Alerta de ciberataque ruso en Europa: La República Checa en riesgo. Las agencias de inteligencia y seguridad europeas y estadounidenses han lanzado hoy una advertencia conjunta sobre una operación cibernética a gran escala llevada a cabo por la unidad de inteligencia militar rusa 26165, el GRU. Según los expertos, el conocido grupo de piratas informáticos, a menudo conocido como APT28 o Fancy Bear, tiene como objetivo empresas dedicadas a proporcionar ayuda humanitaria y militar a Ucrania, especialmente en los sectores del transporte y la tecnología.
Las instituciones checas también se han sumado a la alerta: la Oficina Nacional de Ciberseguridad y Seguridad de la Información (NUKIB), el Servicio de Información de Seguridad (BIS) y la Inteligencia Militar. Han colaborado con socios de Alemania, Estados Unidos, Reino Unido, Polonia, Canadá, Australia, Dinamarca, Estonia, Francia y Países Bajos. El resultado es un documento conjunto de seguridad en el que se detallan las tácticas, técnicas y procedimientos utilizados en los ataques y se recomiendan medidas defensivas.
También los democratas fueron atacados
La unidad 26165 del GRU, activa en el ciberespacio desde al menos 2004, es conocida por operaciones anteriores: desde el ataque de 2015 al Bundestag alemán hasta la penetración en el sistema del Partido Demócrata estadounidense durante la campaña presidencial de 2016. También se le ha atribuido un ciberataque contra la sede de los socialdemócratas alemanes del SPD en 2023.
Sin embargo, la campaña actual tiene un objetivo específico: socavar el apoyo internacional a Ucrania interrumpiendo la logística, espiando los envíos de ayuda y amenazando centros de transporte clave. Los ataques han afectado a entidades de países de la OTAN y de países vecinos de Ucrania, como Polonia, Rumanía, Hungría y Eslovaquia.
Los atacantes utilizan una amplia gama de técnicas, como spear-phishing, ataques de fuerza bruta, explotación de vulnerabilidades en sistemas de software como Microsoft Outlook o WinRAR, y manipulación del entorno de correo electrónico Microsoft Exchange. El objetivo de estos métodos es obtener acceso no autorizado a los sistemas de las organizaciones objetivo, instalar programas maliciosos y pasar desapercibidos durante mucho tiempo.
Especialmente alarmante es el uso indebido de cámaras IP con el protocolo RTSP, que se han visto comprometidas en miles de casos, según los análisis de seguridad. Estas cámaras se colocaron cerca de cruces, estaciones de ferrocarril o puertos y fueron utilizadas por el GRU para vigilar el flujo de material militar y humanitario. Los datos incluían no sólo imágenes, sino también metadatos e información sobre el movimiento de los cargamentos.
En Alemania se ha atacado a varias organizaciones públicas
En Alemania también se han atacado organizaciones de infraestructuras críticas, como aeropuertos, ferrocarriles y puertos, según el Servicio Federal de Inteligencia (BND). Uno de los objetivos de los ataques era cartografiar y, posteriormente, obstaculizar o impedir el transporte de armas y material a Ucrania, devastada por la guerra.
Según los servicios de seguridad, en el verano de 2024 se registraron una serie de explosiones e incendios en cadenas logísticas europeas atribuidos a la inteligencia militar rusa. Estos incidentes han confirmado los temores de que el ciberespionaje también puede dar lugar a ataques físicos reales en puntos críticos de las rutas de transporte.
El grupo ruso también tiene en el punto de mira a particulares y empresas que cooperan con las entidades comprometidas. Utilizando cuentas de correo electrónico comprometidas y contactos comerciales de confianza, el GRU trata de penetrar aún más en las organizaciones asociadas. También han prestado especial atención a los fabricantes de componentes para Sistemas de Control Industrial (ICS), utilizados por ejemplo en el transporte ferroviario.
Las actividades van a continuar
Los servicios de inteligencia advierten de que es probable que estas actividades continúen. Por ello, aconsejan a las empresas de los sectores del transporte, la tecnología y la defensa que apliquen una vigilancia más exhaustiva de la red, busquen indicios de un posible compromiso de los sistemas y refuercen la protección, en particular cuando tengan contacto con socios en el marco de la asistencia a Ucrania.
El texto completo del documento, que incluye indicadores de compromiso, contramedidas recomendadas e información técnica detallada, está a disposición del público. Se anima a expertos y representantes de empresas a cooperar activamente con las fuerzas de seguridad nacionales.
«Esta operación es un ejemplo clásico de la guerra híbrida que la Federación Rusa está librando contra Occidente. APT28 supone una amenaza cada vez mayor no sólo para las infraestructuras, sino también para la propia estabilidad política de las democracias occidentales», afirma un portavoz del NCIS en un comunicado.
Los servicios de seguridad también aseguran que, a pesar de esta amenaza, la coordinación de la ayuda a Ucrania sigue funcionando y la alianza internacional se mantiene fuerte. Se tomarán nuevas medidas preventivas contra los ciberataques, añadieron.