El Ciberespacio, vía libre para los ataques de falsa bandera

Estados suplantadores de organizaciones. ¿Quiénes nos atacan? y ¿contra quién contraatacan?

La tendencia en cuanto a ataques de falsa bandera en los últimos dos años no ha variado significativamente. Durante 2019 el CCN-CERT (Centro Criptológico Nacional – Computer Emergency Response Team) advertía de un aumento de este tipo de ataques, especialmente contra infraestructuras críticas y dirigidos por los propios Estados, destacando Corea del Norte, China, Irán, Rusia, Corea del Sur, Israel e India. Entre la metodología más utilizada se distingue la propagación de código dañino a través de email, malware de criptohacking [i] o mediante plataformas de ciberdelito como servicio.^[ii]

Acontecimientos históricos como el hundimiento del acorazado Maine (1898) o el incendio del Reichstag (1933), ponen de manifiesto como este tipo de ataques son una peligrosa realidad encubierta por el anonimato que otorga el ciberespacio.

David Barroso, durante las XI Jornadas STIC CCN-CERT sobre Ciberamenazas, definía el concepto como: “operaciones encubiertas llevadas a cabo por gobiernos, corporaciones y otras organizaciones, diseñadas para aparecer como si fueran llevadas a cabo por otras entidades”.^[iii] Entre las motivaciones que pueden originar su comisión se encuentran las tensiones geopolíticas y las meras estrategias que justifiquen el ataque hacia una organización o grupo.

Lo más relevante de los ataques de falsa bandera es el anonimato: Debido a su dudosa autoría la culpabilidad variará en base al punto de vista que se adopte y a los intereses propios de cada actor. Como mencionaba de nuevo David Barroso, “No sólo hay que encontrar una pistola humeante, sino también tiene que estar caliente, con el asesino sosteniéndola en su mano”. Una de las metodologías para deducir de dónde proceden es analizar los elementos comunes existentes entre diversos ataques que hayan reutilizado una misma técnica o atacado reiteradamente el mismo objetivo.^[iv]

Ha sido a lo largo de los últimos cinco años cuando este tipo de ataques se ha vuelto más frecuente, acentuando especialmente el papel de Rusia a través de su servicio de inteligencia GRU y los piratas informáticos asociados al mismo. No se trata de hechos aislados, sólo se conoce “la punta del iceberg” del problema.

En 2004, la compañía Sony Pictures era atacada por el grupo denominado “Guardianes de la paz”, siendo un misterio la procedencia de sus integrantes y la geolocalización del punto de emisión. Tiempo después, las investigaciones señalaron a Corea del Norte como culpable, fruto de la crispación que la compañía cinematográfica había propiciado a través de su comedia “The Interview”, donde aparecía una escena en la que el Presidente coreano Kim Jong-Un era asesinado. Pese a que el FBI culpó abiertamente a dicho Estado, las sucesivas negaciones y rechazos de culpabilidad han conseguido que los actos queden impunes.^[v]

Sin ir más lejos, en el caso de Stuxnet contra la central nuclear iraní de Natanz, se puso bajo sospecha a Estados Unidos e Israel con ánimos de frenar el programa nuclear que Irán estaba desarrollando. Otro caso con un contexto similar pero más actualizado fue el intento de ciberataque por Irán este mismo año contra una central potabilizadora israelí con el objetivo de hiperclorar el agua.[vi]

Como ejemplo de zona gris el caso Cyber Berkut en Ucrania. Cuando el Gobierno pasó del lado pro-ruso al lado pro-occidental promovido por una sociedad polarizada se dio pie a la creación de organizaciones hacktivistas leales a Rusia. Entre ellas destaca Cyber Berkut quien, según diversas fuentes, atacaron a la OTAN y “piratearon ordenadores del Gobierno ucraniano filtrando información confidencial sobre la participación encubierta de Estados Unidos en dicho conflicto”. La información obtenida fue manipulada y difundida a través de una campaña propagandística que pretendía instaurar un sentimiento generalizado contra Occidente.^[vii]

Los primeros indicios revelaban que sus integrantes eran ucranianos sin lazos con ningún Gobierno. Sin embargo, a través del rastreo y análisis de sus consecutivos ataques de phishing se pudo obtener la procedencia de los mismos y comprobar su relación con la inteligencia rusa, siendo su propio Gobierno el impulsor de esta tapadera.^[viii]

En relación con organizaciones terroristas, encontramos el ciberataque a la cadena de televisión francesa TV5Monde en abril de 2015, meses después del atentado de Charlie Hebdo y el inicio del bombardeo de Siria por el ejército francés. Supuestos hackers fieles a Daesh accedieron al sistema y a la página web de la cadena, las bloquearon y publicaron contenido en contra del ejército y favorable a Daesh. Posteriormente en la página web de “Cyber Caliphate” los hechos fueron publicados y reivindicados. Sin embargo, en el curso de las investigaciones se descubrió que la fuente del ataque se localizaba en San Petersburgo y Moscú, coincidiendo con los datos del grupo Cyber Berkut.

