Un "ejército" de hackers amenaza a Rusia con ataques incesantes

“Estamos creando un ejército digital”, escribía en Twitter el ministro encargado de asuntos digitales de Ucrania, Mykhailo Fedorov, el 26 de febrero. Hacía dos días de la invasión rusa, y el dirigente prometía una lista de tareas para “talentos digitales” de todo el mundo. Fedorov daba un enlace en Telegram de una cuenta que esta semana tenía ya más de 300.000 miembros. Unirse no implica ningún tipo de acción posterior, pero los encargados de su gestión no dejan de sugerir ataques concretos: bloquear páginas de ferrocarriles rusos, analizar correos electrónicos obtenidos mediante pirateo de miembros del Parlamento ruso o de webs de gobiernos regionales rusos. “Por favor, echadnos una mano. Haremos un chat de grupo para compartir pensamientos creativos y abordar la guerra de la información. Todos podéis uniros”, dice un mensaje en Telegram.

El otro gran grupo organizado es Anonymous. Desde el principio del conflicto, sus integrantes han ido proponiendo y ejecutando ataques con distinto éxito. Una ocurrencia fue llenar las reseñas de restaurantes en Google Maps Rusia y Bielorrusia con frases sobre la invasión. Era un ciberataque para hacer llegar información a los ciudadanos directamente. A pesar de no tener pruebas de que la acción hubiera tenido éxito, Google anunció que limitaba ese servicio: “Debido a un aumento reciente en el contenido aportado en Google Maps relacionado con la guerra en Ucrania, hemos implementado protecciones adicionales para monitorear y prevenir el contenido que viola nuestras políticas para Maps, incluido el bloqueo temporal de nuevas reseñas, fotos y vídeos en Ucrania, Rusia y Bielorrusia”, explican fuentes de la compañía.

También se atribuye a Anonymous haber pirateado centenares de cámaras de videovigilancia en Rusia para lanzar mensajes en contra de la invasión de Ucrania e “instar a los civiles a combatir” al Kremlin, según comprobó un reportero de Bloomberg. O que en algunas estaciones de recarga de coches eléctricos de Moscú se exhibiese en las pantallas del surtidor mensajes como “Putin es un capullo” o “Gloria a Ucrania”. Y una campaña masiva de spam mandada a rusos al azar en la que se “cuenta la verdad sobre la guerra de Ucrania”.

Anonymous no es una organización estructurada ni cerrada. Para unirse a este grupo solo hay que querer hacerlo o decir que se forma parte de él. EL PAÍS ha preguntado a una cuenta de Twitter en español con decenas de miles de seguidores y creada en 2020 si era la cuenta “oficial”. No es la más numerosa, pero sí la que tuitea sobre Ucrania a diario. Su respuesta ha sido: “Todos somos un equipo, no hay Anonymous oficial”. Eso hace que cualquier individuo u organización pueda operar bajo esa denominación.

“No tienen una estrategia bien definida, entre otras cosas porque la idea propia del grupo es que ni ellos mismos saben quiénes son. Cualquier persona puede ser de Anonymous siempre que comulgue con sus valores”, explica Andrea G. Rodríguez, investigadora principal en tecnologías emergentes en el centro de estudios European Policy Centre de Bruselas.

Un grupo llamado Ciberpartisanos de Bielorrusia, por ejemplo, anunció al principio del conflicto que había saboteado servicios de trenes que transportaban tropas rusas en Bielorrusia, sin que se sepa su alcance exacto. También se han filtrado los chats de más de un año de Conti, un grupo de ransomware (un tipo de software malicioso que secuestra un sistema y lo libera cuando se abona un rescate), que anunció su apoyo a la invasión rusa. De nuevo, nadie sabe con certeza quién está detrás: la filtración fue a través de una cuenta de Twitter y en la trastienda hay presuntamente un “patriota ucranio” investigador en ciberseguridad.

Esta enorme amalgama de nombres y acciones es nueva y tiene consecuencias imprevisibles: “Es algo sin muchos precedentes”, dice Lukasz Olejnik, investigador y consultor independiente en ciberseguridad y exasesor de ciberguerra del Comité Internacional de la Cruz Roja en Ginebra. En el caso del ciberejército ucranio, añade, “parece que esté algo dirigido desde arriba, pero no está claro si los efectos reales de esas actividades tienen alguna contribución significativa en el conflicto armado”.

