pasaportes diplomáticos y equipos de hackeo

Así se frustró la mayor operación del espionaje ruso de este año en Europa

Alertados por el Reino Unido, los servicios de inteligencia de Holanda impidieron que cuatro operativos recabasen o manipulasen datos de una investigación internacional que involucra a Rusia

Foto: Los operativos rusos detenidos, a su llegada a Holanda. (Fuente: Ministerio de Defensa holandés)
Los operativos rusos detenidos, a su llegada a Holanda. (Fuente: Ministerio de Defensa holandés)

Los cuatro hombres llegaron al aeropuerto Schiphol de Ámsterdam el 10 de abril. Aterrizaron en un vuelo directo desde Moscú, cada cual con su maleta, y pasaron por el control de pasaportes, donde presentaron la documentación que les acreditaba como diplomáticos de la Federación Rusa, lo que les aceleró todo el proceso de seguridad y les dio una cierta inmunidad para que no fuesen registrados completamente. En la zona de familiares les esperaba un empleado de la embajada rusa, que los recogió y los trasladó hasta su hotel, el Marriott de La Haya.

El lugar no había sido elegido al azar: estaba situado a unos pocos metros de la institución más polémica del momento, la Organización para la Prohibición de las Armas Químicas (OPAQ), que se encontraba investigando dos casos que involucraban directamente a Rusia y a sus aliados. Los cuatro hombres descansaron del viaje, se tomaron unas cervezas y al día siguiente no perdieron el tiempo. A primera hora de la mañana, el equipo se dirigió a alquilar un Citroën C3, nada que llamase la atención. Algo donde cupiese el material informático necesario para atacar la red de la OPAQ.

A la par que ellos se preparaban para su misión, el servicio de inteligencia militar holandés (MIVD) recibió una alerta de su homólogo británico sobre una sospecha de que los rusos estaban preparando algo contra la institución internacional. No sería la primera vez que harían algo así: Fancy Bears ya había accedido a los ordenadores privados del Partido Demócrata para obtener y filtrar información sensible sobre la campaña de Hillary Clinton. Los datos ofrecidos por los británicos no eran muy específicos, pero llamaron la atención de los holandeses, que, en calidad de anfitriones, están a cargo de la seguridad de la OPAQ. Un ataque informático contra dicho organismo, en un momento clave como el pasado abril, no sería nada extraño.

Lo que sigue es el relato de cómo Holanda logró atrapar a cuatro miembros del famoso grupo Fancy Bear, asociado con la agencia de inteligencia militar rusa (GRU), con las manos en la masa, mientras llevaban a cabo una compleja operación de ciberespionaje destinada a obtener o manipular los datos de una investigación internacional sobre la presunta responsabilidad rusa en varios crímenes de guerra. La operación secreta parece la versión mala de la película "Misión imposible", pero al operativo holandés, para frustrar el ciberataque, solo le hacía falta un toque James Bond.

El contexto lo explica todo. Los inspectores de la OPAQ estaban investigando el envenenamiento del exespía ruso Sergei Skripal y su hija en la ciudad británica de Salisbury. Londres acusa directamente a Moscú de ese ataque porque, según sus investigaciones, el veneno utilizado fue un agente nervioso llamado Novichok, de fabricación militar. Rusia es el "único país" con "los medios técnicos, la experiencia operativa y el motivo" para hacer algo así, dijo el Reino Unido.

Investigadores forenses entran en la casa de un afectado por el recipiente de Novichok utilizado en el atentado contra Serguéi Skripal, en Amesbury, el 6 de julio de 2018. (Reuters)
Investigadores forenses entran en la casa de un afectado por el recipiente de Novichok utilizado en el atentado contra Serguéi Skripal, en Amesbury, el 6 de julio de 2018. (Reuters)

Intereses sobre Siria

Al mismo tiempo, el mundo se estaba llevando las manos a la cabeza porque los grupos sirios conocidos como Cascos Blancos publicaron unos videos con imágenes sangrientas posteriores a un bombardeo que demostraban, según su versión, que el régimen de Bashar al Assad, aliado íntimo de Vladimir Putin en Oriente Medio, había utilizado armas químicas contra los civiles en la localidad siria de Duma.

Al menos 42 personas habrían muerto por ese ataque, que provocó la ira de la comunidad internacional y sirvió de argumento para que EEUU, Reino Unido y Francia actuaran al unísono y atacaran posiciones de Al Assad en Siria, utilizando bombardeos aéreos, misiles proyectados desde buques en el Mediterráneo y aviones tripulados. Lograron destruir, según su versión, instalaciones asociadas al programa de armamento químico de Damasco.

