La misión secreta de EE. UU. para reforzar las defensas cibernéticas de Ucrania antes de la invasión de Rusia

Meses antes de la invasión rusa, un equipo de estadounidenses se desplazó por Ucrania en busca de un tipo de amenaza muy específico.

Algunos eran soldados del Comando Cibernético del Ejército de EE. UU. Otros eran contratistas civiles y algunos empleados de empresas estadounidenses que ayudan a defender la infraestructura crítica del tipo de ataques cibernéticos que las agencias rusas habían infligido a Ucrania durante años.

Estados Unidos había estado ayudando a Ucrania a reforzar sus defensas cibernéticas durante años, desde que un infame ataque en 2015 a su red eléctrica dejó parte de Kiev sin electricidad durante horas.

Pero esta oleada de personal estadounidense en octubre y noviembre fue diferente: fue en preparación de una guerra inminente. Las personas familiarizadas con la operación describieron una urgencia en la búsqueda de malware oculto, del tipo que Rusia podría haber plantado y luego dejado inactivo en preparación para lanzar un ataque cibernético devastador junto con una invasión terrestre más convencional.

Los expertos advierten que Rusia aún puede desatar un devastador ataque en línea contra la infraestructura ucraniana del tipo que los funcionarios occidentales han esperado durante mucho tiempo. Pero años de trabajo, junto con los últimos dos meses de refuerzo específico, pueden explicar por qué las redes ucranianas se han mantenido hasta ahora.

Los funcionarios de Ucrania y EE. UU. tienen cuidado de describir el trabajo de los “equipos de cibermisión” como defensivo, en comparación con los miles de millones de dólares en armas letales que se han invertido en Ucrania para combatir y matar a los soldados rusos.

Los ataques rusos han sido mitigados porque “el gobierno ucraniano ha tomado las medidas apropiadas para contrarrestar y proteger nuestras redes”, dijo Victor Zhora, un alto funcionario del gobierno ucraniano.

En los Ferrocarriles de Ucrania, el equipo de soldados y civiles estadouni denses encontró y limpió un tipo de malware particularmente pernicioso, que los expertos en seguridad cibernética denominan “wiperware”: deshabilita redes informáticas completas simplemente eliminando archivos cruciales cuando se le ordena.

Solo en los primeros 10 días de la invasión rusa, casi 1 millón de civiles ucranianos escaparon a un lugar seguro en la red ferroviaria. Si el malware no se hubiera descubierto y se hubiera activado, “podría haber sido catastrófico”, dijo un funcionario ucraniano familiarizado con el problema.

Un malware similar pasó desapercibido dentro de la policía fronteriza, y la semana pasada, mientras cientos de miles de mujeres y niños ucranianos intentaban salir del país, las computadoras en el cruce a Rumania se desactivaron, lo que aumentó el caos, según personas familiarizadas con el asunto. .

Con un presupuesto mucho menor (alrededor de $60 millones), estos equipos también tuvieron que sentar las bases con grupos privados que proporcionan la columna vertebral para la mayor parte de la infraestructura que se esperaba que atacaran los piratas informáticos rusos, ya sea afiliados al gobierno o no.

El último fin de semana de febrero, la policía nacional ucraniana, junto con otros brazos del gobierno ucraniano, se enfrentaban a una avalancha masiva de “ataques distribuidos de denegación de servicio” (DDoS), que son ataques relativamente sencillos que destruyen las redes al inundarlas con demandas de pequeñas cantidades de datos de una gran cantidad de computadoras.

En cuestión de horas, los estadouni denses se pusieron en contacto con Fortinet, un grupo de seguridad cibernética de California que vende una “máquina virtual” diseñada para contrarrestar un ataque de este tipo.

La financiación se aprobó en cuestión de horas y el Departamento de Comercio de EE. UU. proporcionó la autorización en 15 minutos. Ocho horas después de la solicitud, un equipo de ingenieros instaló el software de Fortinet en los servidores de la policía ucraniana para defenderse del ataque, dijo una persona familiarizada con la operación de fuego rápido.

El hecho de que estos ataques a menudo tengan como objetivo el software disponible comercialmente, en su mayoría de fabricantes occidentales, ha obligado a las principales empresas estadounidenses y europeas a dedicar recursos a la defensa de las redes ucranianas.

Microsoft, por ejemplo, ha administrado durante meses un Centro de inteligencia de amenazas que ha colocado sus recursos entre el malware ruso y los sistemas ucranianos.

El 24 de febrero, unas horas antes de que los tanques rusos comenzaran a llegar a Ucrania, los ingenieros de Microsoft detectaron y aplicaron ingeniería inversa a una pieza de malware recién activada, dijo el presidente de Microsoft, Brad Smith, en una publicación de blog.

En tres horas, la compañía emitió una actualización de software para protegerse contra el malware, advirtió al gobierno ucraniano sobre la amenaza y alertó a Ucrania sobre “ataques a una variedad de objetivos”, incluido el ejército. Siguiendo el consejo del gobierno de EE. UU., Microsoft inmediatamente extendió la advertencia a los países vecinos de la OTAN, dijo una persona familiarizada con la decisión nocturna.

“Somos una empresa y no un gobierno o un país”, escribió Smith, pero agregó que Microsoft y otros fabricantes de software debían permanecer atentos a lo que sucedió en 2017, cuando un malware atribuido a Rusia se propagó más allá de las fronteras del ciberespacio ucraniano. al resto del mundo, deshabilitando computadoras en Merck, Maersk y en otros lugares y causando $10 mil millones en daños.

Hasta ahora, los expertos que han observado los ataques cibernéticos rusos se han sentido confundidos por su falta de éxito, así como por el menor ritmo, intensidad y sofisticación de lo que se sabe que son capaces los piratas informáticos del gobierno ruso.

Las defensas ucranianas han demostrado ser resistentes, dijo un funcionario europeo que fue informado esta semana por los estadounidenses en una reunión de la OTAN, y las ofensivas rusas han demostrado ser mediocres. Dijo que la razón era que, hasta ahora, Rusia ha frenado a su cuerpo de élite en el campo cibernético, tanto como lo ha hecho en el campo de batalla, quizás subestimando a los ucranianos.

Un ejemplo, dijo, fue el hecho de que en lugar de comunicarse únicamente a través de teléfonos cifrados de grado militar, los comandantes rusos a veces se aprovechan de las redes de teléfonos celulares ucranianos para comunicarse, a veces simplemente usando sus teléfonos celulares rusos.

“A los ucranianos les encanta, hay tantos datos simplemente mirando estos teléfonos, ya sea que estén usando aplicaciones encriptadas o no”, dijo.

Luego, los ucranianos bloquean los teléfonos rusos de sus redes locales en momentos clave, bloqueando aún más sus comunicaciones. “Entonces, de repente, ves a soldados rusos arrebatando teléfonos celulares a los ucranianos en la calle, asaltando talleres de reparación en busca de sims”, dijo. “Esto no es algo sofisticado. Es bastante desconcertante.

© 2022 The Financial Times Ltd.. Todos los derechos reservados No debe ser redistribuido, copiado o modificado de ninguna manera.