Cuando la CIA acusó a Rusia de hackear los sistemas de cómputo del Partido Demócrata en el pasado proceso electoral estadunidense, los expertos en ciberseguridad no se sorprendieron. Desde hace una década se acumulan los indicios que incriminan a Moscú en diversos ataques a gobiernos o instituciones públicas: en 2007 contra Estonia, en 2008 contra Ucrania, en 2014 contra Polonia, y en 2014 y 2015 contra la Casa Blanca y el Departamento de Estado. Según The New York Times, Obama no quiso imponer sanciones por miedo a que escalara la ciberguerra o a que Putin no cooperara en Siria, por lo que los ataques siguieron y con más fuerza.
BRUSELAS (Proceso).- El reporte de la Agencia Central de Inteligencia (CIA) según el cual el gobierno de Rusia interfirió en las pasadas elecciones presidenciales de Estados Unidos al infiltrar los correos electrónicos del Comité Nacional Demócrata (CND) y del presidente de campaña de Hillary Clinton, John Podesta, no tomó por sorpresa a los expertos en ciberseguridad.
Frente a la gravedad de las acusaciones –calificadas de “ridículas” por Donald Trump, y que no comparten otras agencias, como el FBI–, el presidente Barack Obama ordenó una “revisión completa” del papel de Rusia en los ciberataques que dañaron la campaña de Clinton.
Mientras tanto, la prensa estadunidense sigue publicando información que compromete al gobierno de Vladimir Putin. Este jueves 15 la cadena NBC dijo que el propio presidente ruso dirigió la operación para filtrar a WikiLeaks el material hackeado a los demócratas, según revelaciones de dos altos oficiales –cuyos nombres se reserva el medio–, quienes obtuvieron esa información de “fuentes diplomáticas y espías aliados de Estados Unidos”.
El Kremlin afirma que la información es completamente falsa. Craig Murray, exembajador británico en Uzbekistán y activista de WikiLeaks sostuvo el miércoles 14 en una entrevista con el diario británico Daily Mail que él recibió en persona los correos electrónicos de Hillary Clinton por parte de una persona que tenía acceso legal a ellos. La filtración se habría llevado a cabo en septiembre pasado en un parque de Washington. “Los documentos procedían de filtraciones internas, no de hackeos”, aseguró Murray.
Sin embargo, los servicios de ciberespionaje rusos –o los hackers promovidos por éstos– son seguidos de cerca por Washington y sus aliados europeos desde hace al menos una década.
“El ataque contra las redes informáticas de los demócratas marca un cambio de juego en el arte del ciberespionaje promovido por el Estado ruso”, afirmó Kevin Mandia, director ejecutivo de la firma de seguridad digital FireEye y antiguo agente de inteligencia.
Huellas digitales
En una entrevista con el portal especializado en ciberseguridad Dark Reading, Mandia explica que históricamente los hackers rusos se “evaporaban” cuando eran descubiertas sus operaciones y sus objetivos comenzaban a reaccionar.
Pero a partir de 2014, dice, “la escala y enfoque de sus actividades comenzó a cambiar”. Ahora, explica, “en lugar de la acostumbrada limpieza casi forense de sus ataques, los rusos simplemente dejan las huellas digitales de sus campañas de espionaje informático. O ya no son tan disciplinados o quieren hacerse notar a propósito”.
El primer gran ataque que se atribuyó al gobierno ruso fue el que paralizó a Estonia, uno de los países del mundo más conectado a internet, entre el 25 de abril y el 4 de mayo de 2007, luego de que esta nación exsoviética decidiera reubicar un memorial de la Segunda Guerra Mundial en honor al Ejército Rojo y que tres años antes ingresara a la OTAN.
El gobierno estonio entregó a la prensa una lista con la identificación de las computadoras que supuestamente habían llevado a cabo el ataque bajo el mando de Moscú, pero como estaban infectadas sin conocimiento del usuario y diseminadas por todo el mundo, incluso en Washington, dicha información al final no probó nada.
