales, o incluso jugar con Barbies. Y quizá a las chicas les gusten las construcciones.

Tenemos que darle a los niños libertad de pensamiento y no ponerles en cajones separados desde que son pequeños, que es precisamente lo que la mayoría de la sociedad hace. Aún siguen poniendo a las niñas tareas “de niña”. Les dan un bebé que cuidar, al que alimentar, las ponen a hacer de madres. Y a los niños se les dan otras cosas más guays porque son chicos. Creo que eso está mal, y que si lo eliminamos desde las guarderías a esa temprana edad, tendremos más chicas que el día de mañana estudiarán ingeniería.

¿Considera que la educación STEM es una buena forma de revertir esto?

Estamos viendo un intento desesperado de muchos gobiernos para atraer a las mujeres a la educación STEM, pero es demasiado tarde. Porque solo crecen con Barbies y muñecas. Echa un vistazo a las revistas de chicas: Comospolitan, Cosmogirl... Todo lo que ves ahí son maquillajes, cómo tener un novio mejor, como lucir perfecta una noche... Está bien estar guapa una noche, pero deberían añadir algo sobre educación, tecnología, como usar los ordenadores, como hacer esto, lo otro. Deberían tener más contenidos de tecnología y cosas así más que de belleza.

En el subconsciente, todas las chicas tienen que han de estar guapas, perfectas para su chico, etcétera: “Esto es en lo que deberías estar interesada”. Pero si no intentas reforzar sus intereses a través de las revistas por la tecnología o desde la guardería y la escuela, fracasarás a la hora de atraer mujeres a campos técnicos como la ingeniería. Yo siempre estuve en minoría mientras estudiaba la carrera.

¿Ha sufrido alguna vez de primera mano el techo de cristal?

Sabes, incluso aunque exista, yo lo ignoro. No creo en limitaciones. Mi mente es libre y simplemente persigo mis sueños, mis metas y no pienso en esto.

Pero sabe que eso existe.

Sí, eso leo en los libros y en las investigaciones. Pero como dije, no creo en limitaciones. Tu mente es un arma muy poderosa, así que si empiezas a pensar en limitaciones, terminas por limitarte a ti mismo. Si no eres consciente de esas limitaciones, entonces no existen. Y por esto es por lo que no voy a pensar en nada de esto, no quiero ni oír hablar de ello.

En el sector de la ciberseguridad, solo el 11% son mujeres. ¿Por qué está tan masculinizado?

Qué puedo decir... Afortunadamente trabajo en una compañía que es un ejemplo. Así que somos en torno a un 30% mujeres trabajando en ciberseguridad, que es una muy buena cifra. Personalmente, cuando hablo con clientes o partners, son la mayoría hombres. Tus números son correctos. Leí que hace dos años esa cifra era del 14%, lo que significa que la tendencia es negativa y definitivamente es una mala noticia para la industria. En mi sector específicamente hay millones de puestos de trabajo y habrá más: los expertos dicen que en 2020 habrá unos seis millones de puestos de trabajo relacionados con la ciberseguridad, porque el sector va hacia el Internet de las Cosas.

Cada compañía habla cada vez más de digitalización, lo que significa más y más que estamos viviendo en un mundo digital, y el mejor ejemplo son los teléfonos móviles. Hacemos todo con ellos: cuando viajo tengo ahí mi tarjeta de embarque, puedo pagar con él... Todo lo están haciendo los dispositivos electrónicos, son nuestra vida hoy por hoy. Cuantos más dispositivos inteligentes tengamos, más necesaria será la ciberseguridad para protegernos. Porque todos los beneficios de la vida moderna desaparecerán si esos dispositivos no están protegidos correctamente. Tenemos que ser muy cuidadosos en el tema de la ciberseguridad y existe una necesidad incipiente de expertos en este campo.

Necesitaremos en esos puestos de trabajo también a mujeres, incluso aunque haya muchos escépticos que la idea de tener a una mujer en ciberseguridad les aterre. Es un empleo de futuro.

Entre septiembre y octubre del año pasado, el gobierno de los EEUU prohibió el uso de productos Kaspersky en todas las instituciones y acusó a la empresa de trabajar para la inteligencia rusa. Según la versión de EEUU, un agente de la NSA se llevó el trabajo a casa (algo que tienen prohibido) y allí le saltó el antivirus Kaspersky, alertando de alguna forma a los hackers rusos, que consiguieron hacerse con información relativa a los métodos de hackeo que usa la NSA, el código que usan y cómo se defienden frente a ataques informáticos. ¿Qué hay de cierto en todo esto?Según la versión de EEUU

El gobierno de EEUU jamás se puso en contacto con nosotros. Así que todo lo que tenemos viene de parte de los periódicos estadounidenses. Intentamos obtener más información, más pruebas de eso que contaban, pero nunca nos las dieron, ni nos dieron feedback. La única conclusión que podemos sacar es que, desde hace un par de años, las relaciones políticas entre EEUU y Rusia han cambiado, hay muchas turbulencias políticas entre los dos países.

