Cuando las bombas rusas comenzaron a caer en toda Ucrania en febrero de 2022, muchos se enfrentaron a una elección desalentadora: quedarse y luchar o huir en busca de seguridad. Entre ellos estaba Ted, un empresario tecnológico que vivía en Kiev (quien usa un seudónimo por motivos de seguridad). Inicialmente llevó a su familia a un lugar seguro en Lviv, y Ted quería luchar.. Sin habilidades militares, Ted, como muchos otros ucranianos con antecedentes tecnológicos, quería contribuir en otros frentes de batalla.
Su esposa era una funcionaria pública bien conectada con el gobierno ucraniano. A través de conversaciones con el Ministerio de Transformación Digital, surgió la idea de aprovechar a personas con antecedentes tecnológicos, para defender al país en el campo de batalla cibernético. Lo que siguió fue la histórica formación de un ejército de hackers voluntarios luchando en nombre de Ucrania, el primer grupo de este tipo en la guerra cibernética del mundo.
El Ejército de TI de Ucrania surgió solo dos días después de la invasión a gran escala de Rusia en Ucrania en febrero de 2022 cuando el Ministro de Transformación Digital de Ucrania, Mykhailo Fedorov, emitió un llamado a todos los voluntarios dispuestos a unirse a las filas de hackers del ejército de TI para ayudar a defender Ucrania. Proclamó: “Continuamos luchando en el frente cibernético”.
En su apogeo, el canal de Telegram del ejército de TI voluntario alcanzó alrededor de 300,000 miembros en marzo de 2022.
El llamado a la acción de Fedorov resuena con el histórico llamamiento del Special Operations Executive (SOE) durante la Segunda Guerra Mundial: la famosa directiva de Winston Churchill al SOE era “prender fuego a Europa”, inspirando un espíritu similar de resistencia en el dominio digital.
“Intentamos activar cada parte de la sociedad para resistir la guerra de Rusia,” dijo Ted sobre los primeros días de la guerra. Los funcionarios ucranianos y los voluntarios querían ver cómo podían aprovechar a la población altamente talentosa de nuestra sociedad, “teniendo en cuenta a nuestros desarrolladores de software y personas en el sector de TI,” dijo Ted.
En los primeros días, los organizadores se centraron en lo básico, como crear un canal de Telegram y hacer el trabajo preliminar para poner en marcha las operaciones. Ted recuerda los primeros días como desafiantes, marcados por un sentido de aislamiento y una curva de aprendizaje empinada, similar pero distinta a los desafíos de construir una empresa.
Nadie tenía una buena idea de lo que estaba pasando. Ted dice, “Al principio, fue difícil. Me sentí solo ya que todo tenía que construirse desde cero. Cuando estás construyendo una empresa, sabes exactamente lo que estás intentando construir.”
Para Ted, construir un ejército de hackers voluntarios fue una empresa masiva porque no había un modelo a seguir sobre cómo hacer esto.
Los voluntarios líderes del ejército de TI que organizaron el canal de Telegram estaban eliminando a los actores malicios os que enviaban spam al chat, y trataron de establecer una buena línea de comunicación para mantener a la gente activamente comprometida. “En los primeros días, no podía dormir. Tenía que sentarme y seguir eliminando manualmente a las personas que enviaban spam al chat, probablemente actores malintencionados de Rusia.”
A medida que la iniciativa ganaba tracción, se unieron más personas, incluidas aquellas asociadas con el Ministerio de Transformación Digital y amigos de amigos. Esta expansión permitió establecer turnos, aliviando la carga de los miembros individuales y mejorando la eficiencia operativa.
Construyendo la estructura
En su apogeo, el Ejército de TI tenía alrededor de 300,000 suscriptores en su canal de Telegram. Sin embargo, no todos los que se unieron al canal de Telegram tenían el interés, la experiencia y las habilidades para contribuir a largo plazo.
Los ataques DDoS son el mecanismo estándar del Ejército de TI.
Ahora, en cualquier momento dado, el Ejército de TI tiene alrededor de 3,000 a 10,000 voluntarios activos trabajando en operaciones, según Ted. Un equipo ejecutivo central de alrededor de 50 personas administró las funciones críticas, asegurando coherencia estratégica a pesar del alto recambio y las contribuciones a tiempo parcial de la mayoría de los voluntarios. El equipo central solo se reúne para impulsar la dirección estratégica, aclaró Ted. Las diferentes unidades trabajan independientemente unas de otras.
