La campaña de sabotaje de Rusia se vuelve más audaz

Los ataques contra plantas energéticas polacas sugieren la participación del FSB

The Economist

En los últimos años, Polonia se ha acostumbrado a las provocaciones relacionadas con Rusia: sabotajes ferroviarios, planes incendiarios e incursiones con drones. Los últimos disparos de esta llamada guerra híbrida se produjeron el 29 de diciembre, cuando ciberataques afectaron a 30 instalaciones energéticas, casi provocando un apagón general justo cuando las temperaturas se desplomaban. Marcaron una grave escalada de la subversión digital rusa en Europa, más allá de Ucrania.

Las intrusiones de diciembre se dirigieron a instalaciones de cogeneración, así como a sistemas que gestionan la distribución de energía de centrales eólicas y solares, según Dragos, una empresa de ciberseguridad. Polonia obtiene el 29% de su energía de fuentes renovables. Los intrusos se hicieron con el control de la tecnología operativa (la interfaz entre una red informática y un sistema físico) y dañaron algunos equipos irreparablemente. El ataque fue detenido antes de que pudiera causar un corte de energía que podría haber afectado a casi medio millón de personas.

El incidente es notable por dos razones. Una es que marca una intensificación de la campaña cibernética rusa en Europa. Los hackers rusos llevan mucho tiempo vulnerando las redes informáticas europeas para robar secretos y sondear la infraestructura en busca de indicios de debilidad. Han ido mucho más allá en Ucrania, llevando a cabo audaces ataques contra la red eléctrica en 2015 y 2016. Pero más allá de Ucrania, han actuado con mayor cautela.

Esto está cambiando. En 2023, hackers vinculados a Rusia enviaron comandos a puntos de señalización ferroviaria en el noroeste de Polonia, provocando la parada de 20 trenes. Al año siguiente, repitieron el mismo intento contra los sistemas de señalización checos. En ambos casos, los objetivos se encontraban en rutas por las que se envía ayuda a Ucrania. Pero la campaña rusa se ha ampliado desde entonces para incluir objetivos civiles sin vínculo directo con la guerra. En 2024, hackers interrumpieron un pequeño molino de agua privado francés, posiblemente confundiéndolo con una presa mucho mayor. Y el año pasado atacaron una presa en el suroeste de Noruega, provocando un flujo de agua incontrolado durante cuatro horas.

El ataque polaco también marca un cambio en un segundo aspecto. Es probable que incidentes de sabotaje anteriores fueran perpetrados por Sandworm, nombre que los investigadores de ciberseguridad han dado a una unidad del GRU, la agencia de inteligencia militar rusa, o por grupos “hacktivistas” que sirven de fachada a la agencia. El GRU tiene desde hace tiempo la reputación de ser un ciberactor ruidoso, agresivo y torpe, que prioriza el caos sobre el sigilo. Por ello, inicialmente se creyó que los ataques polacos eran obra suya.

Se ven postes eléctricos cerca de la central eléctrica de Belchatow, la mayor central eléctrica de carbón de Europa alimentada por lignito, operada por la empresa de servicios públicos polaca PGE, en Kleszczow, Polonia. REUTERS/Kacper Pempel

Sin embargo, según funcionarios polacos y especialistas en ciberseguridad, los autores probablemente eran hackers del FSB, el servicio de seguridad estatal ruso. Esta unidad a veces se conoce como “Berserk Bear” en la pintoresca terminología de las empresas de ciberamenazas. Las operaciones cibernéticas del FSB, principalmente dedicadas al espionaje, han sido históricamente lentas, silenciosas y cautelosas. “Nunca mostraron la intención real de interrumpir, solo esperar la orden”, afirma John Hultquist, analista jefe del Grupo de Inteligencia de Amenazas de Google. “Esta es la primera vez que hacen eso en 12 años de excavaciones”.

Esto plantea interrogantes sobre la presencia de Rusia en la infraestructura europea en otros lugares. Los hackers de Berserk Bear “desaparecen con regularidad y, por lo general, cuando regresan, se han reorganizado”, afirma Hultquist. “No podríamos haberlos encontrado en todos los lugares a los que se dirigían. Me preocupa ahora que tengamos un actor con un historial de infiltración en infraestructuras críticas en todo el mundo, y es casi seguro que tiene algún acceso que desconocemos”. Advierte que los Juegos Olímpicos de Invierno en Italia podrían ser un objetivo: Rusia ha sido excluida del evento y ya atacó los Juegos de Pyeongchang en 2018 y los de París en 2024. El 5 de febrero, al comenzar los juegos, Italia declaró haber bloqueado los ataques rusos a sitios web vinculados a los juegos.

La central eléctrica de Polaniec, operada por la empresa eléctrica polaca ENEA, en Zawada, Polonia. REUTERS/Kacper Pempel

Además del cibersabotaje, se están produciendo muchos ataques físicos habituales. El 3 de febrero, la policía alemana arrestó a dos hombres, de Rumania y Grecia, sospechosos de sabotear buques de guerra en Hamburgo el año pasado, incluyendo la perforación de tuberías de agua y el vertido de grava en un motor. Alemania aún no ha acusado a Rusia. Pero es probable que la situación empeore, afirma Chelsea Cederbaum, exanalista de la CIA que trabaja en Recorded Future, una firma de inteligencia. Cederbaum afirma que Vladimir Putin, presidente de Rusia, ve una oportunidad para aumentar la presión mientras Estados Unidos y Europa están divididos, especialmente por Groenlandia, y antes de las elecciones presidenciales estadounidenses de 2028, que podrían dar el poder a un presidente menos rusófilo. “He visto cómo la tolerancia al riesgo de Putin se ha disparado”, afirma.