Las redes del Ministerio de Defensa recibieron en 2022 ciberataques más sofisticados y mejor planificados

Los intentos de robar datos y de colar virus fueron “menos burdos” y grupos de hackers actuaron de manera más coordinada

Margarita Robles, en una visita al Acuartelamiento “Héroes de Revellín” de Agoncillo (Foto: Flickr Ministerio de Defensa).
Margarita Robles, en una visita al Acuartelamiento “Héroes de Revellín” de Agoncillo (Foto: Flickr Ministerio de Defensa).

La guerra de Ucrania encendió todas las alertas en los países de la OTAN, ante la posibilidad de que Rusia, a la que se acusa desde hace años de dirigir importantes grupos de hackers, tomara represalias con ciberataques que pudieran paralizar servicios esenciales en los países.

Entre los sucesos que han transcendido cabe citar que la web del Parlamento Europeo sufrió un ataque de denegación de servicio que tumbó el acceso a la página durante horas. Lo reivindicó un colectivo prorruso, Killnet.

En España, el Ministerio de Ciencia identificó y localizó en Rusia el origen del ransomware que impidió durante dos semanas acceder a la web del Centro Superior de Investigaciones Científicas (CSIC).

En las primeras semanas de guerra, ECD reveló que el Centro Criptológico Nacional, dependiente del CNI, había advertido al Gobierno de que se podían producir ciberataques rusos concretamente contra el Servicio Público de Empleo Estatal. La advertencia se cumplió, y entre abril y marzo un ciberataque retrasó el pago de las prestaciones por desempleo a millones de parados.

Más sofisticados y mejor planificados

Confidencial Digital ha podido saber ahora que, en lo que a ciberataques se refiere, también en el Ministerio de Defensa y en las Fuerzas Armadas han notado cambios en 2022.

Altos mandos consultados explican que el cambio principal no fue cuantitativo, sino cualitativo. Aunque no dan cifras, aseguran que no se detectaron más ciberataques e incidentes en las redes militares, respecto a 2021 y otros años anteriores. No novedoso es que los episodios contabilizados estuvieron más y mejor organizados.

“Eran más sofisticados”, resume un militar con responsabilidad en este tipo de tareas.

Mensajes de phishing menos burdos

Anteriormente, los intentos de intrusión y de ataque contra las redes militares procedían de grupos que actuaban de forma dispersa. Uno de los cambios que se ha consolidado en 2022 es que los hackers que atacan los sistemas de Defensa están, en bastantes ocasiones, más coordinados entre sí.

La mayor “sofisticación” se ha notado, por ejemplo, en el phishing. El Instituto Nacional de Ciberseguridad lo define como una técnica que consiste en el envío de un correo electrónico por parte de un ciberdelincuente a un usuario simulando ser una entidad legítima (red social, banco, institución pública, etc.) con el objetivo de robarle información, realizarle un cargo económico o infectar el dispositivo. Para ello, adjuntan en el correo archivos infectados o enlaces a páginas fraudulentas.

 

“Los mensajes de phishing que se han detectado son más sofisticados, no tan burdos”, explican las fuentes militares.

Detalles de la víctima

Los piratas informáticos mandan correos electrónicos, o SMS a móviles (el denominado “smishing”), que en muchas ocasiones, por los fallos gramaticales y ortográficos o por otros detalles, es obvio que se trata de anzuelos para introducir un gusano en el ordenador, o para tratar de robar datos personales o bancarios.

Pero, cuanto más detalles se conozcan de la víctima, más fácil es preparar un mensaje que logre que ‘pique’, se confíe, y por ello abra el mensaje, pinche en un enlace, e incluso escriba contraseñas e información clave, creyendo que está actuando de forma segura.

Es lo que se supone que ocurrió con algunos de los políticos a los que se hackeó el móvil con Pegasus. Por ejemplo, Pere Aragonès recibió un mensaje con un supuesto link a una noticia de La Vanguardia sobre las negociaciones PSOE-ERC para la investidura de Pedro Sánchez.

Aviso de paquetes

En ámbitos militares sucedió algo así en 2021. Se detectó que miembros de las Fuerzas Armadas estaban recibiendo SMS en los que se les avisaba de la supuesta llegada de un paquete a su nombre.

La clave en este caso es que en algunos de esos mensajes se nombraba al usuarios del móvil con su empleo militar: “Estimado Tcol [teniente coronel]”, “Hola Capitn [sic]”. Se temió que la agenda de contactos del móvil de algún militar hubiera sido robada, y por eso se recomendó no guardar los teléfonos con el empleo militar delante del nombre.

