Moscú contrata siempre a los mejores «hackers»

Los ataques de los grupos de «hackers» han logrado burlar la seguridad de las grandes potencias y de todos los sistemas operativos.

A última hora del viernes, el diario «The Washington Post» difundía la noticia de que la Agencia Central de Inteligencia (CIA) de Estados Unidos tenía «bastante claro» que Rusia intervino en las elecciones presidenciales no sólo socavando la confianza en el sistema electoral local, sino también inclinando la balanza en favor de Trump. Las informaciones sobre este espionaje no son nuevas, pero adquieren un relieve distinto tras la investigación encargada por el presidente Barack Obama. El informe puede dar nuevos detalles de cómo operan los hackers al servicio de Moscú, pero algunas de sus habilidades y defectos ya son conocidas.

Modus operandi: ¿Cómo entraron a los ordenadores?

En mayo de 2016 la firma de ciberseguridad CrowdStrike recibió una alerta del DNC respecto a una supuesta brecha en la seguridad. En un post publicado por Dmitri Alperovitch, su jefe de seguridad, destacan que siempre trabajan bajo estrictas normas de confidencialidad, «pero en raras ocasiones un cliente decide hacer pública la información sobre su incidente» y eso es lo que sucedió con los correos del DNC. CrowdStrike inmediatamente identificó dos grupos de «hackeo» detrás de los ataques: COSY BEAR y FANCY BEAR. «Nuestro equipo – señala el post publicado el 14 de junio– los considera como algunos de los mejores adversarios de los que encontramos a diario». Más aún, Alperovitch señala que los dos programas participan en «un amplio espionaje político y económico en beneficio del Gobierno de la Federación de Rusia y se cree que están estrechamente vinculados a los servicios de Inteligencia». Se trataba de una de las primeras menciones creíbles a los rusos. Pero no era la primera vez que se oía hablar sobre COSY BEAR o FANCY BEAR. El primero de ellos ya había logrado infiltrarse en redes no clasificadas de la Casa Blanca, en empresas vinculadas a la defensa, energía, finanzas y hasta compañías farmacéuticas. Las víctimas no sólo eran instituciones estadounidenses, también se observaron ataques de COZY BEAR en países de Europa Occidental, Brasil, China, Japón, México, Nueva Zelanda, Corea del Sur, Turquía y Asia Central. Este oso mimoso o acogedor (eso significa COZY BEAR) utiliza el siguiente «truco»: el destinatario recibe un correo electrónico, aparentemente de una fuente de confianza (a menudo un organismo oficial) con un enlace para obtener más información. El problema es que ese enlace lleva al usuario a un sitio falso donde se descarga el «malware» que se instala en el ordenador de la víctima. A partir de ese momento el código proporciona diferentes herramientas de acceso remoto para obtener toda la información que quiera. Por si fuera poco, COZY BEAR tiene sus propias alertas para detectar si alguien lo está intentando rastrear.

FANCY BEAR, por su parte, es un otro grupo que ya cumplió una década y ha infectado tantos países y sectores como su colega oso. Operan con sistemas similares a los de COZY BEAR y han creado «malware» para Linux, OSX, IOS, Teléfonos Android y Windows. El mayor problema es que los antivirus convencionales no logran detectar ni evitar una infección producida por estos hackers debido a la sofisticación de sus herramientas. Tanto que CrowdStrike asegura que los hackers tuvieron acceso a los ordenadores del CND durante al menos un año. En ese momento comenzó la caza y captura de los «hackers».

Nombre en clave: ¿Por qué se cree que son rusos?

El 15 de junio, Matt Tait, un antiguo trabajador del Cuartel General de Comunicaciones del Gobierno Británico, descubrió que uno de los primeros archivos filtrados se había modificado en un ordenador que usaba la configuración de idioma ruso. El usuario respondía al nombre de Feliks Dzerzhinsky, el fundador de la Cheka, la policía secreta soviética creada en 1917.

Una semana después de haberse publicado el post, otras dos empresas de ciberseguridad, Fidelis Cybersecurity y Mandiant, confirmaron las informaciones de una implicación rusa en las filtraciones de los correos. Y entonces comenzaron a llegar nuevas confirmaciones. Thomas Rid, profesor del King’s College de Londres, descubrió que el «malware» usado en el DNC era idéntico al que había infectado el Parlamento alemán en 2015, el cual habrá sido creado por los rusos, según Inteligencia alemana. También se descubrió que ambos casos compartían un mismo certificado SSL (siglas de Secure Socket Layer), un modo de decirle a los visitantes a ciertas páginas que el sitio es real y confiable para ingresar datos personales. Más tarde, los expertos descubrieron un grave error de los «hackers»: los correos electrónicos que utilizaron para iniciar su ataque llevaban a diferentes direcciones web. Los enlaces se ocultaban tras URL cortas, como las que utiliza Twitter cuando se pega la dirección de un sitio web.

Para administrar tantas direcciones, FANCY BEAR creó un sistema automatizado que usaba un servicio de acortamiento de enlaces llamado Bitly. Pero olvidaron poner dos de esas cuentas como privadas, lo que permitió descubrir la información de las mismas.

20 años de asedio: Primeros «hackeos» rusos a Estados Unidos

En 1996, apenas seis años después de que el CERN creara el primer servidor web, el Pentágono detectó un enorme volumen de brechas de seguridad en sus sistemas informáticos. Se trataba de ataques que provenían de servidores rusos. Dos años más tarde, el Gobierno de Estados Unidos bautizó como «Moonlight Maze» (Laberinto luz de Luna) a una serie de ataques coordinados desde Rusia que habían robado una cantidad de informes equivalentes a «tres veces la altura del monumento a Washington», en total más de 500 metros de altura de hojas apiladas una encima de otra.