A finales de mayo analizamos una amenaza conocida como VPNFilter y que se creía responsable de la infección de más de 500.000 routers en, al menos, 54 países, con especial énfasis en Ucrania. En ese momento no estaba clara la funcionalidad de esta botnet, aunque las investigaciones realizadas demostraron que el malware era capaz de muchas cosas, como realizar ciberataques a objetivos específicos.
Según ha indicado recientemente el Servicio de Seguridad de Ucrania, parece que ya se habría producido un ataque usando esta amenaza.
Una planta de destilación de cloro como objetivo
En la nota de prensa publicada se indica cómo se consiguió evitar que unos atacantes consiguieran comprometer la seguridad de la planta de destilación de cloro. Esta planta está considerada como infraestructura crítica por las autoridades del país, y de haber tenido éxito el ataque, este hubiera podido ocasionar problemas en los procesos habituales de la planta o incluso provocar un incidente mayor.
Los especialistas de seguridad del gobierno ucraniano aseguran que, durante unos minutos, el sistema de control de procesos tecnológicos y el sistema de detección de señales de situaciones de emergencia en empresas fueron afectados por el malware VPN Filter. Según las investigaciones realizadas, la finalidad de este ataque era bloquear el funcionamiento de esta estación encargada de proporcionar cloro para potabilizar el agua que se distribuye en parte del territorio ucraniano.
De haber tenido éxito este ataque, se podría haber modificado la concentración de cloro en el agua distribuida, afectando tanto al consumo doméstico como al sector industrial. No obstante, tan solo se ha mencionado una estación de destilación de cloro como objetivo, por lo que en el caso de que los atacantes hubiesen logrado su objetivo, el alcance del ataque habría sido limitado.
Atribución del ataque
Como siempre que pasa una situación similar en Ucrania, la mayoría de dedos apuntan inmediatamente hacia Rusia. La tensa situación que existe entre los dos países desde hace años provoca que el gobierno ucraniano no dude ni un instante en culpar a sus vecinos rusos ante cualquier indicio de ciberataque.
Los indicios apuntan a que el ataque se produjo desde Rusia, e incluso especialistas del Servicio Secreto de Ucrania afirman tener pruebas en las que las agencias de inteligencias rusas manifiestan su interés de realizar ciberataques a entidades del sector público y privado de Ucrania utilizando el malware VPNFilter.
Sin embargo, este tipo de atribuciones se han de tomar siempre con pinzas, ya que no sería especialmente difícil que atacantes sin relación alguna con el gobierno ruso hicieran pasar este incidente como algo provocado por las tensiones existentes entre ambos países.
Conclusión
Mientras esperamos conocer más detalles acerca de este ciberataque, es importante que tomemos con cautela toda la información que nos llega desde Ucrania y otras fuentes. Actualmente, algunos países están pensando en considerar como una agresión que podría justificar una respuesta (convencional o ciber) este tipo de incidentes. Esto nos pone a todos en un punto peligroso, puesto que un tercero podría provocar una escalada de tensión entre dos o más países con tan solo camuflar sus ciberataques para hacer creer a todos que se ha originado en otra parte.