¿Ha tratado Rusia de sabotear las elecciones en España? Estos son los indicios que tenemos

El 6 de noviembre de 2016, un grupo de expertos estadounidenses publicó un detallado artículo en el que, con cierta alarma, explicaba lo que se habían encontrado durante sus investigaciones en línea: una larga serie de evidencias que indicaban que Rusia estaba tratando de influir en las elecciones de su país, que tendrían lugar tres días después. “El objetivo de estos esfuerzos podría no ser que Trump sea elegido presidente, sino más bien asegurar que el resultado electoral sea lo más dividido y negativo posible”, señalaban los analistas. Polarizar, sembrar el caos, para lograr —con la ayuda, voluntaria o no, de actores locales— que los estadounidenses dejasen de confiar en su sistema electoral. Una situación que acabó desembocando en el asalto al Capitolio poco más de cuatro años después.

¿Ha intentado Rusia —salvando las distancias— llevar a cabo una operación similar en España? Lo sucedido en los últimos días, que en algunos casos no ha llegado al gran público, podría apuntar en esa dirección: intentos de ataques informáticos a infraestructuras críticas, webs falsas, hashtags pidiendo la abstención, mensajes alertando sobre un atentado inminente de ETA… “Son tantos indicadores a la vez que obviamente hay algo detrás”, opina el profesor Carlos Galán Cordero, experto en tecnología, inteligencia y desinformación, que ha seguido muy de cerca todo lo sucedido. “Hay que tener cuidado, porque señalar a otro país es delicado, pero cuando hay tantos elementos… El éxito ha sido absolutamente nulo, pero el intento está ahí, y parece más o menos claro”, comenta.

TE PUEDE INTERESAR

'Hackers' prorrusos atacan la infraestructura del Ministerio del Interior en plena votación

J. M. Olmo

Las primeras alarmas las hacía saltar el pasado jueves el experto en internet Marcelino Madrigal, quien alertaba en su cuenta de Twitter sobre “indicios de que grupos rusos podrían estar preparando acciones contra infraestructuras para afectar a España durante el proceso electoral”. En concreto, ciertos canales de Telegram de agrupaciones de hackers rusos estaban compartiendo bases de datos y señalando España como objetivo. “Hace mucho tiempo que somos objetivo, y ahora es un buen momento para que Rusia intente esto, con España encabezando la presidencia del Consejo de la UE”, comentó Madrigal ese mismo día al autor de este artículo.

El Confidencial tuvo acceso a uno de estos mensajes, en el canal de Anonymous Rusia, donde se decía literalmente: “Os envío dos partes de las bases de datos de dos importantes servicios españoles y gayropeos [un término utilizado frecuentemente por los ultraconservadores rusos para denigrar la supuestamente decadente Europa]. Masa de correos electrónicos y contraseñas”. Posts similares aparecieron también en otros canales, como los del grupo ruso Killnet, según Madrigal.

El Confidencial contactó con varios expertos en ciberseguridad, tanto del sector privado como de los cuerpos y fuerzas de seguridad del Estado, y la conclusión de todos ellos fue similar: el mensaje no mencionaba de forma directa el proceso electoral en España, y en ese sentido no suponía una gran novedad, puesto que hackers al servicio de Rusia llevaban intentando afectar a las infraestructuras españolas de forma continuada desde el principio de la guerra de Ucrania, si no antes. La base de datos compartida en estos canales, además, estaba anticuada.

TE PUEDE INTERESAR

Un gobierno lanzando ciberataques: así se está intentando parar a los 'hackers' rusos y chinos

Mario Escribano

El pasado junio, varios grupos de hackers rusos liderados por Killnet y REvil habían anunciado ya una alianza para atacar el sistema financiero occidental, que puso a la banca española en guardia por si acaso. En aquel momento, especialistas del sector restaron importancia a la amenaza, señalando que para poder realizar daños significativos se requeriría de sistemas de defensa incompletos, lo cual no era el caso, o de una creatividad inesperada por parte de los atacantes, por la que tampoco destacaban estos grupos. Hasta ahora, los hechos han dado la razón a estas fuentes. Por suerte para nuestro país, porque los piratas informáticos rusos se han empeñado a fondo.

