Ciberseguridad¿Es Killnet una amenaza real?

¿Es Killnet una amenaza real?

Análisis

María José Cárdenas
María José Cárdenas
Abogada y consultora jurídica. Licenciada en Derecho y Administración y Dirección de Empresas en UCO. Máster en Asuntos Internacionales: Derecho, Economía y Política en ICADE. Actualmente Grado en Criminología y Máster en Ciberdelincuencia en UNIR.

Este mes de mayo el grupo de cibercriminales pro-rusos ‘Killnet’ declaraba la Ciberguerra a España y a Italia. A finales de junio, el grupo volvía a actuar reivindicando la autoría de la serie de ciberataques que ha sufrido Lituania después de bloquear el transito de bienes desde Rusia hacia Kaliningrado. Te damos las claves para entender hasta qué punto es una amenaza real.

Este 10 de agosto, la empresa de Ciberseguridad Quantika 14 alertaba que el grupo pro-ruso Killnet volvía a amenazar a España. El motivo serían las polémicas declaraciones del alcalde de Madrid, José Luis Martínez-Almeida, durante su falsa entrevista con el grupo de humoristas “Russian Duo Vovan and Lexus” haciéndose pasar por el alcalde de Kiev, Vitali Klitschko. Según Quantika, Killnet habría amenazado con realizar ciberataques contra infraestructuras críticas españolas.

Te puede interesar: La amenaza de los ciberataques al sector energético

Recordamos que el pasado mes de mayo el grupo de cibercriminales pro-rusos Killnet declaró la Ciberguerra a España y a Italia a través de un comunicado difundido en la Deep Web que decía: “Italy and Spain, I’ve heard that The Mirai Squad is coming to you. Perhaps this is the beginning of your end!” (“Italia y España, he oído que el escuadrón Mirai viene a por vosotros, quizá éste sea el principio de vuestro fin”).

Más recientemente, a finales de junio, Lituania informaba haber registrado un “elevado” número de ciberataques contra páginas web (tanto gubernamentales como privadas). Estos ciberataques se producen precisamente una semana después de que el país implementara sanciones europeas que afectan al traslado de ferrocarriles de productos desde Rusia pasando por el enclave ruso de Kaliningrado.

Te puede interesar: Kaliningrado, ¿nuevo posible frente para la OTAN?

El grupo de ciberdelincuentes pro-rusos reivindicó los ciberataques de tipo DDOS (denegación de servicio) a través de su Telegram. Además aseguró que se trataba de una respuesta a la decisión tomada por Vilna de bloquear el tránsito de bienes hacia Kaliningrado. Entre las instituciones públicas afectadas se encuentra el Ministerio de Exteriores, el departamento de migración y la autoridad aeroportuaria lituana.

El grupo Anonymous que también ha estado muy activo contra Rusia también declaró la guerra el pasado mes de mayo al grupo Killnet.

Te puede interesar: Curso de Experto en Hacking Ético

¿Qué es Killnet y cómo actúa?

Killnet, como ciberejército pro-ruso, si bien no está confirmado que actúe en nombre del Gobierno ruso, tiene como objetivos atacar a todos los países que apoyen a Ucrania, o bien no estén a favor de Rusia.

Te puede interesar: Entender las diferencias entre Ciberterrorismo, Ciberguerra y Hacktivismo

Como indica Tom Burt, vicepresidente de Microsoft, “los actores de amenazas del estado-nación ruso pueden tienen la tarea de expandir sus acciones destructivas fuera de Ucrania para tomar represalias contra aquellos países que decidan brindar más asistencia militar a Ucrania y tomar más medidas punitivas contra el gobierno ruso en respuesta a la agresión continua”.

“Hemos observado que actores alineados con Rusia, activos en Ucrania, muestran interés o realizan operaciones contra organizaciones en los países bálticos y Turquía, todos los estados miembros de la OTAN que brindan activamente apoyo político, humanitario o militar a Ucrania”, decía Burt.

Así, podríamos estar ante una “gran amenaza porque el objetivo de ataque son infraestructuras críticas de los países, así como sus órganos gubernamentales, desestabilizando la defensa del país”, alertaba el vicepresidente de Microsoft.

Te puede interesar: Cómo protegerse en la Ciberguerra

Fue desde el Departamento de Seguridad y Estrategia de la empresa de Ciberseguridad española SmartHC desde donde se detectó el mensaje del pasado mes de mayo en un canal de mensajería del grupo de ciberdelincuentes Killnet. Como segura su Director de Seguridad y Estrategia, Angel Pablo Avilés, hay que estar alerta “al máximo” y preparados para lo que pueda pasar ya que esta amenaza se extrapola también a otras empresas del sector de la sanidad, logística o Ibex.

Estos ataques van dirigidos a los países que apoyan a Ucrania, por lo que en un primer momento el ataque va dirigido a grandes empresas e instituciones; es decir, no va dirigido a ciudadanos o pequeñas empresas. El mayor problema lo encontramos en los bancos, así como en los sistemas de comunicación, que afectarían a la sociedad en general.

