Este expolicía persiguió a terroristas del ISIS en internet y avisa del peligro que viene

Hubo unos años, hace casi una década, en los que volvimos a sentir miedo al hacer cosas tan cotidianas como subirnos a un tren, ir a una sala de conciertos o movernos en grandes aglomeraciones. Empezó en enero de 2015, tras el atentado yihadista contra la revista satírica Charlie Hebdo, que dejó 12 muertos. Luego llegaría un goteo de terror: atentados en Copenhague (5 muertos, 2015), París (130 muertos en 2015, 90 de ellos en la sala Bataclan), Bruselas (35 muertos, 2016), Niza (84 muertos, 2016), Berlín (11 muertos, 2016), Londres (6 muertos, 2017), Barcelona (16 muertos, 2017)... Stéphane Duguin recuerda aquella época como una de las más sombrías y estresantes de su carrera. "Era un juego del gato y el ratón. Ellos subían contenido de asesinatos, violaciones, torturas... nosotros corríamos a eliminarlo", recuerda sosteniendo la mirada. Con "ellos" se refiere al ejército de propaganda online detrás de los terroristas del ISIS y Al Qaeda.

Igual que las agencias de inteligencia y cuerpos de policía de toda Europa luchaban sobre el terreno contra la nueva oleada de terrorismo islámico que se produjo sobre todo entre 2015 y 2019, un equipo de decenas de agentes en la sede de Europol, en La Haya (Países Bajos) hacían lo mismo detrás de las pantallas. Stéphane Duguin (Saint-Étienne, 50 años) fue el encargado de montar y liderar esa unidad, el Centro Europeo de Cibercrimen, conocido como EC3. Este especialista en informática forense, que comenzó en realidad trabajando de capitán de policía en París, aterrizó en Europol para luchar contra los cibercriminales y acabó en la unidad antiterrorista.

"Me tocó justo el peor periodo de atentados islámicos en Europa. Fue duro", reconoce. Su labor no solo era intentar frenar la propaganda yihadista en internet, también consistía en identificar terroristas y facilitar información a otras unidades y cuerpos de policía nacionales. Se fue en 2019, después de una década en Europol, para pasar a defender a las víctimas, en este caso de ciberataques. Desde el 2019, es el máximo responsable de la ONG CyberPeace Institute, cuyo objetivo es defender de los hackeos a quienes no tienen recursos para evitarlos. Y ahora avisa del problema que se nos viene encima: la desinformación y los ciberataques en la era de la IA.

TE PUEDE INTERESAR

Alcasec 'reventó' Hacienda y ahora cobra por proteger empresas: "La cárcel me cambió"

Manuel Ángel Méndez Fotografía: Daniel González

PREGUNTA. Estuvo 10 años en Europol. No es un cuerpo policial en sí mismo, ¿cómo funciona exactamente?

RESPUESTA. Europol es la agencia europea para la cooperación policial. No tiene poder policial, sino que coordina todas las investigaciones en Europa y más allá sobre grandes grupos criminales. Trabajé primero en temas de cibercrimen, era el jefe de personal del European Cybercrime Center, el EC3. Fui de hecho el encargado de crear y desarrollar ese centro. Lo primero que hicimos fue conectar los datos de investigaciones internacionales. Si quieres investigar el cibercrimen, tienes que ser transnacional. Esto dio lugar a numerosas operaciones. Un ejemplo es Lockbit, uno de los mayores grupos de ransomware del mundo, desmantelado hace unas semanas.

P. Lockbit ha atacado a múltiples empresas y organismos españoles, entre ellos el Ayuntamiento de Sevilla o el bufete de abogados Sagardoy. A los pocos días de la operación de Europol, sin embargo, Lockbit aseguró que volvía a estar operativo.

