Estamos entrando en una era de operaciones de sabotaje por parte de Rusia. Una nueva estrategia de ciberguerra.
- Tanto Rusia como China están intentando obtener acceso a las redes de energía, transporte y telecomunicaciones mucho antes de un posible conflicto, advierte John Hultquist, analista jefe de Google Threat Intelligence Group.
- Los ataques preventivos son una nueva estrategia de ciberguerra. El sabotaje puede tener como objetivo cadenas logísticas, ferrocarriles o puertos ante una amenaza militar.
- Rusia ha comenzado a reclutar niños en Europa para realizar actividades de espionaje en su nombre.
- Los grupos criminales patrocinados por el Estado ya utilizan malware basado en modelos de lenguaje, advierte el interlocutor del CEI. El primer malware basado en IA ya se ha implementado en Ucrania.
- Durante las conferencias "New Industry Forum" e "Defense Industry" , se abordaron temas de ciberseguridad, incluyendo los relacionados con la guerra de Rusia en Ucrania. Les invitamos a ver las transmisiones en vivo de los debates de ambos eventos.
En Polonia se ha hablado mucho sobre las ciberamenazas que plantean actores vinculados a Rusia. Sin embargo, en agosto de 2025, 23 agencias de inteligencia internacionales , incluida una polaca, revelaron una campaña en la que China estaba obteniendo acceso a infraestructura crítica en todo el mundo.
Lamentablemente, existen ciertas limitaciones sobre lo que podemos comentar públicamente. No puedo revelar nombres específicos, datos técnicos ni organizaciones atacadas, pero sí puedo ofrecer un resumen general del mecanismo del ataque.
Bien, mantengámonos dentro de los límites de lo que se puede revelar.
En general, nos enfrentábamos a una campaña muy interesante, dirigida a un sector específico: las redes de telecomunicaciones . Los atacantes se valieron de una amplia experiencia y un profundo conocimiento de la tecnología subyacente. Usaron este conocimiento para evadir la detección y acceder a los sistemas sin el conocimiento de sus propietarios.
¿Para qué sirve todo esto?
Probablemente se trataba de monitorear los mensajes de texto de políticos en Estados Unidos. Normalmente, el objetivo de estas actividades es vigilar a personas de importancia política o estratégica. Esto puede hacerse de diversas maneras: pirateando una computadora, un teléfono celular o accediendo a la infraestructura de telecomunicaciones e interceptando los mensajes transmitidos. La mayor parte del ciberespionaje implica escuchar a escondidas las conversaciones de personas importantes mediante diversas técnicas.
¿Entonces podemos decir que enviar mensajes de texto no es seguro para los políticos y deberían usar otros mensajeros?
No diría que es intrínsecamente peligroso, pero ciertamente debemos ser conscientes de que estos mensajes son un blanco para los actores estatales. En los últimos años, también hemos observado que están empezando a buscar otros canales para que los políticos se comuniquen.
Por ejemplo, hace unos años en Moldavia, la cuenta de Telegram de un político fue comprometida y la información robada se filtró en línea. Vimos intentos muy similares en las recientes elecciones en ese país. Grupos vinculados a Rusia, en particular, intentan interceptar conversaciones en Signal. Saben que allí se llevan a cabo muchas conversaciones altamente confidenciales.
Necesitamos defendernos hoy contra los ataques que pueden ser parte del próximo conflicto.Basándonos en las observaciones de las actividades en el ciberespacio, ¿podemos discernir si China se está preparando para alguna operación importante? Antes de la agresión rusa a gran escala contra Ucrania en 2022, sufrimos una ola de ciberataques. Entonces, ¿podemos hablar de un patrón?
Justo antes de que comenzara la ofensiva, se produjo un ciberataque contra los servicios satelitales que proporcionan comunicaciones al gobierno y al ejército ucranianos. El ataque fue breve, pero se llevó a cabo precisamente en el peor momento posible, con consecuencias devastadoras. Sin duda, fue planeado con mucha antelación.
Si bien hemos visto este tipo de preparativos por parte de Rusia durante mucho tiempo, China ahora está empezando a hacer lo mismo, incluso con respecto a la infraestructura crítica en los Estados Unidos.
