Así trabajan los informáticos rusos que cazan cibercriminales

En la novena planta de un anónimo edificio de la calle Sharikopodshipnikovskaya, en Moscú, está Grupo IB, la primera empresa privada de cazadores de cibercriminales de Rusia, creada en 2003. En su oficina hay hoy colgado en una pared una enorme estampa con una escena de Kill Bill de Tarantino, dibujos del hombre sin cabeza de Anonymous, fotografías de personajes de Star Wars y otras del presidente ruso Vladímir Putin con el fundador de la compañía, Ilya Sachkov. Y también cartas de elogios de cuerpos de seguridad europeos, policías rusos e instituciones tan diversas como la OSCE, bancos, multinacionales, centro de empleo, tabaqueras, Microsoft. Supuestos buenos y supuestos malos aquí se funden en una realidad más compleja que lo poco que se conoce de las guerras informáticas que se libran en la red.

“Nuestro principal trabajo es monitorizar y contrastar los ataques cibernéticos que se llevan a cabo en cirílico, identificar a hackers y cibercriminales, cómo han actuado, quiénes les han pagado, dónde se ha originado el ataque. Y luego entregar esa información a la policía y a nuestros clientes, que son en mayoría empresas”, sostiene Dmitry Volkov, cofundador de Grupo IB y director de Tecnología de Inteligencia de Amenaza (Threat Intelligence) de esta empresa de Moscú. “Es un trabajo complejo, que puede llevar meses, incluso años. Pero todo ataque cibernáutico deja rastros y esos son los indicios que se pueden seguir”, asegura Volkov, al añadir que -sorpresa- recientemente también han empezado a colaborar con Interpol y la europea Europol.

TE PUEDE INTERESAR

Por qué los rusos ya no creen a los defensores de Putin: “¡Soy una persona real, no un bot!”

Javier C. Escalera. Moscú

En un mundo en el que una minoría utiliza procesos digitales avanzados mientras la mayoría se queda cada vez más en la cuneta, el crecimiento de Grupo IB ha ido en paralelo con la multiplicación de virus, de los programas de 'phishing' (suplantación de identidad para obtener datos personales) y otros tipos de malware (programas maliciosos). “El año pasado, hemos pasado de 70 empleados a 250 y estamos buscando más personal”, asevera Volkov, de 43 años y licenciado por la Universidad Bauman de Moscú. A decir de este analista, es precisamente su nacionalidad una de las claves de su éxito. “Los rusohablantes son una de las primeras comunidades productoras de 'malware' bancario, por lo cual para nosotros es más fácil infiltrarnos. Hablamos su mismo idioma, lo que [a los cibercriminales] les genera menos suspicacias, por el miedo que le tienen al FBI estadounidense”, argumenta Volkov. “Pero, ojo, rusohablantes no significa necesariamente rusos”, añade.

Fueron los equipos de Grupo IB los que detectaron en 2010 a los hermanos Popelysh, dos de los primeros criminales cibernéticos arrestados en Rusia, por el robo de 13 millones de rublos de 170 clientes de bancos en 46 regiones de Rusia. En 2016, sus pesquisas llevaron al desmantelamiento del grupo Cron, una pandilla de ciber-criminales que había infectado un millón de teléfonos móviles y estaba planeando ataques contra los bancos Credit Agricole, BNP Paribas y Société Générale. Y su empresa también investigó el virus WannaCry, considerado el mayor ataque con software maligno de la historia —que puso en riesgo a Telefónica, FedEx y el sistema sanitario británico —, logrando obtener pruebas del nexo con Corea del Norte. “De lo que no hay dudas es de que los rusos son de los mejores en hackeo y contrahackeo”, comenta un fiscal europeo conocedor del asunto.

El estigma de Kaspersky

Esa es la delgada línea por el que transitan las cuestiones de seguridad nacional de los Estados -como lo fue el virus WannaCry y lo es, por ejemplo, el lavado de dinero a través de internet- y las disputas geopolíticas entre los países, cuyos confines no son siempre claros. Un ejemplo ha sido lo ocurrido con otra empresa rusa, la Kaspersky, propietaria de uno de los antivirus más populares en el mundo, y que en septiembre fue vetada por el Gobierno estadounidense, supuestamente por el miedo de Washington a que el Kremlin la estuviese usando para el espionaje. “Ni Kaspersky Lab, ni su fundador y CEO, Eugene Kaspersky, tienen vínculo alguno con gobierno y la compañía nunca ha ayudado, y nunca lo hará, a gobiernos en el mundo en acciones de ciberespionaje”, ha hecho saber Kaspersky, en una respuesta a una petición enviada por esta periodista. “La compañía está siendo acusada injustamente, sin ninguna evidencia contundente que sustente estas acusaciones falsas (…) cree fervientemente que una investigación más profunda a Kaspersky Lab confirmará que estas acusaciones son infundadas”, ha añadido.

De hecho, Kaspersky, fundada en 1997 y que en 2008 puso en marcha un centro de investigación similar al del Grupo IB, ha rechazado desde el comienzo la acusación estadounidense y también se ha ofrecido a dar el código fuente de sus antivirus. Su argumentación, que es también la de Grupo IB, es que nunca han trabajado para ciberespionaje ruso, aunque sí para el ministerio de Defensa de este país, como hacen numerosas empresas informáticas con sus respectivos Estados, algo que se debe a que la seguridad en la red es parte de la defensa nacional. De poco ha servido. Desde entonces, la fuga de clientes de Kaspersky ha sido continua.

