El bloqueo económico contra Rusia amenaza con poner al país en una situación límite. Mientras el primer impago de su deuda externa desde 1917 aparece en el horizonte, el Kremlin ha avisado de que las sanciones, que hasta ahora han afectado especialmente a su sector financiero, van a empezar a repercutir sobre la población. Sin embargo, uno de los golpes que podría resultar definitivo para el esfuerzo bélico ruso, el veto europeo a su petróleo y su gas, no acaba de llegar.

La UE está dividida en esta cuestión por la dependencia energética de los países del norte, como Alemania, así como por la negativa de Hungría, dirigida por Viktor Orbán, próximo a Vladímir Putin. Las últimas sanciones, adoptadas hace dos semanas, vetaron el carbón ruso, pero obviaron el gas y el petróleo. Esta indecisión del bloque comunitario ha espoleado los ataques de Anonymous contra las empresas rusas de este sector.

La identidad colectiva Anonymous le declaró la “ciberguerra” a Rusia horas después de que Putin ordenara la invasión de Ucrania. Durante estos 50 días de guerra ha habido múltiples acciones hacktivistas contra Rusia y sus tropas reivindicadas por grupos que actúan con la máscara de Guy Fawkes o sus partidarios. No obstante, en las dos últimas semanas Anonymous ha concentrado sus picotazos en las gasísticas y petroleras rusas, filtrando millones de emails y una ingente cantidad de documentos internos.

En cuestión de días se han filtrado 222 gigas de correos electrónicos y archivos de Gazregion, una constructora de gasoductos y otras instalaciones gasísticas con sede en Moscú; 768.000 correos electrónicos de Gazprom Linde Engineering, que diseña instalaciones de procesamiento de gas y refinerías de petróleo (participada por la empresa pública rusa Gazprom y por Linde, con sede en Reino Unido); 495.000 emails de Technotec, que ofrece servicios para yacimientos de petróleo y gas, junto con reactivos químicos utilizados en la producción y el transporte de petróleo; o unos 200.000 emails de las compañías de ingeniería Aerogas o Neocom Georservice, con sede en Moscú y especializadas en explorar nuevos yacimientos y soluciones de perforación.

Todas estas filtraciones han sido publicadas por el portal DDoSecrets (Distributed Denial of Secrets), considerado un sucesor de Wikileaks. Lleva en marcha desde 2018, pero ha sido la publicación de la enorme cantidad de material hackeado procedente de acciones hacktivistas contra Rusia lo que lo ha puesto en el mapa a nivel mundial. “Francamente, nunca habíamos visto tantos datos procedentes de Rusia. Las filtraciones rusas posteriores a la invasión superan fácilmente todas las filtraciones rusas anteriores”, explica Emma Best, cofundadora de DDoSecrets.

“Hay que tener en cuenta que Rusia nunca había sido un objetivo como lo es ahora. En muchos lugares atacar a Rusia estaba fuera de los límites, mientras que en otros, ir tras objetivos rusos te exponía a represalias, como un arresto o una persecución por parte de las fuerzas del orden locales, un riesgo que los represaliados probablemente no asumirían”, expone la activista en un comunicado: “El campo de juego no estaba nivelado y para muchos no valía la pena. Aunque ahora sigue sin estarlo, hay muchas más personas que ven una razón para correr esos riesgos”.

Las empresas rusas que han visto sus secretos industriales expuestos en DDoSecrets se cuentan por docenas. No obstante, uno de los hackeos más masivos ha sido contra VGTRK, el ente estatal de radiotelevisión ruso. El portal tiene disponible para su descarga más de 900.000 correos mandados y recibidos por los trabajadores de sus cinco canales de televisión nacionales, dos internacionales, cinco emisoras de radio y más de 80 televisiones locales. 786 gigas de datos que exponen la censura del Kremlin y sus estrategias de propaganda.

Cargar contra la censura que Putin ha impuesto a los ciudadanos rusos sobre la guerra fue precisamente uno de los objetivos iniciales de Anonymous. El gran hackeo a VGTRK forma parte de esa estrategia, como también el envío de millones de mensajes a ciudadanos rusos para saltarse el bloqueo del Kremlin. La herramienta que permite a cualquier usuario ponerse en contacto a través de Whatsapp o email con números y direcciones rusas elegidas al azar para proporcionar información sobre la guerra, diseñada por otro grupo del entorno de Anonymous, alcanzó el pasado domingo los 70 millones de mensajes enviados.

Secretos rusos y ganancia de pescadores

La guerra ha reactivado la utilidad de la careta de Anonymous tras pasar varios años desconectada. Como expresa Best, “Putin ha puesto una diana en la espalda de los intereses rusos y están siendo golpeados todos a la vez. En cierto modo, su ”sistema inmunológico“ no se había puesto a prueba debido a la falta de igualdad de condiciones, pero la invasión de Ucrania rompió la paz que tenían, y el statu quo ha desaparecido”.

No obstante, Anonymous no es un grupo de hackers cohesionado, sino solo una identidad que se utiliza para reivindicar ataques que cualquiera puede usar. “No es descartable que pueda haber actores económicos involucrados, ahora mismo cualquiera se puede armar y buscar información para explotar bajo una bandera u otra”, recuerda Jessica Cohen, directora de ciberinteligencia de la firma seguridad informática española Tarlogic.

