Así es un ataque, paso a paso
Un informe de ciberseguridad expone tácticas de guerra digital usadas en el conflicto sirio
Un combatiente de la oposición siria conectado a su ordenador, una mujer libanesa llamada Iman que aparece en pantalla. Una breve conversación vía chat a través de la red de mensajería instantánea Skype, un intercambio de fotos. Imán envía una fotografía “personal” al soldado. Éste la abre. Ya está: el Dark Comet RTA (siglas de Troyanos de Acceso Remoto) que esconde la imagen, virus capaz de secuestrar información del ordenador, acaba de penetrar una computadora de las fuerzas que combaten al régimen de Bachar El Assad.
Así se libra la ciberguerra hoy en día. El hacker se disfraza de chica guapa y envía un virus que extrae información estratégica, planes de operaciones, identidades de otros combatientes. Ocurrió en diciembre de 2013, según revela la firma de ciberseguridad norteamericana FireEye, que esta semana presentó un informe en el que recoge una operación de hackeo en pleno conflicto sirio que ilustra la pujanza de la guerra digital en la era moderna. Estos son algunos extractos de esa conversación entre el soldado y la presunta Imán:
Iman: ¿Estás abriendo Skype en tu móvil?
Soldado: Computador y móvil. ¿Qué edad tienes?
I: 27. ¿Y tú?
S. 28.
I: 5 de mayo de 1986.
S. Lolololololo [Carcajadas]. Yo 5 de mayo de 1985.
I: Una dulce coincidencia. (Envío del archivo Nueva-Foto-Iman.pif)
S. Me vuelves loco.
La pregunta sobre la manera de conectarse permite al hacker saber qué tipo de troyano tiene que enviar. La fecha de nacimiento es una información a la que puede acceder fácilmente en Skype o en un perfil de Facebook y le permite crear un vínculo en torno a una supuesta coincidencia.
Así de sencillo resulta infectar un ordenador enemigo. Y canales de comunicación como Skype o las redes sociales son dos de las vías que estos hackers (o agentes de inteligencia), utilizaron para acceder a la información sobre las tropas que combaten el régimen de Bachar El Assad.
Se utilizó como anzuelo una página ficticia de apoyo a fuerzas de oposición que contenía una sección para conocer gente con fotos de mujeres con velo
En un periodo que va de mayo a diciembre de 2013, los mensajes falsos de chicas como Iman permitieron atraer a los soldados a sus perfiles en Facebook, que contenían enlaces envenenados. También se utilizó como anzuelo una página ficticia de apoyo a fuerzas de oposición que contenía noticias sobre el conflicto sirio y una sección para conocer gente con fotos de mujeres con velo. Al clicar la opción de establecer conversación en vídeo en directo se abría la puerta a un nuevo troyano.
Con este tipo de tretas, el grupo de hackers consiguió acceder a 7,7 gigabytes de datos: 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes enviados, fundamentalmente, en la segunda mitad de 2013. Incluían documentos de operaciones militares, detalles de las posiciones sobre el terreno de las fuerzas opositoras. En las conversaciones de Skype se hablaba de rutas de abastecimiento, llegadas de barcos con lanzamisiles, días y horas de las entregas de armamento.
El grupo de hackers consiguió acceder a 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes
En uno de sus rastreos en busca de códigos malignos, los analistas de FireEye, empresa que colabora con organismos como la CIA e Interpol, dieron con los documentos robados a las fuerzas de oposición siria. Entre ellos se hallaba un directorio con información, escrita en árabe, con planes muy detallados de una operación de asalto a la ciudad de Khirbet Ghazaleh, paso estratégico para acceder a la localidad de Daraa. Incluía tablas de Excel con los requerimientos de munición por soldado. Se detallaban los modelos de tanques y rifles, los morteros que se iban a usar, el nombre y apellidos de los entre 700 y 800 combatientes involucrados en la operación, mapas de Google Earth con los planes del ataque.
La firma norteamericana dice que no puede identificar para quién trabajaban esos hackers, ni afirmar a ciencia cierta que el régimen de Bachar El Assad tuviera acceso a la información. “Sería muy naif pensar que el régimen de El Assad no aprovechó esta información; pero nosotros solo podemos especular, no sabemos lo que hicieron o dejaron de hacer”, declara en conversación telefónica desde Reading, Reino Unido, Jason Steer, jefe de estrategia de seguridad de la firma para Europa, Oriente Medio y África.
Entre las víctimas del robo de información, un ordenador cuyas credenciales en Skype señalaban que estaba instalado en España y que estaba en contacto con las fuerzas que combaten a El Assad. FireEye refleja esta circunstancia en su informe pero no puede confirmar al 100% que se tratara de un ordenador radicado en suelo español.
El asalto a Khirbet Ghazaleh no llegó a materializarse. No se sabe si porque las autoridades sirias lo abortaron a tiempo o porque lo hicieron las fuerzas rebeldes al saber que les habían robado la información. Una cosa, dice Steer, queda clara con un informe como este: “La ciberguerra es parte del campo de batalla”.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.