Defensa y Exteriores están siendo atacados por la inteligencia militar rusa

Tres equipos de especialistas vinculados al SVR, al GRU y al FSB han “comprometido” información sensible que afecta a las Fuerzas Armadas y a las relaciones internacionales

España, en la diana de los hackers rusos.

La división de inteligencia militar rusa está detrás de algunos de los más graves ciberataques que ha sufrido el estado español en los últimos años. Lo ha hecho a través de la red de hackers que patrocinan el GRU, el SVR y el FSB. En las intrusiones se han podido robar datos sensibles de las redes informáticas de Defensa y Exteriores, sus dos objetivos “preferidos”.

Son los mismos hackers que robaron los correos de Hillary Clinton

El 30 de diciembre de 2016, el FBI y el Departamento de Seguridad Interior de Estados Unidos desveló en un informe que grupos de hackers rusos habían influido en las elecciones norteamericanas, en las que salió elegido Donald Trump.

El documento responsabilizaba del ataque a los servidores del Partido Demócrata de Hillary Clinton a un grupo denominado ‘Grizzly Steppe’. Una de las muchas denominaciones que recibe la nebulosa de grupos de asaltantes informáticos cuya cabeza pensante, según acreditan expertos en ciberdefensa, se remonta hasta la inteligencia militar rusa.

Estos equipos de hackers han recibido multitud de nombres: Sednit, Sofacy, Pawn Storm o Fancy Bear. Pero tras todas esas marcas se esconden los mismos actores: las facciones rusas APT27, APT28 y APT29.

Grupos en la esfera de los servicios de inteligencia rusos 

‘APT28’, la más conocida y activa de las tres plataformas, ha sido abiertamente relacionada con el ‘Glávnoe Razvédyvatelnoe Upravlénie’ (GRU), los servicios de inteligencia militar rusa. Fuentes de la inteligencia españoles la vinculan directamente con el gobierno ruso: sus ‘productos’ están programados coincidiendo con el horario laboral ruso y contienen caracteres del alfabeto cirílico.

Los otros dos grupos, APT27 y APT29 están vinculados con el Servicio de Inteligencia Extranjera (SVR) y con el Servicio Federal de Seguridad (FSB, antigua KGB) respectivamente.

Entre los objetivos y víctimas de sus ciberataques se encuentran los gobiernos de Estados Unidos, Ucrania, Francia, Reino Unido y organismos internacionales como la OTAN o la Unión Europea. Según ha podido confirmar ahora El Confidencial Digital, también se encuentra España.

Ataques rusos a España

Así lo reconocen fuentes del Centro Criptológico Nacional (CCN), el departamento del CNI que combate las ciberamenazas contra redes informáticas de la Administración General del Estado. Se trata, dicen, de “ataques dirigidos” que han “comprometido información” sensible.

El CCN hace mención a estos ataques en su resumen ejecutivo de 2017, elaborado principalmente con las cifras de 2016. En el aparatado del documento “¿Quién nos ataca?” se especifica que las intrusiones dirigidas por otros estados son “la mayor amenaza para la ciberseguridad nacional”.

 

“Son una alternativa real al espionaje tradicional debido a su bajo coste, a la dificultad de probar su autoría y al importante volumen de información que puede obtenerse por esta vía” asegura el documento al que ha tenido acceso ECD.

 “¿Ha sido España atacada por el grupo APT28?”. La pregunta, realizada por ECD a dos fuentes del Centro Criptológico Nacional, tiene una respuesta concisa: “Sí. Y por APT29”. Los ataques se han registrado en 2016 y “también en 2017”. Y, según añade una fuente militar, en esa estrategia de ataques también habría participado el grupo APT27, del que apenas hay información.

“Se ha comprometido información”

Es más, en varios de esos ataques, que las fuentes consultadas no cuantifican, se habría “comprometido información” sensible. Los objetivos “preferidos” de los hackers rusos en sus ofensivas han sido (y continúan siéndolo) “el Ministerio de Defensa y el de Exteriores”.

Sea lo que fuese que buscaran los hackers rusos, las fuentes consultadas aseguran que no se puede precisar con total seguridad si consiguieron su objetivo. Es decir, se desconoce a ciencia cierta si los ‘gusanos’ que infectaron redes de Defensa o Exteriores consiguieron robar finalmente información sensible. Pero en ningún caso se descarta.

Lo que sí ha quedado probado es que las herramientas utilizadas por los asaltantes eran “de altísima cualificación técnica”. Programas muy avanzados tecnológicamente, diseñados de tal forma que su código fuente –sus ‘instrucciones’- se adapta perfectamente al sistema que pretende infectar e intenta después extraer información sin levantar sospechas.

Una vez dentro del sistema fijado como objetivo, el programa informático se mantiene al acecho y ‘escucha’ el funcionamiento de la red para identificar cuáles son los ordenadores en los que se encuentra la información sensible más relevante. El proceso de virus latente puede durar meses, incluso años. En el momento en que los intrusos detectan la ubicación de los datos buscados, el ataque se dirige hacia esos nodos.