En 2019, el phishing fue la puerta de entrada a un código malicioso que se extendió por la red de propósito general WAN PG del Ministerio de Defensa.

Junto a los casos de phishing, para intentar colarse en los sistemas, las redes informáticas militares también se vieron expuestas en 2022 a un importante número de ataques de denegación de servicio o DoS (en inglés, “Denial of Service”).

Se trata de saturar un servidor con un elevado número de solicitudes de navegación, lo que provoca la caída de un servicio o de una página web.

Pegasus

Este 2022 ha sido también el año en el que el Gobierno de España hizo público que los móviles del presidente, la ministra de Defensa y el ministro del Interior se habían visto pirateados con el programa espía Pegasus.

El caso de Margarita Robles podía hacer temer que se hubiera visto comprometida información de interés militar.

El móvil del Jefe de Estado Mayor de la Defensa (JEMAD), almirante general Teodoro López Calderón, fue revisado para comprobar si también había sido infectado. No se detectaron trazas de que hubiera sido afectado por ese programa espía.  

Los firewall funcionaron

Desde hace años, las redes militares registran incidentes de ciberseguridad a diario, de forma que anualmente son “miles” los episodios. Pero sólo algunos se consideran especialmente destacados, por su complejidad o por el número de usuarios a los que se intenta comprometer.

Según las fuentes consultadas por ECD, los ciberataques que recibieron el Ministerio de Defensa y las Fuerzas Armadas eran solventados gracias a los firewall, las distintas barreras que protegen los sistemas informáticos, de forma que no llegaran a verse comprometidos.

Confidencial Digital contactó con el Estado Mayor de la Defensa, del que depende el Mando Conjunto del Ciberespacio, encargado de proteger las redes militares de este tipo de ataques, para conocer el número de ciberataques recibidos en 2022 y el tipo y gravedad de los mismos.

Desde el Estado Mayor de la Defensa eludieron dar información, ya que se trata de datos sensibles que comprometen la seguridad, y que actualmente son información clasificada.

713 incidentes

En alguna ocasión ha sido el propio Mando Conjunto del Ciberespacio el que ha dado algunos detalles. En estas páginas se contó  en 2021 que la  Revista Española de Defensa desveló que, a lo largo de 2020, el Mando Conjunto del Ciberespacio, actuando como Centro de Respuesta ante Incidentes de Ciberseguridad del Ministerio de Defensa, analizó 713 ciberincidentes registrados en las redes y sistemas informáticos militares.

La cifra de 713 no correspondía a la totalidad de incidentes de seguridad, porque en eras “miles”, pero de entre todos ellos analizó con especial atención esos 713, por dos motivos principalmente: la importancia y complejidad del incidente, y el número de usuarios a los que iban dirigidos esos ataques.

El general de División Rafael García Hernández, que dirige el Mando Conjunto del Ciberespacio, explicó que la mayoría de los incidentes de tipo cibernético registrados en los sistemas militares “se deben a simples configuraciones erróneas de equipos”. Añadió que “solo un 10 por 100 son ataques de malware, idénticos a los que sufre la sociedad civil y fáciles de parar”.

Hackeo al Instagram del Estado Mayor de la Defensa

En febrero de 2022, a los pocos días de que Rusia lanzara la invasión de Ucrania, se produjo en España un ciberataque en apariencia no muy grave, pero que fue muy llamativo.

El perfil del Estado Mayor de la Defensa en Instagram amaneció con varias fotos de una chica en ropa interior. Incluso la foto de perfil había sido sustituida: en vez del escudo del Estado Mayor de la Defensa, aparecía una imagen de esa misma joven.

Las imágenes no pudieron ser retiradas hasta varias horas después.

Técnicas de ingeniería social

A finales de abril, el Gobierno informó por escrito en el Congreso de los Diputados que “el hackeo de la cuenta se había realizado mediante un ataque de phishing o de engaño, utilizando técnicas de ingeniería social”.

Es decir, podía haber ocurrido que algún militar encargado de gestionar el Instagram del Estado Mayor de la Defensa, o con acceso a dicha cuenta, hubiera recibido un mensaje engañoso y hubiera revelado las claves de acceso. A partir de ahí, los piratas decidieron publicar esas fotos.

El incidente se solucionó tras denunciar los hechos a Meta, la empresa propietaria de Instagram, que procedió a restablecer las credenciales de la cuenta. El Gobierno aseguró, en esa respuesta parlamentaria, que se desconocía quién había sido el autor del ataque.

Difícil atribución

Una de las principales dificultades de la investigación sobre un ciberataque es la atribución. Los responsables pueden esconderse y despistar sobre el origen, de forma que resulta muy difícil acusar concretamente, por ejemplo a un gobierno extranjero, de haber lanzado un ataque informático contra las redes de otro país.

