La ciberguerra aterriza en Cataluña

El mundo está asistiendo a una ciberguerra secreta, con armas cercanas a la invisibilidad, entre Rusia y Estados Unidos, en la que están implicados sus aliados. Una guerra que se desarrolla en las redes digitales de muchos países para conseguir información confidencial y utilizarla para provocar daños o para llevar a cabo políticas de desinformación. El último episodio ha tenido lugar en Cataluña, donde ha sido detectada la presencia de varios grupos vinculados con las actividades de los servicios de inteligencia de Vladimir Putin.

Según ha podido saber Tiempo, hace dos años se detectó que uno de los grupos de ciberguerra próximos a Moscú conocido como Turla –aunque también se le dan otras denominaciones–, tenía en su poder las IP –direcciones que identifican a los ordenadores– de varias entidades relacionadas con la Generalitat, lo que demostraba su interés de usarlas para llevar a cabo ataques que les permitieran robar información.

Posteriormente, dos sucesos que han pasado bastante desapercibidos corroboraron que los grupos de ciberdelincuentes relacionados con Rusia tenían un interés especial en los sucesos que estaban desarrollándose en Cataluña con el objetivo de llevar a cabo un referéndum para proclamar la independencia.

En enero de este año fue detenido en Barcelona Satanislav Lísov, un informático ruso perteneciente a uno de esos grupos. La detención fue ejecutada siguiendo una orden internacional que le acusaba de distintos ataques llevados a cabo contra el Gobierno y empresas de Estados Unidos.

Unos meses después, en abril, también en Barcelona, fue detenido Pyotr Levashov, de nuevo siguiendo una orden internacional procedente de Estados Unidos. De 36 años, nacido en San Petersburgo, oficialmente estaba de vacaciones en un piso con su mujer y sus hijos. Se le acusó de producir daños informáticos, asociación para cometer fraudes con ordenadores, robo de identidad y escuchas electrónicas ilícitas. Más grave que estos delitos era el de haber influido en las últimas elecciones presidenciales en Estados Unidos, en las que resultó ganador Donald Trump, perjudicando a su contrincante Hillary Clinton. Posteriormente, el mismo Levashov explicó que es un informático que trabajó para el Ejército ruso, lo cual es lo mismo que decir que estuvo en nómina del GRU, el servicio de inteligencia militar, y responsable máximo de la coordinación de los ciberataques contra Occidente. Levashov también reconoció haber colaborado con el partido Rusia Unida de Putin en el trabajo de buscar información sobre los otros grupos que concurrían a las elecciones.

Los tribunales españoles han acordado la extradición a Estados Unidos de los dos rusos, en contra de la opinión de su abogado, que ha defendido que lo que busca el FBI –el servicio de inteligencia interior estadounidense– es poder interrogarles para sacarles información sobre su forma de actuar. En su abogado, Alexander Ivanov, aparece un sospechoso nexo entre los dos casos. Su cargo de vicepresidente de la oficina rusa del Comité Internacional para la Protección de los Derechos Humanos encubre que su trabajo es financiado por el Gobierno ruso y que se dedica a expandir por el mundo el apoyo a los movimientos antiglobalización y separatistas de Occidente. De hecho, invitó a participar en dos congresos organizados en Moscú en 2015 y 2016 a la CUP y a Solidaritat Catalana.

Según las sospechas de la Guardia Civil y la Policía, que no han podido demostrar, los dos hackers habrían viajado a Cataluña para establecer acuerdos de apoyo al proceso de independencia con grupos afines al mismo. No obstante, ante la certeza de que su estancia en Barcelona iba en esa línea, optaron por colaborar con el FBI para quitarlos de la circulación y que no pudieran culminar esa supuesta ayuda. Una ayuda que se podría haber materializado en el apoyo prestado por varios grupos vinculados a Rusia que desde días antes de la celebración del referéndum ilegal prestaron apoyo técnico a la causa defendida por la Generalitat. Y al que siguió el despliegue de sus medios de propaganda para que internacionalmente se visualizara la causa catalana como la de una Europa débil que se rompe. Este último apoyo, como se ha visto en otros países, lo llevan a cabo sin necesidad de contar con el respaldo de los grupos a los que favorecen. 

Ataques rusos

La guerra cibernética internacional entre Rusia y Estados Unidos comenzó del lado de Putin de una forma especialmente virulenta tras el conflicto de Crimea. El presidente ruso sintió que sus intereses estratégicos habían sido atacados y procedió a lo que él consideraba una respuesta frente a sus enemigos de la OTAN y la Unión Europea. Ninguno de ellos iba a quedar fuera de su estrategia de robo de información y de utilización de la misma para dañar sus sistemas políticos.