Ted destacó que, en comparación con administrar un negocio, la tasa de rotación es mucho más alta. Por lo general, las personas solo pueden dedicar esfuerzos a tiempo parcial, con pocos participando en estas actividades a tiempo completo. Entre estos pocos, Ted mismo es un participante a tiempo completo, reconociendo que las demandas impuestas a los organizadores son muy altas.
Con miles de voluntarios esperando dirección, los coordinadores del Ejército de TI entendieron que sus instrucciones necesitan ser lo suficientemente simples y claras para que las personas puedan seguirlas. El resultado: “Ataques DDoS, que son simples y los más efectivos. Lo hicimos nuestro mecanismo estandarizado.”
Los ataques de denegación de servicio distribuido (DDoS) se ejecutan acumulando un volumen sustancial de tráfico de internet para abrumar un sitio web objetivo. Estos ataques tienen como objetivo incapacitar el sitio web inundándolo con un número excesivo de solicitudes, sobrecargando el sistema y provocando su cierre.
Tácticas en evolución
Las tácticas del Ejército de TI evolucionaron rápidamente. Inicialmente, el grupo publicaba objetivos como direcciones IP y puertos, pero a medida que las defensas cibernéticas rusas se adaptaban, cambiaron a operaciones más encubiertas. El enfoque del ejército era principalmente en ataques DDoS, considerados simples pero efectivos.
Se organizaron en unidades distintas, cada una con roles y responsabilidades específicos:
- comunicación
- reconocimiento
- desarrollo de software.
Aunque la cantidad exacta de ataques por parte del Ejército de TI aún es incierta, se estima que aproximadamente 2,000 ataques se habían llevado a cabo para junio de 2022. El ejército de TI de Ucrania utilizó un ataque DDoS dirigido para atacar el único sistema de autenticación de productos de Rusia (Chestny Znak), causando una extensa interrupción ya que Rusia se vio obligada por el ataque a abolir el etiquetado y la verificación de ciertos productos, causando a los negocios rusos pérdidas económicas.
“Si fueras un trabajador ruso inteligente en ciberseguridad, te habrías suscrito a nuestros canales para estar al tanto de nuestras notificaciones sobre dónde serían nuestros ataques,” dice Ted.
Así que una vez que el Ejército de TI dejó de publicar sus ataques públicamente, comenzaron a ver una disminución en el número de suscriptores en su canal de Telegram.
“La gente ocasionalmente nos envía correos electrónicos con información sobre posibles objetivos y perfiles. Sin embargo, nuestra capacidad para incorporar estas contribuciones es limitada,” dice Ted. “A menudo luchamos por integrar nuevas ideas aportadas por personas que se acercan a nosotros.”
El enfoque del Ejército de TI en el reconocimiento también ha evolucionado a lo largo de la guerra. “Inicialmente, nuestros esfuerzos eran más desordenados, pero ahora se han vuelto más sofisticados,” dijo Ted. “Ahora buscamos activamente vulnerabilidades que sean relevantes y compatibles con las capacidades de nuestro software.”
Los coordinadores principales continúan reclutando y capacitando individuos para realizar trabajos de reconocimiento, permitiéndoles contribuir eficazmente a la misión del grupo de desatar el caos contra el estado ruso.
En sus últimos ataques DDoS contra Rusia en diciembre de 2023, el Ejército de TI derribó los servidores de Bitrix24, que es uno de los sistemas CRM más populares en Rusia.
En el canal oficial de Telegram del Ejército de TI, se publicó una declaración el 20 de diciembre afirmando que “esto podría significar decenas o incluso cientos de millones de dólares en pérdidas para la economía del enemigo, dependiendo de cuánto tiempo podamos mantenerlos abajo. ¿Quién más tiene dispositivos inactivos? Es hora de encenderlos.”
Hackers rusos: grupos separados financiados por el gobierno
Ted señaló, “El nivel de defensa cibernética del lado ruso ha aumentado significativamente. Hemos observado una inversión sustancial de las empresas rusas en fortalecer sus defensas, lo que hace más desafiante identificar vulnerabilidades. Sin embargo, considerando el tamaño del país y la multitud de empresas, seguimos adaptando y refinando nuestros enfoques para el ataque. Siempre habrá vulnerabilidades que encontrar.”
No obstante, se ha vuelto más laborioso para el Ejército de TI encontrar vulnerabilidades.
Continuó, “En los últimos meses, nuestro enfoque se ha desplazado a los proveedores de telecomunicaciones e internet. Estos objetivos son inherentemente complicados y generalmente están bien preparados. A pesar de esto, nuestras operaciones han sido notablemente exitosas.”
