in

Las redes del Ministerio de Defensa recibieron en 2022 ciberataques más sofisticados y mejor planificados
elconfidencialdigital.com

La guerra de Ucrania encendió todas y cada una de las alertas en los países de la Organización del Tratado del Atlántico Norte, frente a la posibilidad de que Rusia, a la que se acusa desde hace unos años de dirigir importantes conjuntos de piratas informáticos, tomara represalias con ciberataques que pudieran paralizar servicios esenciales en los países.

Entre los acontencimientos que han transcendido cabe citar que la web del Parlamento Europeo sufrió un ataque de denegación de servicio que tumbó el acceso a la página a lo largo de horas. Lo reclamó un colectivo prorruso, Killnet.

En España, el Ministerio de Ciencia identificó y encontró en Rusia el origen del ransomware que impidió a lo largo de un par de semanas acceder a la web del Centro Superior de Investigaciones Científicas (CSIC).

En las primeras semanas de guerra, ECD descubrió que el Centro Criptológico Nacional, dependiente del CNI, había advertido al Gobierno de que se podían producir ciberataques rusos concretamente contra el Servicio Público de Empleo Estatal. La advertencia se cumplió, y entre abril y marzo un ciberataque retrasó el pago de las prestaciones por desempleo a millones de parados.

Más sofisticados y mejor planificados

Confidencial Digital ha podido saber ahora que, en lo que a ciberataques se refiere, también en el Ministerio de Defensa y en las Fuerzas Armadas han sentido cambios en 2022.

Altos mandos consultados explican que el cambio principal no fue cuantitativo, sino cualitativo. Aunque no dan cifras, aseguran que no se advirtieron más ciberataques e incidentes en las redes militares, con respecto a dos mil veintiuno y otros años precedentes. No novedoso es que los episodios contabilizados estuvieron más y mejor organizados.

“Eran más sofisticados”, resume un militar con responsabilidad en este tipo de labores.

Mensajes de phishing menos burdos

Anteriormente, los intentos de intrusión y de ataque contra las redes militares procedían de grupos que actuaban de forma dispersa. Uno de los cambios que se ha afianzado en 2022 es que los piratas informáticos que atacan los sistemas de Defensa están, en bastantes ocasiones, más ordenados entre sí.

La mayor “sofisticación” se ha notado, por poner un ejemplo, en el phishing. El Instituto Nacional de Ciberseguridad lo define como una técnica consistente en el envío de un mail por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con la meta de robarle información, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan en el correo ficheros inficionados o links a páginas fraudulentas.

“Los mensajes de phishing que se han detectado son más sofisticados, no tan burdos”, explican las fuentes militares.

Detalles de la víctima

Los piratas informáticos mandan correos, o SMS a móviles (el denominado “smishing”), que muchas veces, por los fallos gramaticales y ortográficos o por otros detalles, es obvio que se trata de anzuelos para introducir un verme en el ordenador, o para tratar de hurtar datos personales o bancarios.

Pero, cuanto más detalles se conozcan de la víctima, más fácil es preparar un mensaje que consiga que ‘pique’, se confíe, y por este motivo abra el mensaje, pinche en un enlace, e incluso escriba claves de acceso e información clave, pensando que está actuando de manera segura.

Es lo que se supone que ocurrió con algunos de los políticos a los que se hackeó el móvil con Pegasus. Por ejemplo, Pere Aragonès recibió un mensaje con un supuesto enlace a una nueva de La Vanguardia sobre las negociaciones PSOE-ERC para la investidura de Pedro Sánchez.

Aviso de bultos

En ámbitos militares sucedió algo así en dos mil veintiuno. Se advirtió que miembros de las Fuerzas Armadas recibían SMS en los que se les informaba de la supuesta llegada de un paquete a su nombre.

La clave en este caso es que en algunos de esos mensajes se nombraba al usuarios del móvil con su empleo militar: “Estimado Tcol [teniente coronel]”, “Hola Capitn [sic]”. Se temió que la agenda de contactos del móvil de algún militar hubiese sido robada, y por eso se recomendó no guardar los teléfonos con el empleo militar delante del nombre.

En 2019, el phishing fue la puerta de entrada a un código malicioso que se extendió por la red de propósito general WAN PG del Ministerio de Defensa.

Junto a los casos de phishing, para intentar colarse en los sistemas, las redes informáticas militares asimismo se vieron expuestas en dos mil veintidos a un importante número de ataques de denegación de servicio o DoS (en inglés, “Denial of Service”).

