Aunque hoy en día ya no estén en el boca a boca de la gente, desde el inicio de la guerra entre Rusia y Ucrania, a principio de año, los ciberataques rusos no han cesado. Esta semana el gobierno ucraniano advirtió que el Kremlin de Moscú está planeando llevar a cabo "ciberataques masivos" dirigidos a las redes eléctricas y otras infraestructuras críticas en Ucrania y en los territorios de sus aliados.

"Mediante los ciberataques, el enemigo intentará aumentar el efecto de los ataques con misiles contra las instalaciones de suministro eléctrico, principalmente en las regiones del este y el sur de Ucrania", indicaba un aviso. "El mando ocupante está convencido de que esto ralentizará las operaciones ofensivas de las Fuerzas de Defensa ucranianas".

Según el informe del día lunes hacían énfasis a dos ciberataques que el gobierno ruso llevó a cabo (primero en 2015 y luego casi exactamente un año después) y que dejaron deliberadamente a los ucranianos sin electricidad durante uno de los meses más fríos del año. Los ataques se consideraron una prueba de concepto y una especie de campo de pruebas para interrumpir el suministro eléctrico de Ucrania.

El primer ataque reutilizó un malware conocido, llamado BlackEnergy, creado por hackers respaldados por el Kremlin. Los atacantes utilizaron este nuevo malware BlackEnergy3 para introducirse en las redes corporativas de las compañías eléctricas ucranianas y luego invadir los sistemas de control de supervisión y adquisición de datos que las empresas utilizaban para generar y transmitir electricidad. El hackeo permitió a los atacantes utilizar funcionalidades legítimas que se encuentran habitualmente en la distribución y transmisión de energía para desencadenar un fallo que provocó que más de 225.000 personas se quedaran sin electricidad durante más de seis horas.

El ataque de 2016 fue más sofisticado. Utilizó un nuevo programa malicioso escrito desde cero y diseñado específicamente para hackear los sistemas de la red eléctrica. El nuevo malware (que recibe los nombres de Industroyer y Crash Override) destacaba por su dominio de los arcanos procesos industriales utilizados por los operadores de la red ucraniana. Industroyer se comunicaba de forma nativa con esos sistemas para ordenarles que desconectaran y volvieran a conectar las líneas de las subestaciones.

"La experiencia de los ciberataques a los sistemas energéticos de Ucrania en 2015 y 2016 se utilizará a la hora de llevar a cabo las operaciones", dijo el gobierno ucraniano el lunes.

El aviso del lunes se produce dos semanas después de que las fuerzas ucranianas reconquistaran vastas franjas de territorio en Kharkiv y otras ciudades que habían estado bajo control ruso durante meses. El presidente ruso, Vladimir Putin, llamó la semana pasada a la movilización de 300.000 ciudadanos rusos para reforzar la invasión militar del país en Ucrania.

La medida, que fue la primera vez desde la Segunda Guerra Mundial que Rusia ha hecho, ha provocado protestas y una diáspora de rusos, en su mayoría hombres, que huyen del país. Un giro hacia una mayor dependencia de la piratería informática por parte de las fuerzas armadas del país podría verse como una forma de alcanzar los objetivos sin forzar aún más la actual escasez de personal.

Es difícil evaluar las posibilidades de éxito de una campaña de hackeo contra las redes eléctricas de Ucrania. A principios de este año, el CERT-UA de Ucrania dijo que había detectado con éxito una nueva cepa de Industroyer dentro de la red de una empresa regional de energía ucraniana. Industroyer2 fue capaz de desconectar temporalmente la energía de nueve subestaciones eléctricas, pero se detuvo antes de que pudiera desencadenarse un gran apagón.

"No tenemos ningún conocimiento o dato directo para hacer una evaluación sobre la capacidad de Ucrania para defender su red, pero sí sabemos que el CERT-UA detuvo el despliegue del malware INDUSTROYER.V2 que tenía como objetivo las subestaciones eléctricas de Ucrania a principios de este año", escribió Chris Sistrunk, director técnico de Mandiant Industrial Control Systems Consulting, en un correo electrónico. "Basándonos en eso y en lo que sabemos sobre la determinación general del pueblo ucraniano, cada vez está más claro que una de las razones por las que los ciberataques en Ucrania se han visto amortiguados es porque sus defensores son muy agresivos y muy buenos a la hora de enfrentarse a los actores rusos."

Pero los investigadores de Mandiant y de otros lugares también señalan que Sandworm, el nombre del grupo respaldado por el Kremlin que está detrás de los hackeos a la red eléctrica, se encuentra entre los grupos de hacking más elitistas del mundo. Son conocidos por su sigilo y persistencia y por permanecer ocultos dentro de las organizaciones objetivo durante meses o incluso años antes de salir a la luz.

Además de un ataque a las redes eléctricas, el aviso del lunes también advertía de otras formas de interrupción que el país esperaba que Rusia intensificara.

"El Kremlin también tiene la intención de aumentar la intensidad de los ataques DDoS contra la infraestructura crítica de los aliados más cercanos de Ucrania, principalmente Polonia y los países bálticos", decía el aviso. Desde febrero, los investigadores han dicho que los actores de la amenaza pro-rusa han estado detrás de un flujo constante de ataques de denegación de servicio distribuidos dirigidos a Ucrania y sus aliados.