Están cambiando muchas reglas de juego en este conflicto y una es que las filtraciones están a la orden del día

La creencia general en el sector de la ciberseguridad es que si bien hasta 2015 las acciones de Anonymous tuvieron objetivos progresistas y partieron mayoritariamente desde grupos de hackers descentralizados, posteriormente esa línea se desdibujó. A partir de entonces, la careta de Anonymous se ha utilizado para reivindicar ciberataques que en realidad se han perpetrado por grupos financiados por naciones o empresas que han utilizado el seudónimo para evitar ser descubiertas.

“En conflictos híbridos como el que estamos viviendo todo es muy difuso. Están cambiando muchas reglas de juego en este conflicto y una es que las filtraciones están a la orden del día. También es cierto que tanto de gobiernos de uno y otro lado y aliados de uno y otro lado están haciendo desde el principio por comunicar informaciones de carácter más restrictivo o levantar secretos que favorezcan sus intereses. Esto no quiere decir que no sea legítimo, pero sí que se está haciendo cada vez más en este conflicto”. 

Filtraciones de las identidades de soldados

Los hechos han dado la vuelta a dos premisas que los expertos establecían en los momentos iniciales de la guerra. Por un lado, se esperaba que Rusia desatara una tormenta de ciberataques sobre Ucrania tras haberla estado atacando desde 2014. Por otro, se consideraba que el Kremlin impondría su superioridad en el ciberespacio y que las mafias que actúan desde su territorio podrían aprovechar la tensión internacional para aumentar sus campañas en otros países. Ninguna de las dos teorías se ha cumplido.

Las fuerzas rusas no han apoyado su invasión con nuevas generaciones de ciberataques contra las infraestructuras críticas ucranianas. Los virus han dejado paso a los bombardeos. Tampoco ha habido grandes contagios internacionales, mientras que la reactivación del hacktivismo internacional ha alterado la balanza de poder en el ciberespacio. Rusia sigue siendo superior a Ucrania, pero sus empresas, sus instituciones y su ejército están sufriendo constantes filtraciones de información.

Esto ha afectado a las estrategias de guerra de Moscú, pero también a sus soldados. Se han publicado en la red las identidades de todos los que estuvieron desplegados en la zona norte de Kiev, donde se cometieron crímenes de guerra como los de Bucha. En algunos casos se han hecho accesibles sus documentos de identidad, sus redes sociales y vínculos familiares. “Es algo que no habíamos visto hasta ahora y que sienta un precedente que puede ser muy peligroso, porque esa información puede ser errónea o contener datos falsos a propósito, con el objetivo de que se persiga a esas personas particulares”, avisa Cohen.

La invasión de Vladímir Putin a Ucrania ha abierto un peculiar capítulo de la historia de Internet. La agresión militar fue contestada por una guerrilla digital partidaria de Ucrania que comenzó a lanzar ataques diarios contra objetivos rusos: tras años casi inactivo, Anonymous se reactivó y se ha centrado en torpedear la censura que el Kremlin impone a sus ciudadanos, mientras otros grupos han tumbado infraestructuras como ferrocarriles, fábricas de armas e instituciones oficiales. En un inesperado giro de guion, capos del cibercrimen alzaron la voz a favor de Putin y avisaron de que cualquiera que ataque las infraestructuras críticas de Rusia se convertiría en su enemigo.

Una de las mafias que tomó partido fue Conti, la organización que saca más dinero del cibercrimen a nivel internacional, según los principales analistas. Pero lejos de amedrentar al movimiento hacktivista a favor de Ucrania, la jugada de Conti la convirtió en un objetivo más de la ciberguerra. Apenas unas horas después de que tomara partido, la mafia veía como se filtraba toda la base de datos de su sistema de comunicación interno y varios de sus documentos de trabajo. No se conoce a ciencia cierta quién fue el autor del ataque, aunque los investigadores sospechan que fue un miembro de la banda de origen ucraniano que se rebeló contra sus capos.

En lo que sí coinciden varias fuentes consultadas por elDiario.es es en que la filtración es legítima. Se trata de los chats internos de Conti, que han servido para confirmar muchas de las hipótesis de los expertos en ciberseguridad sobre el funcionamiento del cibercrimen ruso, además de aportar luz en cuestiones como su inversión en salarios o sus relaciones con el Kremlin. “Es una mezcla entre una estructura muy profesional con un funcionamiento que a veces es un poco chapuzas”, resume Juan Caballero, investigador del Instituto IMDEA Software (Instituto Madrileño de Estudios Avanzados).

Estructura profesional del ciberataque

Una de las primeras características de Conti que quedan claras en las revelaciones es que su estructura es muy similar a la de una compañía privada cuyo negocio es el ciberataque. “Tienen sus equipos de desarrollo, de soporte, un departamento que se encarga de negociar con las víctimas, otro que se dedica a blanquear el dinero de las criptomonedas e incluso uno de captación de talentos. A efectos prácticos no se diferencia mucho de una empresa de tamaño medio”, expone Josep Albors, director de Investigación de la firma de ciberseguridad ESET.

Los documentos muestran que la organización oscila entre los 50 y los 100 empleados según la marcha del negocio. Conti está especializada en ataques de ransomware, que secuestra los sistemas informáticos de la víctima y le exige el pago de un rescate por recuperarlos. “Contratan a gente dependiendo de sus necesidades a través de empresas pantalla”, continúa Albors. “Dependiendo de las campañas que estén realizando, refuerzan el equipo de desarrollo de ransomware, fichan a más gente para conseguir la infiltración inicial o, directamente, contratan a especialistas para limpiar todas las criptomonedas que consiguen y transformarla en dinero contante y sonante”.

