Rebeca Radío
Ingeniera en Ciberseguridad, Analista de Inteligencia y doctoranda en Terrorismo en el Ciberespacio
El conflicto armado en Ucrania ha puesto de manifiesto, de forma particularmente significativa, que el control de la información y del entorno digital constituye un elemento central en el marco de los conflictos contemporáneos. Antes de que se produjera el cruce de unidades blindadas sobre el territorio ucraniano en febrero de 2022, el ciberespacio ya se encontraba inmerso en una dinámica activa de confrontación, lo que evidencia que la dimensión digital no puede entenderse como un ámbito auxiliar, sino como un dominio plenamente integrado en el desarrollo de los conflictos armados modernos.
En los meses inmediatamente anteriores al inicio de la invasión rusa, Ucrania fue objeto de reiteradas campañas cibernéticas cuyos objetivos no consistían exclusivamente en efectos disruptivos inmediatos, sino que formaban parte de una estrategia mucho más amplia de obtención de inteligencia y preparación del entorno operativo. De acuerdo con los análisis elaborados por la División de Inteligencia de Amenazas de Microsoft (Microsoft Threat Intelligence) (2022) — titulados The hybrid war in Ukraine y Special Report:Ukraine — , dichas operaciones respondían a una lógica de reconocimiento prolongado, dirigidas especialmente al mapeo de infraestructuras críticas, a la identificación de vulnerabilidades técnicas en Ucrania y a la evaluación de la capacidad de respuesta institucional del Estado ucraniano.
En este sentido, la ciberinteligencia desempeñó un papel clave como mecanismo de adquisición de ventaja estratégica, al permitir una comprensión detallada del terreno y de las amenazas potenciales antes de la invasión. Así, este tipo de actividades reducen la incertidumbre en la planificación militar y condicionan de forma decisiva la toma de decisiones estratégicas en las fases iniciales del conflicto.
Asimismo, con el inicio de la invasión, las operaciones cibernéticas adquirieron un carácter más visible y abiertamente destructivo. En esta fase, se registraron ataques dirigidos contra instituciones gubernamentales, entidades financieras y sistemas de comunicación en Ucrania, siendo particularmente ilustrativos los casos del malware WhisperGate y HermeticWiper. En primer lugar, WhisperGate se presentó como un ataque de tipo ransomware, aunque su funcionalidad real no permitía la recuperación de los datos, lo que sugiere una intención puramente disruptiva. Este malware sobrescribía el Master Boot Record (MBR) —sector inicial del disco duro que contiene la información necesaria para el arranque del sistema operativo— y destruía archivos de forma irreversible, imposibilitando el arranque normal de los equipos afectados. Por su parte, HermeticWiper fue diseñado para operar de manera altamente selectiva, utilizando credenciales legítimas comprometidas para propagarse dentro de redes corporativas y eliminar datos críticos tanto en servidores como en estaciones de trabajo. Así, a diferencia de otros tipos de malware orientados al espionaje persistente, su diseño respondía a una lógica de sabotaje directo.
Además, uno de los episodios más relevantes —y ampliamente documentado por organismos europeos e internacionales— fue el ataque contra el proveedor de comunicaciones satelitales Viasat. Este incidente, ocurrido en los momentos inmediatamente anteriores al inicio de la invasión, provocó la pérdida de conectividad por satélite de decenas de miles de usuarios en Ucrania y en varios Estados europeos, afectando tanto a servicios civiles como a sistemas vinculados a funciones críticas del Estado.
Técnicamente, el ataque se materializó mediante el uso de un malware —conocido como AcidRain— dirigido específicamente contra los módems de los usuarios del servicio KA-SAT, una red de comunicaciones por satélite operada por Viasat que proporciona conectividad a usuarios civiles, empresas y organismos públicos en Europa y Ucrania. Tal y como señalan los análisis forenses posteriores, el malware fue diseñado para sobrescribir el firmware de los dispositivos —esto es, el software interno que controla el funcionamiento básico del hardware—, inutilizándolo de forma permanente y requiriendo, en muchos casos, su sustitución física (Lakshmanan, 2022). De esta forma, a diferencia de otros ataques orientados al espionaje o a la interrupción temporal de servicios, AcidRain perseguía un efecto duradero, dificultando de manera significativa la rápida restauración de las comunicaciones.
Asimismo, la persistencia de estas operaciones se ha reflejado en años posteriores, siendo un ejemplo de esto el ciberataque en diciembre de 2023 contra Kyivstar, principal operador de telecomunicaciones de Ucrania. Según el Servicio Estatal de Comunicaciones Especiales de Ucrania y los informes publicados por el Equipo de Respuesta a Emergencias Informáticas para las Instituciones, Organismos y Agencias de la Unión Europea conocido como CERT-EU (2024), este ataque interrumpió los servicios móviles e internet a millones de usuarios, evidenciando que el ciberespacio continúa siendo un frente activo y dinámico del conflicto. Por ello, desde un punto de vista operativo, este ataque tuvo un impacto especialmente significativo debido al papel central que desempeñan las redes de telecomunicaciones en la resiliencia de un Estado en guerra. La interrupción prolongada de los servicios afectó no solo a usuarios civiles, sino también a la capacidad de comunicación de organismos públicos y servicios de emergencia, dificultando la coordinación y el flujo de información en un contexto de alta presión y demanda operacional.