TE PUEDE INTERESAR

Guerra mundial Troll

Mario Saavedra

Se trata, en todo caso, de un campo de batalla todavía en evolución y opaco. Testigo es el caso de Stuxnet —ya parte de la casuística mayormente estudiada—, el virus que entre 2009 y 2010 saboteó las centrifugadoras nucleares en Irán y cuya autoría, según diversas investigaciones —también reportadas por The New York Times—, ha sido vinculada a Israel y Estados Unidos. No obstante, ni en este caso, ni en los de los ataques por el cual han sido responsabilizado el Gobierno ruso, las pruebas han sido definitivas y los involucrados han admitido su vinculación. En este borroso panorama, en los últimos 15 años, Grupo IB ha asumido miles de casos, aunque desde la compañía dicen que no pueden dar la cifra exacta, que, al igual de que el nombre de muchos de los clientes, también es confidencial. El nivel de secretismo es tal que los trabajadores hacen una prueba del polígrafo antes de ser contratados y luego la repiten cada seis meses. El motivo oficial es evitar que algún 'black hat' [criminal cibernético] se haga con la información que se gestiona.

En la Sección de Respuesta de Emergencias Informáticas de Grupo IB hay una veintena de informáticos que no superan la treintena. Trabajan las 24 horas los siete días de la semana, turnándose. Se ocupan de defender a clientes privados de ataques DDoS, intrusiones en las redes y robo de datos, phishing, fraudes bancarios, infracciones contra marcas registradas, redes de botnets (robots que se emplean para ilícitos en la red). Sentados detrás de sus ordenadores, vigilan los ataques en tiempo real. “Los ataques a los bancos son lo más común, pero también hemos detectado que ahora los piratas informáticos se están concentrado, por ejemplo, en las compañías de criptomonedas, que son bastante vulnerables”, explica el canadiense Nikolas Palmer, director del Negocio Internacional de Grupo IB, al añadir que, al igual que los criminales, también sus cazadores están creciendo en números importantes en todo el mundo.

“Es un negocio millonario”, añade, de pie delante de una pantalla en la que se ven las direcciones IP [número que identifica a un ordenador en una red] de Estados Unidos doblar las de Rusia, por cantidad de ataques. “Aunque eso no significa que los atacantes sean estadounidenses. Hay que recordar que las IP se pueden alquilar”, aclara Palmer, en hacer hincapié en otro de los trucos que usan los cibercriminales para escaparse de sus cazadores.

Perseguir las noticias falsas no es negocio

Pero si el negocio más rentable, en particular, se origina hoy en las empresas y organizaciones que buscan formas para defenderse de robos y espionajes, los Estados siguen siendo los encargados de perseguir a los criminales. De ahí que la actividad principal de Grupo IB siga la generada por su laboratorio de análisis forense, el encargado de buscar las pruebas y evidencias de la comisión de los delitos y que es hoy día uno de los mayores en Europa del Este.

Aquí el perito informático se llama Oleg Skulkin y a su cargo tiene a 15 expertos con la experiencia para recuperar todo tipo de datos -fotos, vídeos, audios, textos- de teléfonos y ordenadores. “Nuestro horario de trabajo es de ocho horas, aunque si hay emergencias también nos despiertan en plena noche”, explica. A su lado, Skulkin tiene un grueso maletín negro, que es el que se usa en las investigaciones sobre el terreno. En él, hay aparatos para clonar todo tipo de dispositivos, incluso, dice, información borrada o manipulada por sus propietarios.

El hermano pobre de todo esto son las noticias falsas, cuya difusión, desde un punto de vista técnico, Skulkin no cree que pueda ser considerada un ataque cibernético, aunque algunas de las personas detrás puedan ser personas con altas capacidades en el asunto y gran disponibilidad de dinero. Por eso, según Skulkin, sí se pueden considerar un delito, puesto que, “dependiendo de su fuerza de intrusión y de la capacidad de defensa del atacado”, las noticias falsas pueden influir y manipular procesos democráticos como las elecciones, o crear campañas de desprestigio político en momentos delicados para los países.

TE PUEDE INTERESAR

El Kremlin contra el mundo: Bienvenidos a la segunda Guerra Fría

Daniel Iriarte Pablo López Learte Tamara Osona Carmen Castellón Antonio Esquembre

El Gobierno ruso ha sido acusado de ello por Estados Unidos y por algunos gobiernos occidentales, aunque desde Moscú se sostiene que las pruebas no son contundentes, una postura que comparten también algunos peritos informáticos europeos. La razón de la confusión es que -también en este caso- se trata de un fenómeno difícil de rastrear y empañado por la propaganda de todos los bandos. “Los nombres de los responsables que ahora son públicos son los de empresarios cercanos a Putin, pero no sé más que eso”, cuenta Vitaly Bespalov, un extrabajador de una fábrica de noticias falsas de San Petersburgo.

Bespalov recibía unos 700 dólares al mes por crear contenidos falsos sobre el conflicto en Ucrania y algunos otros temas relativos a Europa y Estados Unidos, hasta que un día decidió abandonar el puesto y hacer pública su historia. “Me pagaban en efectivo y nunca supe con exactitud de donde provenía ese dinero”, sostiene Bespalov. "En donde yo trabajaba había 200 personas, pero a la mayoría los veía poco y nada, cuando íbamos a comer o fumábamos", añade. Por su parte, Volkov, el cofundador de Grupo IB, dice que el asunto está en que las noticias falsas no son la prioridad. “Nosotros cobramos por nuestros servicios y, al no tener peticiones, no estamos investigando sobre este fenómeno”, afirma. “Aunque, sin lugar a dudas, también es un fenómeno interesante”.