El primer cuarto del siglo XXI nos ha dejado una gran cantidad de lecciones acerca del empleo del ciberespacio para atacar objetivos estratégicos de seguridad nacional, y como consecuencia, el uso del mismo para acciones de defensa nacional. Como menciona la doctrina conjunta aliada para operaciones en el ciberespacio de la Organización del Tratado del Atlántico Norte (OTAN), “Los agentes estatales y no estatales tratan de explotar las vulnerabilidades de los sistemas de información para exfiltrar, corromper o destruir datos o para obtener prestigio, ventajas políticas, militares y otros beneficios”.

El 8 de julio de 2016, durante la Cumbre de Varsovia, los países aliados de la OTAN reafirmaron el mandato defensivo del organismo y reconocieron el ciberespacio como un nuevo dominio de operaciones en el que deben defenderse tan efectivamente como lo hacen en los otros ámbitos; también firmaron un documento denominado Cyber Defence Pledge, en el cual se manifiesta explícitamente la prioridad de mejorar su ciberdefensa.

En este sentido, el «Glosario de Términos SEDENA-SEMAR en Materia de Ciberseguridad y Ciberdefensa» define el término ciberfuerza como la fuerza de seguridad en el ciberespacio de las fuerzas armadas, para realizar ciberoperaciones en el cumplimiento de las misiones en materia de seguridad nacional.

Los sucesos que han ocurrido en los últimos años, relacionados con el empleo del ciberespacio para desarrollar operaciones militares que han tenido como blanco Infraestructuras críticas y otros sistemas estratégicos buscando obtener ventajas políticas y militares, han posicionado este nuevo dominio como protagonista en el contexto internacional y lo han establecido como un campo en constante disputa, con ciberataques diarios que van desde lo básico hasta lo sofisticado. Estos ataques a menudo tienen como objetivo infraestructuras críticas, especialmente durante conflictos. Ejemplos clave de ciberoperaciones militares incluyen los incidentes en Estonia (2007), Stuxnet, BlackEnergy y los ciberataques durante la operación militar especial entre Rusia y Ucrania, de los que se ofrecerá una breve descripción.

 

Estonia (2007)

El caso de Estonia en 2007 es un punto de referencia para el estudio de la ciberdefensa, ya que fue la primera ocasión en que un Estado miembro solicitó apoyo a la OTAN por un ciberataque a sus infraestructuras críticas, lo que puede considerarse como la primera acción de ciberguerra o como el momento del nacimiento de las operaciones militares en el ciberespacio.

En Estonia, un sentimiento antirruso desencadenó un conflicto civil relacionado con la reubicación de una estatua de bronce que representaba a un soldado ruso. Originalmente instalada en Tallin, capital de Estonia, la estatua fue trasladada a un cementerio militar en las afueras de la ciudad; para algunos el monumento “simbolizaba la opresión soviética”, mientras que, para otros, simbolizaba la victoria de la antigua Unión de Repúblicas Socialistas Soviéticas (URSS), sobre el nazismo. Cabe mencionar que el conflicto favorecía los intereses de Rusia, que había visto con desagrado la afiliación de Estonia a la OTAN en 2004, lo que proporcionó el pretexto perfecto para una confrontación entre Rusia y Estonia.

Tras la reubicación de la estatua, estalló una campaña de ciberataques que duró veintidós días, siendo los más comunes los conocidos como denegación distribuida de servicio (DDoS), caracterizados por enviar una inmensa cantidad de tráfico hacia servidores específicos para colapsarlos. Comenzaron enfocándose en servicios no críticos, como servidores de páginas Web o correo electrónico, pero posteriormente se concentraron en objetivos más importantes, como la banca en línea; los ciberataques ocurrieron entre el 27 de abril y el 18 de mayo de 2007 y durante este tiempo variaron su objetivo, volumen y método, pero en general pueden considerarse dos fases.

