Aprendizajes estratégicos y desafíos actuales ante los modelos híbridos de ciberamenazas
Imagen: Zdzisław Beksiński
En un escenario internacional marcado por tensiones geopolíticas crecientes, comprender y enfrentar los modelos híbridos de amenazas se ha vuelto una necesidad crítica para proteger las infraestructuras esenciales y preservar la seguridad digital a nivel global. En este contexto, las organizaciones deben fortalecer sus mecanismos de defensa, incorporar capacidades de monitoreo en tiempo real y perfeccionar sus estrategias de atribución de ataques. Asimismo, los equipos de ciberdefensa deben adaptarse a un entorno en constante cambio, analizando las interacciones entre actores estatales y organizaciones no estatales con el objetivo de anticipar y reducir los riesgos emergentes.
Dentro del campo de la ciberseguridad, los errores operativos cometidos por los propios actores de amenazas — como ciberdelincuentes o grupos de ransomware — han abierto oportunidades inesperadas para investigadores y defensores. Estos fallos, conocidos como errores de seguridad operativa (OpSec), se han vuelto cada vez más comunes y revelan que incluso los atacantes más sofisticados pueden ser víctimas de sus propios descuidos.
Para los investigadores y los equipos de seguridad empresarial, tener acceso a la estructura interna de los ciberatacantes representa una oportunidad única para conocer a fondo sus tácticas, técnicas y procedimientos. Esta información, en muchos casos, se obtiene a través de filtraciones accidentales o internas que proporcionan visibilidad sin precedentes sobre la infraestructura utilizada por los atacantes, los patrones de infección, la jerarquía de afiliados y las tácticas de monetización. Mediante el análisis de estos datos, los equipos de inteligencia de amenazas pueden enriquecer sus indicadores de compromiso, mapear infraestructuras con mayor rapidez, anticipar ataques y apoyar a las fuerzas del orden en sus esfuerzos por interrumpir las operaciones de los delincuentes.
Un aspecto relevante es que muchas organizaciones criminales operan de manera similar a empresas legítimas. Esto las vuelve susceptibles a los mismos ciberataques que ellas mismas lanzan. Esta similitud operativa implica que errores humanos o fallos técnicos dentro de sus propias estructuras pueden ser aprovechados por defensores para interferir en sus operaciones o debilitarlas considerablemente.
Las filtraciones internas, en particular aquellas realizadas por miembros descontentos con acceso privilegiado, pueden ser especialmente perjudiciales para los ciberdelincuentes. Estas fugas suelen incluir información sensible, como registros de chats que revelan direcciones de criptomonedas, direcciones IP, nombres de usuario y otros datos identificativos. Además, estas conversaciones suelen contener discusiones técnicas sobre problemas operativos, como servidores de comando y control (C2) que no responden o herramientas defectuosas, brindando a los defensores una visión estratégica de las debilidades del adversario.
Un caso emblemático de este tipo de filtraciones fue el del grupo ruso de ransomware Conti, cuyas comunicaciones internas, códigos fuente y detalles operativos fueron expuestos en 2022 por un investigador ucraniano tras el apoyo explícito del grupo a la invasión rusa de Ucrania. Esta filtración reveló una estructura corporativa sofisticada con vínculos directos con el Servicio Federal de Seguridad (FSB) ruso. La exposición permitió a las autoridades y expertos en ciberseguridad comprender mejor sus tácticas, incluyendo campañas de phishing y el uso de malware altamente evasivo, lo que debilitó significativamente sus operaciones. Sin embargo, tras esta exposición, Conti se fragmentó en varios grupos más pequeños, como BlackByte y Karakurt, que continuaron realizando ataques, especialmente en América Latina, donde se vieron afectados gobiernos como el de Costa Rica. Por otro lado, la filtración del código fuente permitió a grupos hacktivistas utilizar sus herramientas contra objetivos rusos, aunque también generó el riesgo de que otros actores maliciosos desarrollaran nuevas variantes de ransomware a partir del código expuesto, lo que demuestra que la amenaza persiste incluso después de la desintegración parcial de un grupo.
Estos incidentes ilustran cómo los errores cometidos por actores de amenazas pueden convertirse en una fuente valiosa para fortalecer las defensas cibernéticas. No obstante, para maximizar el valor de estas filtraciones, las organizaciones deben invertir en capacidades avanzadas de análisis de inteligencia de amenazas y colaborar activamente con la comunidad global de ciberseguridad. Al hacerlo, pueden protegerse mejor frente a futuros ataques y contribuir a elevar los costos operativos de los ciberdelincuentes, dificultando la continuidad de sus actividades ilícitas.
Uno de los ejemplos más reveladores sobre cómo analizar a un adversario puede traducirse en lecciones estratégicas aplicables es el caso de Rusia. Estudiar la forma en que Rusia opera en el ciberespacio permite extraer aprendizajes cruciales para el diseño de sistemas de defensa más eficaces frente a amenazas de escala global.