Una ola de ciberataques recientemente golpeó a los mayores operadores de telecomunicaciones y proveedores de internet en Ucrania ocupada por Rusia, dejando temporalmente a la región sin conexión, mientras los proveedores de Internet rusos reconocían que experimentaron un “nivel sin precedentes de ataques DDoS por parte de grupos de hackers ucranianos.”
Ted agregó, “Si somos capaces de expandir aún más nuestra unidad de reconocimiento y mejorar nuestros servicios de software, podremos evolucionar continuamente nuestros métodos. Esto nos mantendrá un paso adelante de nuestros objetivos.”
El Ejército de TI despliega botnets—redes de computadoras interconectadas—para lanzar ciberataques contra la infraestructura y sitios web rusos. La clave está en averiguar cómo llevar a cabo los ataques para que el objetivo no pueda filtrar bien el tráfico entrante.
Nuestro país estaba bajo invasión; cada ucraniano entendía lo que estaba en juego si no resistíamos.
El Ejército de TI experimentó con cambiar geolocalizaciones y emplear varios dispositivos. Ted enfatizó que la efectividad del ataque al objetivo mejora significativamente si se diversifican las fuentes de tráfico involucradas.
“Observamos intentos por parte de Rusia de movilizar un ejército de TI, sin embargo, sus esfuerzos fallaron en causar un impacto significativo,” señaló Ted.
La razón, sugirió, radica en la falta de una motivación convincente. “Los rusos carecían de un fuerte ‘por qué’. Nuestro país estaba bajo invasión; cada ucraniano entendía lo que estaba en juego si no resistíamos.”
Este sentido de urgencia y deber nacional no ha sido tan prevalente en el lado ruso, donde la motivación parece ser más fragmentada. Sin embargo, Rusia no carece de recursos en el dominio cibernético.
“Rusia tiene numerosos grupos de hackers como Killnet, y muchos de ellos probablemente están financiados por el propio gobierno,” agregó Ted, destacando una diferencia clave en cómo opera el lado ruso.
En lugar de un único Ejército de TI central, Rusia dispone de una variedad más amplia de grupos de hacktivistas, que son impulsados por incentivos financieros y alineados ideológicamente con los intereses del Kremlin. Uno de estos grupos es Killnet, que ha ejecutado ataques de denegación de servicio distribuido (DDoS) y exfiltración de datos dirigidos a entidades occidentales. Anteriormente, sus servicios se ofrecían como un “grupo de DDoS por alquiler”.
La disparidad se extiende más allá de la estrategia hasta el ámbito de la financiación y el apoyo. Los esfuerzos cibernéticos ucranianos se caracterizan por esfuerzos de base y pro bono.
“Aquí, la gente trabaja voluntariamente. No recibimos financiación de ninguna parte,” explicó Ted, enfatizando la naturaleza orgánica de los esfuerzos de defensa cibernética de Ucrania.
Colaborando con el gobierno ucraniano
“Nuestra colaboración con el gobierno es de manera informal,” explicó Ted. “Cuando el gobierno necesita nuestra ayuda, se comunican con nosotros y siempre estamos listos para participar.” Ted elaboró sobre su enfoque de cooperación: “Priorizamos misiones donde nuestra contribución puede ser más impactante. Es esencial tener una misión enfocada para lograr el mayor impacto.”
Sin embargo, cuando se trata de los detalles específicos de sus operaciones, Ted mantuvo una postura discreta. “No estoy en libertad de divulgar los detalles de las misiones que hemos emprendido. Sin embargo, puedo confirmar que hemos trabajado junto con los servicios militares y de inteligencia en la ejecución de ciertas misiones para ayudar en sus operaciones,” declaró.
“En cuanto a la integración de nuestros esfuerzos con el gobierno o el ejército ucraniano, no ha habido un gran impulso para que nos integremos más estrechamente con sus operaciones: el gobierno prefiere que el grupo permanezca independiente por ahora,” dice Ted.
“Siempre que el gobierno necesita nuestra ayuda, se comunican con nosotros”
Oleksiy Borniakov, el Viceministro de Transformación Digital de Ucrania sobre el desarrollo de la industria de TI, señaló en una respuesta por correo electrónico que “El Ejército de TI opera independientemente del gobierno ucraniano, específicamente en términos de toma de decisiones y gestión. El Ministerio de Transformación Digital, que represento, ofrece solo apoyo informativo al Ejército de TI. No influimos en sus decisiones operativas ni nombramos a su gestión. El Ejército de TI es una organización voluntaria por excelencia, funcionando independientemente mientras contribuye significativamente a nuestros esfuerzos nacionales.”
