El centro de ciberseguridad de Gipuzkoa alerta de un «aumento drástico» de ataques a webs institucionales

La directora de Ziur, María Penilla, enmarca estos ataques a España en la «unión de fuerzas» de «varios grupos hacktivistas prorrusos» que han orquestado una «campaña coordinada de ataques de denegación de servicio (DDoS)» contra intereses españoles debido al apoyo del Gobierno central a Ucrania tras la invasión rusa de ese país. Los sectores más afectados, además de instituciones y organismos del ámbito gubernamental, serían «el de transportes, el energético y el manufacturero».

Los ataques DDoS se han convertido en una de las grandes amenazas en los sistemas conectados a internet. A diferencia de los ataques de naturaleza económica que buscan acceder a cuentas o a datos con los que poder chantajear a empresas o particulares para obtener réditos monetarios, estos buscan inhabilitar sistemas, aplicaciones o máquinas, impidiendo el al servicio que ofrecen. Para ello emplean múltiples ordenadores o direcciones IP simultáneamente para sobrecargar un servicio con peticiones masivas. Estos ordenadores, a menudo infectados con 'malware' (software malicioso) y convertidos en bots bajo el control de ciberdelincuentes, se unen hasta ser capaces de colapsar servidores y los servicios que alojan mediante la explotación de sus vulnerabilidades. El objetivo final de estos ataques es causar perjuicios tanto a los s del servicio como a los es, ocasionándoles pérdidas económicas y, sobre todo, erosionando su prestigio.

Es lo que estarían buscando estos grupos alentados por Moscú, razona Penilla. «Las guerras actuales no se libran solo en tierra con armas, también en el ciberespacio. Atacar a los servicios e infraestructuras críticas de un país es la manera que tiene Rusia de amenazar a los aliados de su oponente y hacer demostraciones de fuerza. Por suerte, en Gipuzkoa y Euskadi tenemos hechos los deberes y estamos bastante bien preparados, como se pudo demostrar en marzo, cuando las webs afectadas por el ataque pudieron recuperarse en poco tiempo».

La advertencia viene recogida en el último informe de Ciberinteligencia Industrial elaborado por Ziur, publicado con motivo de la celebración este sábado del Día Mundial de Internet. Su directora señala que esta campaña de ciberataques, «bautizada como '#OpSpain', rompe con la tendencia respecto al último trimestre del año pasado», cuando la cantidad de ataques se había reducido.

El informe añade que en el primer trimestre del año se han detectado «un total de 33 supuestas filtraciones de datos referentes a organizaciones e instituciones españolas en foros clandestinos y canales de Telegram, 16 más que en el último trimestre de 2024». En el mismo periodo, las vulnerabilidades publicadas ascienden a 12.173, un 13,72% más..

El actor principal que está detrás de los ataques a España es NoName057, un grupo hacktivista prorruso que trabaja en contra de Ucrania y los países que le apoyan, así como contra los estados de la OTAN. La directora de Ziur explica que «sus operaciones se gestionan a través de Telegram y los participantes son recompensados con criptomonedas en función de su contribución al éxito de los ataques, lo que alimenta la creciente red del grupo».

Quiere esto decir que detrás de los ciberataques con finalidad no económica hay todo un entramado en el que participan gobiernos por intereses geopolíticos que se surten de un ejército de 'hackers' que bien pueden ser propios pero también 'mercenarios' a sueldo y desarrolladores autónomos de virus que venden sus creaciones al mejor postor.

El propio grupo NoName057 reivindicó el ataque de marzo en su canal de Telegram, donde se felicitó de haber afectado a varias webs institucionales como las guipuzcoanas, enumeró todas sus víctimas en ese ataque y proclamó en este caso que «seguimos aplastando a la España rusófoba», si bien sus ataques son continuos por toda Europa.

Además de Rusia, otro país muy activo desde el que parten buena parte de los ciberataques a nivel mundial es China. Desde ahí atacan Ghost, un ransomware (software que secuestra datos) o Cl0p, el ransomware más hostil y con más incidentes a nivel mundial, superando a Ransomhub, líder en el último trimestre de 2024.