El CNI revela el organigrama de los 'hackers' rusos y los espías de Putin: "España es uno de los países más atacados"
- Los servicios secretos españoles han constatado la progresiva sofisticación y el incremento en la frecuencia de los ataques dirigidos desde Rusia.
- Más información: El CNI coordina una respuesta al ataque de "la mayor alianza de 'hackers' rusos jamás vista"
Un reciente informe del Centro Nacional de Inteligencia (CNI) revela la estructura y el organigrama de los hackers que trabajan para los servicios de espionaje del régimen de Vladímir Putin. Este documento arroja luz sobre una preocupante realidad: España se ha convertido en uno de los principales objetivos de los ciberdelincuentes rusos.
El Centro Criptológico Nacional (CCN), el organismo del CNI dedicado a prevenir, responder y combatir las ciberamenazas desde el Estado, ha emitido recientemente su informe anual Ciberamenazas y Tendencias 2024. Este documento, que analiza las ciberamenazas detectadas a lo largo del año, destaca la progresiva sofisticación y el incremento en la frecuencia de los ataques dirigidos desde Rusia, especialmente en el contexto del conflicto en Ucrania.
Además, revela por primera vez la jerarquía de los hackers a sueldo del Kremlin, que trabajan en la sombra para sus servicios de inteligencia.
"La Federación de Rusia es uno de los actores cibernéticos más prolíficos del mundo y dedica importantes recursos a la realización de operaciones cibernéticas a escala global. De acuerdo con investigaciones llevadas a cabo por organismos gubernamentales y entidades privadas, los actores cibernéticos estatales rusos más conocidos pertenecen a tres agencias de inteligencia rusas: el Servicio Federal de Seguridad de la Federación Rusa (FSB), el Servicio de Inteligencia Exterior de la Federación Rusa (SVR) y la Dirección General del Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU)", señala el informe.
El documento resalta que los hackers rusos han intensificado sus operaciones en territorio español, centrándose no solo en el sector público sino también en empresas estratégicas y del sector de la defensa. Entre los incidentes más destacados, el CCN señala ataques de denegación de servicio distribuida (DDoS) y campañas de ciberespionaje que han afectado a ministerios y a la industria militar. Esto último, indica el documento, "probablemente debido en parte a la necesidad de inteligencia militar producto de su involucración en la guerra de Ucrania".
De hecho, casi el 35% de las campañas de ciberespionaje registradas en España en 2023 tuvieron como objetivo organismos gubernamentales. Estos suelen ser un objetivo prioritario para la inteligencia rusa que, de ese modo, intentan acceder a datos sobre seguridad nacional, relaciones diplomáticas, políticas internas y estrategias militares.
Uno de los grupos más activos mencionados es NoName057(16), conocido por sus ataques contra infraestructuras críticas en respuesta al apoyo de España a Ucrania. "Ha sido con diferencia el grupo hacktivista que más ha atacado a España durante el año 2023, atacando empresas públicas y privadas de transportes y logística terrestre, marítimo y aéreo, organismos gubernamentales, entidades bancarias y financieras y compañías de telecomunicaciones. En su canal de Telegram proclaman ataques que lanzan a España tras el anuncio de envío de armamento y material militar a Ucrania", indica el CNI.
Este grupo lanzó el pasado verano un ciberataque masivo contra distintas infraestructuras españolas en internet tras una operación de la Guardia Civil en la que fueron arrestados tres de sus miembros. Al conocerse la noticia, decidieron tomar represalias.
Los hackers afines a los servicios de Inteligencia de Vladímir Putin llevaban meses incrementando su actividad en Europa, y en particular en España. La mayoría de los ataques están precisamente protagonizados por la ciberbanda Noname057.
El año pasado, el domingo de las elecciones generales del 23-J en 2023, NoName057 atacó la web del Ministerio del Interior, la página de Moncloa, la del Instituto Nacional de Estadística (INE), la web de Correos y la de la Junta Electoral Central, entre otras instituciones.
Días más tarde los mismos activistas lanzaron un nuevo ataque masivo con la intención de colapsar principalmente páginas web de numerosos medios de comunicación, entre ellas la de este diario. Un mes atrás, en junio de 2023, el mismo grupo tumbó la web de Puertos del Estado con una agresión de similares características.
