Un periodista infiltrado destapa cómo trabajan los 'hackers' prorrusos: "Hemos preparado una primera tarea para ti"

Una vez pasados los filtros, llegó la primera misión

Las tareas que se recibían en este grupo de 'hackers' prorrusos eran diversas, desde recolectar los emails de periodistas belgas a colocar pegatinas contra la OTAN en el barrio europeo de Bruselas, donde están las sedes de la Unión Europea y de la Alianza Atlántica. Nuestro compañero belga se presentó como un residente prorruso de la capital belga y con pocas habilidades en el mundo digital. Le hicieron varias entrevistas, similares a las de una solicitud de empleo. Querían conocer su postura sobre Rusia. Tras pasar los filtros, recibió su primer encargo: "Coloca 10 pegatinas en el barrio europeo de Bruselas". Hubo acuerdo.

Una semana después, sin remitente, recibió en el buzón acordado un sobre con pegatinas de una empresa china con el mensaje "Fuck NATO" (¡Que le den a la OTAN!). Como recompensa, recibiría el equivalente a 50 dólares en criptomoneda del propio grupo. Nuestro reportero infiltrado no colgó las pegatinas, pero vio otras con mensajes similares en el barrio europeo. Y le siguieron llegando tareas. El sistema funcionaba con un bot automático. Podías hacer clic e incluir una de las tareas en tu lista: "Encuentra cuentas proucranianas y reenvíalas a nuestro bot"; “Recopila 30 direcciones de correo electrónico de periodistas belgas”.

Esto muestra cómo grupos prorrusos, puede ser por motu proprio, sin que intervenga el Kremlin, reclutan a personas en línea, "agentes", para realizar diferentes operaciones relacionadas con la llamada "guerra híbrida". Al final, nuestro reportero consiguió también entrar en una sala privada de chat con algunos piratas informáticos que se intercambiaban "historias de guerra" y presumían de sus próximos objetivos.

No todo es tan inocuo como parece

Alguien pidió ayuda para jaquear una planta de tratamiento de agua en Lituania. Había un vídeo tutorial que parecía mostrar los sistemas de control de la empresa, con música electrónica de fondo. En Lituania, el Centro Nacional de Ciberseguridad ya se había percatado de la amenaza. Dijeron a nuestra colega lituana, que también participaba en la investigación, que hicieron recomendaciones de seguridad preventivas a la empresa. Pero no hubo ningún incidente cibernético.

En Alemania, se habrían pagado hasta cien euros por rociar espuma de construcción en los tubos de escape de más de 200 coches. Pero a veces, se va mucho más allá. En enero de 2024, a un ucraniano de 51 años le prometieron un total de 4.000 dólares por incendiar una fábrica de pinturas en Polonia. Las autoridades lograron detenerlo justo a tiempo. El hombre fue condenado a 8 años de cárcel.

El mismo grupo de piratas informáticos atacó los sitios web de municipios belgas, en el período previo a las elecciones locales de octubre de 2024, y la empresa de transporte público De Lijn, entre otros, alegando que estas acciones eran en protesta por el apoyo de Bélgica a Ucrania. También lanzaron ciberataques contra medios de comunicación, bancos o el puerto.

Un día después de la publicación de nuestra investigación y de la historia de nuestro reportero infiltrado, Telegram cerró el grupo. Nuestros colegas belgas preguntaron a la plataforma y ésta respondió: "Incitar a ciberataques va en contra de las condiciones de servicio de Telegram y los moderadores de Telegram eliminan dicho contenido cuando lo descubren".

NoName057

NoName057 es el grupo de 'hackers' prorrusos más destacado. No oculta su objetivo de trabajar contra quienes apoyan a Ucrania y al "régimen criminal de Zelensky". Además de organizar DDoS (ciberataques a un sistema, servicio o red para impedir el acceso a los usuarios), sus seguidores son reclutados para otras actividades de sabotaje, de propaganda o de desinformación.