La primera fase fue del 27 al 29 de abril, en la cual hacktivistas (grupos que dedican sus habilidades técnicas hacia las protestas sociales) usaron herramientas rudimentarias para atacar sitios Web de Estonia, incluyendo los del gobierno, el ministerio de defensa y partidos políticos; al confirmar el ciberataque, Estonia organizó una respuesta liderada por su Equipo de Respuesta ante Emergencias de Cómputo (CERT, por sus siglas en inglés), compuesto por especialistas de varios ministerios y servicios de inteligencia. El gran acierto de Estonia fue identificar rápidamente la gravedad del asunto y organizar inmediatamente el CERT nacional, otorgándole la autoridad necesaria para liderar y coordinar las capacidades de las instituciones del país, para la ciberdefensa.

En la segunda fase, del 30 de abril al 18 de mayo de 2007, los ataques se volvieron más sofisticados. Usaron botnets (conjunto de robots informáticos que actúan automáticamente) grandes y coordinadas, listas de objetivos y horarios específicos para generar un alto volumen de peticiones simultáneas y colapsar servicios informáticos. Un dato interesante es que el aumento de ciberataques coincidió con la fiesta nacional rusa, y se registraron 128 ataques de denegación distribuida de servicio.

El ministro de defensa de Estonia informó la situación a sus aliados de la OTAN y la Unión Europea, quienes cooperaron en la crisis y aumentaron gradualmente el ancho de banda local sin revelar su capacidad, dificultando así las labores de ciberinteligencia enemigas. Observadores de Estados Unidos y varios países de la OTAN visitaron Estonia para proporcionar apoyo técnico. El CERT nacional de Finlandia fue especialmente útil, y se demostró la importancia de la colaboración internacional para enfrentar este tipo de crisis en el ciberespacio, ya que, debido a la naturaleza global del mismo, es casi imposible que un solo país desarrolle las acciones necesarias para enfrentar todas las ciberamenazas inherentes al mismo.

 

Stuxnet

En 2010, Irán sufrió un ciberataque en sus centrifugadoras de enriquecimiento de uranio y acusó a Estados Unidos e Israel; el ataque se realizó con el código malicioso Stuxnet, inicialmente descrito como un gusano. Luego se reconoció su complejidad y se definió como una ciberarma, siendo la primera vez que se utilizaba este término.

Los cables del Departamento de Estado revelados por WikiLeaks indican que el gusano se propagó principalmente en Irán, India e Indonesia, ganando acceso a los sistemas al explotar vulnerabilidades en Windows® y dispositivos USB, identificados de forma independiente por antivirus de Symantech®, Kaspersky Lab® y por el consultor de seguridad alemán Ralph Langner, quienes analizaron el comportamiento del gusano y determinaron que infectó miles de sistemas computacionales, pero estaba diseñado específicamente para activarse al detectar una configuración particular de controladores industriales, como los existentes en las centrífugas nucleares de Natanz en Irán. Por esta razón se le consideró un arma de ciberguerra, ya que los atacantes se aseguraron de atacar solo objetivos designados. Langner lo describe como «…un cibermisil con precisión de grado militar…» dirigido a objetivos estratégicos.

A medida que el Sr. Langner profundizó en su análisis, encontró lo que llamó «ojiva dual», ya que el programa está diseñado para impactar en dos sentidos: una parte permanece latente durante largo tiempo, y en un determinado momento acelera los rotores de las centrífugas hasta provocar su destrucción; otra parte del código envía señales falsas a los sensores para hacer que el sistema crea que todo funciona sin problemas y evita que el sistema active un mecanismo de seguridad y cierre la planta antes de autodestruirse.