En estos momentos, estamos viendo un fenómeno que llamamos "atrincherarse": obtener acceso a los sistemas con antelación, mucho antes de que ocurra un conflicto.
¿A qué le temen los expertos estadounidenses respecto a China?
Cuando estaba en el Ejército, me entrenaron para transportar equipo militar por ferrocarril. No transportamos tanques por todo el país en camiones, sino que los cargamos en trenes. Así que, si alguien bloquea vías férreas, puertos o terminales logísticas, podría paralizar temporalmente la capacidad de Estados Unidos para responder militarmente con rapidez.
Esto no significa que estén planeando una acción militar inmediata, pero quieren estar preparados para cualquier eventualidad. Si la guerra u otra agresión es inminente, podría ser demasiado tarde para intentar hackear y controlar infraestructura crítica.
Este es un momento muy interesante para nosotros porque en la práctica estamos haciendo una guerra anticipada.
¿Necesitamos defendernos hoy contra ataques que puedan ser parte del próximo conflicto?
Sí, ya está sucediendo constantemente. Algunos actores son excepcionalmente eficaces en esto: el FSB ha accedido repetidamente a infraestructura crítica en EE. UU. y Europa. La agencia de inteligencia militar rusa (GRU) también ha llevado a cabo actividades similares. La buena noticia, sin embargo, es que en muchos casos han sido detectados y eliminados de los sistemas. Aunque, por supuesto, me sigue preocupando que aún tengan acceso parcial en algunos lugares.
¿Qué pasaría si se mantuviera dicho acceso?
Lamentablemente, estamos entrando en una era de operaciones de sabotaje sistemático por parte de Rusia . Sin duda, se están llevando a cabo acciones en el ciberespacio diseñadas para destruir la infraestructura en el momento oportuno. Los rusos llevan años utilizando dos técnicas de este tipo en Ucrania.
En el primer enfoque, los atacantes acceden al sistema eléctrico o de agua y dañan sus componentes de tal manera que restaurar su funcionalidad completa toma mucho tiempo. A menudo eligen un objetivo que puede desencadenar un efecto dominó; es decir, interrumpir no solo un sistema, sino también muchos procesos relacionados. Por ejemplo, un ataque a una central eléctrica no solo destruye la propia instalación, sino que también inutiliza toda la infraestructura que depende de ella.
¿Y la segunda técnica?
La segunda estrategia consiste en atacar la cadena de suministro de software. Esto aprovecha el funcionamiento del software moderno: actualizaciones constantes desde repositorios centrales o fabricantes.
Los hackers irrumpen en la empresa que proporciona actualizaciones y reemplazan el paquete legítimo con uno que contiene su código malicioso. Cuando los usuarios descargan la actualización, instalan un troyano que abre una ruta de acceso a sus sistemas. Si un ataque de este tipo se extiende lo suficiente, puede provocar la destrucción de infraestructura crítica, ya que el malware llega a miles de entornos diferentes simultáneamente.
Hay un último elemento, muy interesante, que hace el asunto aún más complejo: los grupos que utilizan estas técnicas hacen todo lo posible para ocultar al verdadero perpetrador.
"El caos se convierte en una herramienta para debilitar las instituciones y las sociedades"¿Qué significa?
A menudo se atribuye la responsabilidad de los ataques a hacktivistas o ciberdelincuentes. El ransomware puede lanzarse disfrazado de un ataque con ánimo de lucro. Sin embargo, en realidad no tiene un propósito financiero, sino que busca paralizar el sistema. Rusia e Irán, en particular, están creando la apariencia de ataques criminales para ocultar acciones estatales. Su objetivo, sin embargo, no es dañar permanentemente los sistemas, sino intimidar a la ciudadanía y socavar la confianza en las instituciones.
Es una forma de ataque psicológico e informativo, cuyo objetivo es atemorizarnos y dividirnos. Es muy eficaz porque si todos saben quién está detrás del ataque, el efecto propagandístico desaparece. Pero si la sociedad discute sobre quién tiene la culpa, la confianza en el Estado y sus instituciones se desvanece.
En Polonia tuvimos una situación similar después del ataque con drones.