Hay veces que esas personas saben para quién están trabajando, pero en ocasiones creen que realizan esas labores para la empresa pantalla que les ficha.

Ciberdelincuentes mal pagados: “Muchos están quemados”

Los chats internos de la empresa muestran las conversaciones del día a día entre sus miembros. Varias conversaciones han revelado que el salario base de los trabajadores rasos de Conti está entre los 1.500 y los 2.000 dólares (1.300 a 1.800 euros).

“No es que estén muy mal pagados teniendo en cuenta los estándares del este de Europa, pero comparado con los trabajos que pueden tener en su sector, pues sus condiciones en Conti no son demasiado buenas. Además como tienen víctimas alrededor de todo el mundo tienen que trabajar 24/7, por lo que hacen turnos y al final trabajan muchas horas”, apunta Caballero, de IMDEA Software.

“Hay muchos que están quemados”, detalla el investigador: “Al final es como tener acceso al Slack de una empresa, donde tienes a los trabajadores de los diferentes departamentos comunicándose”, apunta Caballero. “Se puede ver a los managers metiendo presión a los trabajadores y apretándoles. Hay mucha explotación, se ven las quejas de los trabajadores y que se les va mucha gente por este motivo”, continúa.

Según la consultora Chainalysis, Conti ganó al menos 180 millones de dólares en 2021 (unos 165 millones de euros). Se trata de un cálculo conservador, basado sobre todo en las criptomonedas que cobran. Sin embargo, la filtración muestra que solo invierten unos 3 millones en salarios, por lo que su cúpula está ingresando sumas millonarias.

Atención al cliente: cobrar dos veces

Uno de los departamentos de Conti es el equipo de “atención al cliente”. Es el que se pone en contacto con la empresa que ha caído víctima del ciberataque y le explica cómo proceder para recuperar sus archivos. Pero como cada aspecto de Conti, mezcla estructura profesional con mafia cibercriminal: llegará el momento en que exija a la víctima un segundo pago.

“Intentan cobrar una vez a la empresa a cambio de la llave con la cual pueden desencriptar sus archivos y volver a tener acceso a sus datos. Ese es el primer pago. Luego intentan obtener un segundo pago, que es a cambio de no publicar la información a la que han tenido acceso”, explica Caballero: “Hay empresas que hacen los dos pagos, pero se ve que hay algunas que les dicen mira, los datos me dan igual porque tengo una copia de seguridad de los datos y los puedo recuperar, pero lo que quiero es que no los divulgues”.

Colaboradores comprados

Otro de los detalles que muestran las filtraciones es que hay otros perfiles fuera de la estructura de Conti que colaboran para que la mafia consiga sus objetivos a cambio de una comisión. “En los chats se habla por ejemplo del caso de un periodista que dicen que por un 5% del rescate les puede ayudar a apretarle las clavijas a la víctima, aumentando la presión para que pague”, revela Caballero.

Hay un periodista que dicen que por un 5% del rescate les puede ayudar a apretarle las clavijas a la víctima, aumentando la presión para que pague

La mafia también tiene una relación muy estrecha con algunas de las empresas que se dedican a hacer de intermediarias entre las víctimas y Conti. Las conversaciones de sus miembros apuntan a que algunos de los trabajadores de esas empresas les filtran información sobre hasta qué punto pueden apretar a los ciberatacados o si tienen un seguro que vaya a correr con los gastos o no, un detalle al que los gangsters digitales dan mucha importancia para saber si podrán continuar la extorsión en el futuro.

Inversión en antivirus

A través de sus empresas pantalla, Conti paga por las licencias de varias de las herramientas de ciberseguridad más avanzadas. Las llevan al laboratorio y las miden contra su ransomware, entrenándolo hasta que es capaz de superar las barreras del antivirus que quieren doblegar. “Buena parte de la inversión que realizan es para intentar evadir las soluciones de seguridad porque saben que son su principal enemigo. De hecho, muchas de las intrusiones lo primero que intentan hacer es conseguir acceder al controlador de dominio y desactivar el antivirus si no está debidamente protegido, porque saben que si no lo hacen se les detecta y se termina el chollo”, dice Albors, de ESET.

Vínculos con el Kremlin

Los investigadores consultados apuntan a que no hay indicios en la filtración que señalen que Conti está al servicio directo del Kremlin. No obstante, los documentos muestran que sus cargos medios y altos sí tienen una relación fluida con funcionarios rusos.

“Está claro que tienen muchos contactos. Aparece que ellos siempre intentan contentarles, porque al final uno de sus principales problemas es evitar que vayan a por ellos”, dice Caballero, que recuerda que aunque Rusia suele dar manga ancha a las bandas de cibercriminales que operan desde su territorio a cambio de que estás se centren en objetivos occidentales, sí ha habido casos en los que las autoridades del país han actuado contra ellas. “Tienen que jugar siempre con tener contento al gobierno ruso. En los chats aparece que una vez les encargaron directamente que investigaran a los periodistas de Bellingcat a raíz de una entrevista a Navalni [opositor ruso detenido]”.

“Desaparece un par de semanas”

La principal preocupación de los trabajadores y jefes de Conti que aparece en su sistema de comunicación no son las firmas de ciberseguridad o autoridades occidentales, sino que esa relación con el Kremlin se tuerza. “Sale que lo que más les preocupa son las acciones legales. Hay momentos que se ve que se dan cuenta de que les están investigando dentro de Rusia. En un chat uno dice que sabe que le están siguiendo y le responden que no se preocupe y le dicen 'desaparece un par de semanas y todo esto va a pasar'. Saben muy bien cómo actuar”, expone el investigador del IMDEA Software.