Además, gobiernos que recurren con frecuencia a atacar los sistemas sensibles de administraciones extranjeras se ocultan en muchas ocasiones detrás de grupos supuestamente independientes: bien en colectivos de supuestos ciberactivistas, bien con cibercriminales que actúan en la red por motivos económicos.

Piratas rusos, a la caza de documentos militares

El ya citado ciberataque al Ministerio de Defensa que se produjo en marzo de 2019 se detectó cuando, al parecer, el hacker llevaba tres meses moviéndose por la red de propósito general WAN PG del departamento. El ministerio lo denunció ante la fiscalía.

Por su interés estratégico, las redes de Defensa, junto a las del Ministerio de Asuntos Exteriores, se encuentran entre las que suelen recibir más ciberataques en la Administración General del Estado.

En estas páginas se contó en 2017 que, al igual que los gobiernos de Estados Unidos, Reino Unido, Francia y Ucrania, así como la OTAN y la UE, también la administración española estaba sufriendo ciberataques que se atribuían a grupos de hackers que se vinculaban a los servicios de inteligencia rusos: APT27, con el Servicio de Inteligencia Exterior (SVR); APT29, con el Servicio Federal de Seguridad (FSB, antigua KGB); y ‘APT28’, la más conocida y activa de las tres plataformas, que fue abiertamente relacionada con el ‘Glávnoe Razvédyvatelnoe Upravlénie’ (GRU), los servicios de inteligencia militar rusa.

La ofensiva cibernética continuó en 2018, con especial incidencia en las redes militares. Se sospechaba que los piratas informáticos que trataban de colarse en el Ministerio de Defensa, así como en sistemas de otros países, iban especialmente en busca de documentos, datos, cualquier tipo de información relacionada con la OTAN.

Mando Conjunto del Ciberespacio

El Ministerio de Defensa tiene designado un Centro de Respuesta ante Incidentes informáticos, el ESP DEF-CERT. Se encuentra enmarcado en el Mando Conjunto del Ciberespacio, una unidad dependiente del Estado Mayor de la Defensa.

El ámbito de actuación del Centro de Respuesta ante Incidentes del Ministerio de Defensa son las redes y los sistemas de información y telecomunicaciones de las Fuerzas Armadas, así como aquellas otras redes y sistemas que específicamente se le encomienden y que afecten a la Defensa Nacional.

El Mando Conjunto del Ciberespacio es el órgano responsable del planeamiento, dirección, coordinación, control y ejecución de las acciones conducentes a asegurar la libertad de acción de las Fuerzas Armadas en el ámbito ciberespacial.

Planea, dirige, coordina, controla y ejecuta las operaciones militares en el ciberespacio, de acuerdo con los planes operativos en vigor. Además, realiza las acciones necesarias para garantizar la supervivencia de los elementos físicos, lógicos y virtuales críticos para la Defensa y las Fuerzas Armadas, y también define, dirige y coordina la concienciación, la formación y el adiestramiento conjunto en materia del ciberespacio en el ámbito de sus competencias.

También existe el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC), con rango de subdirección general, que depende de la Secretaría de Estado de Defensa. Le corresponde la planificación, desarrollo, programación y gestión de las políticas relativas a los sistemas y tecnologías de la información y las comunicaciones, la transformación digital y seguridad de la información, así como la supervisión y dirección de su ejecución.

Sin móviles en las reuniones

La necesidad de aumentar la conciencia de ciberseguridad está muy presente en la Administración pública, pero en el Ministerio de Defensa y en las Fuerzas Armadas de modo especial. Desde hace años, se hace hincapié en el peligro de los ciberataques.

En edificios militares hay carteles con avisos, consejos y recomendaciones para no bajar la guardia, y no ‘picar’ en casos como los ya comentados. Se pide extremar la precaución, no abrir correos corporativos en determinados dispositivos, no compartir información en redes sociales, evitar repetir contraseñas...

Además, con cierta periodicidad se mandan boletines que insisten en esos mensajes. Fruto de todo ello, y por las medidas estrictas de seguridad que se mantienen en los acuartelamientos -por ejemplo, con la instalación de casilleros de metacrilato a la entrada de instalaciones sensibles-, los altos mandos están muy concienciados y evitan llevar los teléfonos móviles encima cuando asisten a reuniones, sobre todo aquellas en las que se va a abordar información más sensible.

Video del día

Marta Rovira confirma que negocia con Sánchez
un referéndum de independencia para Cataluña
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato