El CNI teme ataques de los dos grupos de hackers más peligrosos del Kremlin

El CNI en su alerta comparte un artículo de uno de los colectivos con más prestigio en el estudio de la guerra en la red, la Unidad de Análisis de Amenazas de VMware (TAU), que está compuesta por algunos de los mayores especialistas de ciberseguridad del planeta. Este grupo y los especialistas españoles del CCN coinciden en que los «próximos ataques cibernéticos» contra Occidente se lanzarán a través de algunos de los ‘Actores de Amenazas Persistentes Avanzadas (APT)’ (hackers expertos) que están «respaldados» por el GRU (Glávnoye Razvédyvatelnoye Upravlenie), la Dirección Principal de Inteligencia del Estado Mayor General de Rusia.

El CNI y VMware comparten el diagnóstico: la mayor amenaza actual -en plena crisis bélica con Rusia- tanto para España como para el resto de los países de la OTAN viene de dos colectivos de hackers a sueldo del espionaje del Kremlin y que están a la vanguardia de la guerra híbrida de Putin. El primero es el denominado APT 28 o Fancy Bear. Este colectivo, según responsables de la seguridad nacional española, viene actuando contra occidente desde que en 2014 la invasión de Crimea desatara las hostilidades con la OTAN. Este grupo está relacionado directamente con la unidad militar 26.165 del Centro Principal de Servicios Especiales (GTsSS), un grupo de elite de descifradores nacido en la Guerra Fría y que ahora se dedicaría a coordinar a piratas informáticos.

El segundo colectivo se denomina Sandworm Team y es, según los documentos difundidos por el CNI, «un grupo de amenazas destructivas», vinculado a otra unidad del GRU, la 74.455.

Los expertos españoles y del VMware están convencidos de que los ataques que prepara Rusia van a ser de dos tipos. El primero será de los llamados ‘de día cero’, o sea se colarán en los sistemas aprovechando fallos de seguridad de software descubiertos recientemente para los que aún no existen parches porque los desarrolladores del propio programa desconocían la existencia de esos 'agujeros'. El segundo tipo de sabotajes serán de 'cadena de suministro'. O lo que es lo mismo: entrar en sistemas aprovechando debilidades de proveedores de internet o los proveedores de software o hardware.

El documento distribuido por el Centro Nacional de Inteligencia no se anda con paños calientes sobre el daño que este tipo ataques pueden provocar y lo complicado que puede ser anticiparse a una ofensiva de este calado: «Con el rápido aumento de ataques inteligentes e innovadores por parte de adversarios ágiles, incluso las defensas perimetrales más sólidas pueden ser violadas, lo que permite a los atacantes obtener acceso al centro de datos y al entorno multinube más amplio. Una vez dentro, pueden realizar reconocimientos, elevar privilegios, moverse lateralmente y potencialmente acceder, rescatar o filtrar datos altamente confidenciales», concluye el informe.