Horas después de que Vladímir Putin invadiera Ucrania, la identidad colectiva Anonymous se reactivaba para declararle la “ciberguerra” a Rusia. Tras un lustro en el que este pseudónimo público era cada vez menos utilizado para reivindicar acciones hacktivistas, la agresión rusa lo ha vuelto a convertir en una herramienta útil para una nueva legión de hackers que se ha movilizado para contrarrestar al Kremlin en el ciberespacio. En estos 20 días de conflicto, Anonymous ha desempolvado sus tradicionales ataques de denegación de servicio para colapsar servicios e infraestructuras del bando ruso. Su otro gran objetivo ha sido la censura que Moscú ha impuesto sobre la guerra en Ucrania para sus propios ciudadanos.

Desde el comienzo de la ofensiva, grupos bajo el pseudónimo Anonymous han reivindicado varios ataques contra canales de televisión rusos en los que se han sustituido las imágenes planeadas en la retransmisión por vídeos de los combates en Ucrania y de los bombardeos rusos. Estas acciones habrían tenido éxito, afirman, contra “Russia 24, Channel One, Moscow 24” y contra los servicios de contenidos en streaming Wink e Ivi.

Esta estrategia ha convertido en objetivo número uno al Roskomnadzor, el regulador de las telecomunicaciones ruso acusado de llevar a la práctica esas acciones de censura, tanto contra los medios de comunicación como contra redes sociales como Facebook, Twitter o Instagram, que han sido bloqueadas en Rusia. Grupos bajo el pseudónimo de Anonymous han hackeado al Roskomnadzor y liberado unos 800 gigas de información confidencial, 360.000 archivos que muestran las prácticas de este organismo para “monitorizar, controlar y censurar” los medios rusos.

Saltarse ese telón de acero impuesto por Roskomnadzor y el Kremlin está detrás de otra de las acciones que están ganando más tracción en el entorno hacktivista que rodea a Anonymous. Un nuevo grupo denominado “escuadra 303” ha puesto en marcha una herramienta que permite a cualquier persona enviar whatsapps, SMS o emails a cuentas rusas escogidas al azar. “Casi 150 millones de rusos no conocen la verdad sobre las causas o el curso de la guerra en Ucrania. Se alimentan con las mentiras de la propaganda del Kremlin. En Rusia no hay medios de comunicación libres e Internet está censurado”, justifican.

Este lunes el grupo anunció que ya se habían enviado 20 millones de mensajes y correos a través de su herramienta. Otras cuentas de referencia en la comunicación sobre Anonymous los cifraban en 7 millones. El programa, cuyo código ha sido publicado en abierto, tiene registrados una serie de textos para lanzar la comunicación con los ciudadanos rusos. “Hola mi amigo ruso, no nos conocemos, pero he decidido escribirte. He oído que la situación en Rusia ha empezado a complicarse por la reacción a la brutal invasión rusa de Ucrania. ¿Cómo estás?”, es uno de los textos que ofrece la web que han puesto en marcha.

La del Roskomnadzor ha sido la mayor filtración hasta la fecha, pero no la mayor incautación de información que Anonymous ha reivindicado. El pasado fin de semana la filial alemana de la gran petrolera rusa Rosneft presentó una denuncia penal ante la Policía de Berlín tras detectar un ciberataque que había penetrado en sus sistemas. Anonymous afirma haber sustraído 20 teras de datos sensibles de la compañía. Los hackers expresan que no los harán públicos para que su competencia no se aproveche de las acciones del grupo hacktivista, aunque los analizarán en busca de información sobre “el cabildeo” de Gerhard Schröder, su presidente. El ex canciller alemán es una de las pocas figuras políticas occidentales con cargos en empresas rusas que no han dimitido tras la invasión y está considerado muy próximo a Putin, con quien se ha reunido esta semana.

Anonymous no es un grupo cerrado y sus acciones están siendo descoordinadas y caóticas. Como en su primera etapa, muchas parecen travesuras vestidas de ciberataque. Un grupo de hackers afines al movimiento aseguraba este domingo haber logrado el control de un centenar de impresoras ubicadas en instalaciones militares rusas, que han programado para que impriman sin cesar panfletos contra la guerra de Ucrania. Otros han presumido de haber hackeado parquímetros de Moscú para que mostraran “stop war” y mensajes contra la guerra.

Hay un resurgimiento de la actividad hacktivista, pero cómo se compone y cómo funciona es una cuestión abierta

Gabriella Coleman — Autora de 'Las mil caras de Anonymous. Hackers, activistas, espías y bromistas'

Muchas de estas acciones son difíciles de confirmar y otras se han mostrado como falsas. La semana pasada, cuentas de Anonymous difundieron que habían logrado piratear el centro de control de satélites de la Agencia Espacial Rusa, algo que luego fue desmentido por el propio organismo. Su director, de hecho, fue muy claro al expresar que si detectaban un ciberataque como este y podían relacionarlo con algún gobierno, lo considerarían una declaración de guerra.

Anonymous no es ni ha sido nunca un grupo cerrado de hackers, por lo que la organización nunca ha sido su punto fuerte. “En un momento dado, hubo un conjunto estable de colectivos que trabajaban bajo el estandarte de Anonymous y que podían ser parcialmente mapeados y comprendidos (2010-2015). Hoy en día hay un resurgimiento de la actividad hacktivista, pero de qué se compone y cómo funciona es una cuestión abierta”, ha explicado Gabriella Coleman, la principal experta en este movimiento y autora de Las mil caras de Anonymous. Hackers, activistas, espías y bromistas (Arpa Editores, 2016).

Si bien hasta 2015 sus acciones tuvieron objetivos progresistas, posteriormente esa línea se había desdibujado. Fuentes de ciberinteligencia han explicado en algunas ocasiones a este medio que a partir de entonces, las cuentas de Anonymous se han utilizado para reivindicar ciberataques que en realidad se han perpetrado por parte de estados o empresas que han utilizado el seudónimo para evitar ser descubiertas. El regreso de la máscara de Anonymous a la primera línea por la guerra de Ucrania podría ser un nuevo punto de inflexión en su uso.

El “Ejército IT”

Una parte de las acciones de hacktivismo digital contra Rusia desatadas desde el comienzo de la guerra están promovidas por el Gobierno ucraniano. Tras la invasión, el viceprimer ministro de asuntos digitales de Ucrania, Mykhailo Fedorov, anunció la creación de un “Ejército IT” para llevar a cabo acciones de ciberguerra contra objetivos del Kremlin. Muchos voluntarios internacionales se unieron a él en un ejemplo nuevo de organización ofensiva digital y, aunque no están utilizando la careta de Anonymous, algunos ataques reivindicados luego desde el pseudónimo público parecen inspirados por los planes que se trazan en el grupo de Telegram donde se coordina el “IT Army”.

Pese a la descoordinación, todo este movimiento ha logrado dar la vuelta a una estadística: “Rusia ha pasado de ser el país de donde salía un mayor número de ciberataques a ser el más ciberatacado”, expone Fabián Torres, director de Desarrollo de Negocio de la firma de ciberseguridad SICPA. “Aparte de la denegación de servicio, que suele ser muy habitual para colapsar servicios, estamos viendo en tiempo real que está sufriendo muchos ataques de troyanos”, revela. “Aquí ya estamos hablando de otro tipo de ataques que ya no buscan bloquear servicios sino penetrar en los sistemas del objetivo. Son más peligrosos porque pueden poner gusanos a trabajar y colapsar una central energética, por ejemplo”, abunda el experto en conversación con este medio.

En la ciberguerra ruso-ucraniana se han marcado dos bandos. Frente a lo que puedan hacer los cibercomandos ucranianos, su “IT Army” y el caos desatado por Anonymous en las redes, se han posicionado algunas de las mafias más importantes del cibercrimen ruso, que han salido a defender al Gobierno que ampara sus actividades. Por el momento, está siendo una batalla más igualada que la contienda física.

Un ataque informático reivindicado por hacktivistas bajo la identidad colectiva Anonymous ha conseguido penetrar en los sistemas de la filial alemana de Rosneft, la mayor petrolera de Rusia. El hackeo permitió a los atacantes hacerse con 20 teras de datos confidenciales de la empresa, que forma parte de la red de infraestructuras críticas germana, así como destruir la información contenida en 59 teléfonos iPhone de su propiedad. Rosneft ha reconocido el ataque y ha interpuesto una denuncia penal ante la Policía de Berlín.

El comunicado de Anonymous afirma que los autores del ataque llevaban dos semanas infiltrados en las redes de la compañía rusa y adelanta que está analizando la información obtenida. “Es seguro que estos datos no se filtrarán públicamente. El efecto de una filtración pública sería menor que la ganancia que los competidores podrían obtener de ella”, exponen en un post del blog que el grupo suele utilizar para hablar de sus acciones en Alemania.

“Tenemos curiosidad por ver si encontraremos algo sobre el Sr. Schröder”, adelantan. El ex canciller alemán Gerard Schröder es el presidente del consejo de supervisión de la filial alemana de Rosneft, una de las pocas figuras políticas que no ha abandonado su cargo en las empresas rusas tras la invasión de Ucrania. El comunicado de Anonymous denuncia “el cabildeo” del ex canciller tiene como objetivo reducir las sanciones contra la estructura de la petrolera rusa en Alemania, donde es responsable de un cuarto de las importaciones totales de crudo y tiene participaciones importantes en Bayeroil y varias refinerías. Schröder acaba de viajar a Rusia, para reunirse con Vladímir Putin.

Rosneft ha desconectado sus sistemas por seguridad, aunque el funcionamiento de oleoductos y refinerías no debería verse afectado, según ha publicado Spiegel. El medio germano revela que la Fiscalía de Berlín ya ha abierto una investigación por lo sucedido, así como la Oficina Federal para la Seguridad de la Información (BSI), que ha calificado la situación de “muy peligrosa” por el peso que Rosneft tiene en las infraestructuras críticas germanas. Fuentes de seguridad han explicado que el ataque difiere de los de denegación de servicio (DDoS) que suele emplear Anonymous y ha sido más grave, ya que podría haber causado el bloqueo de los sistemas de suministro de la petrolera.

Tras la publicación de Spiegel, Anonymous ha hecho un nuevo comunicado para incidir en que “los hacktivistas no tenían ningún interés en acceder o interrumpir dichos sistemas” ni en tumbar la infraestructura de abastecimiento de Rosneft.