Según explican fuentes del CCN, se ha llegado a detectar ‘malware’ “cuyo código fuente llevaba grabada la dirección IP del ordenador a infectar”. Es decir, el virus se había diseñado específicamente para infectar y espiar exclusivamente a un solo ordenador. Esto implica un nivel de sofisticación que no está al alcance de cualquier grupo hacker.

La huella rusa en los ciberataques

Tras detectar estos ataques o infecciones, los técnicos del CCN aplican un procedimiento de ‘limpieza’ para erradicar el ‘malware’ presente en las redes informáticas. Y tras ello, tratan de determinar el origen de la amenaza. La pista conduce, en muchas ocasiones, hacia Rusia.

Pese a que extraoficialmente se vincula a estos grupos con los servicios de inteligencia rusos, el Kremlin siempre ha negado cualquier relación con sus actividades. Sin embargo, el modus operandi, la avanzada tecnología empleada y el elevado coste económico que conlleva un “ataque persistente” de este tipo evidencian una “esponsorización” por parte de un Estado.

La inteligencia rusa elige los objetivos

Según se admite abiertamente en círculos de la inteligencia y de la ciberdefensa, son los servicios de inteligencia rusos quienes confeccionan la lista de objetivos. Los hackers se limitan a realizar los ataques y trasladar los resultados –la información obtenida- a sus ‘financiadores’ en caso de éxito.

El proceso, aseguran estas fuentes, puede durar meses e incluso años. No es descartable, asumen, que las redes de la Administración General del Estado estén en estos momentos siendo víctimas de fugas de información sensible y que estos ataques no sean descubiertos hasta dentro de unos años.

La red ‘blindada’ de las Fuerzas Armadas

Confidencial Digital se ha puesto en contacto con fuentes militares para tratar de recabar más datos sobre estos ataques a las redes informáticas del Ministerio de Defensa. Estas voces asumen que el objetivo de los hackers y su campo de acción se ha limitado a la “red corporativa” del ministerio.

Según explican, el sistema informático de las Fuerzas Armadas está dividido en varios subsistemas. El primero, de carácter reservado, se denomina ‘red corporativa’. Es el sistema informático a través del que se comunican los diversos organismos de la Defensa. Una red a la que se puede acceder de forma externa, es decir, a través de internet, a pesar de estar protegida por contraseñas y diversos mecanismos de seguridad.

Sin embargo, la información más crítica y sensible no se  encuentra accesible en esta red, sino en la denominada ‘red clasificada’. Un entramado de ordenadores sin conexión externa en el que se encuentran los datos que afectan directamente a la seguridad nacional.

El acceso a esta última red está altamente restringido, siendo necesario obtener una acreditación de seguridad por parte del Centro Criptológico Nacional. La seguridad en torno a esta red está “blindada” por el Mando Conjunto de Ciberdefensa.

La información clasificada está “a prueba de hackers”

Esta ’red clasificada’, en cuyo diseño han colaborado empresas privadas como Telefónica, Alcatel, Cisco o Ericsson, forma parte del Sistema Conjunto de Telecomunicaciones Militares (SCTM). Toda la información que circula a través de ella está encriptada bajo los estándares de la OTAN.

En ella se encuentra la información más sensible referente a las Fuerzas Armadas. Los planes estratégicos, datos de inteligencia o la comunicación de instrucciones a los cuarteles generales de las misiones en el exterior se gestionan a través de este sistema.

Por poner un ejemplo: en esta red protegida se encuentran los detalles del despliegue militar español en Letonia, una misión de la OTAN que a priori sería un objetivo prioritario para la inteligencia militar rusa.

Además de que no muchas personas tienen acceso a esta red, los ordenadores de la ‘red clasificada’ se caracterizan por estar “blindados”: no se puede conectar un pen-drive ni cargar las baterías de un teléfono a través de sus puertos USB. Un estricto protocolo anti fugas en el que nada entra y nada sale.

De hecho, estos dispositivos deben estar separados físicamente algunos metros de cualquier otro ordenador ‘normal’ para evitar el denominado efectoTempest’ (Transient Electromagnetic Pulse Enmanation Standard): es técnicamente posible que los hackers accedan a información de ordenadores a través de las ondas electromagnéticas que emite cualquier aparato electrónico.

No hay ataques referentes a Cataluña

Por otra parte, el Centro Criptológico Nacional ha negado esta semana que España haya sido objetivo de ciberataques relacionados con la crisis de Cataluña. Sobre la incidencia de ‘bots’ rusos en la difusión de desinformación referente al proceso de independencia, en el CCN explican: “ni un tweet ni un retweet se consideran ciberataques”. Por tanto, quedan fuera del ámbito de actuación del organismo.

Video del día

La izquierda atosiga a los fumadores.
prohibirá fumar en las terrazas y al aire libre
Portada
Comentarios
Envíanos tus noticias
Si conoces o tienes alguna pista en relación con una noticia, no dudes en hacérnosla llegar a través de cualquiera de las siguientes vías. Si así lo desea, tu identidad permanecerá en el anonimato