Sus objetivos son páginas web gubernamentales, de bancos o de medios de comunicación, con el objetivo de interrumpir sus operaciones y difundir propaganda prorrusa. Aunque no hay pruebas directas de que estén controlados por la agencia de inteligencia militar rusa GRU, sus ataques se alinean claramente con los intereses geopolíticos de Moscú. Su persistencia y organización los convierten en un actor peligroso de la guerra híbrida.

“Hay grupos -en ocasiones no está el estado ruso detrás-, grupos prorrusos de 'hackers', que llevan a cabo ciberataques de acuerdo con intereses rusos. Son sencillamente grupos, a veces lobos solitarios, individuos aislados, que, en un momento dado, realizan acciones que piensan que benefician a Rusia porque quieren beneficiar a Rusia”, explica el coronel José Luis Calvo Albero, coronel del Ejército de Tierra.

Estos hacktivistas utilizan técnicas de piratería para promover una agenda prorrusa. El grupo NoName nació tras la invasión rusa de Ucrania y es uno de los más activos. En su propio manifiesto fundacional, reconoce que "responderán proporcionalmente en respuesta a las acciones hostiles y abiertamente antirrusas de los rusófobos occidentales".

"La tarea principal de los hacktivistas no es conseguir acceso y pasar desapercibidos durante mucho tiempo, sino lograr algo rápidamente, crear un impacto, un efecto, interrumpir el acceso a los recursos y luego publicitarlo más ampliamente. Así que se coordinan en varias plataformas muy populares, específicamente en los canales de Telegram, y coordinan la financiación y la selección de objetivos", explica Varis Teivans, subdirector de CERT.LV, una institución de Letonia contra los Incidentes Cibernéticos.

El grupo se centra en atacar sitios web de Ucrania, así como de países miembros de la OTAN y de la Unión Europea. Ucrania recibe ataques de forma constante y el grupo realiza campañas contra países en función de sus posiciones respecto a la guerra.

Agentes desechables

Las fuerzas de seguridad, los servicios secretos y los expertos ya han advertido también del aumento en el uso de los llamados "agentes desechables" y de los reclutados en línea. Se les subcontrata, pueden ser autónomos, pero también organizaciones criminales para recopilar inteligencia o realizar acciones de propaganda, reconocimiento militar o sabotajes. Pueden activarse en cualquier lugar.

A la OTAN también le preocupa este fenómeno. "En los últimos años, muchos países han expulsado a diplomáticos rusos o personas asociadas con los servicios diplomáticos bajo sospecha de espionaje. Desde entonces, la estrategia ha cambiado y estamos viendo un aumento en el reclutamiento en línea para actividades delictivas. Es una preocupación real porque el reclutamiento en línea es difícil de rastrear", explica James Appathurai, subsecretario general adjunto de la OTAN para Innovación, Híbridos y Cibernética.

No son oficiales de inteligencia profesionales, por lo que no tienen las habilidades, la experiencia y las herramientas de un profesional. Eso los hace más fácilmente detectables, pero también pueden cometer errores y ocasionar víctimas en sabotajes u otras acciones.

“Tenemos que trabajar muy rápido en lo que respecta a la responsabilidad de esos criminales, siempre son delincuentes de poca monta reclutados para cometer estos actos. Si podemos mostrar que los atraparemos e irán a la cárcel, veremos cómo disminuyen las cifras porque será más difícil reclutar gente”, dice Kaja Kallas, Alta representante de la Unión Europea para Asuntos Exteriores y Política de Seguridad. “La amenaza es grave. Su objetivo es dividirnos, crear ansiedad entre la población para lograr su objetivo a corto plazo, que es disminuir nuestro apoyo a Ucrania, pero también su objetivo a largo plazo, que es dividir nuestras sociedades y crear oportunidades para que Rusia nos imponga su orden mundial”.

Este nuevo método operativo permite a los servicios rusos proteger a su personal de riesgos excesivos y dificulta la detección y prueba de vínculos directos entre el Kremlin y los autores finales de los ataques. Rusia prescinde de sus agentes altamente cualificados y no los envía a misiones, sino que contrata a personas al azar y con inclinaciones criminales en las redes sociales. Hay ofertas en Telegram y los servicios rusos encuentra estos “agentes” entre los rusoparlantes con visado Schengen o los residentes locales que no rehúyen las ganancias ilegales.