Desde que estalló la contienda se han sucedido numerosos ciberataques contra Rusia, sus instituciones públicas y algunas empresas privadas que han sido reivindicados por Anonymous. La mayoría de ellos han sido de denegación de servicio, aunque también se ha centrado en llevar información sobre la invasión a los rusos, como en un ataque que hackeó varias televisiones para mostrar imágenes de la guerra.

Cuentas de Twitter que utilizan la identidad colectiva Anonymous han declarado la “ciberguerra” contra Rusia y reivindicado la autoría de varios ataques informáticos contra instituciones públicas del país y medios de comunicación financiados por Moscú. Uno de los perfiles anunció a última hora de este miércoles la caída del “canal de propaganda” RT (Russia Today), que esta madrugada ha confirmado haber recibido un ciberataque en sus versiones en inglés y en ruso. La ofensiva ha paralizado su actividad durante unas horas, que ha podido retomar posteriormente.

Otra de las cuentas que utilizan esta identidad hacktivista ha anunciado que “Anonymous está actualmente involucrado en operaciones contra la Federación Rusa. Nuestras operaciones se dirigen al gobierno ruso. Es inevitable que el sector privado también se vea afectado”. Otros perfiles han reivindicado que sus ataques han llegado a tumbar la web oficial del Kremlin y la de instituciones como la Comisión antimonopolio, aunque amabas se encuentran accesibles en este momento.

El Centro Nacional de Coordinación de Incidentes Informáticos de Rusia, dependiente del Servicio Federal de Seguridad (FSB) declaró el nivel de amenaza de ciberataques como “crítico”. El organismo advierte que existe la “amenaza de un aumento en la intensidad de los ataques informáticos a los recursos de información rusos, incluidas las instalaciones de infraestructura de información crítica en el contexto de la operación militar de Rusia en Ucrania”, recoge la agencia independiente rusa Interfax.

Este jueves el Ministerio de defensa de Ucrania elevó una petición de ayuda a los expertos en ciberseguridad del país para que se alistaran como voluntarios para defender las redes del país de los ataques rusos. “¡Cibercomunidad ucraniana! Es hora de participar en la ciberdefensa de nuestro país”, se leía en una solicitud compartida a través de Google docs a la que tuvo acceso en exclusiva la agencia Reuters. Esta enumeraba una serie de habilidades de especial interés para Kiev, como el desarrollo de malware.

El ataque perpetrado contra RT ha sido de denegación de servicio (DDoS), uno de los más sencillos de lanzar pero también de defender. Es el mismo tipo de ofensiva digital que individuos y grupos hacktivistas bajo el seudónimo de Anonymous emplearon desde 2008 para tumbar webs de instituciones públicas y multinacionales de todo el mundo. Una de las campaña de ciberataques más famosa realizada bajo esta identidad colectiva fue la que tuvo como objetivo el gobierno de EEUU y multinacionales como Amazon o Paypal, en protesta por la persecución y expulsión de sus servidores de Wikileaks.

No obstante, si bien hasta 2015 sus acciones tuvieron objetivos progresistas, posteriormente esa línea se desdibujó. Fuentes de ciberinteligencia han explicado en varias ocasiones a este medio que a partir de entonces, las cuentas de Anonymous se han utilizado para reivindicar ciberataques que en realidad se han perpetrado por parte de estados o empresas que han utilizado el seudónimo para evitar ser descubiertas.

El ataque de Rusia contra Ucrania ha provocado la reactivación de las acciones de corte hacktivista bajo este seudónimo. La principal experta en este movimiento, Gabriella Coleman, no descartó en una entrevista con elDiario.es que este pudiera “resurgir en cualquier momento y hacerse muy visible. No hay nada que prevenga que gente con especiales conocimientos técnicos se reúna en determinados puntos de encuentro de Internet, usen este tipo de herramientas como Anonymous y comiencen de nuevo con el hacking desde una lógica progresista”.

“Aunque esta cuenta no puede pretender hablar en nombre de todo el colectivo de Anonymous, sí podemos informar de las verdades de las acciones colectivas de Anonymous contra la Federación Rusa. Queremos que el pueblo ruso entienda que sabemos que es difícil para ellos hablar contra su dictador por miedo a las represalias”, ha publicado una de las cuentas que han reactivado la actividad del seudónimo.

El mismo perfil también ha dejado un aviso para los que estén pensando en sumarse a este movimiento. “Advertencia: Todos sabemos cómo funciona el sistema de justicia penal en los Estados Unidos. Así que, si eres nuevo por aquí y estás pensando en participar en aventuras online contra Rusia pero no sabes nada sobre cómo mantener tu propia privacidad online: No lo hagas”.

Las fuerzas rusas han entrado este viernes a Kiev y los combates se desarrollan ya a menos de 10 kilómetros del Parlamento. Aunque sobre el terreno no hay tropas de la OTAN ni de la UE, equipos internacionales de especialistas en ciberdefensa sí trabajan de la mano con Kiev para apoyar la seguridad de sus redes y formar una línea de defensa que impida que los ciberataques rusos se contagien por el resto del continente.

La Nueve, uno de los grupos hacktivistas más activos en Internet de los últimos tiempos, ha accedido a una base de datos de Vox en la que figuran más de 30.000 personas. Según asegura La Nueve a eldiario.es, en este registro consta información personal de acreditados, donantes, firmantes, suscriptores y gente que dejó sus datos de contacto al partido. Vox ha confirmado que ha sufrido el hackeo aunque ha negado a El Confidencial que se hayan visto comprometidos los datos personales de los donantes.