Comienzan los ataques

En paralelo a la movilización de Anonymous Rusia y Killnet, otro grupo de hackers prorrusos llamado NoName057 se ponía en marcha por su cuenta. El miércoles posteaba este mensaje en su canal de Telegram: “El primer ministro [así en el original] español Pedro Sánchez prometió apoyar a Ucrania todo el tiempo necesario. Anunció la asignación de un paquete de ayuda a Kiev por valor de 55 millones €. Apoyar a Bandera [una referencia al histórico líder nacionalista ucraniano, resistente ante la ocupación soviética y colaborador ocasional de las tropas nazis Stepan Bandera] sale muy caro y Pedro ya está pagando un alto precio por participar en la guerra proxy contra Rusia. Esto se calcula no solo con el dinero de los contribuyentes españoles, así como el equipamiento militar, sino también por los propios españoles, o más bien por sus estándares de vida”.

“Las tasas de desempleo durante el mandato de su Gobierno subieron a niveles récords y se convirtieron en las más elevadas en la UE (solo peor en Grecia). La situación de los ancianos, las mujeres, los discapacitados, los segmentos de la población socialmente desprotegidos, ha empeorado de forma visible. La cuestión que emerge, queridos editores… ¿Merece la pena?”, proseguía el mensaje. Y culminaba con esta afirmación: “Hemos tumbado la página oficial del primer ministro y del Consejo de Ministros de España”, junto con una supuesta captura de pantalla de la página caída. Una hora después, aseguraba haber bloqueado la web de la Casa Real.

Poco después de esta primera ronda de mensajes, el grupo prosiguió con su campaña. “España ha enviado los últimos 4 tanques Leopard a 2 banderistas. Esto ha sido anunciado por el Ministerio de Defensa español”, decía. Para añadir a continuación: “Vamos a apoyar a nuestros combatientes y justo ahora vamos a llevar a cabo un ataque DDoS [de denegación de servicio] contra los recursos de España”. Ese mismo post afirmaba haber tumbado la sede electrónica de la Fábrica Nacional de Moneda y Timbre. Ese mismo día atacaron también las webs del Ministerio de Justicia, el Tribunal Constitucional y el Ministerio de Política Territorial. El jueves llegó el turno de la banca: NoName057 atacó y, en algunos casos, logró bloquear durante algunas horas las webs y las aplicaciones móviles de varias entidades bancarias españolas, como el Banco de España, CaixaBank, Bankinter, Abanca, Banco Cooperativo, Caja Rural de Granada, Grupo Caja Rural y Ruralvía. El episodio, por suerte, no fue a más, y el ciberataque fue rechazado con éxito por los equipos informáticos de estas compañías.

TE PUEDE INTERESAR

Un grupo 'hacker' bloquea durante horas las páginas web de bancos españoles

J. Z.

Pero el problema no había hecho más que empezar. La lista de objetivos atacados en las siguientes 48 horas por estos grupos es kilométrica: se detectaron intentos de disrupción en las páginas de los metros de Madrid, Málaga, Alicante y Valencia; el tranvía de Barcelona; los consorcios de transportes de Cataluña y Mallorca; Puertos del Estado, y la compañía de buses Avanza. Durante la misma jornada electoral, se registraron ataques en el consorcio de transportes de Madrid y el metro ligero oeste; la web de la Moncloa; el Ayuntamiento de San Fernando de Henares… Y la guinda de la jornada, las páginas del INE, la Junta Electoral y el Ministerio del Interior, que en el último caso llegó a estar inoperativa durante casi cuatro horas.

A estas alturas, NoName057 no ocultaba que tenía un ojo puesto en el proceso electoral. “España celebra hoy elecciones parlamentarias anticipadas. El primer ministro socialista en el cargo, Pedro Sánchez, compite con su principal rival, el conservador Albert Feijóo [sic], por el voto popular. Podríamos participar adecuadamente en estas elecciones si supiésemos que el resultado podría afectar de algún modo la decisión sobre el apoyo al régimen de Zelenski por las autoridades rusófobas de España con el dinero de sus contribuyentes. Pero, por desgracia, no nos importa si la izquierda o la derecha llegan al poder en este país hoy: ambas partes se adhieren a una postura pro-europea (léase anti-rusa)”, decía en otro mensaje, en el que también afirmaba haber “tumbado la web del Instituto Nacional de Estadística, que publica información sobre las tablas de votación”.