Te puede interesar: El CSIC, víctima de un ciberataque ruso similar al sufrido por la NASA

España no realizó ninguna comunicación, ni oficial ni extraoficial, sobre la amenaza de Killnet, pero lo que sí sabemos es que las FFCCSS están al tanto de los posibles ataques y harán lo posible para evitar que se produzcan daños.

Como cuenta Newtral, España suele tener buenos resultados en cuanto a sus capacidades en el ciberespacio. En rankings a nivel global, como el National Cyber Security Index (NCSI) y el Global Cybersecurity Index, España está la octava y la cuarta en el mundo, respectivamente, en 2022.

Según Angel Moya, en España ya estábamos desde marzo en el grado 3 de ciberalerta y se han destinado recientemente partidas presupuestarias por valor de 1.000 millones de euros para nuestra “ciberdefensa”.

Cabe destacar que que desde que comenzó la invasión rusa sobre Ucrania, el Centro Criptológico Nacional notifica muchas más vulnerabilidades lo que quiere decir que se están solucionando más rápido de lo que se hacía anteriormente.

¿Qué es Mirai y cómo actúa Killnet?

Mirai es un malware que se utilizó en el ataque de denegación de servicios DDoS más grande de la historia, ya que en cuestión de segundos infectó unos 28.000 equipos de 125 países diferentes. Según la Oficina de Seguridad del Internauta (OSI), Mirai es un botnet que ataca a dispositivos IoT, como routers, grabadoras de vídeo o cámaras de vigilancia.

Su actuación consiste en realizar ataques DDoS para que el servicio atacado no funcione, sea inaccesible o su calidad baje. Los sistemas que suele atacar son Linux y Windows. El mayor problema de este malware es que su código abierto puede ser utilizado por cualquiera, actualizarlo, difundirlo y modificarlo a su antojo, y es el caso de Killnet.

Te puede interesar: Ataques de denegación de servicio, la técnica más utilizada por los ciberdelincuentes

A finales de abril, el ciberejército Killnet atacó once webs de la República Checa, entre las que se incluían los Ferrocarriles checos, aeropuertos y el Ministerio de Defensa. El 29 de abril, Killnet atacó la web del Gobierno de Rumanía, el Ministerio de Defensa e instituciones gubernamentales.

Este grupo también ha reclamado ciberataques realizados contra Estados Unidos. A día de hoy están vinculados al colectivo Legion, que es un grupo de hackers rusos cuyo objetivo es atacar instituciones y empresas de occidente. En su canal de Telegram declararon que querían atacar a los países de la OTAN y a Ucrania. El grupo Legion es laversión rusa de Anonymous, emulando su lenguaje y estética en los mensajes e imágenes, en cambio, defiende a Rusia.

Te puede interesar: Ciberactivismo contra Rusia, ¿podría ser DDoSecrets un sucesor de WikiLeaks?

Killnet fue conocido el 3 de abril de 2022 porque otro grupo de hackers, Bluehornet/Atw, divulgaron sus datos personales y revelaron la existencia del botnet utilizado por ellos. El 9 de mayo, este ciberejército atacó a ministerios e instituciones de Alemania, y según el portavoz del Ministerio de Interior, Maximilian Kall, los ataques pudieron ser frenados y no han sufrido mucho daño. Según indica, estos ciberataques tenían como objetivo el Ministerio de Defensa, el Bundestag, la Policía Nacional y la web del canciller Olaf Scholz.

Killnet no actúa sólo, sino que le acompañan en sus ataques ciberdelincuentes rusos independientes, así como el grupo del ramsonware CONTI. Este grupo comenzó a actuar a finales de 2019, y ataca mediante phishing y robo de credenciales RDP. Opera como un Ransomware-as-a-Service (RaaS) donde los desarrolladores ofrecen el ransomware en foros clandestinos para reclutar afiliadors, que se ocupan de distirbuir la amenaza a cambio de beneficios económicos.

Te puede interesar: Masterclass | Ciberinteligencia al servicio de empresas e instituciones | LISA Institute

Fue este miércoles día 11 cuando anunciaron la amenaza contra España e Italia. Tras ello, se ha alertado a las Fuerzas y Cuerpos de Seguridad española y a empresas importantes de España para que se preparen y protejan aquellas webs más sensibles a los ataques, así como a las infraestructuras críticas.

El mismo miércoles del pasado mes de mayo comenzaron realizando ciberataques a las webs del Senado y de los Ministerios de Defensa y Sanidad de Italia. La presidenta del Senado, Elisabetta Casellati, dijo en Twitter que el ataque no produjo daños.

Por otra parte, el Ministerio de Defensa italiano negó en su momento haber sido atacado y aseguró que los fallos de la web se debían al mantenimiento.

Te puede interesar:

María José Cárdenas

Abogada y consultora jurídica. Licenciada en Derecho y Administración y Dirección de Empresas en UCO. Máster en Asuntos Internacionales: Derecho, Economía y Política en ICADE. Actualmente Grado en Criminología y Máster en Ciberdelincuencia en UNIR.

spot_img

Actualidad

Dejar respuesta:

Por favor, introduce tu comentario!
Introduce tu nombre aquí

spot_img