R. Pasa cada vez que se desmantela a uno de estos grupos. Es como una hidra, si le cortas una cabeza salen otras dos. Y uno puede decir, vale, entonces, ¿de qué vale? ¿Para qué gastas todos estos recursos? Porque es como funciona la ley, tienes que gastar todo ese dinero para exigir responsabilidades a ciertos actores. Conseguir que, una vez se desmantela un grupo, desaparezca la actividad delictiva tiene mucho que ver con la cooperación entre países. En otros casos, como los cibercriminales que atacaban bancos con un malware llamado SpyEye, se consiguió detener por completo.

P. Empezó combatiendo el cibercrimen, pero luego se pasó a la unidad antiterrorista.

R. Sí, fue en el 2015. Creé y lideré la unidad para combatir la propaganda online de Al Qaeda y Daesh. Éramos los responsables de detectar toda la propaganda, eliminarla, identificar terroristas y ayudar en las investigaciones digitales. Fue justo después de los atentados en Charlie Hebdo y durante los 4 siguientes años. Cuando ocurrió la masacre de Bataclán, de Niza, los atentados de Barcelona… De hecho, teníamos en esta unidad una buena representación enviada por España de agentes de la Policía Nacional y la Guardia Civil.

P. Trabajó también en la investigación de la masacre en la mezquita de Christchurch, en Nueva Zelanda, en 2019. Fue el primer atentado de ese tipo que se retransmitió en directo en Facebook.

R. Además de Al Qaeda y Daesh, también perseguíamos terroristas de extrema derecha. El caso de Christchurch fue tal vez el más importante de ese tipo. Había individuos de extrema derecha creando propaganda desde Nueva Zelanda, pero a la que se accedía también en Europa, por eso nos involucramos. Pese a ser Europol, colaborábamos en investigaciones a nivel mundial.

P. ¿Cómo ha cambiado la propaganda terrorista de los años del ISIS a la que vemos hoy en día en guerras como la de Ucrania o Gaza?

R. La mecánica detrás no ha cambiado tanto. Siempre hay un productor de contenido, un grupo de personas que está en el centro de la creación y diseminación inicial a través de redes sociales y apps de mensajería. Y luego hay una parte enorme de la propaganda que apenas se tiene en cuenta, la que se transmite a través de medios tradicionales. Tampoco ha cambiado mucho la victimización que se produce. Lo que compartía Al Qaeda o Daesh eran fotos y vídeos de gente asesinada y torturada. Estas personas fueron víctimas y permanecen durante mucho tiempo víctimas en internet, casi para siempre. Eso era parte de lo que intentábamos, eliminar esos contenidos pensando en las víctimas.

P. ¿Es posible eliminarlos por completo?

R. No siempre. Nuestra estrategia era que ese contenido estuviera lo menos accesible posible en internet para ciudadanos europeos. En ese momento existía el problema de los lobos solitarios, jóvenes que vivían en Europa, desarraigados, que veían esa propaganda y pensaban que era una buena idea irse a la otra parte del mundo a luchar por un país que ni siquiera conocían. Por supuesto, esos vídeos eran solo una parte del proceso de radicalización, pero jugaban un papel.

"Ahora la UE te puede ordenar eliminar cierto contenido. No hay negociación, no hay debate. Las tecnológicas lo tienen que hacer".

P. La cooperación de las tecnológicas, de Facebook, Google, Telegram etc, es fundamental en estos casos. ¿Les ayudaban?

R. Era uno de los grandes problemas. Eran muy lentas en reaccionar o directamente no hacían nada. No sé si es que no les importaba o cuál era el motivo, pero lo que sí pude comprobar es que los recursos que invertían no estaban al nivel de la amenaza. ¿Era técnicamente posible hacerlo? Se puede debatir sobre eso, pero desde luego su esfuerzo no estaba a la altura. Recuerdo cuando ocurrió la masacre de Christchurch, les llamábamos porque las imágenes se estaban difundiendo tan rápido que no eran capaces de gestionar el volumen de vídeos y mensajes. Es su responsabilidad.