En septiembre de 2007 este corresponsal se entrevistó con el profesor Linnar Viik, quien integra la dirección de varios organismos de investigación informática y es considerado el gurú de internet en Estonia. En esa ocasión Viik aseguró que ataques tan sofisticados y con objetivos tan complejos como los que afectaron a su país no pueden ejecutarlos simples internautas. “Se requirió de medios técnicos que rebasan la iniciativa personal y a las mismas organizaciones criminales”, comentó. “Esos ciberataques sólo pudieron efectuarse con la cooperación de un Estado y de varios operadores de telecomunicaciones”.
En la edición de septiembre de ese año, la revista de tecnología Wired publicó que la empresa estadunidense Arbot Networks acababa de revelar que algunas redes que atacaron Estonia habían “borrado” semanas antes la página del partido opositor a Putin liderado por el ajedrecista Gary Kasparov. Arbot Networks rastreaba ataques de tipo DDoS, o de denegación de servicio, el cual consiste en inyectar un virus a una cantidad masiva de computadoras para tomar su control y ordenarles conectarse al mismo tiempo a un sitio de internet con la finalidad de colapsarlo.
Un joven de 20 años y de origen ruso, Dimitri Galoshkevich, fue detenido y multado con mil euros por haber participado en la ciberguerra contra Estonia. Fue en marzo de 2009 que otro informático ruso, Konstantin Goloskokov, líder del grupo hacker Nashi, se adjudicó tal ataque.
Goloskokov fue entrevistado para el documental La guerra invisible, transmitido en 2011 por la televisión francesa. Calificado como “el arquitecto y jefe del estado mayor de la primera ciberguerra de la historia”, el joven de apenas 25 años fue filmado en la sede de su organización en Moscú. La cámara capta a varios muchachos muy jóvenes riendo y platicando delante de sus computadoras. En un muro se observa un grafiti del rostro imponente de Putin.
El documental se refiere a Nashi como un “colectivo de hackers rusos ultranacionalistas ligados al gobierno del Kremlin”. Goloskokov explica que el ataque contra Estonia fue de tipo DDoS, y declara que, “desde un punto de vista técnico, las autoridades rusas no pueden estar implicadas de ninguna manera”, ya que su motivación fue ciudadana.
En aquella época, el periodista especializado en las agencias de inteligencia rusas, Andrei Soldator, refiere en el mismo documental francés que Moscú prefiere contratar a jovencitos que realicen los ataques, los cuales no necesitaban material de punta, y no utilizar a los servicios del Estado.
“Un fantasma en el ciberespacio”
Un reciente reporte de la firma estadunidense FireEye, donde expone una radiografía de las operaciones de ciberespionaje ruso, concluye que los programas maliciosos de Moscú han “evolucionado sistemáticamente” desde 2007 y ahora utilizan “plataformas flexibles y duraderas que indican planes de uso a largo plazo”.
Advierte la firma que el desarrollo de esas tecnologías de hackeo requieren “un alto nivel de capacidades y el interés en complicar los esfuerzos de ingeniería inversa” de sus objetivos.
El reporte asevera que durante mucho tiempo y en secreto, Rusia ha sido un país líder capaz de ejecutar “sofisticadas operaciones cibernéticas”. Abunda que esta “percepción” se debe en parte a que el gobierno de Moscú es acusado de estar involucrado en los ciberataques que acompañaron su invasión de Georgia en 2008, así como la especulación de que estuvo detrás de una importante afectación de la red del Departamento de la Defensa estadunidense, también ese año.
El reporte es muy cauteloso: “Estos rumores de actividad, combinados con una escasez de evidencia sólida, han hecho de Rusia algo así como un fantasma en el ciberespacio”.