El Servicio de Seguridad de Ucrania (SBU) no respondió a las consultas por correo electrónico sobre la naturaleza de su colaboración con el Ejército de TI de Ucrania.
Las ramificaciones legales
El Ejército de TI opera en un espacio legalmente ambiguo, exacerbado por la naturaleza única de la guerra cibernética. La creación del Ejército de TI ha generado discusiones importantes en torno al papel de la ciberguerra en las operaciones militares reales.
Tradicionalmente, los conflictos cibernéticos a menudo han involucrado a grupos anónimos declarando la guerra contra gobiernos. Sin embargo, esta es la primera instancia de un gobierno reclutando abiertamente a individuos para participar en la ciberguerra, dijo Vasileios Karagiannopoulos, Profesor Asociado en Cibercrimen y Ciberseguridad en la Universidad de Portsmouth. “Estos reclutas no son oficialmente parte del ejército, y sus acciones se asemejan mucho a las de los justicieros.”
Bajo la ley internacional actual, los miembros del Ejército de TI no encajan en la definición tradicional de combatientes. No son una rama oficial de ningún ejército y la preocupación principal es si estos individuos, como civiles, están participando directamente en hostilidades.
Tanto los ciberguerreros ucranianos como los rusos se han comprometido a adherirse a nuevas reglas de enfrentamiento apodadas el “Código de Ginebra de la ciberguerra”.
Participar directamente en hostilidades, como ataques cibernéticos contra objetivos militares, puede llevar a que los civiles sean considerados como combatientes temporales, según Vasileios. Este cambio de est
atus conlleva un riesgo significativo; pierden las protecciones otorgadas a los civiles y pueden convertirse en objetivos legítimos a ojos de los estados enemigos.
En respuesta a estos riesgos, el gobierno ucraniano está considerando legislación para incorporar el Ejército de TI en su Fuerza de Reserva Cibernética.
Este movimiento les otorgaría protección legal como combatientes y potencialmente los protegería de ser procesados por sus acciones durante la guerra, según Vasileios.
“Los miembros internacionales del Ejército de TI podrían evitar la persecución por crímenes en su país si Ucrania establece las reservas cibernéticas,” dice Vasileios. “Esto se debe a que podrían ser considerados parte de la fuerza cibernética ucraniana y participar en un conflicto en su nombre.”
Este estatus también plantea preguntas sobre qué sucede después de la guerra: cómo se reintegrarán estos individuos y si sus acciones durante la guerra tendrán consecuencias legales o diplomáticas duraderas.
Continuar adoptando legislación y marcos en el espacio será importante para aumentar la participación de voluntarios internacionales que deseen unirse a las filas de hackers de Ucrania.
Bryce Case Jr., un ex hacker de sombrero negro, también conocido como YTCracker, dijo que muchos hackers prominentes están interesados en ayudar a la lucha cibernética de Ucrania. Sin embargo, Bryce mencionó que Ucrania debería establecer “una Legión Extranjera de Francia de algún tipo para que pudiéramos hackear bajo la bandera de Ucrania sin temor a ser procesados.”
En respuesta a las posibles críticas legales sobre el Ejército de TI, Ted señaló que “No podemos entender qué tipo de protecciones se les dieron a las personas en Bucha cuando fueron masacradas por los rusos.”
El Ejército de TI cree que es importante seguir redactando legislación sobre su trabajo para lograr una mayor aceptación de la forma de resistencia digital que el grupo proporciona.
Tanto el Ejército de TI de Ucrania como Killnet se han comprometido a adherirse a nuevas reglas de enfrentamiento apodadas “Código de Ginebra de la ciberguerra.“
“Recientemente introdujimos reglas cibernéticas similares a la Cruz Roja, pero hay un truco,” dijo Ted. “Estas reglas están esencialmente adaptadas de las reglas de guerra convencionales y no son exhaustivas cuando se trata de la ciberguerra.”
Ted destacó que las reglas no son suficientemente reflexivas. “Si realizas ciberataques, hay una sensación de protección si los ataques se lanzan desde un país que no sea Ucrania. Es un área legal gris, especialmente en estos tiempos.”
Añadió que “Este es un tiempo de guerra, y esencialmente, es un período de fuera de la ley. En Ucrania, estos ataques aún están fuera de la ley. Sin embargo, hay un entendimiento general de que estamos en un estado de guerra, y este es un tiempo para los fuera de la ley.”