El Organismo Internacional de Energía Atómica (OIEA) informó que, durante 2010, Irán reemplazó unas mil centrifugadoras en Natanz debido a los daños causados por Stuxnet; en noviembre de 2010, Irán suspendió temporalmente el funcionamiento de la planta de enriquecimiento de energía, por problemas con las centrifugadoras. Funcionarios de la administración Obama creen que Stuxnet retrasó el desarrollo nuclear de Irán entre 18 meses y dos años; sin embargo, otras evaluaciones difieren y señalan la rápida recuperación de Natanz tras el breve cierre.

 

BlackEnergy

Con respecto a los ataques hacia centrales eléctricas en Ucrania, el gobierno de este país acusó a Rusia del ciberataque que en diciembre de 2015 dejó aproximadamente a 300 mil personas sin electricidad durante 6 horas; la herramienta denominada BlackEnergy causó el primer apagón generalizado producido por un ciberataque. Instituciones como SANS Institute concluyeron que se trató de un ataque sofisticado realizado por un equipo de expertos informáticos que usaron diversas armas cibernéticas, entre ellas BlackEnergy: «Los atacantes demostraron planificación, coordinación y la capacidad de usar malware y posiblemente acceso remoto directo a equipos de control industrial, provocando cambios de estado indeseables en la infraestructura eléctrica de distribución, además de intentar retrasar la restauración borrando los servidores SCADA (Control, Supervisión y Adquisición de Datos ) después de causar la interrupción”.

BlackEnergy es un conjunto de herramientas que ha sido utilizado por diversos ciberactores, desde «script kiddies» (piratas informáticos tan poco hábiles que generalmente solo podían usar herramientas escritas por alguien con más conocimientos) hasta ciberdelincuentes profesionales; creada originalmente por el hacker ruso Dmytro Oleksiuk, también conocido como “Cr4sh”, quien la vendió en foros de hackers en 2007 por alrededor de $40 USD, con su nombre de usuario estampado como una etiqueta en una esquina de su panel de control.

La herramienta fue diseñada específicamente para los ataques de denegación distribuida de servicio (DDoS). Cuando una máquina es infectada con BlackEnergy se convierte en parte de una botnet en la que un operador puede utilizar el software diseñado por Oleksiuk para determinar qué sitio Web atacarían sus máquinas con solicitudes falsas, así como el tipo y la velocidad del ataque digital.

En los años siguientes, BlackEnergy evolucionó; las empresas de seguridad detectaron una nueva versión del software con funciones intercambiables, que podía afectar sitios Web con tráfico basura, enviar correos no deseados, destruir archivos y robar nombres de usuario y contraseñas bancarias. La versión empleada para el ciberataque del 23 de diciembre de 2015 que causó el apagón eléctrico generalizado, fue identificada como BlackEnergy3 y explotó una vulnerabilidad en los macros de Office que, al activarse, permitió alojar código sigilosamente y crear una puerta trasera para acceder a los equipos y a la red. Después de un tiempo de estar en la red sin ser detectados, los atacantes lograron obtener credenciales de los administradores de los equipos de OT (Tecnologías de Operación) que tienen el control de la red eléctrica y que accedían a través de redes privadas virtuales sin doble autenticación. Mediante este acceso localizaron hardware que era susceptible de ser modificado para evitar que los ingenieros de la planta accedieran remotamente a las subestaciones, los atacantes insertaron firmware malicioso en dicho hardware y en diciembre lanzaron su ataque en las siguientes fases:

  1. Toma de control e inhabilitación del servicio eléctrico de 30 subestaciones.
  2. Bloqueo del servicio telefónico mediante un ataque tipo DDoS, conocido como Todos, específicamente para telefonía.
  3. Activación del firmware malicioso bloqueando el acceso remoto a las subestaciones, obligando a reactivar el servicio manualmente en cada una.
  4. Destrucción de evidencia mediante un código KillDisk insertado durante los meses de preparación, el cual borra el contenido de los discos duros de los equipos en la subestación y con ello la evidencia forense del ataque.

 

Ciberataques suscitados durante la operación militar especial entre Rusia y Ucrania

El conflicto entre Rusia y Ucrania tiene raíces históricas profundas, exacerbadas durante el periodo comunista y tras la separación de la URSS.