Tampoco se sabe en qué países hay más ciberactivistas de Anonymous ni qué grado de cooperación tienen entre ellos. Sí se conocen subgrupos regionales. En España, por ejemplo, el último informe de hacktivismo del Centro Criptológico Nacional (CCN-CERT), la rama del CNI dedicada a la ciberseguridad, destaca tres. Anonymous España, Anonymous Catalonia, que desde el 1 de octubre de 2017 realizó varias operaciones de difusión de información sensible, como la revelación de datos personales de afiliados a Vox en Sabadell, y la 9ª Compañía de Anonymous, a la que se le dedica un epígrafe aparte. Así les llama el CCN-CERT, aunque ellos se autodenominan La Nueve. “Somos una perspectiva finita dentro de un concepto mucho más amplio como es Anonymous que escapa a toda delimitación. (...) No somos más que un cuestionamiento que busca poner fin a tantas asunciones trasnochadas que perpetúan el imperio de la violencia institucionalizada o capitalismo a través de internet”, se definen en una entrevista publicada en su Tumblr.

Pese a la espectacularidad del vídeo en el que Anonymous anunció el lanzamiento de la Operación Rusia, sus capacidades reales son relativas. “Son más saboteadores que otra cosa. Sobre el papel no tienen medios para realizar un ciberataque fuerte, como entrar en los sistemas del Kremlin, bloquear una red eléctrica o tomar el centro de control ruso de los drones militares que se usan en Ucrania”, subraya Rodríguez.

“Parece que hasta el momento no hay ciberataques de alto impacto”, añade Olejnik. “Excepto quizás dos eventos, uno de los cuales es la supuesta inhabilitación de internet por satélite KA-SAT el día del inicio de la invasión. El otro efecto significativo es la interrupción (supuestamente) de los procesos de flujos de refugiados debido al ciberataque que borró los sistemas informáticos del control fronterizo” el día antes de la invasión, añade.

El informe del CCN-CERT considera que la realidad hacktivista en España “está conformada por identidades individuales de nula o baja capacitación técnica como ciberamenazas, con débil o inexistente colectivización o identidad de grupo, y motivadas fundamentalmente por lograr notoriedad mediante menciones en redes sociales”. Desde el punto de vista de este organismo, la amenaza es igualmente descafeinada en el ámbito internacional.

¿Y si hay un Gobierno detrás?

Los grupos de hacktivistas tienen un halo de justicieros del ciberespacio que causa respeto entre la comunidad de piratas informáticos e incluso entre la población no iniciada en ordenadores. No es casual que Anonymous, el grupo más famoso, tenga como imagen la careta de Guy Fawkes usada en la película V de Vendetta, todo un símbolo para la generación milenial de la resistencia ante la tiranía. Ese prestigio puede resultar goloso para quienes quieran llevar a cabo acciones muy específicas en el ciberespacio sin revelar su identidad. Porque, además de su reputación, el hecho de que se mantengan en el anonimato pone más fácil suplantarlos. Se desconoce si los servicios secretos de algún país se han hecho pasar alguna vez por un grupo de hacktivistas para encubrir un ciberataque. De lo que sí se tiene constancia es de que lo ha hecho al menos una APT, un grupo organizado de ciberpiratas profesionales supuestamente patrocinado por gobiernos.

Sucedió en 2017 en el mismo escenario hacia el que se dirigen actualmente todos los focos: Ucrania. El grupo ruso Voodoo Bear, que ese mismo año lanzó en el país el virus NotPetya, originalmente diseñado para afectar al software de contabilidad más usado en la antigua república soviética y que luego se extendió por medio mundo, llevó a cabo una serie de ataques dirigidos a sabotear las redes de comunicaciones bajo el nombre de F Society, un grupo ficticio de ciberactivistas sacado de la serie Mr. Robot. Esa fue la primera vez que esta APT realizó un ataque de falsa bandera, según contó a EL PAÍS Adam Meyers, responsable de inteligencia de CrowdStrike.

Una década antes, en 2007, Estonia sufrió una serie de ciberataques que bloquearon la arquitectura digital del país cuando las autoridades decidieron trasladar un monumento soviético a una parte menos visible de Tallin, la capital. Si bien los ataques partieron de cientos de ordenadores personales localizados en decenas de países y se coordinaron en foros de internet, la OTAN sospecha que Moscú estuvo detrás de la operación. El Kremlin siempre lo negó.