Mientras las familias en Francia se preparaban para la temporada navideña de 2025, un tipo diferente de "paquete" fue entregado en la sede de La Poste. Apenas unos días antes de Navidad, el 22 de diciembre, el gigante nacional de correos y banca fue golpeado por un ciberataque masivo. Este ataque hizo mucho más que simplemente caer un sitio web. En realidad, aprovechó la ventana de logística más ocupada del año para algún tipo de ganancia geopolítica.

El 22 de diciembre, el sitio web de la organización subió un breve mensaje que comienza "Notre site est indisponible" o nuestro sitio no está disponible. Agregó que los equipos de La Poste están haciendo todo lo posible para resolver la situación rápidamente.

Además, en su página de Facebook, La Poste publicó otro aviso que decía "Un incidente de red importante está actualmente interrumpiendo todos nuestros sistemas de información."

El aviso indicó que el sitio laposte.fr está fuera de servicio en este momento, al igual que el servicio de almacenamiento seguro de documentos Digiposte, el servicio de identidad digital de La Poste, y la aplicación de La Poste.

El aviso también advirtió que algunas oficinas de correos podrían experimentar algún nivel de servicio degradado. Sin embargo, indicó que las transacciones al mostrador siguen siendo posibles.

La Poste también opera un banco, Banque Postale, que está experimentando problemas.

El grupo hacktivista pro-ruso NoName057(16) que reclamó el ataque es un conocido actor de amenazas que ha estado atacando activos cibernéticos de la OTAN y Ucrania. El momento del ataque y la elección de La Poste ofrecen muchas pistas sobre las motivaciones detrás del ataque y el momento no es casual. En su lugar, busca servir como un recordatorio de fin de año del valor de molestia que poseen tales grupos respaldados por estados. 

En la publicación de blog de hoy, echamos un vistazo al ataque, los sospechosos, y lo que esto significa para el futuro de la guerra híbrida.

Pero antes de avanzar, no olvides revisar nuestro blog anterior sobre "Lo que sabemos sobre la violación de Nissan-Red Hat" aquí.

Vamos a sumergirnos.

La arma elegida

El ataque ha sido identificado por los investigadores de Shieldworkz como un ataque de Denegación de Servicio Distribuido (DDoS). A diferencia de un ataque de ransomware que roba datos por una tarifa, un ataque DDoS está diseñado para abrumar un sistema con puro volumen. Este modo suele ser preferido por grupos hacktivistas que desean dejar un mensaje sin pedir rescate o entrar en cualquier forma de negociación con los delincuentes detrás de un ciberataque. A veces, dichos ataques también se utilizan para:

·       Probar las defensas de una organización

·       Identificar posibles ventanas para la exfiltración de datos

·       Verificar las competencias de los empleados

·       Evaluar las capacidades de respuesta a incidentes de una organización

Todo esto se hace para crear bases para ataques más precisos y dirigidos en el futuro.

En cuanto a lo que sucedió el 22 de diciembre, al inundar los servidores DNS (Sistema de Nombres de Dominio) de La Poste con tráfico ilegítimo, los hackers efectivamente "cerraron la puerta principal" a los servicios digitales de la empresa.

• El impacto: Aunque las cartas físicas no se vieron afectadas desde el punto de entrega, el cerebro digital que maneja las operaciones quedó efectivamente paralizado.

• Las bajas: El rastreo de paquetes se desconectó, la aplicación La Banque Postale (que al momento de escribir este artículo estaba sirviendo a casi 11 millones de personas) quedó en silencio, y la bóveda de documentos Digiposte se volvió inaccesible.

El culpable: NoName057(16)

El grupo hacktivista pro-ruso NoName057(16) ya ha asumido la responsabilidad del incidente. Este grupo se ha convertido en una espina persistente en el costado de las naciones de la OTAN y sus aliados. Emergió poco después de la invasión de Ucrania en 2022, y se especializan en "propaganda a través de la disrupción."

Al atacar La Poste, el grupo no solo busca datos; también busca visibilidad y atención dentro de Rusia y fuera. Su objetivo es crear un sentido de inseguridad digital en las sociedades occidentales, castigando a Francia por su apoyo militar y político continuo a Ucrania.

Se debe recordar que entre el 14 y el 17 de julio, se lanzó una operación internacional conjunta, conocida como Operación Eastwood y coordinada por Europol y Eurojust para atacar la red de ciberdelincuencia asociada con NoName057(16). Las autoridades de aplicación de la ley y judiciales de Chequia, Francia, Finlandia, Alemania, Italia, Lituania, Polonia, España, Suecia, Suiza, los Países Bajos y los Estados Unidos tomaron acciones simultáneas en varias jurisdicciones contra ciberdelincuentes e infraestructura perteneciente a la red de ciberdelincuencia pro-rusa. La investigación también fue apoyada por ENISA, así como por naciones como Bélgica, Canadá, Estonia, Dinamarca, Letonia, Rumania y Ucrania. Las partes privadas ShadowServer y abuse.ch también asistieron proporcionando apoyo en la parte técnica de la operación.