El primer ataque para mostrar su fortaleza no fue político, sino para producir daño e impacto social. El grupo APT28, también conocido como Sofacy, ejecutó un ataque contra el canal de televisión de Francia TV5 Monde, simulando que detrás del mismo estaba un Cibercalifato incapaz de ejecutarlo. Durante 12 horas consiguieron oscurecer su señal en todo el mundo. Un éxito al que siguieron otros ataques de los cibersoldados de Moscú contra organismos militares de Estados Unidos, contra el Parlamento alemán o contra instituciones de Turquía. Los turcos derribaban un avión ruso y la respuesta diplomática del Kremlin escondía una agresión contra sus ordenadores.

Después llegarían ataques más sofisticados, pero de los que esperaban sacar réditos políticos mucho más altos. En las presidenciales del año pasado en Estados Unidos, penetraron en los ordenadores del Partido Demócrata y utilizaron la información robada que podía perjudicar la campaña de Hillary Clinton para difundirla por varios medios y conseguir que ganara su rival conservador, Donald Trump. El actual presidente podía saberlo o no, eso no cambiaba su objetivo. Trump era mejor para sus intereses que Clinton.

Después repitieron su operación en Francia, intentando que Emmanuel Macron no ganara la presidencia a la República, apoyando incluso a la ultraderechista Marine Le Pen. Como la seguridad francesa ya conocía el antecedente de Estados Unidos, los cortafuegos desplegados fueron mucho mayores, a pesar de lo cual consiguieron robar información. Pero lo hicieron lo suficientemente tarde para que su campaña de desinformación no diera los resultados que hubieran deseado. La pericia de los atacantes les permitió no ser identificados por los investigadores franceses, lo que sumado a que nadie reivindicó la acción hizo imposible determinar la procedencia de los ataques, aunque nadie dudó de que eran de alguno de los grupos de hackers del Kremlim.

Los especialistas consultados por Tiempo coinciden en que en estos últimos años ha quedado demostrado que los diversos grupos de ciberatacantes no actúan de una forma aislada, sino con una acción coordinada desde Moscú. El dinero que se necesita para pasar tantísimas horas desarrollando sofisticados programas espías exige la presencia de un Estado detrás. 

La NSA hace la guerra

Las acciones que lleva a cabo la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) de Estados Unidos siguen los mismos patrones de funcionamiento que las de Rusia. Utilizan grupos afines de todo tipo para llevar a cabo sus acciones agresivas por todo el mundo, aunque sus ataques conocidos han ido dirigidos desde el primer momento a la obtención de información clave o para atacar en algunos países sin recurrir al despliegue de soldados, es decir, a una declaración formal de guerra.

Uno de los muchos potentes grupos de ciberguerra utilizados por la NSA ha sido Equation, al que las agencias especializadas en ciberseguridad han relacionado con alguno de los troyanos más complejos que han sido utilizados en diversos lugares del mundo.

Básicamente se podría decir que es un grupo dedicado a llevar a cabo las investigaciones que permiten crear troyanos con capacidades sorprendentes, imposibles de ejecutar sin una alta financiación, para infectar objetivos complejos, robarles información oculta y conseguir que nadie ponga nombre y apellidos a la agresión. Investigadores en ciberseguridad señalan a Tiempo que las herramientas desarrolladas por Equation son de lo más avanzadas que han encontrado en los últimos años. 

Agresiones silenciadas

Equation participó activamente en la creación del virus Stuxnet, que mediante su infiltración en el sistema de ordenadores que controlaba la planta nuclear iraní de Natanz, primero robó un montón de información secreta y luego ordenó a cientos de centrifugadoras que se autodestruyeran. Posteriormente llegaría otro troyano, apellidado Duqu, que en la misma primera década del siglo XXI también sirvió para robar información en Irán.

Desde su creación hace más de 15 años, las compañías expertas en ciberseguridad aseguran que Equation ha infectado ordenadores en más de 30 países y ha abarcado sectores como el de la administración de los Gobiernos, las más potentes empresas multinacionales –energía, telecomunicaciones...–, bancos y grupos cercanos al terrorismo yihadista. Sus agresiones terminaron siendo descubiertas en más de 30 países de todo el mundo, aunque muchos han preferido no hacerlo público.

La guerra entre Estados Unidos y Rusia no ha sido declarada, pero la ciberguerra se juega desde hace años, se ha recrudecido recientemente y nada ni nadie está fuera del campo de batalla.

Extradición. Stanislav Lísov, informático ruso detenido en enero en Barcelona siguiendo una orden internacional, durante la vista de su extadición a EEUU. Foto: L. Piergiovanni