La situación tenía en vilo a Rusia. Occidente empezó a expulsar a diplomáticos rusos como sanción, mientras acusaba a Moscú de usar armamento químico en el –todavía- territorio europeo y de apoyar a Assad en el uso de armas prohibidas contra civiles. Putin y su ministro de Exteriores, Sergei Lavrov, lo negaron por activa y por pasiva. Sobre Siria, decían que todo fue una “pura acción inventada" y las personas que aparecen en los vídeos en hospitales de Duma "son actores voluntarios". Sobre Skripal, Moscú llegó a asegurar que todo estaba orquestado por Londres en su guerra de “informaciones falsas” contra Rusia. Un intento de los servicios secretos rusos de acceder al sistema informática de la OPAQ, por tanto, tendría mucho sentido. Para obtener información sobre las investigaciones, o para manipularlas.

El GRU, fundado en 1918 por el Ejército Rojo y bajo órdenes de Trotsky, es un servicio rodeado de misterio y discreción. Depende directamente del presidente, Vladímir Putin, y sus operaciones se suelen desarrollar básicamente en el extranjero. Se le relaciona con el derribo -probablemente accidental- del vuelo MH17 de Malaysia Arlines en 2014, así como con actividades en Ucrania y Siria, o con el intento de asesinato de Skripal. Sus grupos de hackers, como Cozy Bear o Fancy Bear, lograron piratear la red de la Casa Blanca, el Departamento de Estado, diferentes ministerios de Defensa, multinacionales y agencias de diferentes Gobiernos.

Los cuatro oficiales rusos eran con toda seguridad agentes del GRU y, según sus pasaportes, respondían a los nombres de Aleksei Morenets, Evgenii Serebrjiakov, Oleg Sotnikov y Alexej Minin, Los dos primeros son identificados como expertos cibernéticos y sus números de pasaporte son sucesivos, es decir, fueron registrados en el sistema en el mismo momento y lugar. Los otros dos, ofrecían servicios de apoyo. En total, se habían repartido 20,000 euros y 20,000 dólares en efectivo por si había que salir corriendo, y circulaban por La Haya como un cuarteto inseparable. El 12 de abril fue un día de exploración de la ciudad, del terreno, de conversaciones con la embajada. El resto de sus planes no fueron desvelados por el MIVD.

El 13 de abril era la fecha elegida para llevar a cabo los planes, su último día en Holanda. Antes de hacer el check-out en la habitación del hotel, recogieron toda su basura, papeles y latas de cerveza, como medida de precaución y para minimizar el rastro que dejan. La bolsa de la basura se la llevaron con ellos al coche. Se dirigieron entonces a su vehículo de alquiler, que habían estacionado en el parking del Marriott, lo más cerca posible del edificio de la OPAQ, justo por la parte trasera de las oficinas de esta institución y cerca de las instalaciones de la red de internet.

El hotel Marriott de La Haya, situado junto a la sede de la OPAQ, al fondo. (Reuters)
El hotel Marriott de La Haya, situado junto a la sede de la OPAQ, al fondo. (Reuters)

Equipos de intercepción

En el maletero llevaban el equipo de pirateo que iban a utilizar: un ordenador, un amplificador de señal, un panel de antenas de wifi, un transformador y varios teléfonos. Todo este material debía estar cerca del edificio para que la conexión se pudiera hacer de forma correcta. Su plan era interceptar los datos de inicio de sesión de los empleados y acceder a la información en el sistema para determinar, probablemente, en qué punto se encontraban las investigaciones sobre el uso de armamento químico.

Sin embargo, no fue hasta las 16.30 horas cuando abrieron el maletero y activaron todo el equipo que llevaban consigo. Ese fue el momento en el que las autoridades holandesas decidieron intervenir y evitar que obtuviesen información sensible. La reacción de Morenets no dejó lugar a dudas sobre sus intenciones: golpeó su teléfono contra el suelo y lo intentó destruir para que sea inaccesible a las autoridades, un gesto analizado como “absurdo” por el MIVD, porque no es fácil destruir los datos almacenados en el móvil. Serebrjakov poseía el equipo específico para realizar las operaciones de pirateo, pero no intentó cargárselo.

El método de ataque que querían utilizar no era novedoso: un amplificado de señal y un dispositivo de piratería disponible en el mercado. Los servicios secretos procedieron a su retención -que no detención-, y los trasladaron de inmediato al aeropuerto para ponerlos en un vuelo directo de vuelta a Moscú. Se les había acabado el tour. “Estos caballeros no estaban de vacaciones en Holanda. Además, habían sacado su propia basura del hotel, y eso no era porque son muy respetuosos con el medio ambiente”, añadió Onno Eichelsheim, director del MIVD.