Ya sabes que nuestra compañía es originaria de Moscú y solo por eso ya estamos siendo acusados de lo que sea. Creo que somos un tema importante en esta guerra geopolítica y no podemos hacer nada contra eso. Somos una compañía internacional, estamos presentes en varios continentes, tenemos oficinas en 36 países del mundo y empleados de todas las nacionalidades, incluyendo estadounidenses. Tenemos cientos de americanos trabajando para nosotros, cientos de europeos, mucha gente de Asia, África... Oficialmente estamos registrados en Reino Unido: es allí donde pagamos impuestos, así que nadie puede sacar ninguna conclusión de que tengamos conexiones con el gobierno ruso ni con nadie. Todas las acusaciones que nos ha hecho el gobierno estadounidense son malas noticias para nosotros, pero son sus políticas.

¿Diría que esto son fake news?fake news

Sí. Hemos pedido pruebas, pero no hay pruebas. Y sabemos que, por nuestra parte, nunca hicimos nada mal. 

Al día se producen millones de ciberataques a los estados, que normalmente provienen de otros estados. Son muchos los expertos que sostienen que ahora mismo nos encontramos en un escenario de ciberguerra. ¿Está de acuerdo con esta afirmación?

Depende de cómo definas ciberguerra. Hay muchos tipos de ataque, los patrocinados por los estados, los de criminales intentando ganar dinero a base de malwares, como WannaCry el año pasado, Petya... Y también hay espionaje. En los ataques patrocinados, en muchas ocasiones, se trata de una compañía que quiere espiar a su competidor y robar propiedad intelectual.

Para mí la guerra es devastación. Vidas humanas perdidas. Infraestructuras perdidas. Mucho daño. Hasta ahora ha habido muchas pérdidas en el sentido financiero, a nivel reputación, bloqueos... Pero no ha habido un sufrimiento real de la gente, quiero decir, pérdida de vidas humanas. Para mí, la guerra es cuando muere gente. Por eso digo que depende de la definición que creas sobre lo que es una guerra. Para mí, quizá la mejor palabra sea ciberconfrontación.

El ataque a infraestructuras críticas puede desencadenar una guerra.

Sí, exactamente. Eso sería una guerra. Espero que no ocurra, porque si pasa estaremos metidos en un problema.

La firma de ciberseguridad Check Point celebró los días 17 y 18 de octubre en El Escorial (Madrid) su particular aniversario. Bajo el título Check Point Experience (CPX), la compañía organizó un evento por donde pasaron varios expertos en muchas materias, todas relacionadas con la ciberseguridad, la tecnología, las amenazas móviles e Internet.

Allí, eldiario.es pudo entrevistar a Tal Eisner (Israel), que actualmente es el jefe de Producto y Prevención de Amenazas en la empresa. Tiene un largo currículum, en su mayoría relacionado con los departamentos antifraude de distintas empresas como Cellcom, Orange o TMForum. Lo de estar alerta permanentemente es algo que le viene desde hace tiempo. Charlamos con él sobre ciberseguridad, aunque también acerca de la Inteligencia Artificial, ciberguerra, los robots y otros temas de interés en el plano tecnológico.

Cada día en el mundo ocurren miles de ataques en el ciberespacio. Muchos son entre estados, de un país a otro, y dirigidos hacia infraestructuras críticas o grandes empresas. ¿Cree que los gobiernos están haciendo lo necesario para prevenir estas amenazas?

Se trata de una cuestión geográfica. Lo que está pasando en EEUU no es lo que está pasando en Europa. Creo que la preocupación por los riesgos que entraña la ciberseguridad aumenta y seguirá creciendo. 2017 fue un punto de inflexión para los gobiernos y para la humanidad en general, porque nos dimos cuenta de lo que podía ocasionar un ciberataque a la sociedad y a las grandes empresas.

No creo que estemos sumidos en la catástrofe. Pero sí que vemos una continua atención y preocupación por los presupuestos en ciberseguridad cada año. Y cada vez las organizaciones invierten más por eso, porque 2017 fue una ruptura con lo que veníamos conociendo hasta entonces.

