Ciberespías Rusos Elevan su Juego: Sofisticados Ataques de Phishing Apuntan a la Sociedad Civil en EE. UU., Europa y Rusia

Un reciente informe ha revelado ataques de phishing cada vez más sofisticados que se originan en la agencia de seguridad estatal de Rusia. Estos ataques, dirigidos a miembros de la sociedad civil en EE. UU., Europa y Rusia, han alcanzado niveles de complejidad sin precedentes, en ocasiones incluso suplantando la identidad de personas cercanas a los objetivos.

La investigación, llevada a cabo conjuntamente por el Citizen Lab de la Universidad de Toronto y Access Now, arroja luz sobre los complejos métodos empleados por los hackers patrocinados por el Estado ruso. Esta revelación se produce mientras el FBI investiga por separado presuntos intentos de hacking iraníes contra un asesor de Donald Trump y miembros del equipo de campaña de Harris-Walz.

Si bien las campañas de hacking patrocinadas por el Estado con el objetivo de influir en procesos políticos no son nuevas—como lo demuestran los ciberataques vinculados a Rusia contra la campaña de Hillary Clinton en 2016—los investigadores afirman que los últimos esfuerzos rusos demuestran un avance significativo tanto en estrategias de ingeniería social como en sofisticación técnica.

Entre los objetivos de alto perfil de estos recientes ataques se encuentran Steven Pifer, ex embajador de EE. UU. en Ucrania, y Polina Machold, una editora rusa exiliada cuya organización de noticias, Proekt Media, ha llevado a cabo investigaciones notables sobre el presidente ruso, Vladimir Putin, y el líder checheno Ramzan Kadyrov.

En el caso de Pifer, el ataque se inició a través de lo que los investigadores describieron como un intercambio "altamente creíble" que involucró a un impostor haciéndose pasar por otro ex embajador de EE. UU. conocido por Pifer. La experiencia de Machold fue igualmente astuta. La editora, que se trasladó a Alemania tras ser expulsada de Rusia en 2021, fue contactada por correo electrónico por un supuesto conocido profesional. El intercambio, que comenzó de manera inocua, eventualmente condujo a un sofisticado intento de phishing utilizando Proton Mail, un servicio de correo electrónico seguro preferido por periodistas.

Machold relató el incidente: "No había visto nada como esto antes. Sabían que tenía contactos con esta persona. No tenía idea, a pesar de que me considero muy alerta", afirmó, y añadió: "Está claro que cualquiera relacionado con la oposición rusa podría ser un objetivo. Necesitan tanta información como puedan obtener."

Los investigadores identificaron dos principales actores detrás de estas campañas: Coldriver, atribuido al Servicio Federal de Seguridad (FSB) de Rusia por múltiples gobiernos, y Coldwastrel, que demostró patrones de ataque similares e intereses alineados con los objetivos rusos.

Natalia Krapiva, asesora legal senior en tecnología de Access Now, subrayó la gravedad de la situación: "Esta investigación muestra que los medios independientes rusos y los grupos de derechos humanos en el exilio enfrentan el mismo tipo de ataques avanzados de phishing que apuntan a funcionarios actuales y anteriores de EE. UU. Sin embargo, tienen muchos menos recursos para protegerse, y los riesgos de compromiso son mucho más graves."

La mayoría de los objetivos que cooperaron con los investigadores optaron por permanecer en el anonimato por razones de seguridad. Sin embargo, fueron descritos como figuras prominentes de la oposición rusa en el exilio, personal de ONG en EE. UU. y Europa, financiadores y organizaciones de medios. Un hilo común entre la mayoría de los objetivos era su "amplia red de contactos entre comunidades sensibles."

El modus operandi de estos ataques generalmente implica que el actor de la amenaza inicie un intercambio de correos electrónicos con el objetivo mientras se hace pasar por un contacto conocido. El atacante luego solicita al objetivo que revise un documento, a menudo un PDF supuestamente cifrado usando un servicio enfocado en la privacidad como Proton Drive. La página de inicio de sesión incluso puede estar prellenada con la dirección de correo electrónico del objetivo para aumentar la credibilidad. Si el objetivo ingresa su contraseña y un código de dos factores, el atacante obtiene acceso a información crucial, comprometiendo potencialmente la cuenta de correo electrónico del objetivo.

Rebekah Brown, investigadora senior en el Citizen Lab, advirtió sobre las consecuencias inmediatas de tales violaciones: "Tan pronto como estos atacantes obtienen credenciales, creemos que trabajarán de inmediato para acceder a cuentas de correo electrónico y cualquier almacenamiento en línea, como Google Drive, para extraer la mayor cantidad de información sensible posible. Hay riesgos inmediatos para la vida y la seguridad, especialmente si la información sobre personas que aún están en Rusia se encuentra en esas cuentas."

Este informe sirve como un recordatorio contundente de la guerra cibernética en curso que se libra en las sombras de la política global. A medida que los hackers patrocinados por el Estado continúan refinando sus técnicas, la necesidad de medidas de ciberseguridad robustas y una mayor conciencia entre los posibles objetivos nunca ha sido más crítica. Las implicaciones de estos sofisticados ataques van más allá de compromisos individuales, pudiendo influir en dinámicas geopolíticas y amenazar la seguridad de individuos y organizaciones vulnerables en todo el mundo.

A medida que el panorama cibernético continúa evolucionando, está claro que la batalla contra el hacking patrocinado por el Estado requerirá vigilancia constante, medidas de seguridad innovadoras y cooperación internacional para salvaguardar la integridad de la sociedad civil y las instituciones democráticas.