Para efectos de este escrito comenzaré a partir de una escalada vertiginosa que comenzó a finales de 2013, con la denominada «revolución de la dignidad», en la plaza principal de Kiev, Ucrania, cuando los ciudadanos protestaron por la decisión del entonces presidente Viktor Yanukovych (apoyado por Rusia) de no firmar un acuerdo de asociación política con la Unión Europea (UE): este movimiento se conoció como ‘EuroMaidan‘. Rusia respondió a estos eventos ocupando y anexando la península de Crimea a fines de abril de 2014; así como con intervenciones militares en el este de Ucrania, en la denominada “Guerra del Donbás”, misma que no concluye y el 24 febrero de 2022 evoluciona a la operación militar especial entre Rusia y Ucrania en la que las hostilidades continúan hasta el día de hoy.

En este contexto, el caso de BlackEnergy marca el inicio de una estrategia rusa de ciberataques en conflictos armados, lanzados antes de acciones en otros dominios; ejemplo de esto es el empleo de las versiones iniciales de BlackEnergy durante el EuroMaidan en 2013 y la anexión de Crimea en 2014; y el uso de BlackEnergy3, para provocar el apagón en diciembre de 2015, un nuevo apagón en 2016 mediante el código Industroyer, en 2017; otro ciberataque notable conocido como NotPetya dañó la infraestructura digital ucraniana y se salió de control afectando a empresas de todo el mundo, este ataque se caracterizó por destruir archivos en lugar de cifrarlos. Estos casos son representativos del uso de ciberataques contra Ucrania antes del conflicto actual.

En 2022, Ucrania fue blanco de numerosos ciberataques, especialmente WhisperGate mediante los conocidos como Wipers (borradores de datos). El 23 de febrero, justo antes del inicio de las operaciones militares, se registró un incremento sustancial de los ciberataques, siendo los más relevantes HermeticWiper, IsaacWiper, CyclopsBlink y AcidRain, este último asociado con la interrupción de las comunicaciones de ViaSat KA-SAT que tuvo lugar durante las fases iniciales de la invasión a gran escala de Ucrania. A partir de ese momento, se incrementaron los ciberataques por parte de ambos bandos, proliferando el empleo de ataques DDoS, Wipers para destruir información y software de exfiltración como CyclopsBlink.

Es importante destacar que Ucrania también ha realizado acciones significativas en el ciberespacio. Desde 2020, Mykhailo Fedorov, ministro de transformación digital, ha impulsado capacidades de ciberdefensa y proliferación de ciberataques, ha solicitado apoyo de la comunidad internacional en diferentes medios organizando el ITArmy, un grupo internacional de especialistas en ciberespacio. Además, el colectivo hacktivista Anonymous declaró su apoyo a Ucrania el 24 de febrero de 2022, atacando medios como RussiaToday y filtrando bases de datos del ministerio de defensa y el ministerio de cultura de Rusia.

El caso de las ciberoperaciones realizadas durante el conflicto entre Rusia y Ucrania merece un artículo por separado, pero a manera de resumen para los efectos de este artículo se puede mencionar que ha involucrado numerosas ciberoperaciones, y aunque no se puede determinar exactamente cuántos efectivos y grupos han participado, se pueden mencionar algunos ciberactores famosos en la comunidad del ciberespacio. A favor de Rusia actúan Sandworm Team, Gamaredon Group, APT 28, APT29, Lorec53 y el grupo hacktivista KillNet. A favor de Ucrania destacan IT Army of Ukraine, IT Army of Ukraine Psyops, Internet Forces of Ukraine, Anonymous y Against the West. Además, hay ciberactores chinos y bielorrusos que han apoyado a diferentes bandos.