"Que os vote Zelenski"

Horas antes, durante la jornada de reflexión, se había producido un suceso todavía más perturbador: la Asociación de Rusos Libres, una organización que se opone al régimen de Vladímir Putin, denunció que los ciudadanos rusos residentes en España estaban recibiendo un SMS en el que se les avisaba de nuevas amenazas de ETA, que estaría preparando nuevos atentados en suelo español. El mensaje ofrecía un enlace a una supuesta página de la Comunidad de Madrid en la que se daba toda la información, pero que en realidad era una web falsa alojada en un servidor en Rusia.

“Hasta donde yo he tenido constancia, los intentos de hackeo han sido todo ataques DDoS, que no voy a decir que sea fácil porque ningún ciberataque lo es y menos tratándose de instituciones públicas, pero sí es el más sencillo de aplicar para poder hacer daño”, explica Galán. “Pero a mí hay varios temas que me provocan extrañeza. El primero, que esos ataques han sido posteriormente recogidos por trolls prorrusos”, indica. Entre estos, cuentas que pueden vincularse directamente con el ecosistema de medios montado por el Gobierno ruso, como el canal Espíritu Templario —dedicado casi íntegramente a publicar mensajes a favor de la invasión rusa en Ucrania, y que es frecuentemente reposteado por las cuentas de medios estatales rusos en Telegram— o la muy conocida Liu Sivaya, una de las principales voces de la propaganda rusa en español.

Cuando medios españoles empezaron a reportar los hackeos, Sivaya posteó: “HEMOS CANTADO BINGO. Hoy son las elecciones generales en España, hay rumores de pucherazo, así que por si acaso ya están diciendo los medios que salga lo que salga será culpa de Putin”, acompañado de varios emoticonos llorando de la risa. Este tipo de mensaje es una conocida técnica de desinformación muy utilizada por los medios rusos llamada jajaganda, que consiste en ridiculizar y burlarse de cualquier acusación en la que Rusia salga malparado, incluso si las evidencias —como en este caso— son abrumadoras.

“Hay otros elementos que son muy interesantes, como la difusión del hashtag #queosvotezelenski pidiendo la abstención, que fue por primera vez publicado por un canal de Telegram en ruso”, dice este especialista, y que luego pasó a cuentas de sectores más generales de la población española. “También es llamativa la famosa suplantación de identidad de la Comunidad de Madrid. La página web era exactamente igual que la original, excepto que la URL tenía un guion en lugar de un punto. Es obvio para todo el mundo que es falsa porque nadie se cree que ETA vaya a volver a atentar y esas cosas. Lo significativo es que ese tipo de suplantación ya lo habían sufrido los franceses hace dos meses”, indica Galán.

El pasado 13 de junio, el Gobierno francés denunció la existencia de una “campaña numérica de manipulación de la información compleja y persistente” contra “varios Estados europeos, incluyendo Francia, desde septiembre de 2022”. El objetivo de la campaña sería erosionar el apoyo occidental a Ucrania, e incluiría “la usurpación de la identidad de páginas de medios, pero también gubernamentales, de Europa, a través de la técnica de typosquatting, dirigida a reproducir el nombre del dominio”. Exactamente lo sucedido con la web de la CAM. El documento galo solo hablaba de “interferencia extranjera”, sin mencionar ningún Estado en concreto, pero estaba claro que no había más que un país sospechoso. Representantes del Gobierno francés, al comentar la campaña, sí nombraron directamente a Rusia.

