Gusano de Arena, el cibersistema militar ruso que amenaza nuestras redes de agua potable

A mediados de enero en Muleshoe, una ciudad en Texas de unos 5.000 habitantes, ocurrió algo inesperado. El tanque de agua, de esos que están en alto sustentado por patas que salen en las películas, comenzó a soltar agua. Durante algo más de media hora, tiempo que los servicios municipales encontraron apaño a la avería, perdieron miles de litros. Pero no había sido una avería.

De acuerdo con un informe de la compañía Mandiant, propiedad de Google, el culpable había sido un gusano. Y tampoco era un gusano normal, sino uno digital, binario, denominado en el mundo de la ciberseguridad Sandworm. El servicio de aguas de Muleshoe había sido hackeado por esta singular larva y todo apunta a un sospechoso habitual de un tiempo a esta parte: la Dirección de Inteligencia Militar de Rusia, conocida como el GRU.

El largo brazo del espionaje militar exsoviético mete la zarpa en aquello que considera interesante. Por norma general son estructuras sensibles de un entorno que se le queda pequeño en su territorio circundante. Líneas férreas, aeropuertos, compañías de electricidad, centrales nucleares u hospitales les sirven. Si con eso mantienen entretenidos a los diversos servicios de defensa y mantenimiento, parecen quedar contentos.

Los funcionarios de Muleshoe cerraron los grifos de forma manual, reemplazaron el sistema de software pirateado, y tomaron otras medidas para proteger la red, dijo Ramón Sánchez, su alcalde. Si en la localidad texana lo del agua se arregló con celeridad y afectó a pocos, hay otros ejemplos recientes de la eficiencia rusa en este sentido. La violación en estas instalaciones de agua, cerca de la frontera con Nuevo México, no sería el primer caso conocido, sino el tercero este año. La pole position este 2024 la ocupan, y por este orden, Irán y China, a los que se ha vinculado con incidentes similares.

Mandiant no pudo verificar todas sus sospechas sobre el pirateo, pero señaló que el análisis coincide con la información encontrada sobre el incidente. La investigación cita capturas de pantalla que muestran a una posible unidad afiliada a Sandworm que se hace llamar CyberArmyofRussia Reborn. Dichas imágenes muestran, en canales de Telegram asociados a hackers conocidos, el manipulado remoto de los accesos y sistemas de control de los pozos de agua.

Las actividades rastreadas por la compañía Mandiant también estaban relacionadas con ataques similares a ciudades vecinas a Muleshoe. El nexo en común era el software que utilizan para mantener sus sistemas de agua accesibles de forma remota.

Aparte de los citados casos, los operativos de Sandworm se han centrado principalmente en objetivos ucranianos y han intensificado sus ataques desde la invasión de Rusia hace unos dos años. El grupo está notablemente vinculado a los paralizantes ciberataques NotPetya de 2017, que afectaron a la infraestructura crítica de Francia, Alemania, Italia, Polonia, Inglaterra, Australia y Estados Unidos.

En Ucrania también conocen bien a NotPetya. Durante un ataque reciente, el sistema de control de radiación de la central nuclear de Chernóbil quedó fuera de servicio, al igual que varios ministerios, bancos, sistemas de metro y empresas estatales ucranianas como aeropuertos, correos, o ferrocarriles. En los ordenadores infectados, se sobreescribieron archivos informáticos y se dañaron de forma permanente documentos importantes.

El mensaje que el malware mostraba al usuario indicaba que todos los archivos podían recuperarse «de forma segura y sencilla» si se cumplían las exigencias de los atacantes y efectuando el pago solicitado en criptomoneda. Esto era ya inviable, puesto que mucha información ya se había perdido.

Países cercanos

Pero añadieron algo más. En ese mismo grupo de Telegram encontraron un video en el que se afirmaba, con pruebas gráficas, que habían comprometido la tecnología que controla los niveles de agua en una instalación hidroeléctrica francesa. Esto había permitido a los malhechores interrumpir la generación de electricidad.

En su informe, la compañía de ciberseguridad de Google, considera que la cambiante dinámica política occidental, las futuras elecciones y los problemas emergentes en el extranjero cercano a Rusia van a determinar las operaciones de APT44 en un futuro próximo.

Pero, ¿qué es APT44?

APT44 es la denominación técnica de Sandworm. En realidad, el Gusano de Arena no es un virus, sino todo un sistema de ciberataques respaldado por el gobierno ruso. Este grupo ha sido vinculado a la mayoría de las operaciones cibernéticas contra Ucrania y el resto del mundo en la última década, que incluyen ataques a objetivos militares y sistemas de infraestructura crítica.

APT44, o Sandworm, es conocido por sus capacidades y ha estado involucrado en una amplia gama de actividades, desde espionaje y operaciones de información hasta ataques disruptivos y destructivos. Se enfoca principalmente en gobiernos, defensa, transporte, energía, medios de comunicación y organizaciones de la sociedad civil en el extranjero cercano de Rusia. No se quedan ahí, sino que también representa una amenaza de alta gravedad para gobiernos y operadores de infraestructura crítica a nivel mundial donde los intereses nacionales rusos se cruzan.

El grupo tiene un historial de uso agresivo de ataques en red en contextos políticos y militares. Se sabe que ha abierto brechas de seguridad en sistemas electorales e instituciones occidentales, incluidos los de países miembros actuales y potenciales de la OTAN. Es una unidad de sabotaje cibernético en toda regla, un arma de grado militar, pero de uso subterráneo, silente y secreto a los ojos del público general.

Consejo a la comunidad internacional

La Agencia de Protección Ambiental y el Consejo de Seguridad Nacional estadounidense instó el mes pasado a la comunidad internacional a mantenerse alerta ante las ciberamenazas dirigidas a infraestructuras del sector del agua. «Los sistemas de agua potable y aguas residuales son un objetivo atractivo para los ciberataques porque son un sector de infraestructura crítica vital, pero a menudo carecen de los recursos y la capacidad técnica para adoptar prácticas rigurosas de ciberseguridad», decía su misiva a los Estados.

A la sequía y escasez de agua que padecemos, se suma otro enemigo: un gusano de tierra, aunque teledirigido. Resulta imperioso encontrar el veneno adecuado.