Los nombres que los cuatro agentes llevan escritos en el pasaporte parecen sus nombres reales. No son agentes muy secretos, al menos por toda la información que existe sobre su persona en internet. Morenets, de 41 años, era parte de un equipo de la unidad 26165 de GRU. Ha viajado por el mundo en busca de datos sobre las investigaciones contra Rusia. Su perfil también se encuentra en una web rusa de citas, mylove.ru, como hombre que busca mujeres residentes en Moscú de entre 21 y 30 años. Se define como hombre de etnia blanca y ateo. Se hizo su foto de perfil en el Komsomolsky Prospekt, con el edificio de Panasonic a sus espaldas y la sede del GRU a unos metros.

Morenets tiene un compañero de viaje: Serebrjiakov, de 37 años, con quien estuvo en Brasil y Suiza. Este experto informático jugó en la Liga de Fútbol Amateur de Moscú (LFL) entre 2011 y 2013, y en un grupo de futbol de la capital rusa conocido coloquialmente como “el equipo de los espías”, según The Moscow Times. “Nuestro equipo es conocido como el equipo de los ‘servicios de seguridad’. Casi todos trabajan para una agencia de inteligencia”, confirmó un miembro actual del equipo, Yan Yershov, de 25 años, al diario ruso. De los dos que viajaron como apoyo, hay menos información en internet.

Material de hackeo incautado en el vehículo Citröen durante la operación. (EFE)
Material de hackeo incautado en el vehículo Citröen durante la operación. (EFE)

De Brasil a Malasia

Los holandeses mantuvieron en silencio lo sucedido en La Haya, hasta la semana pasada, coincidiendo con varias alertas sobre el aumento de las actividades de ciberataques rusos. Entonces, decidieron hacer público el operativo y la información que obtuvieron de la investigación posterior.

El ordenador y algunas de pertenencias de los cuatro agentes se quedaron en Holanda, en manos del MIVD, que entonces se puso a investigar este asunto para determinar hasta dónde habían llegado los operativos rusos. Uno de los teléfonos se había activado el 9 de abril en Moscú, muy cerca del cartel general del GRU. Tenía fotos del edificio de la OPAQ e incluso una imagen de Oleg Sotnikov posando en la Estación Central de La Haya. Por su parte, Morenets tenía guardado un recibo del taxi que le había trasladado desde la entrada trasera del GRU hasta el aeropuerto de Moscú, el 10 de abril. “Lo tenía guardado para declarar los costes, seguramente”, concluyó Eischelsheim.

Del equipo incautado a Serebrjakov se pudo concluir que era un enviado muy especial. En los últimos años, había estado siempre en el lugar de la noticia. Entre el 20 y el 22 de septiembre de 2016, su ordenador estuvo activo en Lausana, Suiza, en el mismo periodo en el que un funcionario canadiense de la Agencia Mundial Antidopaje (AMA) denunció que había sido hackeado. Este organismo estaba investigando el dopaje generalizado de los atletas rusos, lo que ha llevado a la prohibición de docenas de competidores y al bloqueo del país de los eventos internacionales. En la misma computadora, había fotografías de uno de los espías en los Juegos Olímpicos de Río de Janeiro, en 2016.

Entre el 16 y el 22 de diciembre del mismo año, el informático ruso también estuvo en un hotel de Kuala Lampur, en Malasia, en el mismo distrito donde se encuentran las organizaciones involucradas en las investigaciones del MH17, derribo del que Holanda acusa a Moscú. Además, según el historial de búsquedas, Serebrjakov había buscado información sobre la OPAQ, sus alrededores y sobre el laboratorio suizo que llevó a cabo investigaciones sobre el uso de armas químicas en Siria.

“El hecho de llevar cosas que usó en una operación de espionaje anterior parece un error de principiante", según Willemijn Aerdts, investigador de servicios de inteligencia en la Universidad de Leiden. Además, los cuatro rusos tenían en su posesión varios documentos de los que el MIVD concluyó sus planes futuros: estaban interesados en instalaciones diplomáticas de Berna y Ginebra. Su intención era tomar un tren hacia Suiza unos días después del ataque frustrado a la OPAQ y ya tenían billete para el 16 de abril desde la Estación Central de Utrecht.

Las autoridades holandesas decidieron deportarlos, en lugar de detenerlos, e iniciar una investigación criminal que podría tensar aún más las relaciones con Rusia. Muchos se han preguntado por la razón de esta decisión, que se justificaría también por el pasaporte diplomático con el que entraron a Holanda: es un estatus que impide que sean procesados en el país de llegada. Ni Rusia ni Holanda hicieron pública la deportación y todo siguió su cauce. “No quiero decir que les dejamos irse, hemos interrumpido su operativo. Así es como hacemos este tipo de operaciones de contrainteligencia", afirmó Eichelsheim. Ahora que todo se sabe, Moscú tiene una explicación: "Occidente tiene una obsesión con los espías", en palabras de la portavoz del Kremlin, Maria Zacharova.

Mundo

El redactor recomienda

Escribe un comentario... Respondiendo al comentario #1
9 comentarios
Por FechaMejor Valorados
Mostrar más comentarios