Por: Clint Watts, director general del Centro de Análisis de Amenazas de Microsoft
Desde julio de 2023, actores influyentes alineados con Rusia han engañado a celebridades para que proporcionen mensajes de video que luego se utilizaron en propaganda prorrusa. Estos videos fueron manipulados para pintar falsamente al presidente ucraniano Volodymyr Zelensky como un adicto a las drogas. Esta es una de las reflexiones del último informe semestral sobre las amenazas digitales rusas del Centro de Análisis de Amenazas de Microsoft: «Los actores de amenazas rusos se atrincheran, se preparan para aprovechar la fatiga de la guerra»
Como se describe con más detalle en el informe, esta campaña se alinea con los esfuerzos estratégicos más amplios del gobierno ruso durante el período de marzo a octubre de 2023, a través de operaciones cibernéticas y de influencia (IO, por sus siglas en inglés), para detener los avances militares ucranianos y disminuir el apoyo a Kiev.
Los mensajes de video de celebridades estadounidenses se utilizan en la propaganda rusa
Parece que a los actores estadounidenses y a otras personas se les pidió, tal vez a través de plataformas de mensajes de video como Cameo, que enviaran un mensaje a alguien llamado «Vladimir», suplicándole que buscara ayuda para el abuso de sustancias. Luego, los videos se modificaron para incluir emojis, enlaces y, a veces, los logotipos de los medios de comunicación y circularon a través de los canales de las redes sociales para promover afirmaciones rusas falsas de larga data de que el líder ucraniano lucha contra el abuso de sustancias. El Centro de Análisis de Amenazas de Microsoft ha observado siete vídeos de este tipo desde finales de julio de 2023, en los que aparecen personalidades como Priscilla Presley, el músico Shavo Odadjian y los actores Elijah Wood, Dean Norris, Kate Flannery y John McGinley.
La muerte de Prigozhin no ha frenado las operaciones de influencia de Rusia
La muerte en agosto de 2023 del empresario ruso Yevgeny Prigozhin, propietario del Grupo Wagner y de la infame granja de trolls de la Agencia de Investigación de Internet, llevó a muchos a cuestionar el futuro de la influencia y las capacidades propagandísticas de Rusia. Sin embargo, desde entonces, Microsoft ha observado operaciones de influencia generalizadas por parte de actores rusos que no están vinculados a Prigozhin, lo que indica que Rusia tiene la capacidad de continuar con las prolíficas y sofisticadas operaciones de influencia maligna sin él.
El enfoque estacional de Rusia cambió para degradar la agricultura ucraniana
Al igual que el invierno pasado Rusia se centró en crear una crisis energética y atacar el sector energético de Ucrania, este verano se produjo una convergencia de ataques cinéticos, cibernéticos y propagandísticos rusos contra el sector agrícola de Ucrania. Durante los meses más cálidos de cultivo y cosecha, Rusia penetró en los agronegocios, robó datos, desplegó malware y utilizó ataques militares para destruir granos que, según se informa, podrían haber alimentado a un millón de personas durante un año. [1] El informe de Microsoft muestra una fuerte alineación entre sus esfuerzos militares, de propaganda y de ciberataques. Por ejemplo, en un período de cuatro días a finales de julio de 2023, tras la retirada de Moscú de la Iniciativa de Cereales del Mar Negro, Rusia:
- Atacó instalaciones agrícolas en Odessa con 10 misiles de crucero
- Lanzó un ciberataque contra una organización ucraniana de equipos agrícolas
- Difundió narrativas falsas en los medios de comunicación prorrusos que afirmaban, por ejemplo, que Ucrania, Estados Unidos y la OTAN abusaban del corredor de cereales con fines terroristas y no con ayuda humanitaria.
Queda por ver si este invierno Rusia volverá a centrarse estacionalmente en el sector energético ucraniano. Sin embargo, en septiembre de 2023, el Equipo de Respuesta a Emergencias Informáticas del Gobierno de Ucrania anunció que las redes energéticas ucranianas estaban bajo una amenaza sostenida y Microsoft Threat Intelligence ha observado artefactos de actividad de amenazas de la Inteligencia Militar Rusa (GRU) en las redes del sector energético ucraniano desde agosto hasta octubre de 2023.
El ciberespionaje ruso dio prioridad a las investigaciones de crímenes de guerra, los organismos gubernamentales y los grupos de expertos
Las autoridades rusas no solo han sido acusadas de crímenes de guerra, sino que han dirigido recursos cibernéticos para atacar a los investigadores criminales y fiscales que construyen casos en su contra. Existe una creciente tensión entre Moscú y organizaciones como la Corte Penal Internacional (CPI), que emitió una orden de arresto contra el presidente ruso Vladimir Putin por cargos de crímenes de guerra en marzo de 2023. Actores vinculados al ejército ruso y a la inteligencia extranjera violaron las redes legales y de investigación ucranianas y un bufete de abogados que trabajaba en investigaciones de crímenes de guerra como parte de un esfuerzo más amplio que se dirigió a organizaciones diplomáticas, de defensa, de políticas públicas y de TI globales. Uno de esos actores de amenazas, alineado con el Servicio de Inteligencia Exterior de Rusia (SVR) y al que llamamos Midnight Blizzard, ha buscado el acceso a más de 240 organizaciones desde marzo de 2023, principalmente en los EE. UU., Canadá y países europeos. Casi el 40% de las organizaciones objetivo eran gobiernos, organizaciones intergubernamentales o think tanks centrados en políticas.