Por otro lado, resulta esencial destacar la creciente evidencia de simultaneidad entre operaciones cibernéticas y acciones militares convencionales en Ucrania. En este sentido, diversos informes especializados han documentado casos en los que ciberataques dirigidos contra redes gubernamentales, infraestructuras energéticas o sistemas de comunicación coincidieron temporalmente con ofensivas militares sobre el terreno. De este modo, el adversario no es atacado a través de un único frente, lo que refuerza la noción de guerra multidominio. Concretamente, y en línea con el informe Cyber and Kinetic Operations in Modern Warfare (Rațiu, Sălăvăstru; 2024a) publicado en la revista International Conference Knowledge-based Organization, esta coincidencia temporal sugiere una integración deliberada de dominios operativos, en la que las capacidades cibernéticas actúan como multiplicadores de efecto de las operaciones cinéticas. De este modo, la degradación de sistemas de comunicación o gestión estatal mediante ciberataques contribuye a reducir la capacidad de respuesta del adversario y a amplificar el impacto de las acciones militares tradicionales.
Además, junto a las operaciones técnicas, el conflicto ucraniano ha puesto en relieve la importancia de la dimensión informacional en contextos de conflicto. Incluso, CERT-EU a través del informe titulado Cyber security brief 24-02, ha documentado campañas sistemáticas de desinformación atribuidas a actores prorrusos, caracterizadas por la creación de identidades falsas, la difusión coordinada de narrativas manipuladas y la amplificación artificial de contenidos en redes sociales. Incluso, el citado informe de Microsoft indica que los actores utilizan una variedad de técnicas entre las que se encuentra el phishing (2022). De esta forma, una de las operaciones de desinformación más documentadas ha sido la denominada campaña “Doppelgänger” (Serra, 2025), en la que se crearon sitios falsos a modo de imitación de periódicos legítimos —como Der Spiegel, Le Parisien, Fox News o The Washington Post— para publicar historias manipuladas bajo el objetivo de influir en la percepción pública sobre la guerra en Ucrania y debilitar el apoyo occidental. Estas páginas clonadas difundieron contenidos con narrativas pro‑rusas (por ejemplo, desacreditando a líderes ucranianos o al apoyo extranjero) y fueron amplificadas en redes sociales.
Así, estas operaciones de información persiguen objetivos estratégicos claros, como la desestabilización social, la generación de tensiones internas, la erosión de la confianza en las instituciones ucranianas por parte de la población y la presión sobre la opinión pública internacional. Así, campañas de esta índole no buscan necesariamente un efecto inmediato, sino condicionar la percepción del conflicto y limitar el margen de maniobra político y estratégico del adversario.
Por último, la magnitud del impacto de las operaciones cibernéticas en Ucrania ha abierto un debate jurídico de especial relevancia. Las autoridades ucranianas han planteado que determinados ciberataques ejecutados en el contexto del conflicto, especialmente aquellos dirigidos contra infraestructuras civiles críticas y coordinados con ataques físicos, podrían ser considerados crímenes de guerra conforme al Derecho Internacional Humanitario (DIH).
En base a esto, en línea con el artículo Rewired warfare: Rethinking the law of cyber attack del autor Schmitt (2022) —que trata sobre la aplicación del Derecho Internacional Humanitario (DIH) al ciberespacio—, esta cuestión plantea desafíos significativos en términos de atribución, proporcionalidad y distinción entre objetivos civiles y militares. Aun así, este debate supone un reflejo de una tendencia creciente a considerar el ciberespacio como un dominio plenamente integrado en los conflictos armados, sujeto a las normas y principios del derecho de la guerra.
En conclusión, el conflicto de Ucrania ha demostrado que la ciberinteligencia y la ciberseguridad, constituyen un elemento central en los conflictos contemporáneos, con capacidad para influir en todas las fases del conflicto, desde la anticipación previa hasta la conducción integrada de operaciones militares y cibernéticas. Por ende, la experiencia ucraniana pone de relieve que el dominio del ciberespacio y de la información se ha convertido en un factor decisivo para la seguridad y la defensa en el siglo XXI.
Referencias
Rațiu, A. & Sălăvăstru, C.‑M. (2024). The Influence of Non‑Kinetic Actions on Multi‑Domain Operations Command and Control. International Conference KNOWLEDGE‑BASED ORGANIZATION, 152‑160. https://reference-global.com/journal/KBO
CERT‑EU. (2024). Cyber Security Brief 24‑02. CERT‑EU. https://cert.europa.eu/publications/threat-intelligence/cb24-02
Microsoft Threat Intelligence. (2022a). The hybrid war in Ukraine. Microsoft On the Issues. https://blogs.microsoft.com/on-the-issues/2022/04/27/hybrid-war-ukraine-russia-cyberattacks/
Microsoft Threat Intelligence. (2022b). Special Report: Ukraine: An overview of Russia’s cyberattack activity in Ukraine. Microsoft Security Insider. https://www.microsoft.com/en-gb/security/security-insider/intelligence-reports/special-report-ukraine/
Schmitt, M. N. (2015). Rewired warfare: Rethinking the law of cyber attack. International Review of the Red Cross. https://www.cambridge.org/core/journals/international-review-of-the-red-cross/article/rewired-warfare-rethinking-the-law-of-cyber-attack/5CF98A53D4680915675EF6324D8BBB33
Lakshmanan, R. (2022). Russian wiper malware likely behind recent cyberattack on Viasat KA-SAT modems. The Hacker News. https://thehackernews.com/2022/04/russian-wiper-malware-responsible-for.html
Serra, L. E. C. R. (2025, 05 de diciembre). La evolución de la Maskirovka: la inteligencia artificial generativa como catalizadora de estrategias de engaño en el conflicto ruso‑ucraniano (2014‑2025). CESEDEN — Ministerio de Defensa de España. https://www.defensa.gob.es/ceseden/-/esfas/evolucion-maskirovka-inteligencia-artificial-generativa-conflicto-ruso-ucraniano-2014-2025