El mundo no estaba preparado para WannaCry.WannaCry

El mundo puede estar preparado si usa las tecnologías apropiadas que ya existen desde hace más de 10 años. Se suele decir que estamos en la quinta generación de la ciberseguridad, caracterizada por los ataques a gran escala como WannaCry o Petya/NotPetya, que por cierto usaba las herramientas que le fueron robadas a la NSA y la CIA

¿Qué pasará cuando este ataque venga de grandes redes distribuidas como el Internet de las Cosas (IoT)?

Es un gran problema que está por llegar, sobre todo a nivel de hospitales y de infraestructuras relacionadas con la sanidad. Es una ciberguerra, es peligroso para la humanidad. Los mundos del futuro dependerán de lo cibernético. Y no es ciencia ficción, ya lo hemos visto en las películas: Petya/NotPetya supuestamente fue orquestado por un gran estado contra un pequeño país, Ucrania. Y este es un escenario en el que no se disparan armas. Sin misiles, sin aviones. Es una guerra en el ciberespacio, una idea muy romántica.

El IoT es un gran invento que revoluciona la forma en la que vivimos y nuestro día a día, pero también tiene vulnerabilidades y riesgos de los que mucha gente no está al tanto. Y por eso necesitan saberlo, para luego estar preparados. En los hospitales del futuro todos los dispositivos médicos estarán conectados a Internet. Se salvarán millones de vidas, pero también serán muy peligrosos para muchas otras.

¿Realmente necesitamos frigoríficos, tostadoras, hornos o dispositivos para el hogar inteligentes?

No importa lo que yo piense. Se trata de hacia dónde se dirige el mundo. Cada progreso en la tecnología tiene enormes beneficios para los humanos. Pero también trae grandes preocupaciones. El iPhone cambió nuestras vidas. Tenemos todo en la palma de nuestra mano: el banco, podemos reservar aviones, controlar la electricidad y hacer cosas maravillosas con él. Pero también existen muchas vulnerabilidades y riesgos: tenemos a nuestros hijos pasando demasiado tiempo delante de una pantalla y cosas así.

El IoT es otro gran ejemplo en el que fijarse y que puede traer grandes e increíbles cosas buenas a la humanidad, pero también muchas vulnerabilidades y riesgos para los que quizá no tengamos los controles adecuados. Y adecuado significa que, en el caso de no contar con esos mecanismos, pagaremos un gran precio. Todos. Y el mundo necesita entender esto y estar prevenido. Esto es la quinta generación de la ciberseguridad.

¿Irá siempre la Inteligencia Artificial (IA) un paso por delante de la ciberseguridad?

No creo que sea esa exactamente la expresión. No creo ni pienso que la IA sea magia. Y no se trata realmente de ir un paso por delante, sino de tener la capacidad para hacer lo necesario en un ambiente tecnológico en crecimiento. La IA tiene la capacidad de mejorar la precisión en la confianza, algo que es más difícil sin ella. No se trata de ir por delante, sino de ser útil, de ayudar, de poder llegar a unas áreas donde las soluciones de ciberseguridad antes no podían llegar. Quizá eso sea ir por delante, pero también quizá sea algo que fortalezca la capacidad en muchos campos.

¿Qué espera de la IA en los próximos 10 años?

Espero que tenga mucho más poder y se vuelva mucho más necesaria a la hora de implantar cualquier solución de seguridad. Simplemente por el crecimiento de la cantidad de datos que va a tener cada organización, y no importa cuál sea: una gran empresa tecnológica, una institución de salud o una infraestructura crítica. La cantidad de datos que necesitan ser analizados crece cada día enormemente y esta es la base sobre la que los humanos tenemos que trabajar, porque de otra forma será imposible tener el control sobre esos datos. Y aquí es donde la IA puede llegar a ser muy útil.

No creo en la IA por separado, no creo que la tecnología hecha solo a base de IA sea más eficiente. La precisión aún está lejos y los falsos positivos son muy altos, pero combinando IA y las tecnologías de la información de toda la vida haremos grandes avances, y de hecho ya los estamos haciendo.

Hasta ahora, la mayoría de IAs que se han programado se sustentan sobre grandes bases de datos. Cuanta más información, más inteligentes. Pero, ¿qué hay de las máquinas que pueden programarse a sí mismasmáquinas que pueden programarse a sí mismas?

