Tras el anuncio de Pedro Sánchez sobre la ayuda millonaria a Ucrania, España se enfrenta a una ola de ciberataques atribuidos a hackers rusos. Desde instituciones gubernamentales hasta empresas privadas, nadie se salva. ¿Simple coincidencia o una escalada en la «guerra híbrida»? La polémica está servida.
El gobierno español en la mira: ¿Ciberataques rusos como represalia por el apoyo a Ucrania?
El 24 de febrero, Pedro Sánchez, presidente del Gobierno, se reunió en Kiev con su homólogo ucraniano. En el encuentro, Sánchez «anunció ayudas por valor de 1.000 millones de euros anuales» durante una década para apuntalar el esfuerzo bélico del país. Apenas dos días después, se desató una tormenta digital sobre España, con una campaña de ciberataques contra objetivos institucionales y empresariales que, según parece, aún no amaina.
Grupos de hackers rusos se atribuyeron la autoría de estas intrusiones, enmarcándolas en la «guerra híbrida» que, según Sánchez, Moscú libra contra los países de la UE. La advertencia fue clara y directa: «Con estos ataques queremos decirle al gobierno (sic) español que deje de apoyar a Ucrania. Si esto no sucede (sic) pasaremos a las webs gubernamentales. Y también a las grandes empresas», publicaron los hackers de TwoNet en Telegram.
### La lista de damnificados: de ayuntamientos a la mismísima Moncloa
Los ataques, que han sido confirmados por las víctimas o identificados por la comunidad hacker, golpearon desde ayuntamientos y diputaciones hasta consejerías autonómicas y ministerios clave como Interior, Defensa, Exteriores e Inclusión, Seguridad Social y Migraciones. Tampoco se salvaron instituciones como el Centro Criptológico Nacional (CCN-CERT), el Estado Mayor de la Defensa (EMAD), el Departamento de Seguridad Nacional, La Moncloa, la Casa Real, fundaciones como el Real Instituto Elcano o Cidob, empresas como El Corte Inglés o Legálitas, e incluso medios como Newtral.
La elección de objetivos, aparentemente aleatoria, revela una estrategia perversa. Se combinan ataques a sistemas vulnerables, como los de los ayuntamientos, con embestidas directas a las instituciones más emblemáticas del poder soberano. «Estos ciberataques buscan notoriedad y crear la sensación de que estamos desprotegidos», explica Marcelino Madrigal, experto en redes y ciberseguridad. ¿Simple vandalismo digital o una operación de inteligencia para sembrar el caos?
La modalidad de ataque más recurrente, al menos en los 70 incidentes registrados, es la denegación de servicio distribuido (DDoS). «Una vez caídas, los atacantes hacen una captura de pantalla como prueba de su éxito y la exhiben como un trofeo», apunta Hervé Lambert, director de operaciones globales de Panda Security.
Según el Instituto Nacional de Ciberseguridad (Incibe), si bien estos ataques interrumpen los servicios, «de manera general, lo que hemos visto son interrupciones puntuales y breves, que no han tenido tampoco consecuencias duraderas en la operatividad». ¿Será que solo nos están tanteando el terreno?
### ¿Hackers rusos actuando por cuenta propia o bajo mandato del Kremlin?
Se han identificado al menos siete grupos de hackers con lazos a Rusia como responsables de esta ofensiva digital, incluyendo TwoNet, NoName057, People’s Cyber Army of Russia, Cyber Army of Russia Reborn, KillNet y Z-Pentest. «Aunque no se puede confirmar con certeza, probablemente están ligados de una u otra forma al gobierno ruso y a sus intereses», sugiere José Rosell, consejero delegado de S2Grupo.
Y es que, en el oscuro mundo del ciberespionaje, la atribución de un ataque es una tarea casi imposible si el perpetrador sabe lo que hace. De ahí que muchos gobiernos recurran a esta arena para llevar a cabo acciones de sabotaje de forma encubierta.
Estos grupos, coordinados a través de Telegram, reclutan hackers autónomos para ejecutar sus ataques. Si bien han estado activos desde el inicio de la guerra en Ucrania, su actividad se ha intensificado en las últimas semanas. «No habría que magnificar estos ataques, que son más bien rutinarios. Tienen un alto componente de propaganda», señalan fuentes del CCN-CERT. ¿Una bravuconada digital o un preludio de algo más serio?
Lo curioso es que a esta «legión» rusa se han sumado hackers de otros orígenes, como Mr Hamza (Argelia), Dxploit (Malasia) o Dark Storm (antiisraelí). «Me llama la atención que Dark Storm haya intensificado su actividad en España durante la última semana, justo cuando lo hacen los grupos rusos. Es muy difícil saber si es por coincidencia, oportunismo o coordinación», se pregunta David Arroyo Guardeño, investigador del CSIC.
A este guiso explosivo se suman grupos prorrusos afincados en España, que amplifican los comunicados de los hackers y respaldan su accionar. «Hay muchos canales de desinformación pro rusa que son los mismos que se declaran anti agenda 2030, que habían participado en las tractoradas o que difundieron propaganda antivacunas durante la pandemia. Parece claro que son células permanentes que buscan hacer ruido y desestabilizar al Gobierno», apunta Madrigal.
Volviendo al plano gubernamental, «Tuvimos la semana pasada un ciberataque que llegaba de Rusia», reconoció el presidente Sánchez en Helsinki. «Es importante enfrentarnos a un debate troncal [sobre el aumento del gasto militar]», remató.
### La punta del iceberg: ¿Qué hay detrás de los ataques DDoS?
«Los ataques DDoS a veces se usan como cortina de humo para encubrir operaciones más dañinas», advierte Lambert. Distrayendo a los técnicos con la «caída visible», los atacantes podrían aprovechar para infiltrarse, robar datos o implantar *malware*.
Esta tarea, más sofisticada, quedaría en manos de las llamadas amenazas persistentes avanzadas (APT), equipos de hackers profesionales patrocinados por países con capacidades comparables a las de los servicios secretos. «Rusia cuenta con grupos de ciberespionaje militar altamente sofisticados, como APT28 (Fancy Bear) y APT29 (Cozy Bear) –del SVR, inteligencia exterior–, que han estado activos en objetivos españoles», explica Lambert.
En 2023, APT28 fue acusado de lanzar campañas de *phishing* contra empresas de la industria de defensa española, como Navantia, para robar credenciales y datos sensibles. El mismo grupo habría atacado ese año redes internas de ministerios españoles, según informes del CNI. Por su parte, APT29 logró acceder también en 2023 a servicios en la nube del sector público español mediante correos comprometidos enviados desde embajadas.
«Los ataques DDoS recientes en España han sido principalmente un acto de ciberguerra de bajo nivel e impacto limitado, a modo de represalia visible por el apoyo a Ucrania. Sin embargo, no deben tomarse a la ligera: además de su efecto propagandístico y disruptivo momentáneo, pueden ser la punta del iceberg de una estrategia más amplia», concluye Lambert. ¿Estamos preparados para lo que pueda venir? Solo el tiempo lo dirá, pero la pregunta ya está en el aire.