Esta campaña llevó a la interrupción de una infraestructura de ataque puesta en marcha por el grupo. Esto incluyó más de cien sistemas informáticos y redes en todo el mundo. Una parte importante de la infraestructura central de servidores del grupo se desconectó. Más allá del esfuerzo, Alemania emitió seis órdenes de arresto para los delincuentes que viven en territorio ruso. Se acusó a dos de estas personas de ser los principales instigadores responsables de las actividades de "NoName057(16)". Estas personas podrían haber sido los manipuladores de los hacktivistas reales o coordinadores. De cualquier manera, eran los proverbialmente peces gordos.   

En total, las autoridades nacionales emitieron siete órdenes de arresto en julio, que se dirigieron, entre otros, contra seis ciudadanos rusos por su participación en las operaciones de NoName057(16). Desde entonces, todos los sospechosos han sido listados como buscados a nivel internacional, y en algunos casos, sus identidades fueron divulgadas a los medios para involucrar a los ciudadanos en la denuncia de las actividades de estos delincuentes. También se publicaron perfiles de cinco cibercriminales de NoName057(16) en el sitio web de los Más Buscados de la UE.

Las autoridades nacionales desde entonces se han dirigido a muchas personas que se cree que son simpatizantes subterráneos de esta red de ciberdelincuencia. Los mensajes se enviaron a través de una aplicación de mensajería popular, para informar al destinatario de las medidas oficiales resaltando la responsabilidad penal que tienen por sus acciones de conformidad con las legislaciones nacionales.

Se informó luego por Europol que las personas que actúan para NoName057(16) son principalmente simpatizantes de habla rusa que usan herramientas automatizadas para realizar ataques de denegación de servicio distribuido (DDoS). Operando sin liderazgo formal o habilidades técnicas sofisticadas, están motivados por la ideología y las recompensas.

A pesar de esta operación, parece que NoName057(16) ha resurgido y ahora está en un estado en el que puede realizar operaciones. ¿Cómo sucedió eso? Tenemos una teoría sobre eso también. Revelaré ese aspecto hacia el final.  

¿Por qué ahora? El momento estratégico

En el mundo de la guerra cibernética, el tiempo (más a menudo que no) lo es todo.

• Estrés logístico: La Poste clasifica y entrega más de 2 millones de ítems diariamente en la antesala de Navidad. Al desactivar el seguimiento y los pagos en línea, los hackers forzaron un regreso al procesamiento manual, creando un enorme cuello de botella. Además, también llevó a que La Poste solicitara los servicios de empleados adicionales para manejar el estrés.  

• Impacto psicológico: Al atacar un servicio tan "hogareño" y esencial como la oficina de correos durante las vacaciones maximiza la frustración pública. Convierte un fallo técnico en una conversación nacional en la mesa de cena.

• Recordatorio de fin de año: Aunque la operación para eliminar al grupo se llevó a cabo en julio, NoName057(16) quería transmitir un mensaje a la maquinaria de aplicación de la ley de la UE de que todavía existe y está dispuesto a participar en más disrupciones.   

El contexto más amplio: Una "ola" de ataques

Este incidente ciertamente no fue un evento aislado. Coronó un mes de escalada de tensión geopolítica y digital en Francia:

• Ministerio del Interior: Una violación separada comprometió recientemente archivos sensibles.

• Seguridad Marítima: Se descubrió recientemente malware de acceso remoto en un ferry de pasajeros.

• Servicios Públicos: Francia Travail (la agencia de empleo) ha enfrentado intentos repetidos de comprometer los datos de los ciudadanos.

Geopolíticamente, la postura firme tomada por el gobierno francés sobre Ucrania ha puesto a Francia en la mira de los ciberdelincuentes rusos y sus controladores respaldados por el estado. Francia también está trabajando activamente para traer más garantías de seguridad para Ucrania.

La inteligencia francesa (la DGSI) ha tomado oficialmente el control de la investigación, señalando que el estado considera esto como una cuestión de seguridad nacional en lugar de una simple falla de TI corporativa.

Por último, puede que te estés preguntando cómo NoName057(16) ha sido capaz de resurgir tan rápidamente. La respuesta es más simple de lo que puedes imaginar. Los actores respaldados por el estado mantienen un flujo constante de recursos y personas para continuar las operaciones en caso de una disrupción. Estos recursos están dispersos en ubicaciones como Corea del Norte e Irán donde son inmunes a cualquier forma de acción legal. Una vez que los manuales de actores de amenazas son maduros y las TTPs están enmarcadas, entonces no importa desde dónde opera el grupo o qué tipo de acción está sujeto. El hacktivista o actor de amenazas es capaz de recuperarse en un período de tiempo muy corto bajo una nueva identidad o utilizando nuevos miembros.

Tal enfoque asegura la continuidad de las operaciones y el aprendizaje para el actor de amenazas y su manejador. 

La conclusión

El ataque de La Poste en 2025 demuestra que los hackers no celebran las vacaciones ni se toman el tiempo durante la temporada de trabajo bajo. También prueba que la infraestructura crítica sigue siendo un blanco fácil para los ciberdelincuentes empeñados en generar disrupción. A medida que nos acercamos a 2026, el desafío para naciones como Francia y para la UE será construir "redundancia digital" y asegurarse de que cuando la nube se oscurezca, el país todavía puede funcionar.

¿Interesado en un informe personalizado sobre NoName057(16)? Habla con nuestro experto.

Prueba nuestra solución NDR para la seguridad OT, aquí.

Para todo lo demás, háznoslo saber aquí.

Datos sobre la Operación Eastwood obtenidos de Europol

La imagen utilizada es solo para fines representativos.