Se trata de sobresaturar un servidor con un elevado número de solicitudes de navegación, lo que provoca la caída de un servicio o de una página web.

Pegasus

Este dos mil veintidos ha sido asimismo el año en el que el Gobierno de España hizo público que los móviles del presidente, la ministra de Defensa y el ministro del Interior se habían visto pirateados con el programa espía Pegasus.

El caso de Margarita Robles podía hacer temer que se hubiese visto comprometida información de interés militar.

El móvil del Jefe de Estado Mayor de la Defensa (JEMAD), almirante general Teodoro López Calderón, fue revisado para revisar si asimismo había sido inficionado. No se advirtieron trazas de que hubiese sido perjudicado por ese programa espía.  

Los firewall funcionaron

Desde hace años, las redes militares registran incidentes de ciberseguridad a diario, de forma que anualmente son “miles” los capítulos. Pero sólo ciertos se consideran en especial destacados, por su complejidad o por el número de usuarios a los que se intenta comprometer.

Según las fuentes consultadas por ECD, los ciberataques que recibieron el Ministerio de Defensa y las Fuerzas Armadas eran solventados gracias a los firewall, las diferentes barreras que protegen los sistemas informáticos, de forma que no llegasen a verse comprometidos.

Confidencial Digital contactó con el Estado Mayor de la Defensa, del que depende el Mando Conjunto del Ciberespacio, encargado de proteger las redes militares de esta clase de ataques, para conocer el número de ciberataques recibidos en dos mil veintidos y el tipo y gravedad de exactamente los mismos.

Desde el Estado Mayor de la Defensa eludieron dar información, ya que se trata de datos sensibles que comprometen la seguridad, y que en nuestros días son información clasificada.

713 incidentes

En alguna ocasión ha sido el propio Mando Conjunto del Ciberespacio el que ha dado ciertos detalles. En estas páginas se contó  en 2021 que la  Gaceta De España de Defensa desveló que, a lo largo de 2020, el Mando Conjunto del Ciberespacio, actuando como Centro de Contestación ante Incidentes de Ciberseguridad del Ministerio de Defensa, analizó 713 ciberincidentes registrados en las redes y sistemas informáticos militares.

La cifra de setecientos trece no correspondía a la totalidad de incidentes de seguridad, porque en eras “miles”, pero de entre todos examinó con singular atención esos setecientos trece, por dos motivos principalmente: la importancia y dificultad del incidente, y el número de usuarios a los que iban dirigidos esos ataques.

El general de División Rafael García Hernández, que dirige el Mando Conjunto del Ciberespacio, explicó que la mayoría de los incidentes de tipo cibernético registrados en los sistemas militares “se deben a simples configuraciones erróneas de equipos”. Añadió que “solo un diez por 100 son ataques de malware, idénticos a los que sufre la sociedad civil y fáciles de parar”.

Hackeo al Instagram del Estado Mayor de la Defensa

En febrero de 2022, a los pocos días de que Rusia lanzara la invasión de Ucrania, se produjo en España un ciberataque en apariencia no muy grave, mas que fue muy llamativo.

El perfil del Estado Mayor de la Defensa en Instagram amaneció con varias fotos de una muchacha en ropa interior. Aun la fotografía de perfil había sido sustituida: en vez del escudo del Estado Mayor de la Defensa, aparecía una imagen de esa joven.

Las imágenes no pudieron ser retiradas hasta múltiples horas después.

Técnicas de ingeniería social

A finales de abril, el Gobierno informó por escrito en el Congreso de los Diputados que “el hackeo de la cuenta se había realizado a través de un ataque de phishing o de engaño, usando técnicas de ingeniería social”.

Es decir, podía haber ocurrido que algún militar encargado de gestionar el Instagram del Estado Mayor de la Defensa, o con acceso a dicha cuenta, hubiera recibido un mensaje falso y hubiese revelado las contraseñas. Desde ahí, los piratas decidieron publicar esas fotografías.

El percance se solventó tras denunciar los hechos a Meta, la compañía dueña de Instagram, que procedió a restituir las credenciales de la cuenta. El Gobierno aseguró, en esa respuesta parlamentaria, que se desconocía quién había sido el creador del ataque.

Difícil atribución

Una de las principales contrariedades de la investigación sobre un ciberataque es la atribución. Los responsables pueden ocultarse y despistar sobre el origen, de manera que resulta muy difícil acusar concretamente, por servirnos de un ejemplo a un gobierno extranjero, de haber lanzado un ataque informático contra las redes de otro país.