Los sistemas de IA no pueden pensar por ellos mismos si no tienen un gran base de datos detrás. El machine learning [aprendizaje automático], el deep learning [aprendizaje profundo], las técnicas de análisis de datos... Todas dependen de grandes cantidades de información y de otro factor crucial: las ventajas competitivas. Cuanto más inteligentes son los algoritmos, cuanto más se desarrollan, pueden hacer mejores cosas, incluso grandes revoluciones en el sentido de cómo sean analizados esos datos. Pero nunca serán precisos. Ya hemos visto el ejemplo de los coches autónomos y otras áreas donde la IA tiene incontables problemas porque todavía no tiene la base de datos necesaria o no cuenta con la ventaja competitiva adecuada.

A cambio, tenemos superinteligencias que nos meten palizas jugando al póker, al Go o al Starcraft.palizas jugando al pókeral Goal Starcraft

Sí, y siempre es un buen ejemplo recordar que, en los inicios de la IA, se le enseñaba a detectar perros. Tú sabes que un perro va a cuatro patas, tiene un hocico, bigotes, grandes orejas, ojos... Y si tienes eso, tienes un perro. Pero esto se puede trasladar a muchas otras áreas, porque puedes encontrar muchos animales con estas características y, por tanto, hay mucho espacio para que las máquinas cometan errores. Son los falsos positivos. Por eso, cuantos más datos proporciones a esta máquina, los resultados serán más precisos y menos errores cometerá.

Y esto es muy importante, especialmente en ciberseguridad. Los egos, también en las tecnologías, son malos pero no son críticos. Pero los egos en el campo de la ciberseguridad, el pasar por alto algo o no identificar correctamente de dónde viene un fallo puede ser muy peligroso y problemático. No es un error cualquiera. Puede ser un error crucial que requiera la atención de todo un equipo.

No hay que olvidar que, al final, todas las máquinas están programadas por seres humanos que pueden ser racistas, homófobos, machistas o, en definitiva, prejuiciosos. ¿Cómo nos protegemos de esto?machistas

Tienes razón. Existen algoritmos con prejuicios, racistas, homófobos. Es un gran problema. Pero esto solo ocurre en áreas muy específicas en las que puedes enseñar a la máquina. Por esto es por lo que digo que cuantos más datos tenga, más precisa será. Ser homófobo es solo un canal de información y es muy limitado. Pero hay muchísimos otros caminos y puntos de vista y por eso es por lo que la máquina necesita cuantos más datos, mejor. Porque si solo la alimentamos con conductas homófobas o racistas pasará como con el Tay Bot de Microsoft, se convertirá en algo problemático. Y nunca quieres problemas en la ciberseguridad ni en nada. Este es exactamente el reto, tanto para las grandes compañías como para las pequeñas.

Poco a poco vemos cómo los robots están cada vez más integrados en nuestra sociedad. Los expertos coinciden en que será dentro de unos 20 años cuando formen parte de nuestro día a día. ¿Cree que necesitaremos de una regulación específica?

Ya existen todo tipo de regulaciones relacionadas con esto en todas las partes del mundo. Normalmente las leyes aparecen después de que algo ocurra. Así que creo que, en este momento de la Historia, es algo demasiado vago a regular. No sé cómo será el futuro.

La ciberantropológa Amber Case sostiene que algún día necesitaremos algo así como unos Derechos Robóticos Universales. ¿Está de acuerdo con ella?

No creo que esto vaya a ocurrir, al menos en el futuro más inmediato. El objetivo de los robots, de la IA, es reemplazar nuestras limitaciones. Tú no deberías trabajar más de un número determinado de horas al día porque tienes familia, tienes que conciliar, porque estás cansado o porque, directamente, existen los Derechos Humanos que contemplan todo eso. No estamos en un momento en el que los robots necesiten tener derechos. Eso vendrá en un momento en el que la tecnología haya vencido las limitaciones de los humanos, así que no estoy seguro que esas limitaciones o leyes sean lo próximo que esté por venir.

A simple vista, Dark Hammer puede parecer un cómic más de soldados, testosterona y acción. Pero tras todo el derroche gráfico, por debajo de las balas y los tanques, se encuentra el verdadero propósito de la publicación: concienciar sobre el peligro de futuras amenazas en el ciberespacio. Hackers, drones, vehículos autónomos… Tanto el ejército ruso como el norcoreano son antagonistas de unas historietas donde los estadounidenses aparecen como abanderados de la democracia y el orden mundial.

El organismo responsable de estas publicaciones es el Comando Cibernético del Ejército de los Estados Unidos, quien en un comunicado explica cómo están dirigidas a soldados y estudiantes para “reflexionar sobre los peligros del dominio cibernético”. Los relatos no son elegidos al azar, sino que están inspirados en “una investigación” destinada a identificar de qué forma la tecnología puede ser utilizada “para atacar a militares y civiles”.