Los legisladores aún no han logrado mantenerse al día con el trabajo del Ejército de TI y actualizar la legislación obsoleta. Sin embargo, Ted dice que el Ejército de TI sigue las reglas tanto como sea posible. Señaló que incluso si hay consecuencias por sus acciones más adelante, los hackers ucranianos siguieron las pautas lo mejor que pudieron en tiempos de guerra.
Este es un tiempo de guerra, y esencialmente, es un período de fuera de la ley.
Sin embargo, seguir las reglas pone a Ucrania en desventaja, cree Ted. En el campo de batalla, si Ucrania sigue las reglas de la ley y el marco internacional para la conducción de la guerra, será recompensada ganando apoyo político adicional del extranjero y recibiendo armamento para equilibrar la desventaja que obtiene el lado opuesto al hacer trampa. Pero, en la ciberguerra, Ted señaló, es un caso diferente.
“En el ciberespacio, si el Ejército de TI sigue las reglas, nuestro enemigo no las seguirá,” dice Ted. Si Ucrania siguiera las reglas, no sería recompensada ni compensada para contrarrestar la ventaja superior que obtiene Rusia. Ted destacó que solo un lado seguirá realmente las reglas y esto hará que el lado bueno sea más débil. Los buenos actores necesitan ser compensados en la ciberguerra.
“¿Qué hacemos si los rusos no respetan el estado de derecho?” preguntó Ted.
¿Un modelo a seguir para otros?
“A medida que miramos hacia el futuro de la guerra, está cada vez más claro que las capacidades cibernéticas no son solo complementarias, sino cruciales para ganar,” dice Ted.
Es importante para países como Taiwán establecer marcos estructurados para sus propios ejércitos de TI para prepararse para la guerra en el futuro en el frente cibernético, según las reflexiones de Ted. La creación de un manual integral para la movilización rápida de una fuerza cibernética ya no es un ejercicio teórico, sino una necesidad práctica.
La guerra tampoco se limita al campo de batalla; se extiende a las áreas económicas, logísticas e infraestructurales. La guerra cibernética ofrece una oportunidad para socavar las capacidades de un adversario en estas áreas, abriendo un nuevo frente en la guerra. Sin embargo, su efectividad depende de la infraestructura digital del objetivo, que se está volviendo cada vez más común en la mayoría de los países del mundo.
“Nuestro análisis estima que el daño económico infligido a Rusia por nuestros ataques cibernéticos asciende aproximadamente a 1-2 mil millones de dólares,” según Ted.
Lo que esto significa es que la guerra cibernética puede operar como una forma de sanción económica, una herramienta para debilitar estratégicamente la economía de un adversario: cuanto más rápido se desplieguen estas capacidades digitales, más inmediato será el impacto en las capacidades de lucha del enemigo.
Ted continúa diciendo que las democracias de todo el mundo deberían unirse y compartir recursos, conocimientos y experiencia para que, las democracias puedan desarrollar un manual compartido para la guerra cibernética, aprovechando la motivación y la resolución colectivas de las naciones amenazadas. Al hacerlo, pueden aprovechar efectivamente el poder de la guerra descentralizada.
El daño económico infligido a Rusia por los ataques cibernéticos del Ejército de TI asciende a aproximadamente 1-2 mil millones de dólares
A medida que avanzamos más en una era digitalizada, el papel del individuo promedio en la guerra continuará creciendo rápidamente, comentó Ted. Con las economías y los servicios esenciales cada vez más entrelazados con el mundo digital, las vulnerabilidades solo aumentarán en número, ofreciendo nuevos vectores de ataque.
Lo que el Ejército de TI de Ucrania ha demostrado es que la guerra cibernética no es solo una expansión del campo de batalla. Ted cree que ha transformado la naturaleza misma de la guerra, donde cualquier individuo puede tener un papel que desempeñar. Ucrania ha demostrado con éxito la efectividad de un ejército de hackers voluntarios descentralizado, sirviendo como un modelo pionero para que las futuras democracias emulen en las inminentes guerras cibernéticas del futuro.
Relacionado:
- Medios: Hackers ucranianos dejan parte de Moscú sin acceso a Internet
- Ataque cibernético de hackers ucranianos al sistema de gestión empresarial más grande resulta en pérdidas millonarias para Rusia
- Hackers ucranianos atacan la principal empresa de suministro de agua de Rusia
- Hackers ucranianos acceden al correo electrónico de un oficial de inteligencia de alto rango ruso