La compañía estadounidense Fire Eye, la cual ha venido colaborando con las autoridades francesas, defendía la autoría en manos de hackers rusos destacando entre las posibles motivaciones las discrepancias surgidas entre Francia y Rusia durante la crisis de Ucrania. Las supuestas reivindicaciones del ataque en la web del Cibercalifato, fueron de igual manera desprestigiadas por FireEye y por otras compañías de ciberseguridad como Trend Micro.^[ix]

Entre las teorías explicativas de estos ataques de falsa bandera se encuentran los ánimos rusos de desviar la atención del conflicto ruso-ucraniano hacia otra potencia, en este caso Francia, o una mera excusa para poder atacar a Daesh.^[x] El vicepresidente de Trend Micro Rik Ferguson afirma la posibilidad de una congruencia de intereses compartidos entre Rusia y Estado Islámico. La adjudicación del ataque a Daesh podría suponer un beneficio fortuito a su favor, sin dañar la imagen rusa.^[xi]

Durante los últimos tres años esta oleada de ataques de falsa bandera no ha cesado. En 2017 se originó el caso Not Petya por parte de Ucrania, en los Juegos Olímpicos de invierno de Corea del Sur se presenciaron varios ciberataques de falsas banderas en la ceremonia de apertura. China, Corea del Norte y Rusia eran los principales sospechosos debido a los rencores comunes contra el país sudcoreano. Finalmente, las investigaciones apuntaron de nuevo contra Rusia. En 2019 el grupo de piratería ruso Turla, pirateaba el sistema de otra organización homónima de procedencia iraní, Oilrig. En esta ocasión se perfeccionaba la técnica utilizada en 2015 contra Daesh, pasando de la simple suplantación de identidad a la acción directa en su nombre a través del hackeo de su sistema.^[xii]

Como bien se ha establecido al comienzo del artículo, es imposible defender a capa y espada la autoría de alguno de estos ataques, pudiéndose considerar sesgadas las posturas frente a los mismos.

Cabe plantearse si la atribución a Rusia de la presunción de culpabilidad está sobre representada en la mente de la sociedad, siendo más que posible que potencias como Estados Unidos o Corea del Norte también estén involucrados en estas operaciones. No hay más que tomar el ejemplo del ataque a una central nuclear india durante diciembre de 2019; todo apunta al Estado norcoreano no cabiendo explicación o motivación alguna.^[xiii]

En lo que incumbe a nuestro país, durante el mes de marzo del pasado año 2019, el CNI informaba sobre un ciberataque contra el Sistema General del Ministerio de Defensa, siendo desconocida su autoría.

Tal y como exponía Andrés Gómez de Ágreda, en este tipo de ataques se dejan pistas falsas que apunten hacía un lugar, dejando mensajes en chino o ruso cuando el verdadero atacante es un aliado que comparte intereses económicos con el Estado víctima.

No parece posible plantearse ataques fingidos sin embargo resulta ser otra manera de aprovecharse de la incertidumbre derivada del anonimato que el ciberespacio proporciona.^[xiv] Hecho que evidencia y confirma esta hipótesis es la divulgación de datos sensibles de empleados públicos llevada a cabo por el independentismo catalán a través de supuestos grupos “hacktivistas”, entre ellos Anonymous o su rama española, la Novena Compañía.

Sin embargo, informes del Centro Criptológico Nacional (CCN-CERT), dependiente del Centro Nacional de Inteligencia (CNI), los califican como hechos de falsa bandera. Tal calificativo se debe a que  estos obtienen dicha información de manera lícita por el hecho de tener acceso a aquel que perpetrara el “ataque”. Se simula un robo de información cuando en realidad se trata de una entidad simpatizante.^[xv]

Como cita Pedro Baños, “En el ciberespacio no hay amigos ni enemigos, es un todos contra todos. La prueba está en cómo los europeos nos espiamos mucho entre nosotros mismos. Tenemos que darnos cuenta de que esto es lo que está sucediendo, que es muy difícil de detectar y cada vez más sofisticado, por lo que hay que hacer un gran esfuerzo para, sino poder realizarlo de una forma ofensiva, al menos sí tener las medidas de seguridad apropiadas”.^[xvi]