Después de la evaluación, según el documento, contactaron con varios escritores e ilustradores para producir “historias de ciencia ficción basadas en tendencias futuras, tecnologías, economía y cambio cultural”. Como Black Mirror, pero del Ejército de los Estados Unidos. De momento ya se han publicado tres tomos, todos ellos con una estructura similar: una pequeña introducción, una amenaza, y la posterior resolución, que puede ser positiva o negativa.

“¿Qué medidas de seguridad vigilan las máquinas de las que dependemos?”, empiezan planteando en 11.25.2027, un relato trágico ambientado en el año 2027 donde unos portuarios de Seattle pasan por alto una peligrosa mercancía. Este despiste, permite a unos terroristas hackear toda la cadena de suministros y utilizar varios drones automáticos para activar armas mortíferas. Pequeños errores que acaban en catástrofe mundial.

“En la historia de la propaganda, la necesidad de tener un enemigo para llevar a cabo tus propios planes políticos es muy habitual”, explica a eldiario.es Miguel Vázquez Liñán, profesor de Teoría e Historia de la Propaganda en la Universidad de Sevilla. El docente continúa diciendo que, además, el cómic es un formato perfecto para esto porque “tienes la posibilidad de deformar al enemigo para ridiculizarlo o demonizarlo. Es decir, para convertirlo en un monstruo”.

Al contrario de lo que sucede con otro tipo de campañas, las distopías creadas por el Ejército de EEUU no solo reflejan la victoria de sus soldados. En Silent Run, por ejemplo, un batallón norteamericano es abatido por las fuerzas autónomas rusas en la frontera de Rumania y Moldavia. “Los tanques se vuelcan, las miras fallan, las armas se atascan y la dirección se rompe”, advierten en el cómic. Todo ello, para mostrar los peligros que puede tener la inteligencia artificial en las manos menos indicadas.

“Para qué quiero yo mayor presupuesto militar si no me encuentro amenazado. Hay que sentir que los rusos no solo están mandando noticias falsas por Internet, sino que están fabricando tecnologías que podrían vencer las nuestras”, considera el experto en propaganda sobre los efectos del relato. “Aquí hay un punto de partida esencial: los buenos somos nosotros y los malos son ellos”, matiza.

Por ello, también frecuente toparse con grandes contradicciones. En Dark Hammer, los estadounidenses se ven forzados a emplear un objeto ultrasecreto para hackear los sistemas de sus enemigos, los norcoreanos, y así conseguir la victoria. Esa misma estrategia, que parece una gran herramienta de defensa, se convierte en un arma peligrosa cuando la utilizan otros. “Todo lo que hagan ellos, incluso si es lo mismo que hacemos nosotros, estará mal porque son los malos. Aquí el principio lógico no funciona”, considera Vázquez Liñán.

Twitter y Hollywood: propaganda más allá de viñetas

“Esto puede tener un cierto alcance fuera del ejército, pero no lo veo como algo masivo”, asegura el profesor de la Universidad de Sevilla, para quien resulta “relativamente normal” que los militares se preocupen de las amenazas futuras, porque “ese es parte de su trabajo”.

Otra cosa bien diferente sería si esa sensación de amenaza constante no fuera solo de los soldados, sino que pasara al conjunto de la sociedad. De hecho, ya ha ocurrido. “Sí veo masiva la colaboración que el propio ejército tiene con la industria de Hollywood o del cómic”, añade el docente. No es extraño ver escenas de Spiderman, Hulk o Capitán América en plena Gran Manzana mientras, de repente, aparece la bandera de Estados Unidos.

Para el experto en propaganda, “la idea del superhéroe ha sido utilizada para simbolizar conceptos más generales, como el de patria”. Estos no solo nacen para vender cómics o entradas de cine, también como instrumentos propagandísticos de opiniones. Vázquez Liñán pone como ejemplo “la colaboración de Walt Disney con el ejército norteamericano durante la Segunda Guerra Mundial”, en la que incluso el Pato Donald acabó teniendo pesadillas con los nazis.