Los indicios, sin embargo, son cada vez más incriminatorios. La propia firma ha identificado una presunta unidad rusa de ciberespionaje que realiza operaciones desde hace años practicando un procedimiento conocido como phishing, el cual consiste en enviar correos electrónicos que parecen fiables para intentar obtener información confidencial cuando el usuario accede a una liga que lo lleva a una página falsificada.
Esta unidad –la misma que hackeó el CND– atacó en 2011 el Ministerio de Defensa y del Interior de Georgia; en 2013 el Ministerio de Relaciones Exteriores “de un país de Europa del Este”; un año después, al gobierno polaco; en junio de 2014 intentó controlar el sitio de Baltic Host, un ejercicio de entrenamiento en logística entre Estonia, Lituania y Letonia con participación del ejército estadunidense; en 2012, las comunicaciones de funcionarios británicos y de agregados militares de Canadá y Estados Unidos en Londres, y más.
Según un reportaje publicado el martes 13 por The New York Times, en 2014 y 2015 también la Casa Blanca y el Departamento de Estado comenzaron a ser sistemáticamente blanco de los hackers rusos, pero el presidente Obama no quiso imponer sanciones por miedo a que escalara la ciberguerra o a que Rusia no cooperara en Siria, por lo que los ataques continuaron y con más fuerza.
De acuerdo con el rotativo, a la compañía CrowdStrike le bastó un sólo día para identificar que el ataque contra los sistemas de informática del Partido Demócrata provenían de Rusia y que era obra de dos entidades codificadas por las firmas de seguridad que las rastrean como APT (Amenaza Persistente Avanzada) 28/Fancy Bear y APT 29/Cozy Bear.
Cozy Bear –conocido también como The Dukes por los servicios de ciberseguridad estadunidenses– podría estar vinculado con el Servicio Federal de Seguridad de Rusia, que reemplazó al KGB de la era soviética. Fue Cozy Bear el que accedió primero a la red informática del CND a mediados de 2015 a través de un programa phishing que simuló, por ejemplo, información proveniente de Google.
Fue en marzo de 2016 cuando apareció Fancy Bear penetrando el sistema del Comité de Campaña Demócrata del Congreso y luego también el CND, donde infiltró los correos de Podesta. Desde hace una década es rastreado por los servicios estadunidenses y europeos y se cree que está dirigido por el Departamento Central de Inteligencia de Rusia, que depende de las fuerzas armadas.
Hay más pistas que apuntan al gobierno ruso. El portal The Intercept detalló en un análisis divulgado el miércoles 14 que uno de los archivos filtrados por Guccifer 2.0, el nombre de la entidad que distribuyó originalmente los materiales hackeados, fue modificado en un programa de texto configurado en alfabeto cirílico (ruso) por un usuario llamado Felix Edmúndovich, en alusión al fundador de la fuerza de policía secreta de la época soviética.
Según The Intercept, el dominio del portal que filtró las comunicaciones demócratas (a lado de WikiLeaks) fue registrado con el mismo servicio de correo que el dominio de donde salieron los mensajes fraudulentos al CND, es decir Yandex, un proveedor de mensajería electrónica basado en Moscú.
Para la mencionada firma de ciberseguridad FireEye no hay duda alguna de que se trata del “trabajo de un equipo experimentado de desarrolladores y operadores que colectan información de inteligencia de temas de defensa y geopolíticos”, la cual, asegura,” sólo le puede ser útil a un gobierno”.
Uno de los indicios más reveladores en el reporte de FireEye es que la actividad de los programas dañinos de todos los ataques coincide con el horario de trabajo de las principales ciudades rusas como Moscú o San Petersburgo.
Una última consideración del reporte: “No tenemos fotografías de un edificio, ni nombres de personas que revelar o el de una agencia de gobierno. Lo que tenemos es evidencia de mucho tiempo atrás de operaciones focalizadas que indican que hay un gobierno que las promueve, específicamente uno basado en Moscú”.
*Este reportaje fue publicado en la edición del 25 de diciembre de 2016 de la revista PROCESO. Lee aquí el texto original➜