Alerta del informe
Los peligros que estas agresiones cibernéticas plantean son múltiples. En primer lugar, la interrupción de servicios esenciales puede afectar gravemente a la economía y a la seguridad nacional, desestabilizando sistemas críticos como la sanidad, la energía o las comunicaciones. Además, el ciberespionaje busca extraer información sensible que podría ser utilizada para minar la soberanía nacional o para obtener ventajas geopolíticas.
El informe también subraya el uso de técnicas avanzadas como deepfakes y la explotación de vulnerabilidades zero-day. Esta amenaza aumenta la dificultad de defensa contra los ciberataques. La inteligencia artificial ha sido un aliado clave para los hackers rusos, pues les permite la creación de contenido falso para campañas de desinformación, una táctica que no sólo busca desestabilizar, sino también manipular la opinión pública.
A lo largo de 2023, decenas de campañas cibernéticas orquestadas contra España han sido atribuidas a actores cibernéticos estatales rusos. Los datos registrados muestran víctimas en América del Norte, Asia, Europa, África y Oceanía. Sin embargo, el informe del CNI alerta también de que los hackers otros países aliados de Rusia están ejerciendo actividades similares contra países como España, y cada vez con mayor intensidad. Es el caso de China, Corea del Norte e Irán.
Hacktivismo
El apartado del hacktivismo ruso en el informe del CCN describe una actividad significativa y creciente. Señala que, debido a la guerra en Ucrania, se han registrado más de 90 grupos hacktivistas prorrusos en 2023, muchos de los cuales han utilizado ataques DDoS como su principal método de agresión. Un ataque DDoS es un ataque de denegación de servicio. Con ellos, los 'hackers' buscan colapsar una página web dirigiendo hacia ella una gran avalancha de tráfico. Así logran bloquearla y consiguen que nadie sea capaz de consultarla.
Estos grupos no solo apuntan a infraestructuras críticas, sino también a instituciones que apoyan o están alineadas con las políticas pro-Ucrania. El uso de plataformas como DDoSIA, desarrollada por el grupo NoName057(16), ha permitido la coordinación de ataques masivos contra objetivos en países que se oponen a la invasión rusa de Ucrania. El hacktivismo ruso no sólo busca causar daño operacional, sino también enviar mensajes políticos, desestabilizando y presionando a las naciones que se oponen a las políticas de Moscú.
Los ciberataques rusos están siendo este año una de las principales preocupaciones y amenazas para España. Suponen una inquietud que trata de combatir tanto el Centro Nacional de Inteligencia (CNI), como los aliados de la OTAN, así como los países de la Unión Europea, sobre todo desde el inicio de la guerra de Ucrania.
Según un documento del Centro Nacional de Inteligencia, en el año 2022 España fue el sexto país del mundo más afectado por actividades del mundo del cibercrimen relacionadas con brechas de información e incidentes de ransomware, un arma muy empleada por los piratas informáticos del servicio de inteligencia de Moscú. Tras Estados Unidos, los siguientes objetivos más amenazados se encuentran en Europa: Alemania, Reino Unido, Italia, Francia y España.
Por eso el Centro pone en los últimos años tanto empeño en incrementar las capacidades en esa área. Ya en su anterior informe sobre Ciberamenazas y Tendencias correspondiente a 2023, el CCN-CERT alertaba del incremento de ataques de robo de información tanto en el ámbito del ciberespionaje como del cibercrimen.
"Tras la invasión rusa de Ucrania se ha podido observar una movilización del personal civil, especialmente para las campañas de hacktivismo", señalaba el informe. "Estos grupos se caracterizan por formar parte previamente de redes asociadas al cibercrimen, para la ejecución de campañas de denegación de servicio".
El Gobierno español, consciente de esta escalada de amenazas, ha reforzado las medidas de ciberseguridad tanto a nivel institucional como empresarial, promoviendo la colaboración con organismos internacionales y empresas de ciberseguridad para fortalecer la resiliencia cibernética del país. Sin embargo, el CCN advierte que la amenaza persiste y que la vigilancia y la actualización constante de las defensas resultan imprescindibles.