P. ¿Siguen sin colaborar?

R. La cosa ahora ha cambiado. Antes era una autoregulación, eran las tecnológicas las que decidían si colaborar o no. Ahora hay dos nuevas leyes que han cambiado esto en Europa. Una es el reglamento contra la difusión online de contenidos terroristas y la otra es la directiva de servicios digitales, la DSA. Ahora hay un marco legal por el que la UE te puede ordenar eliminar cierto contenido. No hay negociación, no hay debate. Lo tienen que hacer.

P. En la guerra de Ucrania estamos viendo una combinación de propaganda y ciberataques que no habíamos visto en conflictos anteriores.

R. Sí, se está produciendo una convergencia de ambas amenazas. Hay varias formas en las que esto está ocurriendo tras la invasión de Rusia. Hemos visto ciberataques en los que se roban datos, se manipulan y luego se inicia una campaña de desinformación. O al revés, diseminas tanta desinformación que eso hace mucho más sencillo lanzar un ciberataque. Un buen ejemplo de esto fue la pandemia del Covid. Se diseminó tanta información estúpida que podías crear una página web, compravacunas.com, y timar a millones de personas. Ahora ambas cosas, desinformación y ciberataques, van más unidas que nunca.

P. ¿Qué impacto está teniendo esto en el desarrollo de la guerra?

R. Es muy difícil decir qué impacto hay en el campo de batalla. Pero, ¿tiene un impacto a nivel general? Sí, desde luego. Desde la invasión en 2022 de Ucrania hemos visto un giro en términos de cómo la gente se involucra en una guerra que está a miles de kilómetros de distancia. Si quieres participar en un conflicto, tienes que ir, coger un arma y luchar. Pero lo que hemos visto con la guerra de Ucrania es que cualquiera en el mundo puede participar atacando a alguna de las dos partes a través de ciberataques. Y eso tiene una implicación legal. Si tú una mañana te levantas y en lugar de ir al trabajo decides lanzar un ciberataque a un hospital de Ucrania o Rusia, al hacerlo, estás perdiendo tu estado de civil y puedes pasar a ser considerado un combatiente. Eso significa que la parte atacada puede tener derecho a tomar represalias contra ti. Esta es una de las formas en las que han cambiado los conflictos, todos pueden ser combatientes desde sus casas.

P. ¿Está ocurriendo algo parecido en la guerra en Gaza?

R. Sí, estamos viendo lo mismo. El conflicto es diferente, pero en Israel hay una enorme guerra de desinformación en marcha. Cada parte se quiere asegurar de que envían un mensaje que les posiciona como víctimas y no como agresores. Es importante hacerse dueño del espacio informativo, porque eso te facilita cerrar alianzas con otros países. Lo que hemos visto es que cibercriminales activos tras la invasión de Ucrania se han activado también tras los atentados de Hamás en Israel el 7 de octubre y la posterior agresión de Israel en Gaza. Y no es por dinero, es por desinformación, el objetivo es geopolítico. No necesariamente son gente con apoyo de un estado, en muchos casos son gente que siente afiliación a una u otra parte. Es como lo que vimos hace años con Al Qaeda o Daesh, individuos que no forman parte de esos grupos pero que decidían tomar parte tras estar sometidos a desinformación o propaganda.

P. Este año tendremos elecciones europeas y en EEUU. Hay mucha preocupación por el rol que puede jugar la inteligencia artificial en cuanto a desinformación y ciberataques.

R. Es normal. La IA va a acelerar la producción de contenido. Podrás crearlo más rápido, mejor y con menos recursos. La actividad delictiva y la proliferación de contenido dañino no va a hacer más que crecer. Piensa en imágenes de abusos de menores, estafas, desinformación… Esto es un hecho. Pero, ¿va la IA a acelerar los ciberataques? Está por ver. La IA va a facilitar el acceso a la programación de malware o la identificación de vulnerabilidades en los sistemas, pero también ayudará a los que los defienden a detectar amenazas y parchear los sistemas. Entrenar un gran modelo de lenguaje (LLM, en sus siglas en inglés) para lanzar ciberataques es algo costoso y complejo, no será sencillo para un grupo de ciberdelincuentes tener acceso a ello. Necesitas muchos datos, capacidad de procesamiento y talento, que es muy escaso. Pero hay una importante excepción a esto: los estados. Ellos sí que tienen datos, capacidad de procesamiento y talento, tienen recursos.