La división de Anonymous asegura que la información estaba almacenada en texto plano y en MD5, un algoritmo de cifrado desfasado y que no ofrece grandes garantías de seguridad. El miércoles, La Nueve dio de plazo hasta las 20 horas a Vox para poner en mantenimiento el dominio, algo a lo que la formación política de extrema derecha se negó.

Como consecuencia, La Nueve publicó una captura demostrando que habían accedido al registro de usuarios de la página web. Según explica el grupo hacktivista, alguien le dio a Vox un chivatazo de que iban a entrar en su servidor, aunque para cuando actuaron ya era tarde: Anonymous había conseguido la información antes de que la formación política pudiera hacer cambios.

Cuando “la cúpula de Anonymous” (en palabras de la Policía) fue detenida en junio de 2011, la carcajada en Internet fue generalizada. Más aún cuando cinco años después los tres hombres que integraban ese teórico aparato fueron absueltos, a pesar de que la Fiscalía pidiese cinco años de prisión para ellos.

¿Era realmente Anonymous una estructura jerarquizada desmantelada aquella mañana de julio? ¿O nunca ha dejado de ser más bien una idea, una inspiración para pequeños grupos de hackers que actúan por su cuenta? Para el Centro Criptológico Nacional (CCN), un organismo encargado de la ciberseguridad en España y dependiente del Centro Nacional de Inteligencia (CNI), Anonymous representa aún una amenaza para “infraestructuras críticas o las instituciones públicas españolas”.

El CNI asegura que durante 2017 se produjeron 75 ataques a instituciones públicas que tuvieron “cinco o seis réplicas” durante el año y que se prolongaron una media de 10 días en el tiempo. Según el organismo de inteligencia especializado en ciberseguridad, los ataques partieron desde “núcleos de hackers bajo la bandera de Anonymous vinculados al procés de Catalunya”. A su vez, también anuncian que “la geolocalización de los ataques no se da en España” aunque sea un dato “que no dice nada”.

El CNI también explicó que estos 75 ataques están contenidos dentro de los 38.000 ciberincidentes que el CCN gestionó exitosamente el año pasado. Solo un 2,7% de esos ataques (1.026) los califica como “de peligrosidad alta”. Restan importancia a los objetivos institucionales que según ellos se fijó Anonymous, ya que la mayoría fueron atacados a través de DDoS (ataque de denegación de servicio que consiste en tumbar una página web inundando de peticiones el servidor, haciendo que colapse).

España: ¿Último bastión del movimiento?

Anonymous es un movimiento internacional. “Londres ahí está, Italia, USA, Grecia, Guatemala, Nicaragua, Venezuela (aunque no acabemos de comulgar con sus piedras de molino)...”, explica a eldiario.es una de las cuentas de Anonymous España en Twitter. “Con el tema de la independencia de Catalunya han surgido o se han mostrado algunos sectores con más fuerza que anteriormente y da la sensación de que en España estamos muy activos”, continúan.

No esconden que “en general, el movimiento ha perdido fuerza a nivel internacional”, pero no consideran que Anonymous esté desactivado. “¿Que somos los últimos en los que está vivo el movimiento...?”, preguntan irónicamente. También advierten sobre la cuenta de Twitter @ANONYMUS_ES, un perfil mercenario para inflar el impacto de la ultraderecha en España: “Utilizan nuestro nombre y nuestra imagen. Por cierto, nos han bloqueado pero seguimos viendo su actividad en redes”, continúan desde la cuenta oficial del movimiento.

El grupo hacktivista se despide dejando un mensaje al CNI: “Hay temas y grupos en Internet bastante más importantes y peligrosos de los que deberían preocuparse y a los que prestar bastante más atención”. Anonymous no está muerto pero ha perdido cadencia: ni siquiera los expertos les dan por desaparecidos, al menos en España. Todo lo contrario.

“La Nueve paró y eso les permitió regresar”

Hay al menos dos claves para que Anonymous siga siendo un actor relevante en nuestro país. Las señaló en conversación con este medio Gabriella Coleman, antropóloga que pasó seis años en los foros que la comunidad hacker utilizaba para organizarse, usando sus herramientas y empleando su lenguaje. Su nick, “Biella”.

“España es un sitio bastante único en lo referente a la cultura hacker y la organización de protestas a través de las redes. Ha habido un movimiento muy potente de hackers progresistas que se han integrado muy bien en varios movimientos sociales. Lo hicieron en el 15M llevando la tecnología a las plazas, pero también han estado muy presentes en el independentismo catalán”, afirma Coleman, cuya investigación sobre Anonymous se convirtió en una de las principales referencias para conocer los códigos de esta identidad colectiva.

El segundo motivo que apunta la investigadora es que las fuerzas de seguridad no llegaron a cazar a los hacktivistas españoles, aunque lo intentaron. “Hubo arrestos en el norte de España que la Policía quiso relacionar con Anonymous, pero en realidad ninguno de los grandes hackers fue detenido. Eso es importante, porque cuando los hackers importantes son arrestados todo el movimiento tiende a colapsar”.

Por último, la investigadora indica una última carta que los hackers españoles que se han valido de la careta de Guy Fawkes jugaron para no acabar en prisión. Menciona directamente a La Nueve, una rama española de Anonymous que fue muy activa: “Supieron parar. Tiene sentido hacer eso, porque no es sostenible hackear todo el tiempo. Primero porque al final te terminarían cogiendo y después porque técnicamente es complicado continuar sin parar. La Nueve era muy activa hace unos años y pararon, dieron un paso atrás. Eso les ha permitido regresar”.