Con el mismo oportunismo, no asumen ninguna responsabilidad por ellos, no los formas específicamente para la tarea y, según los expertos, la remuneración ofrecida por las tareas es relativamente baja, a veces menos de mil euros. Y los reclutas no obtienen esa recompensa, si son detenidos y los servicios rusos no se ocupan de su defensa.

El uso de intermediarios debilita el control de los servicios de inteligencia y seguridad rusos sobre la fase de ejecución y demuestra que Rusia ha rebajado el umbral de las operaciones de sabotaje contra objetivos occidentales y acepta un mayor riesgo asociado a este tipo de operaciones.

“Una de las modalidades clásicas de las amenazas híbridas es utilizar lo que se llama proxys, grupos terceros que llevan a cabo acciones en tu nombre. A la hora de saber quién está detrás, es mucho más difícil averiguarlo. Contratan grupos de pequeños criminales, de la misma manera que contratan milicias o utilizan incluso compañías de seguridad privadas y tienen un contrato con el gobierno local, pero están trabajando para un estado determinado. Es bastante frecuente y no lo hace solo Rusia. Es una manera de quitarse de en medio, quitarse la atribución, decir: no, yo no he sido. Ha sido una acción criminal de este grupo”, explica el coronel Calvo Albero.

“Es muy difícil determinar si detrás están realmente los servicios de inteligencia rusos o no. Es un tipo de acción muy común. Y no es una señal de debilidad, de que Rusia realmente no tenga ya elementos del Estado que puedan hacer eso, sino simplemente Rusia o el que lo haga quiere ocultar sus acciones, quiere separar esa acción de los funcionarios del Estado para que, si se descubre a ese grupo, no se le atribuya automáticamente a Moscú”, concluye el coronel español.

También actúan contra España

En julio de 2024, la Guardia Civil detuvo a tres personas por su presunta participación en ciberataques prorrusos del grupo NoName057. Se dirigían a instituciones públicas y sectores estratégicos de España y de otros países de la OTAN y aliados de Ucrania frente a la invasión rusa.

En los primeros meses de este año, han aumentado los ataques de ese grupo en nuestro país en una nueva ofensiva y una escalada de ciberataques contra instituciones españolas. Estarían vinculados a las tensiones geopolíticas en torno a la guerra en Ucrania y tras anunciar el gobierno de Pedro Sánchez un nuevo paquete de ayuda financiera a Kiev.

Noname057 es el principal artífice de los ciberataques rusos en España y ha atacado, en Galicia, a la Xunta y los ayuntamientos de Vigo, Lugo, Santiago y A Coruña, en el marco de su campaña conocida como ‘OpSpain’. También han sido sus objetivos, entre otros, los gobiernos de Asturias, Canarias o Aragón y los ayuntamientos de Mérida y Benavente. Estos ataques han provocado en ocasiones interrupciones en el acceso a los sitios web de estas entidades, lo que ha generado preocupación en el ámbito de la seguridad informática y la protección de datos en España.

A nivel nacional, los ataques han sido dirigidos, entre otros organismos, a La Moncloa, la Casa Real, el Ministerio del Interior, el Estado Mayor de la Defensa, el Centro Criptológico Nacional, el Departamento de Seguridad Nacional o el Ejército de Tierra. El historial de estos 'hackers' prorrusos en España es largo. Entre las empresas a las que han atacado Santa Bárbara Sistemas o General D ynamics European Land Systems, que se encarga de la reparación de los tanques Leopard que se envían a Ucrania.

A pesar del ruido mediático, los ataques DDoS de NoName057 suelen ser neutralizados con relativa rapidez. Rusia ha desarrollado una capacidad avanzada en guerra cibernética, combinando ataques informáticos con campañas de desinformación. Sus principales tácticas son: ataques DDoS, jaqueo y filtración de datos, malware y ransomware, narrativas de desinformación, manipulación de redes sociales o crisis fabricadas.