Los ciberataques rusos se disparan después de que el Kremlin declare a España como un «país hostil»

Melchor Saiz-Pardo MADRID / COLPISA

ESPAÑA

Kacper Pempel | Reuters

El Gobierno acelera el blindaje de la Administración ante el temor de que los hackers rusos den «salto cualitativo» en su «estrategia de hostigamiento»

11 abr 2022 . Actualizado a las 05:00 h.

Las instituciones y empresas españolas han sufrido durante el último mes una de las mayores oleadas de ciberataques desde que se tienen registros. La campaña de sabotajes -según revelan fuentes de la seguridad del Estado- se recrudeció solo horas después de que el 7 de marzo el Kremlin incluyera a España, junto a otro medio centenar de estados, en su lista de «países hostiles» por su apoyo económico y militar a Ucrania.

Por el momento, los servicios de inteligencia nacionales y estadounidenses tienen indicios de que la larga mano de los servicios secretos rusos y sus grupos de hackers a sueldo podrían estar detrás de dos de los más graves incidentes desde la declaración de «país inamistoso».

El primero es el ciberataque que Iberdrola sufrió el pasado 15 de marzo y que se saldó con el robo de información personal de 1,3 millones de clientes. Según informaron fuentes de la propia compañía y han confirmado responsables de diversas agencias españolas, fueron las «autoridades norteamericanas» las que advirtieron de que ese sabotaje estaba provocado por la «situación crítica» internacional. El

segundo incidente que los expertos del Gobierno relacionan con Rusia es el sabotaje de los sistemas del Congreso de los Diputados el 24 de marzo a través de un ataque de «denegación de servicio DDoS», provocado por el acceso simultáneo de multitud de ordenadores. Buena parte de las direcciones IP detectadas estaban ubicadas en Siberia, lugar habitual de lanzamiento de ataques de los hackers a sueldo de los servicios rusos.

Los especialistas del CCN (Centro Criptológico Nacional) del CNI, del Centro Nacional de Infraestructuras Críticas (CNPIC), y de la Oficina de Coordinación de Ciberseguridad (OCC) coinciden en que, hasta ahora, y a pesar de los voluminosa de la ofensiva, el nivel de peligrosidad de los ataques está siendo «bajo-medio» como si los atacantes estuvieran simplemente «avisando».

De hecho, ninguno de los ciberataques -apuntan responsables de estos departamentos- ha tenido la envergadura del sabotaje de hace un año cuando los servicios del SEPE estuvieron afectados durante semanas por un ataque por el ransomware «Ryuk», creado en el 2018 y gestionado por «cibercriminales rusos», según lograron determinar los servicios secretos españoles, que vincularon el ataque con la inteligencia del Kremlin, sobre todo porque los atacantes no pidieron un rescate para desactivar el programa de secuestro de datos.

En el Ministerio de Defensa también coinciden en que la ofensiva de sabotajes no ha llegado a tocar techo pese a la escalada de las últimas cuatro semanas. De hecho, el departamento que dirige Margarita Robles solo ha elevado a 3 (en una escala de 5) el nivel de alerta por ciberataques.

Unidades de élite

En Defensa ya no hacen por ocultar sus temores de que el Kremlin se esté reservando sus unidades de élite en sabotajes. El pasado 21 de marzo, en plena ofensiva, uno de los mayores expertos de las Fuerzas Armadas en ciberataques, Francisco Marín Gutiérrez , teniente coronel del Ejército de Tierra, publicó un informe en Instituto Español de Estudios de Defensa ( el 'think tank' de Defensa) en que el avisaba que el servicio de inteligencia militar ruso (GRU) y en particular una unidad denominada 26.165 desde mediados de la década de los 2000, está volcada en la «explotación de vulnerabilidades en redes y el acceso no autorizado a sistemas informáticos».

En concreto, y así lo reflejan los documentos de las agencias remitidos a Moncloa, el temor de las agencias españolas que el Kremlin dé un «salto cualitativo» en su «estrategia de hostigamiento» y movilice a sus unidades de inteligencia y a sus grupos de hackers a sueldo más peligrosos (Fancy Bear y sobre todo, Cozy Bear) en campañas de «gran envergadura» para «paralizar» sectores de la Administración. Esos informes alertan de que no serán ya ataques breves, sino que el objetivo es introducirse en los sistemas durante largos períodos de tiempo a través de brechas desconocidas (ataques de día cero) o a través de proveedores externos.

El Gobierno cree tan real esta amenaza que el pasado 30 de marzo, en el macrodecreto de medidas económicas para paliar los efectos de la guerra en Ucrania, introdujo una disposición para permitir a las administraciones saltarse los plazos legales y evitar un caos y una cascada de demandas en el caso de que como «consecuencia de un ciberincidente se vean gravemente afectados los servicios y sistemas utilizados para la tramitación de los procedimientos».