Pero la propaganda no fue algo exclusivo de un periodo histórico ni de un bando específico. Todos emplearon técnicas similares para intentar mermar la moral de los adversarios y realzar los valores propios. ¿La mejor muestra de ello? La Guerra Fría. En este periodo, como apunta el especialista, “hay numerosos ejemplos de la Unión Soviética para ridiculizar al enemigo capitalista, al estadounidense, y al modo de vida norteamericano”

En plena era de Internet, de la instantaneidad y las redes sociales, las campañas también se adaptan a las nuevas sociedades, ya sea en forma de meme o de fake news. “Estamos todo el rato sometidos a un montón de mensajes y, cada vez más, a mensajes que están orientados a confundirnos”, sostiene Vázquez Liñán, quien asegura que con las tecnologías digitales tenemos “muchas más posibilidades de expresión”, pero que no siempre son lo que parecen. “Algunos gobiernos difunden el miedo a ser vigilados para que no usemos esa libertad. Ese es uno de los objetivos de la Ley Mordaza”, asegura.

Es también lo que ha ocurrido con la teoría de los hackers amparada por algunos medios de comunicación y el gobierno de Mariano Rajoy. La finalidad de esto no es otra que atacar al independentismo catalán, algo que el profesor tacha de “una exageración que pasa de ser propaganda rusa para convertirse en propaganda española”.

A pesar de todo, mantiene el docente, “no siempre tiene que haber un plan diabólico detrás de la propaganda”. Además, las personas también elaboran sus propios sistemas de protección. “Por un lado somos más vulnerables a determinados tipos de propaganda, pero al mismo tiempo también estamos cada vez más descreídos”, argumenta. Precisamente por ello, la mayoría de aficionados a los cómics no tendrán Dark Hammer o Silent Run como referencia.

Las ciberguerras, aunque aún a pequeña escala, han dejado de ser cosa de un futuro distópico donde los robots gobiernan el mundo. Los políticos comienzan a plantearse que, más allá de invertir en armas convencionales, es necesario que los Gobiernos se dejen los cuartos en un arsenal tecnológico que les permita tanto protegerse como responder ante un conflicto digital.

Y si no que se lo digan a los rusos: de Estados Unidos a Australia acusan al Kremlin de estar detrás del ataque NotPetya, que consideran una estrategia para desestabilizar a Ucrania. Según la secretaria de prensa de la Casa Blanca, “es un ciberataque temerario e indiscriminado que tendrá consecuencias internacionales”.

Pero además de plantar cara a esta moderna fórmula de delincuencia, desde Naciones Unidas (ONU) advertían recientemente sobre la necesidad de elaborar un tratado internacional que regule los enfrentamientos digitales, como una suerte de Convenios de Ginebra adaptados a las tecnologías de la comunicación. El problema es que, por mucho que se alcen voces de alarma, “el mundo todavía no ha visto una guerra donde los ciberconflictos hayan tenido un papel importante”, indican tres ingenieros de la Universidad De Montfort (Reino Unido) y Airbus que intentan allanar el camino para cuando llegue ese momento. Por eso, después de definir el concepto de ciberguerra, han ido un paso más allá para traducir otro concepto al lenguaje tecnológico: el de la paz.

Porque, si en el mundo físico son necesarias medidas para restaurar la armonía una vez han terminado las contiendas, ¿no tendría sentido considerar esta misma cuestión en el plano virtual?

Los peligros de no prever las consecuencias

Por tratarse de un concepto aun en pañales, “las guerras cibernéticas todavía no se han sometido a pruebas ni se han regulado”, dicen estos ingenieros, Michael Robinson, Kevin Jones y Helge Janicke. En su trabajo siguieren que esta falta de normativa “presentará amenazas para los civiles”, como la ausencia de regulación sobre el uso minas antipersonas “ha producido un daño indiscriminado y prolongado en conflictos anteriores”.

Otra razón que justifica la necesidad de diseñar medidas para mantener la armonía es que los ciberataques perpetrados durante un conflicto pueden entenderse como una amenaza a la seguridad y la paz internacional, una situación para la que la ONU prevé la ejecución de operaciones pacificadoras.

Más allá de argumentar su ejecución, una cuestión importante para estos expertos en ciberseguridad es describir qué significa exactamente mantener la ciberpaz. Tomando como modelo el concepto que la ONU aplica en el mundo físico, la definición quedaría de la siguiente manera: “La aplicación de cibercompetencias para preservar la paz, aunque frágil, cuando la lucha se ha detenido y para ayudar a implementar los acuerdos conseguidos por los mediadores”.

A esta definición suman tres factores que facilitan la aplicación de las medidas, también recogidos por la ONU, que tienen que ver con su concordancia con el marco normativo actual, su entendimiento por parte de las autoridades que tienen que ponerlas en marcha y su potencial para formar parte de una operación pacificadora más grande.