TE PUEDE INTERESAR

Ronald Deibert: "España es cliente de NSO, veremos más casos de móviles espiados"

Manuel Ángel Méndez

P. En la lucha contra el cibercrimen y el terrorismo, las policías nacionales de media Europa, entre ellas la Policía Nacional y la Guardia Civil en España, defienden debilitar el cifrado para acceder a nuestras comunicaciones más fácilmente y evitar delitos o investigarlos más fácilmente. ¿Qué le parece?

R. Es irresponsable. Si creas una puerta trasera en un plataforma de comunicación, la comunicación de la Policía también será mucho más débil. Si debilitas el cifrado de una app, estarás debilitando el cifrado de todas las demás. Fíjese lo que ocurre con empresas como NSO que venden vulnerabilidades de día cero a agencias de inteligencia. Encuentran fallos en todos los móviles del planeta, a través de su sistema operativo y se aseguran de que nadie se entera. No le dicen nada a Apple ni Google y, al final, el móvil de todos es inseguro. Los gobiernos luego son los que compran a estas compañías. Es decir, se está financiando con dinero público que tu móvil sea más inseguro. Yo creía que la labor de los gobiernos era justo la contraria, proteger a sus ciudadanos. El mismo gobierno que te está diciendo todo el rato actualiza tu contraseña, invierte en ciberseguridad etc, por otro lado, usa tu dinero para pagar a NSO y obtener una herramienta que solo es posible si los móviles son inseguros.

P. España es uno de esos gobiernos clientes de NSO y de la herramienta Pegasus para espiar móviles.

R. El uso de este tipo de herramientas, si no hay una supervisión legal, con una transparencia completa a nivel político y en los parlamentos nacionales, no debería estar permitido. Punto. Es muy simple. Se genera una gran asimetría: la diferencia entre lo que estás intentando conseguir vs. el coste para la sociedad es enorme.

P. Usted ahora intenta defender a los más desprotegidos frente a los ciberataques desde una ONG, el CyberPeace Institute. ¿Cómo lo hacen?

R. Es una iniciativa creada por filántropos y el sector privado. Los principales fundadores son MasterCard, Microsoft, la Fundación William & Flora Hewlett y la Fundación Ford. Nos especializamos en diferentes actividades. Ofrecemos gratis recursos en ciberseguridad a organizaciones que no se pueden permitir casi nada, principalmente ONG. Tenemos más de 230 ONG asociadas a nuestro programa que se benefician de estos servicios. Su nivel de ciberseguridad es muy bajo, si obtienen financiación, es para sus proyectos, no para su ciberseguridad interna, y ahí es donde actuamos. También investigamos las amenazas en determinados sectores, como sanidad. Lo hicimos durante el covid y lo hicimos también tras la invasión rusa de Ucrania.

P. Los cibercriminales generalmente se mueven por dinero. ¿Por qué atacar a una ONG en lugar de a una gran multinacional con miles de millones en ingresos?

R. La clave es el contexto en el que operan estas ONG. Cuando hay una crisis importante, un terremoto, una guerra, una pandemia, el dinero empieza a fluir de un lado a otro. Las ONG, especialmente las humanitarias, empiezan entonces a recibir millones en fondos adicionales. Para un cibercriminal es muy fácil saber quién tiene el dinero en ese momento. Pero las capacidades de una ONG para proteger esos fondos son muy bajas. Además de por cibercriminales en busca de dinero, reciben ataques impulsados por Estados. Rusia es ahora un gran enemigo de las ONG que ayuda a refugiados ucranianos. Alguien tiene que defenderles.