Rusia ha perfeccionado una estrategia cibernética híbrida que fusiona el poder estatal con la agilidad de organizaciones no estatales, como empresas privadas, colectivos hacktivistas y grupos de cibercrimen, para extender su influencia en el ciberespacio. Este modelo tiene sus raíces en el colapso de la Unión Soviética en 1991, un período de caos económico e institucional que facilitó el surgimiento del cibercrimen. Profesionales de tecnologías de la información altamente capacitados y antiguos oficiales de inteligencia, enfrentados a la falta de empleo y a la precariedad económica, se volcaron hacia actividades delictivas en el ámbito digital. Así, se establecieron redes informales que más adelante serían aprovechadas por las agencias de inteligencia rusas.
El ecosistema cibernético ruso opera como una estructura concéntrica. En su núcleo se encuentran las principales agencias de inteligencia estatales: el Servicio Federal de Seguridad (FSB), el Servicio de Inteligencia Exterior (SVR) y la Dirección General de Inteligencia (GRU). Estas están rodeadas por anillos de organizaciones no estatales, entre las que se incluyen empresas privadas de TI como Kaspersky, Positive Technologies, NTC Vulkan y Digital Security, así como colectivos hacktivistas como CyberArmyofRussia_Reborn y grupos de cibercrimen como Conti y BlackBasta. Estas entidades colaboran con el Estado, ya sea por obligación legal — como lo establece la Ley Federal N.º 97-FZ, que obliga a las empresas a compartir datos con el FSB — o por intereses ideológicos y financieros.
A pesar de que el FSB, el SVR y el GRU tienen mandatos similares, lo que genera rivalidades burocráticas, también conforman una red difusa que dificulta la atribución clara de los ataques. Esta externalización de capacidades permite a Rusia aprovechar la experiencia técnica del sector privado, la flexibilidad de los hacktivistas y la audacia de los grupos criminales, creando un modelo operativo ágil y eficiente que maximiza el impacto de sus operaciones mientras mantiene una negación plausible. Sin embargo, esta estructura también conlleva riesgos, como la fragmentación interna o la falta de cohesión ideológica, como quedó evidenciado con la disolución del grupo Conti en 2022 tras sus filtraciones internas.
Un ejemplo destacado de esta estrategia es la operación Doppelgänger, una campaña masiva de desinformación supervisada por la Administración Presidencial rusa. Esta operación utiliza entidades privadas coordinadas para imitar sitios web de medios de comunicación y gobiernos legítimos, difundiendo narrativas falsas que amplifican los intereses del Kremlin. Desde la invasión de Ucrania en 2022, Doppelgänger ha mantenido su actividad de manera constante, evidenciando cómo Rusia integra capacidades del sector privado con objetivos estatales para construir un aparato de guerra de información resiliente y escalable.
Los hacktivistas, como CyberArmyofRussia_Reborn, actúan en coordinación con el grupo APT44 del GRU, también conocido como Sandworm. Han sido responsables de ataques destructivos contra infraestructuras críticas ucranianas y de filtraciones de datos publicadas a través de canales en Telegram. Paralelamente, los grupos de cibercrimen colaboran de forma oportunista con el Estado, operando bajo su protección a cambio de cooperación estratégica.
La externalización de operaciones cibernéticas ofrece múltiples ventajas a Rusia: reduce costos, permite el acceso a habilidades especializadas y facilita la innovación constante. Al delegar tareas a actores no estatales, Rusia logra ejecutar operaciones complejas sin comprometer abiertamente sus recursos estatales, manteniendo una ambigüedad que complica tanto la atribución como la respuesta internacional. Sin embargo, esta dependencia también implica vulnerabilidades. Los actores no estatales pueden actuar de forma impredecible o no alinearse completamente con los intereses del Estado. Además, la rivalidad entre agencias y la falta de un mando centralizado pueden conducir a operaciones mal coordinadas y, por ende, menos eficaces.
El modelo híbrido ruso, que integra capacidades estatales y no estatales, refuerza su papel como uno de los actores cibernéticos más influyentes del mundo. Este enfoque le permite proyectar poder asimétrico en el ciberespacio, aprovechando las debilidades de un entorno digital globalizado e interconectado.
La estrategia cibernética de Rusia — basada en la externalización de funciones clave a empresas privadas, grupos hacktivistas y cibercriminales — constituye un enfoque innovador y dinámico que desafía los paradigmas tradicionales de la ciberseguridad. Aunque brinda ventajas operativas importantes, su dependencia de actores no estatales también introduce riesgos estratégicos que pueden ser explotados por sus adversarios. En un mundo marcado por la incertidumbre geopolítica y la acelerada transformación digital, entender y contrarrestar este modelo híbrido es esencial para proteger las infraestructuras críticas y garantizar la seguridad digital a nivel mundial.
Para más información, visite: https://www.silikn.com/