TE PUEDE INTERESAR

Un gobierno lanzando ciberataques: así se está intentando parar a los 'hackers' rusos y chinos

Mario Escribano

“Además, un medio ruso llamado Vzglyad publicó dos noticias sobre las elecciones, una tres o cuatro días antes y otra tras conocerse los resultados, y ambas dicen que no se puede confiar en el voto telemático, que hay posibilidades de fraude, etcétera”, prosigue Galán. “Ambas noticias están extraídas en parte de un observatorio digital que tiene Rusia, con todo el sesgo pro-Putin, liderado por un tal Alexandre Bron, sancionado por la UE en febrero”, apunta.

¿Por qué España?

En el ámbito de la ciberseguridad, la cuestión de la atribución es siempre espinosa. Que los perpetradores de los hackeos sean un grupo prorruso no significa que todos sus integrantes sean rusos, y cabría alegar que quizás estos piratas informáticos actúan por su cuenta. No obstante, la concatenación de elementos coordinados entre sí aleja esa probabilidad, y hay que entender la relación que estas agrupaciones de hackers, así como las de crimen organizado, tienen con el Kremlin. Según especialistas como Mark Galeotti, se trata de una especie de pacto faustiano en el que las autoridades rusas permiten operar a estos grupos siempre y cuando no operen en Rusia, y a cambio de poder contar con sus servicios cuando sea necesario. En ese sentido, los hackers rusos llevan participando en operaciones patrióticas de alcance internacional permanentemente desde el inicio de la invasión de Ucrania, y de forma puntual al menos desde principios de este siglo.

Pero ¿qué buscaría Rusia con esta interferencia en unas elecciones en las que ninguno de los candidatos parece muy favorable a los intereses de Moscú? “Por una parte, se busca la deslegitimación de cualquier tipo de sistema democrático, en concreto, en España. Además, yo creo que es un intento de ver qué daño podían hacer con determinadas cosas, ver qué consiguen. Somos un pequeño sandbox en el que han hecho sus pruebas”, indica Galán, aunque clarifica que esta es solamente su opinión personal. “Me da la sensación de que las cuentas implicadas son un poco caóticas, no ha habido una dirección clara sobre lo que se quería conseguir. Pero como hicieron en las elecciones de EEUU, se trata de ir probando hasta que lo afinen”.

TE PUEDE INTERESAR

Cómo los hackers rusos pueden provocar la Tercera Guerra Mundial

Jesús Díaz

El objetivo final, de hecho, podría no ser ni siquiera España. La Unión Europea advirtió el pasado 1 de junio sobre la probable interferencia y manipulación de la información en las elecciones europeas de 2024, citando específicamente las preocupaciones sobre Rusia y China. Los españoles podemos haber sido los conejillos de Indias de un experimento fracasado, pero que no por ello deja de ser inquietante.

Incluso ante el panorama real de ingobernabilidad que dejan los comicios, el hashtag #pucherazo se difundió rápidamente en redes sociales poco después de conocerse los resultados, superando los 17.000 tuits durante la primera hora. De modo que basta con imaginar que uno de los ciberataques hubiese logrado sembrar las dudas sobre la limpieza del proceso electoral en España —probablemente, no es casual que entre los objetivos atacados se encuentren la Junta Electoral, el INE e Indra— y que esto se hubiese combinado con una victoria, incluso apurada, del Gobierno socialista. Las consecuencias para la democracia española podrían haber sido de gran calado.

Hay, además, un antecedente directo: en octubre de 2014, un grupo hacker ruso llamado CyberBerkut logró introducir malware dentro del sistema de recuento de votos de la Junta Electoral de Ucrania, que celebraba elecciones parlamentarias. Los equipos de ciberseguridad del Gobierno ucraniano pudieron eliminar la infección apenas 40 minutos antes del inicio del recuento electoral. De no haberlo conseguido, el malware estaba programado para dar como ganador al líder ultraderechista Dmytro Yarosh en lugar de al verdadero vencedor, Petro Poroshenko. Varias televisiones rusas incluso llegaron a anunciar la victoria de Yarosh en sus informativos.

A Rusia, en cualquier caso, le cuesta muy poco intentarlo: una operación low cost en la que sabe además que, si fracasa, no pierde absolutamente nada. No sería el primer caso, ni el último. Mientras tanto, los ciberataques contra objetivos españoles continúan.