Por supuesto, ese es un gran ejemplo. Polonia sufrió dos ataques en aquel entonces. El primero fue una incursión física de drones sobre su territorio. El segundo fue un ataque de desinformación, una campaña de mentiras sobre el origen de los drones. Este segundo elemento —el caos informativo, las acusaciones mutuas y la tergiversación de los hechos— se está convirtiendo en una herramienta para debilitar las instituciones y las sociedades.
¿Están empezando hoy los chinos a utilizar los mismos métodos que los rusos?
La diferencia radica en que Rusia ya ha "apretado el gatillo" repetidamente, lo que significa que ha lanzado ciberataques destructivos. Sin embargo, estamos convencidos de que China no solo se está afianzando en nuestra infraestructura, sino que también está probando la posibilidad de debilitar nuestra voluntad de actuar. Además, su actividad es de inteligencia; este es el tema con el que iniciamos nuestra conversación.
¿Se trata entonces de recopilar datos y analizarlos?
Sí, como siempre en el espionaje. A veces, los adversarios lo hacen de maneras sorprendentemente sencillas; por ejemplo, enviando invitaciones a catas de vino a políticos y diplomáticos. Estos mensajes parecen completamente inocentes: "Cata de vinos en la Embajada de Grecia en Berlín: haga clic para confirmar la asistencia". Pero cuando el diplomático hace clic, su ordenador se infecta.
Volvamos a la infraestructura. ¿Atacan los adversarios la infraestructura crítica exclusivamente desde el exterior? ¿O, como en el espionaje clásico, también intentan infiltrarse físicamente en la organización empleando a su propio personal?
- Siempre existe la amenaza del llamado acceso cercano o amenaza interna: una situación en la que alguien dentro de la organización facilita el acceso o realiza personalmente actividades en nombre de un país extranjero.
Una de las señales más inquietantes de este tipo se refiere a un caso reciente en los Países Bajos , donde la inteligencia rusa presuntamente contrató a niños para acercarse a edificios y piratear redes wifi. Los servicios de inteligencia rusos contratan cada vez más a terceros para que realicen diversas tareas sobre el terreno.
Antes lo hacían ellos mismos, ahora lo subcontratan a otros.
Curiosamente, en la misma ciudad, La Haya, hace varios años, varios miembros de un equipo que también ataca regularmente a Polonia fueron arrestados. Llevaban una antena en su coche adaptada para interceptar y hackear redes wifi en edificios vecinos. Su objetivo era el Instituto para la Prohibición de las Armas Químicas (OPAQ), que por aquel entonces investigaba el envenenamiento de Skripal (un oficial de inteligencia militar ruso que actuó como agente doble para los servicios de inteligencia británicos - nota del editor). El GRU quería saber cuáles eran los hallazgos, así que intentó hackear la red wifi del edificio. Hoy en día, ya no tienen que hacerlo ellos mismos; simplemente pueden contratar adolescentes por internet.
¿Pero cómo podemos evitar que los niños sean reclutados por los rusos o los chinos?
Esto será muy difícil. Quisiera destacar lo difícil que es abordar otro desafío similar: el llamado problema de los trabajadores de TI de Corea del Norte.
¿En qué consiste?
A medida que el trabajo informático se vuelve cada vez más remoto, Corea del Norte ha comenzado a enviar masivamente a sus especialistas en TI a trabajar para empresas occidentales , principalmente en Estados Unidos, pero cada vez más también en Europa. Los emplean bajo identidades falsas, a menudo a través de intermediarios (los llamados facilitadores). En Tennessee, un estudiante dirigía un negocio similar desde su residencia universitaria. Este es un problema grave y real : muchos de estos empleados han obtenido acceso a los sistemas de las empresas más grandes del mundo. No nos referimos a puestos de nivel inicial; trabajan como especialistas en TI de pleno derecho, con acceso a recursos críticos.
Ya ha habido casos de chantaje: cuando se despidió a empleados, estos utilizaron el acceso a los sistemas para extorsionar dinero o datos.
¿Cómo defenderse de estos ataques?
El intercambio de información entre nosotros es crucial. Hoy en día, sabemos mucho sobre estos grupos, a menudo incluso conocemos los nombres de los implicados. Actualizamos constantemente la información sobre técnicas y métodos de operación. Queremos compartir esta información con los defensores polacos, entre otros.