En este punto, es relevante analizar cómo se ha gestionado la defensa nacional en el ciberespacio en casos anteriores, como el de Estonia en 2007, cuando intervinieron al menos dos CERT. Estos equipos de respuesta a emergencias en cómputo son regulados a nivel mundial por la organización FIRST, que tenía registrados hasta febrero de 2025 a 772 equipos en 111 países. Entre ellos destacan Estados Unidos, con 105 equipos, España con 62, Japón con 46, Alemania con 42, Francia con 29, Reino Unido con 19, China con 8 y Canadá con 7. En América Latina, los países más destacados son Colombia con 26 equipos, México con 25, Perú con 13 y Brasil con 8.

Con respecto a las capacidades de los CERT, cabe destacar que técnicamente mantienen elevados estándares de calidad, con el inconveniente de que sus protocolos de actuación son reactivos y se activan solo al detectar un incidente de ciberseguridad; la mayoría desconocen de estrategia y táctica militar y limitan su actuación a una ciberguerra. Solo algunos equipos de este tipo cuentan con una orientación militar y se conocen como CERT militares, en los que integran personal de las fuerzas armadas, como ejemplo, algunos en China, Estados Unidos, España, Reino Unido, Francia, Canadá, Colombia y Estonia, cuya participación fue relevante en los ataques realizados por Rusia en 2007.

Las amenazas a las infraestructuras críticas han existido históricamente en tiempos de conflicto, pero ahora también incluyen ataques en tiempos de paz por parte de piratas informáticos anónimos. Los eventos recientes, como los mencionados en este artículo, muestran que es posible causar desorden en el mundo real desde el ciberespacio; por lo tanto, en la planeación de defensa nacional se deben considerar objetivamente las ciberamenazas y, a medida que crece la dependencia de las TIC, los gobiernos deberían invertir proporcionalmente en ciberseguridad y ciberdefensa para desarrollar una ciberfuerza capaz de prevenir y responder a los ciberataques que puedan desestabilizar las instituciones de los países.

La integración de organismos para enfrentar las ciberamenazas se ha convertido en un punto clave de la agenda de los gobiernos, mismos que continúan creando nuevas organizaciones para abordar los diversos aspectos que se presentan (ciberdelito, ciberterrorismo y ciberguerra); en este sentido, algunos países han consolidado el desarrollo de cibercomandos que tienen específicamente una orientación hacia la ciberdefensa, los cuales se ajustan más al concepto mencionado de ciberfuerza.

Es difícil saber cuántos países tienen cibercomandos militares, ya que algunos gobiernos clasifican esos datos, no obstante, de acuerdo con información de Internet; se destacan: el Cibercomando de Estados Unidos (U.S. Cyber Command), con más de 50 mil efectivos, el Reino Unido que en su Ciberestrategia Nacional 2022 habla de su ciberfuerza nacional con una inversión de 114 millones de libras esterlinas exclusivas para su programa de ciberseguridad nacional, la ciberfuerza de Alemania denominada Espacio Cibernético y de Información (CIR, por sus siglas en alemán), con aproximadamente 16 mil efectivos, el Mando Conjunto de Ciberdefensa del Ministerio de Defensa Español con aproximadamente 3 mil efectivos. En América Latina, el Comando Conjunto de Ciberdefensa del Estado Mayor Conjunto de las Fuerzas Armadas de Argentina, Comando Conjunto Cibernético de Colombia y Comando de Defensa Cibernética de las Fuerzas Armadas de Brasil, los cuales no mencionan efectivos, disponen de unidades en varios niveles operacionales.

En este contexto, resulta fundamental la asignación de recursos humanos, materiales y económicos, que están realizando algunos países, para la creación y desarrollo de sus respectivas ciberfuerzas en busca de obtener la superioridad en el nuevo ámbito de operaciones militares denominado “ciberespacio”, con el establecimiento de diversos organismos destinados a enfrentar las ciberamenazas, como son los CERT nacionales y militares, así como los cibercomandos respectivos.