El gobierno ruso ha cambiado su postura hacia los grupos cibercriminales, evolucionando de la tolerancia pasiva a la gestión activa, según un report informe de la firma de ciberseguridad Recorded Future. Anteriormente conocidas por permitir que los ciberdelincuentes operen sin control siempre que no apunten a intereses rusos, las autoridades ahora están ejerciendo un control cada vez mayor sobre estas redes.
Según el informe, el cambio comenzó alrededor de 2023 a medida que aumentaba la presión de las acciones internacionales de aplicación de la ley. Los servicios de inteligencia y aplicación de la ley rusos ahora reclutan o cooptan talento cibercriminal cuando se alinea con los intereses estatales, toleran actividades que sirven a objetivos geopolíticos e intervienen para interrumpir o reprimir grupos que se vuelven vergonzosos o políticamente inconvenientes.
Uno de los marcadores de este cambio han sido los arrestos e incautaciones de alto perfil que parecen coreografiados para reforzar el control estatal. Por ejemplo, después del desmantelamiento internacional de servicios como Cryptex y UAPS bajo la Operación Endgame, el gobierno ruso anunció investigaciones sobre esas plataformas, arrestó a casi 100 personas e incautó aproximadamente USD 16 millones en activos.
Los analistas dicen que estas acciones tienen menos que ver con el desmantelamiento de grupos dañinos y más con la gestión del ecosistema, apuntando al retiro de efectivo y habilitando la infraestructura, al tiempo que preservan a los actores de amenazas que brindan inteligencia o capacidades de interrupción.
El informe enfatiza que el modelo es selectivo en lugar de integral. Los grupos de ciberdelincuentes cuyas operaciones se alinean con los objetivos del Estado ruso continúan operando con relativa impunidad, mientras que los que se consideran un pasivo son atacados. Según los informes, los chats filtrados de grupos como Conti y TrickBot confirman los vínculos entre los operadores de alto nivel y los servicios de inteligencia rusos.
Mientras tanto, la propia clandestinidad cibercriminal se está adaptando, favoreciendo cada vez más las operaciones descentralizadas y el reclutamiento cerrado para evadir la interrupción.
Para las organizaciones y los gobiernos fuera de Rusia, el cambio tiene implicaciones importantes. La difuminación de la línea entre la actividad patrocinada por el Estado y la empresa criminal significa que los ataques pueden volverse más persistentes, con mejores recursos y más difíciles de atribuir. El informe sugiere que muchas organizaciones, especialmente en Europa, deberían prepararse para un panorama de amenazas en el que los grupos criminales son respaldados o tolerados indirectamente por actores estatales.
Al mismo tiempo, los expertos advierten que el nuevo modelo no equivale a que Rusia tome medidas enérgicas contra el delito cibernético en todos los ámbitos. Más bien, representa un modelo de gobernanza, uno en el que ciertos elementos del ecosistema cibercriminal están regulados o tolerados según el interés del estado.
A medida que la relación entre los delincuentes y los actores estatales continúa evolucionando, es posible que los ciberdefensores deban revisar las suposiciones sobre la atribución de amenazas y los modelos de riesgo. Comprender si un actor de amenazas opera con fines puramente lucrativos o si se gestiona como una herramienta de política estatal es cada vez más relevante para las estrategias de defensa e inteligencia.