"Si lo tenemos, los laboratorios en China deben estar trabajando en ello"¿También tienes habilidades ofensivas en Google (Mandiant)?
No, nos dedicamos exclusivamente a la defensa y la recopilación de información. Las operaciones ofensivas son competencia de los estados, a veces de contratistas que trabajan para ellos. Ese no es nuestro enfoque ni competencia.
¿Cómo ve el desarrollo del ciberespacio en el futuro?
Todavía no he mencionado la IA, pero ahora tengo que hacerlo. Hay mucho revuelo en torno a ella, pero en mi opinión, es solo el principio. Nuestros adversarios llevan varios años usándola, sobre todo para fabricar imágenes y texto. ¿Recuerdan el sitio web ThisPersonDoesNotExist?
Por supuesto. Se usaba para generar fotos de personas de aspecto natural que no existían.
Apenas una semana después de su debut, vimos el primer uso por parte de adversarios para crear perfiles falsos con fines de ingeniería social y desinformación. Adoptan innovaciones tecnológicas con gran rapidez.
Sin embargo, en los últimos meses se produjo un verdadero avance. Uno de los actores más importantes que atacan Polonia, el grupo APT28, fue descubierto lanzando malware basado en IA en Ucrania. Es la primera vez que vemos algo así.
¿Para qué exactamente se utilizó la IA?
Tras la infección, el malware accedió al LLM (curiosamente, el chino) mediante una API para generar dinámicamente comandos operativos. Los antivirus suelen detectar patrones de comandos estáticos; en este caso, los comandos se generaron en tiempo real, eludiendo así la detección. Es como mover todas las piezas a través de una puerta de enlace y ensamblar el arma en el otro lado. Este fue el primer caso, y están surgiendo más. El malware basado en IA se extenderá cada vez más.
¿En qué otras áreas ayudará la IA a los oponentes?
Creo que se usará para encontrar vulnerabilidades en los sistemas. Hicimos algo similar en Google: el programa "Big Sleep". Bajo condiciones controladas, ya hemos encontrado docenas de vulnerabilidades y las hemos parcheado. Y desde que tenemos esto, los laboratorios de Moscú y Pekín sin duda están trabajando en ello. Y no tengo ninguna duda de que lo conseguirán. Y entonces, la escala de explotación de vulnerabilidades de día cero se disparará.
La segunda tendencia, sin duda, estará relacionada con la automatización de los ataques de red. Hoy en día, tras consolidarse en la infraestructura, los adversarios "piensan con astucia": ¿cuáles son mis opciones?, ¿qué herramientas debo usar?, ¿dónde están las contraseñas?, etc. La IA puede automatizar esto: seleccionar una opción, lanzar un proyecto en el siguiente servidor y seguir adelante. Malas noticias.
¿Y bueno?
La buena noticia es que la IA también será la respuesta. Dado que las amenazas son autónomas, las defensas también deben serlo, al menos parcialmente.
¿Algo así como una partida de ajedrez jugada por dos computadoras?
Sí, se resolvió de inmediato. Ya estamos trabajando en ello, incluyendo agentes supervisores, cuya función es garantizar que otros agentes no sean secuestrados. El ritmo de cambio es frenético; a veces es realmente difícil seguir el ritmo.
¿Quién está “ganando” hoy?
Afortunadamente, la mayoría de las capacidades se están desarrollando en el ecosistema tecnológico occidental, por lo que llevamos ventaja. Pero si reducimos el ritmo y perdemos el foco, perderemos esa ventaja.
Supongamos que usted es el primer ministro de Polonia y tiene que reaccionar en el plazo de un año. ¿Qué haría?
Primero, cree un perfil de amenazas para el país basado en el historial de incidentes y las motivaciones del adversario. Luego, priorice la defensa con base en este perfil. Y, lo más importante, acepte que el perfil cambiará rápidamente, lo que permitirá a los servicios (militares, de seguridad) adaptarse al nuevo perfil de forma proactiva, en lugar de reactiva.
De lo contrario, nos defenderemos contra las amenazas de la IA con herramientas previas a la IA, y eso acabará mal.
wnp.pl
