Rusia ha puesto su objetivo en España. Los ciberataques de grupos ligados al Kremlin se han multiplicado en la última semana. Los primeros golpes se dieron durante la jornada electoral del pasado 23 de julio y se dirigieron contra la web del Ministerio del Interior, Correos, la Junta Electoral Central y el Instituto Nacional de Estadística, pero también han atacado medios de comunicación e incluso, según señalan fuentes de seguridad, entidades bancarias como Bankinter o la Caja Rural.

Los artífices son, entre otros, una organización conocida como ‘NoName057’. En su canal de Telegram han hecho alarde en los últimos días de sus "éxitos" contra objetivos españoles y sus servidores. El grupo está muy vinculado a la Inteligencia del Kremlin. La sombra de Rusia sobre procesos electorales españoles es alargada, siendo la que más preocupó a las Fuerzas y Cuerpos de Seguridad del Estado, y también al CNI, la injerencia que sufrió el país durante el ‘procés’ independentista catalán.

El último ataque, según ellos mismos, se produjo este miércoles en la “web de la sucursal española del banco holandés Triodos Bank”. Los hackers despedían su mensaje, como ya hicieron anteriormente, con una bandera rusa y el lema “¡victoria para nosotros!”.

Dos factores

Los ataques de las últimas semanas se han centrado en los comicios españoles, pero hay dos factores de fondo que preocupan a los responsables de la seguridad del Estado. El primero es la guerra en Ucrania. La ministra de Defensa, Margarita Robles, ha intensificado su actividad relativa a este asunto. El 18 de julio participó en la reunión del Grupo de Contacto para la Defensa del país del este con los ministros del ramo. 

El 24 del mismo mes, un día después de las elecciones, ponían rumbo a Kiev una nueva remesa de cuatro tanques Leopard. También se enviaron diez vehículos acorazados TOAs M-113, 10 camiones de la Armada, un vehículo blindado multipropósito, tres ambulancias civiles y una ambulancia blindada BMR, así como una ambulancia civil blindada. Un día después, Robles visitó en Toledo a los 44 militares ucranianos que reciben formación en lucha contra artefactos explosivos improvisados y desminado.

El otro elemento que marca a España con una equis roja en el mapa es la actual presidencia del Consejo de la Unión Europea. El presidente Pedro Sánchez ostentará este cargo hasta finales de año. La seguridad en el ámbito ciber corresponde a dos órganos. Cuando se trata de empresas privadas corresponde al Instituto Nacional de Ciberseguridad (INCIBE), que es quien alertó a los medios de comunicación de la intromisión en sus dominios. Cuando el ataque es a estamentos públicos, como el sufrido por Interior, se encarga el Centro Criptológico Nacional (CCN), dependiente del CNI.

Ataques DdoS

Según explican conocedores de la ciberseguridad del Estado, los ataques de estos días han sido DdoS o lo que se conoce como denegación de servicios adquiridos. Esto consiste en que los ordenadores y los sistemas que están diseñados para atender a un numero x de usuarios, derepente colapsan porque se hacen millones de solicitdes en un espacio tiempo muy corto. Se bloquea el sistema. "Lo que se busca es desestabilizar", dice una fuente de Interior. Por eso, buscan días claves como la celebración de unas elecciones y lo peligroso no es sólo que la web se caiga para el cliente o el ciudadano, sino que afecten a las comunicaciones internas.

"Siempre ha estado muy vinculado al hacktivismo", explican, y ponen de ejemplo el grupo Anonymus que utilizaba este mismo método. Los agentes saben que para lanzar estas millones de peticiones se valen de una infraestructura muy considerable que puede incluir bots, es decir, no lo puede hacer un sólo hacker, sino que es algo pensado y maquinado. Normalmente, como ha ocurrido esta vez en España, no dura un sólo día sino varios.

Simularon que volvía ETA

En este caso el daño es relativo porque, según los consultados, no ha habido servidores internos damnificados, ni identidades suplantadas. Lo que sí hizo otro grupo, al que en principio no se ha vinculado con 'Noname' fue suplantar una web de la Comunidad de Madrid. En lugar de ser comunidad.madrid.es introdujeron un guion (comunidad-madrid.es) y copiaron la página de forma fideligna pero añadiendo noticias que no eran reales como por ejemplo que volvía ETA.

El dominio de esa web también estaba alojado en Rusia y de hecho, fue una asociación de rusos en España (muy críticos con Vladimir Putin) los que alertaron de lo que estaba sucediendo. "Hace aproximadamente una hora los rusos residentes en España empezaron a recibir informes de que la organización ETA estaba preparando atentados terroristas. El dominio del sitio web está registrado en Rusia. Rusia podría estar intentando influir en las elecciones españolas", avisaron en redes sociales un día antes de los comicios del 23-J.

¿Es bueno publicitarlo? "Hombre, es bueno siempre para poder trabajar. En este caso no ha tenido ningún tipo de reprecusión. El impacto ha sido escaso", explica Carlos Galán Cordero, profesor de la Universidad Carlos III de Madrid, experto en ciberseguirdad. "No ha habido acceso a correos de candidatos, no ha habido suplantación de perfiles", comenta.

España no es la única

El Gobierno francés advirtió hace apenas un mes de que había observado una campaña de "manipulación de información" que tenía como objetivo desacreditar el apoyo occidental a Ucrania. La estructura de este ataque, según la web del Ejecutivo, estaba formada por la difusión del contenido pro-ruso "relacionado con la guerra en Ucrania, particularmente denigrando a sus líderes"; la usurpación de identidad de los medios y gobiernos; la creación de sitios web de noticias de habla francesa que comparten contenido controvertido; y la implementación de medios no auténticos combinados como sitios falsos o cuentas falsas en redes sociales.

Esta camapaña logró falsificar la página web del Ministerio de Exteriores galo y usurpó varios medios franceses. Sobre la intención rusa en intervenir en las instituciones de toda europa, Galán aclara: "La Unión Europea publicó hace un par de meses un documento en el que decían que había que protegerse muy bien y principalmente las infraestructuras críticas de figuras exógenas para hacernos daño. Ahí hay una partado que dice por qué un país tendría la intención de deslegitimar un proceso democrático".

"Ya lo alertó el CNI en su día, que hay ciberataques masivos de España y lo que van buscando es la descohesión de España, pero en cuestiones más tangibles son ataques que buscan debilitar la capacidad política, tecnológica y económica de España", apuntala Chema Gil, codirector del Observatorio Internacional de Seguridad. "Tienen un verdadero ciberejército, aunque no me gusta llamerles así porque es denigrar a una organización muy honrada que es el Ejército. Son cibercriminales al servicio del Estado", remata.

En octubre del pasado año, el Gobierno confirmó que los ciberataques dirigidos a hospitales y administraciones públicas de Rusia a España aumentaron en un 70%, tras haberse iniciado la guerra de Ucrania.

Para evitar sobresaltos inesperados en los próximos meses, en febrero, se presentó un contrato para blindar las comunicaciones y la ciberseguridad en los actos durante la presidencia del Consejo de la Unión Europea. Es el más alto de todos los que se han licitado y asciende a 13 millones de euros.