Ciber-guerra en Ucrania: cómo pueden protegerse las empresas de los ataques colaterales
Desde la invasión rusa de Ucrania en febrero de 2022, la situación de amenazas cibernéticas para las empresas europeas se ha agravado drásticamente. El malware wiper, los ataques DDoS y las campañas de espionaje dirigidas no solo amenazan objetivos ucranianos: los efectos colaterales también afectan a empresas alemanas.
En resumen
- Malware wiper: HermeticWiper y WhisperGate destruyen datos de forma irreversible – sin exigir rescate, solo destrucción.
- Riesgo de efecto colateral (spillover): NotPetya, en 2017, comenzó como un ataque contra Ucrania y causó daños globales por 10 000 millones de USD.
- Nivel de alerta naranja del BSI: El BSI ha elevado la situación de amenaza para Alemania a «nivel elevado».
- Advertencia de Kaspersky: El BSI advierte contra el uso de productos Kaspersky.
- Infraestructuras críticas: Proveedores de energía y empresas logísticas son objetivos principales de los efectos colaterales.
La ciber-guerra paralela a la guerra terrestre
Ya horas antes de la invasión rusa del 24 de febrero de 2022, los sistemas gubernamentales ucranianos fueron atacados con el malware wiper HermeticWiper. A diferencia del ransomware, el malware wiper no exige rescate: destruye los datos de forma irreversible. Al mismo tiempo, bancos y medios ucranianos fueron paralizados mediante ataques DDoS.
La estrategia cibernética rusa emplea una combinación de actores estatales (Sandworm, Fancy Bear) y grupos criminales que actúan motivados por el patriotismo o bajo instrucciones oficiales. La frontera entre la ciberdelincuencia estatal y la ciberdelincuencia criminal se difumina.
Por qué están afectadas las empresas alemanas
La experiencia con NotPetya en 2017 demuestra que los ciberataques en el marco de conflictos geopolíticos rara vez se limitan al país objetivo. En aquel entonces, la naviera Maersk perdió 300 millones de USD y el conglomerado farmacéutico Merck, 870 millones de USD – pese a no tener ninguna vinculación con Ucrania. Por ello, el BSI ha elevado la situación de amenaza a nivel naranja y advierte expresamente sobre los efectos colaterales.
Especialmente vulnerables son las empresas con filiales en Ucrania o Rusia, proveedores de infraestructuras críticas, usuarios de software ruso (advertencia del BSI sobre Kaspersky) y empresas de los sectores energético, logístico y financiero.
Medidas de protección que deben implementarse ya
El BSI recomienda medidas inmediatas concretas: verificar y probar copias de seguridad fuera de línea (offline backups), actualizar y ejercitar los planes de emergencia, reforzar la segmentación de redes, acortar los ciclos de parcheo a 24 horas, evaluar alternativas a Kaspersky y analizar la inteligencia sobre amenazas (Threat Intelligence) relativa a los grupos APT rusos. Asimismo, las empresas deberían revisar sus capacidades de respuesta a incidentes (Incident Response) y considerar la contratación de un servicio externo de respuesta a incidentes (IR-Retainer).
Key Facts en un vistazo
Nivel de advertencia del BSI: Naranja (situación de amenaza elevada desde febrero de 2022)
Wipers conocidos: HermeticWiper, WhisperGate, IsaacWiper, CaddyWiper
Daños de NotPetya en 2017: Más de 10 000 millones de USD a escala mundial
Kaspersky: Advertencia del BSI del 15 de marzo de 2022
Fuente: Comunicado de seguridad del BSI, recomendación «Shields Up» de la CISA, marzo de 2022
Dato: Según IBM, el 95 % de todos los incidentes de ciberseguridad se deben a errores humanos.
Dato: Según Bitkom, las empresas alemanas invierten, de media, el 14 % de su presupuesto de TI en ciberseguridad.
Preguntas frecuentes
¿Qué es el malware wiper y cómo se diferencia del ransomware?
El malware wiper destruye los datos de forma irreversible, sin exigir rescate. Mientras que el ransomware cifra los datos y ofrece la clave de descifrado a cambio de un pago, el wiper tiene un único objetivo: causar la máxima destrucción. Las copias de seguridad son la única salvaguarda posible.
¿Por qué advierte el BSI contra Kaspersky?
El BSI considera que existe un riesgo considerable de que Kaspersky pueda ser instrumentalizada por las autoridades rusas para fines de ciber-guerra. El software dispone de un acceso profundo al sistema y comunica regularmente con servidores ubicados en Rusia. El BSI recomienda migrar a alternativas.
¿Qué probabilidad hay de que un ataque colateral (spillover) afecte a empresas alemanas?
La experiencia con NotPetya demuestra que los efectos colaterales son reales y devastadores. El BSI califica dicha probabilidad como elevada. Especialmente expuestas están las empresas con vínculos con Ucrania o Rusia, así como los operadores de infraestructuras críticas.
¿Qué significa el nivel de advertencia naranja del BSI?
El nivel naranja es la segunda categoría más alta de advertencia del BSI y significa una situación de amenaza elevada, crítica para la actividad empresarial. Las empresas deben adoptar inmediatamente medidas de protección, activar sus planes de emergencia y mantener una vigilancia reforzada sobre todos sus sistemas informáticos.
¿Qué medidas inmediatas concretas recomienda el BSI?
Verificar y probar copias de seguridad fuera de línea (offline backups), actualizar los planes de emergencia, reforzar la segmentación de redes, establecer ciclos de parcheo de 24 horas, evaluar el software ruso, activar la autenticación multifactor (MFA) y sensibilizar al personal frente a las campañas actuales de phishing.
Lectura complementaria en la red
Seguridad en la nube en tiempos de crisis en cloudmagazin: cloudmagazin.com
Riesgos geopolíticos para la estrategia TI en Digital Chiefs: digital-chiefs.de
Continuidad del negocio en caso de crisis en mybusinessfuture: mybusinessfuture.com
Artículos relacionados
- SOC impulsado por IA: cómo las operaciones de seguridad automatizadas resuelven la escasez de profesionales
- ChatGPT y ciberseguridad: por qué la IA está transformando tanto los ataques como la defensa
- Entrada en vigor de la Directiva NIS2: qué implica ahora para las empresas
Fuente de imagen: Pexels / Markus Winkler