Además, gobiernos que recurren con cierta frecuencia a atacar los sistemas sensibles de administraciones extranjeras se ocultan muy frecuentemente tras conjuntos supuestamente independientes: bien en colectivos de supuestos ciberactivistas, bien con cibercriminales que actúan en la red por motivos económicos.

Piratas rusos, a la caza de documentos militares

El ya convocado ciberataque al Ministerio de Defensa que se generó en el tercer mes del año de dos mil diecinueve se detectó cuando, según parece, el hacker llevaba tres meses moviéndose por la red de propósito general WAN PG del departamento. El ministerio lo denunció ante la fiscalía.

Por su interés estratégico, las redes de Defensa, al lado de las del Ministerio de Asuntos Exteriores, se hallan entre las que acostumbran a percibir más ciberataques en la Administración General del Estado.

En estas páginas se contó en dos mil diecisiete que, del mismo modo que los gobiernos de Estados Unidos, R. Unido, Francia y Ucrania, así como la Organización del Tratado del Atlántico Norte y la UE, también la administración española estaba sufriendo ciberataques que se atribuían a conjuntos de hackers que se vinculaban a los servicios de inteligencia rusos: APT27, con el Servicio de Inteligencia Exterior (SVR); APT29, con el Servicio Federal de Seguridad (FSB, antigua KGB); y ‘APT28’, la más famosa y activa de las tres plataformas, que fue claramente relacionada con el ‘Glávnoe Razvédyvatelnoe Upravlénie’ (GRU), los servicios de inteligencia militar rusa.

La ofensiva cibernética prosiguió en 2018, con singular incidencia en las redes militares. Se sospechaba que los piratas informáticos que trataban de colarse en el Ministerio de Defensa, como en sistemas de otros países, iban especialmente en pos de documentos, datos, cualquier género de información relacionada con la OTAN.

Mando Conjunto del Ciberespacio

El Ministerio de Defensa tiene designado un Centro de Respuesta ante Incidentes informáticos, el ESP DEF-CERT. Se halla enmarcado en el Mando Conjunto del Ciberespacio, una unidad dependiente del Estado Mayor de la Defensa.

El ámbito de actuación del Centro de Respuesta ante Incidentes del Ministerio de Defensa son las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que particularmente se le encomienden y que afecten a la Defensa Nacional.

El Mando Conjunto del Ciberespacio es el órgano responsable del planeamiento, dirección, coordinación, control y ejecución de las acciones conducentes a asegurar la libertad de acción de las Fuerzas Armadas en el campo ciberespacial.

Planea, dirige, coordina, controla y ejecuta las operaciones militares en el ciberespacio, de acuerdo con los planes operativos en vigor. Además, realiza las acciones precisas para asegurar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas, y asimismo define, dirige y regula la concienciación, la formación y el entrenamiento conjunto en materia del ciberespacio en el ámbito de sus competencias.

También existe el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), con rango de subdirección general, que depende de la Secretaría de Estado de Defensa. Le toca la planificación, desarrollo, programación y administración de las políticas relativas a los sistemas y tecnologías de la información y las comunicaciones, la transformación digital y seguridad de la información, así como la supervisión y dirección de su ejecución.

Sin móviles en las reuniones

La necesidad de aumentar la conciencia de ciberseguridad está muy presente en la Administración pública, pero en el Ministerio de Defensa y en las Fuerzas Armadas de modo singular. Desde hace años, se hace hincapié en el peligro de los ciberataques.

En edificios militares hay carteles con avisos, consejos y recomendaciones para no bajar la guarda, y no ‘picar’ en casos como los ya comentados. Se solicita extremar la precaución, no abrir correos corporativos en determinados dispositivos, no compartir información en redes sociales, evitar repetir claves de acceso…

Además, con determinada periodicidad se mandan boletines que insisten en esos mensajes. Fruto de todo ello, y por las medidas estrictas de seguridad que se sostienen en los acuartelamientos -por servirnos de un ejemplo, con la instalación de casilleros de metacrilato a la entrada de instalaciones sensibles-, los altos mandos están muy mentalizados y evitan llevar los teléfonos móviles encima cuando asisten a asambleas, sobre todo aquellas en las que se va a abordar información más sensible.

Deja una respuesta

El alegato de Lula da Silva, en diez frases

El alegato de Lula da Silva, en diez frases
elpais.com

Siria denuncia que Israel ha vuelto a agredir con misiles el aeropuerto de Damasco

Siria denuncia que Israel ha vuelto a agredir con misiles el aeropuerto de Damasco
lavanguardia.com