Además, Robinson, Jones y Janicke hablan de las operaciones de observación, monitorización y comunicación encaminadas a verificar e informar el cumplimiento de las medidas de alto el fuego. Según estas últimas, las partes implicadas en el conflicto deberán detener los ciberataques y dar cuenta de la información que hayan robado y los fallos y vulnerabilidades descubiertos en los sistemas ajenos —que deberán, además, ayudar a resolver— y desmantelar los bots y el malware usados en los ataques.

Los combatientes deberán abandonar sus armas (informáticas) para reintegrarse y realizar actividades y profesiones que aboguen por la paz en internet.

Por otro lado, algunas webs serán declaradas zonas libres de ataques y quedarán bajo la protección de las fuerzas que restablecen la ciberpaz, encargadas de detectar amenazas y rastrear a los delincuentes. La máxima prioridad, sin embargo, será impulsar medidas para mejorar la seguridad; desde las tecnológicas, como bloquear IP sospechosas e instalar programas y dispositivos adecuados, a las educativas, que doten de los conocimientos adecuados a personas para que lleven a cabo todas estas medidas una vez termine la intervención externa.

Los vestigios ocultos de la guerra

Volviendo al símil de las minas antipersona, los autores de esta hoja de ruta de la ciberpaz aseguran que “al igual que un campo puede sembrarse de minas durante un conflicto, un sistema informático puede quedar sembrado de malwaremalware”. Tanto los explosivos como los virus pueden permanecer escondidos hasta que se activan o se detectan y sus efectos perjudiciales continúan después de que el conflicto haya terminado.  

Por esta razón, estos expertos describen una serie de objetivos que se aplican en el caso de las minas, pero adaptados al ámbito de la ciberseguridad, como son la educación, la detección y limpieza de sistemas infectados, el acceso de los afectados a servicios de protección y el desarrollo de planes de acción y respuesta por parte de las autoridades.

Aunque consideran útiles las guías elaboradas por el Instituto de Estándares y Tecnología estadounidense, estos ingenieros hacen especial hincapié en la necesidad de adaptar los conceptos y medidas de la ONU al plano de la ciberseguridad. Concluyen que, aunque restaurar la armonía tras un conflicto digital aún parece algo innecesario en el presente, “será indispensable en el futuro a medida que los ciberconflictos se extiendan cada vez más”. Así, según los autores, se acerca el día en que las “organizaciones como Naciones Unidas reconozcan la necesidad de actuar en el ciberespacio para mantener la paz”.

-----------------------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de James Lee, Visualhunt y Geert Bevin

“El adversario no necesita un ejército, solo un ordenador con conexión a internet”. Fueron las palabras de la ministra de Defensa alemana, Ursula von der Leyen, las que mejor resumieron el grave peligro al que se enfrentan los países hoy en día. Las pronunció durante la cita que congregó ayer a todos los ministros de Defensa de la Unión Europea para someterse a un examen informal sobre ciberseguridad.

Celebrado en Tallin, la capital de Estonia que acoge este semestre la presidencia del Consejo Europeo, este encuentro buscaba, además de concienciar a los representantes de los 28 sobre la necesidad de poner el foco en los ciberataques, evaluar sus conocimientos para reaccionar ante posibles incidentes.

Pero en esta reunión, bautizada CYBRID 2017, hubo una ausencia destacada. La ministra española de Defensa, María Dolores de Cospedal, no pudo acudir a causa de la reunión del Consejo de Ministros que se convocó de forma extraordinaria para recurrir ante el Tribunal Constitucional las leyes aprobadas por el Parlament para facilitar la desconexión de Cataluña.

En su representación, estuvo presente el almirante Juan Francisco Martínez Núñez, a cargo de la Secretaría General de Política de Defensa, para participar en la primera prueba de este tipo a la que se han sometido ministros y representantes de la Unión Europea bajo la atenta mirada del secretario general de la OTAN, Jens Stoltenberg.

Martínez Núñez, como el resto de representantes europeos, tuvo que demostrar su capacidad para contener un ciberataque simulado contra una de las bases navales del bloque. Concretamente, se trataba del sabotaje de las comunicaciones de la misión naval de la Unión Europea en el Mediterráneo, acompañado de una campaña de desprestigio en redes sociales destinada a provocar protestas ciudadanas.

Para participar en este ejercicio, a cada ministro o representante se le facilitaba una tableta en la que responder a una serie de preguntas en un máximo de una hora y media. Entre las cuestiones, por ejemplo, se les planteaba si creían conveniente emitir un comunicado oficial o preferían mantener sus acciones en secreto.