Rusia trasladó los mensajes antiucranianos a EE.UU. e Israel
El sofisticado actor de influencia afiliado a Rusia Storm-1099 (más conocido por una operación de falsificación de sitios web a gran escala apodada «Doppelganger» por el grupo de investigación EU DisinfoLab) ha estado atacando a los partidarios internacionales de Ucrania desde la primavera de 2022. El grupo crea medios de comunicación únicos y de marca, como Reliable News Network (RNN), y realiza demostraciones sobre el terreno, tendiendo un puente entre los mundos digital y físico a través de la amplificación de estos eventos. A pesar de los esfuerzos de las empresas de tecnología y las entidades de investigación para informar y mitigar su alcance, Storm-1099 permanece completamente activa. A nivel histórico, se ha dirigido a los países de Europa Occidental, en especial a Alemania, pero ahora ha cambiado el enfoque hacia Israel y Estados Unidos, lo que refleja una mayor priorización del contenido sobre la guerra entre Israel y Hamas, los temas políticos de Estados Unidos y las elecciones presidenciales de Estados Unidos de 2024. Los activos de Storm-1099 impulsaron la falsa afirmación de que Hamas adquirió armas ucranianas en el mercado negro para su ataque del 7 de octubre contra Israel. En otros lugares, los medios de comunicación afiliados a Rusia impulsaron la falsa narrativa de que los reclutas extranjeros, incluidos los estadounidenses, fueron transferidos desde Ucrania para unirse a las fuerzas de las FDI en Gaza.
A finales de octubre de 2023, las autoridades francesas sospecharon que cuatro ciudadanos moldavos pintaron grafitis de la Estrella de David en espacios públicos de París, cuyas imágenes fueron luego amplificadas por los activos de Storm-1099. Según los informes, dos de los moldavos afirmaron que estaban dirigidos por una persona de habla rusa, lo que sugiere una posible responsabilidad rusa en el incidente, que se alinea fuertemente con el libro de jugadas de Medidas Activas de Rusia. Es probable que Rusia evalúe que el actual conflicto entre Israel y Hamás es una ventaja geopolítica, ya que cree que el conflicto distrae a Occidente de la guerra en Ucrania.
La infraestructura militar y los socios de defensa ucranianos se mantienen como objetivos clave
Desde que las fuerzas rusas lanzaron su ofensiva de primavera de 2023 en Ucrania, los ciberactores afiliados a la inteligencia rusa han concentrado sus esfuerzos en la recopilación de inteligencia de las comunicaciones ucranianas y la infraestructura militar en zonas de combate, y de los socios de Ucrania. Un actor, al que llamamos Forest Blizzard, intentó obtener acceso inicial a las organizaciones de defensa a través de mensajes de phishing que incorporaban técnicas novedosas y evasivas. Por ejemplo, en agosto, Forest Blizzard envió un correo electrónico de phishing a los titulares de cuentas de una organización de defensa europea.
Hacia el futuro
El jefe militar de Ucrania ha sugerido que la guerra con Rusia ha pasado a una nueva etapa de guerra de trincheras estática, lo que prolonga aún más el conflicto. Los operadores cibernéticos y de influencia rusos tendrán como objetivo desmoralizar a la población ucraniana y degradar las fuentes externas de asistencia militar y financiera de Kiev, junto con posibles ataques invernales contra el sector energético de Ucrania.
En otros lugares, las elecciones presidenciales de Estados Unidos de 2024 y otras contiendas políticas importantes brindan a los actores de influencia maligna la oportunidad de degradar el apoyo a los candidatos políticos que apoyan a Ucrania. Hasta la fecha, los actores de amenazas y propagandistas rusos no han demostrado capacidades sofisticadas que aprovechen o integren herramientas de inteligencia artificial (IA) en operaciones de influencia. Sin embargo, Microsoft continúa monitoreando de cerca esta área.
Microsoft trabaja en varios frentes para proteger a nuestros clientes en Ucrania y en todo el mundo de estas amenazas multifacéticas. Con nuestra Iniciativa de Futuro Seguro, integramos avances en ciberdefensa impulsada por IA e ingeniería de software seguro, con esfuerzos para fortalecer las normas internacionales para proteger a los civiles de las amenazas cibernéticas. En el ámbito electoral, desplegamos recursos a través de un conjunto básico de principios para salvaguardar a los votantes, candidatos, campañas y autoridades electorales en todo el mundo, a medida que más de dos mil millones de personas se preparan para participar en el proceso democrático durante el próximo año.
[1] https://www.gov.uk/government/news/new-intelligence-shows-russias-targeting-of-a-cargo-ship