Los hacktivistas prorrusos Cyber Army of Russia fueron los autores del ciberataque contra la web del presidente del Gobierno

Madrid

El informe ‘Hacktivismo y Ciberyihadismo’ elaborado por el Centro Criptológico Nacional (CCN) – que forma parte de la estructura del CNI- confirma que el hacktivismo híbrido prorruso tipo ‘KillNet’ se empleó a fondo durante 2022. Prueba de ello es que cada semana se detectaron ciberataques – mediante denegación de servicio de identidades- contra webs “de instituciones, infraestructuras críticas y empresas de cualquier sector económico de los Estados Miembros de la OTAN y de la Unión Europea”, con especial incidencia en “los ciberespacios de los países de la frontera oriental de Unión”.

España también ha estado en el objetivo de estos cibercriminales, bautizados ya por los expertos como ‘cibercorsarios’ por su lealtad al régimen que financia y dirige sus operaciones, aunque el propio CCN reconoce que han sido “más ocasionales y de breve sostenimiento en el tiempo”, comparado al que han sufrido otros países. Entre esas acciones destacan los dos ciberataques que se registraron en agosto y noviembre de 2022 contra la web oficial del presidente del Gobierno y el Consejo de Ministros (La Moncloa), del Cuerpo Nacional de Policía Nacional y varias empresas del sector industrial de la defensa, en concreto, Leonardo Hispania y Sapa. El CCN ha confirmado que detrás de esos ciberataques estuvieron los hacktivistas prorrusos ‘Cyber Army of Russia’, que reivindicaron la acción. Otra de las acciones que recoge el informe anual del CCN es la amenaza que recibió el alcalde de Madrid, José Luis Martínez Almeida tras una donde se realizaban menciones a Rusia, ‘KillNet’ circuló un mensaje con la cara del alcalde en la que advertía: “Este perro debe responder por sus palabras a costa de todos los ciudadanos españoles. Hackers/scammers de la Federación de Rusia, aquí está un nuevo objetivo para vosotros: España. Los bastardos están llegando”.

Ampliar

‘KillNet’ ha estado detrás de otras amenazas detectadas por el Centro Criptológico Nacional, como por ejemplo, en mayo de 2022, cuando advirtieron a España de que la “actitud” de “sus medios de comunicación” respecto de Rusia iba a tener como consecuencia que “sus legiones” “matarán servidores” en España.

El CCN recoge por escrito que estos grupos prorrusos han llevado a cabo campañas más agresivas contra ciberespacios de otros países como Italia o Alemania (en 2022) y contra Dinamarca o Suecia (ya en 2023), centrándose en infraestructuras críticas, como aeropuertos, bancos u hospitales.

A nivel general, en 2022, se redujeron los ataques en el ciberespacio de webs radicadas en España, en concreto, se produjeron 461 de estas acciones, que representan un 20% menos que el año anterior.

Únete al canal de WhatsApp de la SER

La doble función de los hacktivistas prorrusos

El CCN define que la diferencia entre los actores de hacktivismo híbrido prorruso con sus contrapartes proucranianos es que, "a pesar de que alguno (como ‘KillNet’) tuviera un histórico previo de actividad cibernética ilícita, detrás de los grupos detectados figuran identidades digitales de nueva constitución". La mayoría de estas identidades de hacktivismo híbrido prorruso fueron constituidas, principalmente a través de cuentas en Telegram, en el primer trimestre de 2022, y han continuado operaciones a lo largo de todo el año. Estos ataques, según el CCN, cumplen una doble función, por un lado, “a nivel interno de las comunidades digitales prorrusas, afianzar un sentimiento de autoafirmación rusa mezclado con una sostenida propaganda ultranacionalista de apoyo a Rusia”, y segundo, “a nivel externo, comunicar una sensación de capacidad rusa de distorsionar, al menos la continuidad de negocio, de los sitios web públicos de instituciones, infraestructuras críticas, y sectores empresariales de los países en la órbita OTAN”.

La mayoría de estas identidades de hacktivismo híbrido prorruso operan detrás de ‘KillNet’, pero su red se extiende, a través de varios tentáculos con otros perfiles como ‘Legion’, ‘Radis’, ‘Sparta’, ’Anonymous Russia’, ‘Anonymous Sudan’, ‘Passion Botnet’, ‘National Hackers of Russia’ o ‘Phoenix’, entre otras. El CCN también ha detectado que otros grupos como ‘From Russia with Love’ comunicó a sus seguidores que había desarrollado una cepa de ransomware propia denominada ‘Somnia’, que habría sido mejorada a través de otro código dañino con funciones de robo de información, denominado ‘Vidar’.