Este encuentro, en el que también se pudo ver a la ministra francesa, Florence Parly, junto a sus homólogos de Italia, Reino Unido o Portugal, también sirvió para plantear los desafíos de seguridad en las regiones del Sahel y el Cuerno de África y debatir medidas contra la amenaza de Corea del Norte.

De principio a fin: en busca de una respuesta conjunta

Este tipo de ejercicios destinados a poner a prueba nuestro sistema de defensa ante ciberataques no son nuevos para la Unión Europea. Desde 2010, la Agencia Europea de Seguridad de las Redes y de la Información (ENISA) celebra cada dos años el encuentro Cyber Europe, en el que se simulan una serie de incidentes virtuales para determinar la seguridad de nuestras redes, identificar sus errores y ponerles solución.

Porque, más allá de incidentes puntuales que ponen en riesgo la ciberseguridad de empresas y organismos, existe una amenaza a gran escala. La ciberguerra es un concepto mucho más amplio que, en el peor de los casos, puede conducir a un colapso total: el robo masivo de datos o el bloqueo de sistemas sensibles, tanto públicos como privados, son armas que pueden activarse a golpe de clic y hacer que se tambalee la estructura de una nación o de un conjunto de países.

Ante estos riesgos, la Unión Europea pretende implicar a sus miembros en la consecución de un marco conjunto capaz de hacer frente a las nuevas ciberamenazas. Para ello, el bloque pone a disposición de los Estados una serie de organismos y herramientas, como el Centro de Inteligencia y de Situación de la Unión Europea (INTCEN), la Política Común de Seguridad y Defensa (PCSD) o los grupos de trabajo StratCom, que permiten una coordinación y cooperación desde el análisis de la crisis y la evaluación del impacto hasta su resolución.

Sin embargo, aún quedan cuestiones en las que avanzar. CYBRID 2017 no ha abordado temas técnicos con los ministros, algo que está previsto que suceda en próximos eventos, aunque ya lleva tiempo realizándose desde otros ámbitos como la OTAN.

Así son las pruebas de preparación para el frente virtual

Desde 2010, el Centro de Excelencia Cooperativa de Ciberdefensa de la OTAN organiza cada año el encuentro Locked Shields, uno de los ejercicios técnicos más avanzados a nivel internacional. Allí, los equipos de los países de la Alianza se enfrentan al reto de preservar las redes y servicios de un país ficticio que recibe todo tipo de golpes virtuales.

Con una visión más global, la OTAN también celebra otro evento en otoño, la Cyber Coalition. Programado para noviembre, este encuentro está diseñado para ofrecer a sus participantes una comprensión mayor de las capacidades de la OTAN en materia de ciberdefensa e identificar sus áreas de mejora. Para ello, se llevan a cabo ataques imprevistos, como por ejemplo intrusiones en sistemas, que deben ser analizados y solucionados ya sea de forma teórica o práctica.

“El año pasado vimos un incremento del 60 % en los ataques a las redes de la OTAN, y es importante que trabajemos junto a la UE para defender a nuestros aliados y miembros ante diferentes tipos de ataques”, recordaba Stoltenberg en CYBRID 2017.

Independientemente del contexto, estar preparado es clave para combatir las amenazas. En España, el Mando Conjunto de Ciberdefensa es el organismo encargado de velar por la seguridad del ciberespacio. Pero más allá de su labor técnica de proteger nuestros sistemas ante cualquier riesgo, también es necesaria una gestión política eficiente. Dar respuesta y saber cómo hacerlo en este ámbito será fundamental para librar las guerras del futuro.

----------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Annika Haas (EU2017EE), Raul Mee (EU2017EE) y Amo Mikkor.

Robos de datos, espionaje, ataques a sistemas críticos… La reciente oleada de incidentes a escala mundial provocados por el ramsonware Wannacryramsonware nos hace plantearnos un nuevo panorama al que enfrentarnos. La Red también puede convertirse en un campo de operaciones bélicas donde los soldados se esconden tras la pantalla y las armas son algoritmos y malware. Ante este tipo de amenazas ¿estamos preparados para protegernos? ¿Qué papel juega España en la ciberdefensa global? ¿Cómo se forman los ciberejércitos?

La tripulación de Hoja de Router responde a estas y otras preguntas con los expertos en ciberseguridad Enrique Fojón Chamarro, subdirector de Thiber, y Román Ramírez, responsable de seguridad en Ferrovial y fundador de Rooted Con, el mayor evento para 'hackers' de España.

Recuerda que este programa es solo posible gracias a ti. Difúndelo y, si puedes, hazte Productor o Productora de #CarneCruda.