Descifrando el ciberataque en los principales aeropuertos europeos: ¿Quién podría estar detrás del incidente y cuál fue el objetivo?

El reciente ciberataque a aeropuertos clave en Europa es otro capítulo en una serie de ataques a la infraestructura económica crítica a nivel mundial. Como ningún actor se ha presentado para reclamar el ataque, se están haciendo especulaciones sobre lo que sucedió y cómo. En este post, tratamos de desenmascarar al actor de amenaza detrás de este ataque con evidencias.  

Para comenzar, este ataque de ransomware estuvo gestándose durante casi 4 años. Desde 2021, los principales aeropuertos europeos estaban siendo reconocidos digitalmente por muchos actores de amenaza, algunos de los cuales tenían vínculos con grupos respaldados por el estado enfocados en paralizar infraestructura crítica. El alto volumen de ataques de sondeo llevó a los hackers a recopilar gran cantidad de datos para perfilar digitalmente los aeropuertos en toda la región, y es aquí donde realmente comenzaron estos ataques.

¿Entonces, cómo comenzó todo?

Para llegar al fondo de estos ataques, uno necesita entender los siguientes factores en detalle:

· Cronología de los ataques en los 4 principales aeropuertos europeos

· Elección de los objetivos

· Los eventos de los últimos cuatro años que culminaron en estos ataques y

· Por qué ningún actor ha reclamado estar detrás del incidente

· Elección del ransomware

Ahora examinemos cada uno de estos factores en detalle por separado y luego unamos las piezas.

El momento

Este ataque ocurrió justo hacia el final de Zapad-2025, una serie de ejercicios militares realizados por Rusia y Bielorrusia en el campo de entrenamiento de Borisov en Bielorrusia. Según Rusia, los ejercicios se realizaron como una “respuesta de defensa a una supuesta invasión occidental”. Rusia está realizando abiertamente estos ejercicios y luego, hace apenas una semana, los drones rusos violaron el espacio aéreo de la OTAN en Polonia.

Estos dos desarrollos no fueron eventos aleatorios aislados. En cambio, el evidente esfuerzo por sondear el espacio aéreo de la OTAN y estos ciberataques podrían ser parte de un guion maestro conectado a los ejercicios Zapad-2025 llevados a cabo por Rusia en Bielorrusia la semana pasada. El momento es demasiado evidente para ser ignorado. 

La elección de objetivos

Bruselas, Berlín y Heathrow se encuentran entre los aeropuertos más concurridos de Europa. Además, están estratégicamente ubicados en Europa y son importantes desde el punto de vista de la movilidad, la economía y el impacto. Cualquier ataque a estos aeropuertos naturalmente tendría un efecto en cascada en otros aeropuertos de la región.

Además, los tres países que albergan estos aeropuertos son hogar de una presencia militar estadounidense significativa en la región. Está la guarnición del Ejército de los EE.UU. (USAG) Benelux con base en Bélgica y el Reino Unido alberga a casi 10,000 miembros del personal militar estadounidense, empleados civiles y familiares, la mayoría de los cuales están estacionados en bases como  RAF Lakenheath, RAF Croughton, RAF Welford, RAF Fairford, RAF Feltwell, RAF Upwood, RAF Barford St John, RAF Blenheim Crescent, RAF Fylingdales, RAF Menwith Hill, RAF Mildenhall, RAF Alconbury y RAF Molesworth.

Por último, Alemania alberga casi 40 instalaciones del Ejército de EE. UU. cubriendo tanto como 5 de las 7 guarniciones que EE.UU. ha desplegado en Europa. Polonia también tiene una significativa presencia militar estadounidense, pero como hemos visto anteriormente, el espacio aéreo de Polonia ya fue violado hace una semana.

Visual: Bases de EE.UU. en la UE

Los eventos de los últimos 4 años

Los investigadores de Shieldworkz han estado informando constantemente sobre el aumento de ataques de reconocimiento en infraestructura crítica de la región. Los aeropuertos en Europa han sido objeto de una vigilancia digital mejorada desde 2021. Esto se ha mencionado en la última edición de nuestro informe de análisis del panorama de amenazas.

Los principales aeropuertos de la región también fueron atacados durante los días pico del Covid. Dicho incremento en la actividad, que no tiene paralelos sectoriales en el mundo, indica un interés a largo plazo de los actores de amenaza en elementos específicos de la infraestructura crítica.

Había una razón detrás de que estos aeropuertos fueran monitoreados por actores de amenaza rusos liderados por APT29, un actor de amenaza afiliado concluyentemente al Servicio de Inteligencia Exterior de Rusia (SVR). 

¿Por qué ningún actor de amenaza ha reivindicado el ataque aún?

Hasta el lunes por la mañana, ningún actor ha reclamado estar detrás del incidente. De hecho, hay un absoluto silencio en el ciberespacio con conversaciones discretas en Telegramas. Pero ningún grupo ha dado un paso adelante y ha asumido la responsabilidad de estos ataques todavía. Un ataque de esta magnitud podría haber atraído mucha atención y publicidad a cualquier grupo, y si fuera un ataque rutinario, el actor de amenaza detrás de él habría hablado inmediatamente para ganar titulares.

Podrá recordar que en el pasado reciente, grupos como Scattered Spider (también conocido como Sp1d3rhunters), [el grupo sombrío detrás del incidente cibernético de Jaguar Land Rover] se han presentado y se han atribuido ciberataques dentro de pocas horas, si no antes. Dichos grupos suelen estar motivados por cualquier tipo de publicidad y a menudo acogen cualquier oportunidad de reclamar las secuelas de cualquier ataque planificado, influenciado o ejecutado por ellos. Este no ha sido el caso aquí y la falta de una declaración ofrece la pista más significativa hasta ahora sobre la naturaleza del grupo detrás de este ciberataque.

El actor de amenaza detrás de los ciberataques a los aeropuertos europeos no busca publicidad, lo que significa que no es un grupo independiente, sino que en cambio tienen alguna forma de afiliación estatal. Querían transmitir un mensaje de manera discreta.

La variedad de ransomware utilizada en el ataque también parece ser única y dirigida. Parece haber sido diseñada para ocultar su propósito original, como suele ocurrir con el ransomware que debe su origen a un grupo APT. La parte del rescate es solo una cubierta para ocultar un propósito más siniestro mientras envía un mensaje geopolítico inequívoco.

Poniendo las piezas juntas

Cuando uno suma las evidencias dispersas, la conclusión se vuelve tan clara como la luz del día en verano. Este es un ataque a infraestructura crítica llevado a cabo por un actor respaldado por un estado. Por ahora, todos los dedos apuntan a una posible implicación de un APT ruso. El hecho de que estos ataques hayan sucedido dentro de 7-10 días de violaciones del espacio aéreo y ejercicios militares regionales, junto con la falta de reivindicación por parte de cualquier actor de amenaza y la sofisticación del ataque, son todos indicadores que respaldan esta afirmación.

Contrasta esto con el ciberataque a Jaguar Land Rover donde Scattered Spider (también conocido como Sp1d3rhunters) hizo una declaración dentro de las 48 horas posteriores al descubrimiento del ataque.

No importa cómo se mire el ataque, es hora de aumentar las defensas para mejorar la seguridad y poner fuera del alcance de los actores de amenaza activos críticos y redes.

Hable con nuestros expertos en inteligencia de amenazas cibernéticas para una sesión informativa personalizada.

Aquí hay un poco sobre nuestras capacidades de respuesta a incidentes.