Anonymous fue un movimiento pionero en muchas cosas. También en desactivarse. En su momento pocos entendieron cómo un grupo de personas que no se conocían personalmente, sin estructura ni liderazgos sólidos, podían coordinarse para causar tantos problemas a Estados y multinacionales. Eran hackers, activistas, espías o, simplemente, bromistas, como los definió Gabriella Coleman (Puerto Rico, 1973), autora de la investigación de referencia sobre un movimiento que llenaba portadas pese a ser un gran desconocido.

El momento de Anonymous pasó (“aunque sigue teniendo actividad en algunos lugares, como en España”, especifica la antropóloga) pero los hackers siguen en las portadas. Para Coleman lo ocurrido tras la desactivación de Anonymous permite concluir muchas cosas. Una es que los “Estados siguen necesitando un hombre del saco en Internet” sobre el que fundamentar recortes de libertades y no han tardado en encontrar un sustituto en la figura de los hackers rusos. Otra, que el fin de la brecha digital ha finiquitado también la brecha ideológica en las redes: el ciberactivismo tiene nuevos protagonistas que muchos, incluida ella, no esperaban.

Biella contesta a las preguntas de eldiario.es desde Montreal, donde ostenta la cátedra Wolfe en Alfabetización científica y tecnológica en la Universidad McGill, y ofrece sus claves para entender el hacktivismo que viene:

Hubo un tiempo en que las redes fueron un sinónimo de espacios prodemocracia, servían de foro para críticas contra la opacidad de las élites, movimientos a favor de la cultura libre... hoy los discursos racistas, machistas u homófobos están mucho más presentes, ¿qué ha pasado?

En los últimos 20 años se ha hablado y escrito mucho sobre Internet y democracia, y de cómo el uso de ciertas herramientas y la creación de ciertas comunidades en la red, como Anonymous, iba a servir para conseguir más democracia y progreso social, en base a la idea de que esas herramientas siempre se usarían en una sola dirección.

Muchos sentíamos que gran parte de esos discursos eran exagerados y naíf, porque no se puede asociar el simple uso de las redes con lograr mejores democracias. No obstante, es verdad que lo que muchos pasamos por alto fue la reacción que iban a tener las fuerzas conservadoras, que también podían aprovechar estas herramientas, como de hecho han hecho durante los últimos años de forma tan exitosa.

Ha sido sorprendente. Yo nunca fui tan ingenua de pensar que estas herramientas solo podían usarse para el bien, pero existía la idea de que eran mayormente las fuerzas progresistas y las élites técnicas las que podían aprovecharlas más y mejor, y que las fuerzas más reaccionarias no tenían las habilidades necesarias para explotarlas de la misma forma. Pero claramente lo han hecho y en los últimos años lo hemos comprobado de la forma más dramática posible. No lo vimos venir.

Se acabó la brecha digital, también en lo ideológico.

Sí. Hace 15 años, para dominar todas las herramientas digitales había que tener conocimientos avanzados. Ese ya no es el caso. La facilidad de acceso a Internet es una de las razones por las que ya puedes encontrar a todo el espectro ideológico en la red.

Creo que está muy claro que Internet, en varios sentidos, es un campo de batalla. Provee una serie de herramientas cuyo uso es indispensable a día de hoy para los movimientos sociales. No puedes tener un movimiento social exitoso que no haga uso de ellas. Pero esos recursos pueden ser usados por grupos de extrema izquierda, de extrema derecha, y por todo lo de en medio. Quien los explote mejor siempre conseguirá ir un paso por delante de los demás.

Como tecnología, a Internet le ha pasado lo que ocurrió con la radio, que tuvo un impacto tremendo en la difusión de ideas progresistas y revolucionarias, pero también fue increíblemente importante en el desarrollo del fascismo. En más de un sentido, podemos decir que ha habido una contrarrevolución reaccionaria en el uso de las redes y las herramientas digitales.

¿En qué consiste esa contrarrevolución reaccionaria?

De una forma muy general, podemos decir por ejemplo que hay grandes grupos de trolls que usan herramientas como Twitter para propagar ideas machistas y acosar a mujeres como respuesta a los movimientos #MeToo. Pero podemos ser más específicos y analizar como grupos e individuos de la alt-right [derecha alternativa] están explotando los recursos de la cultura visual de Internet de forma muy refinada, usándolos para la propaganda.

En EEUU esto ya ha tenido consecuencias. Este tipo de usos de las herramientas digitales consiguieron cambiar el contexto del debate alrededor de las elecciones de 2016. Hacen uso de una cultura visual que apela a la gente joven, normalmente a través del humor, y que encarna elementos de transgresión que se suelen asociar con los movimientos políticos de izquierda, que ahora se usan también para la política de derechas.

Por dar solo un ejemplo de cómo funciona, cuando Hillary Clinton se puso enferma durante la campaña electoral, estos trolls fueron muy efectivos extendiendo imágenes propagandísticas de ella moribunda, casi como una zombie, y haciendo que la conversación girara alrededor del hashtag #SickHillary [#HillaryEnferma]. Entonces los principales medios de comunicación empezaron a informar también acerca de la supuesta gravedad de la enfermedad de Hillary. ¡Los trolls consiguieron imponer su propia agenda a los grandes medios! Y para ello usaron solo recursos digitales.

¿Hacia dónde cree que evoluciona esto? ¿Batalla de propagandas en Internet?

Bueno, hay algo que me hace ser optimista tanto respecto a la propaganda de la alt-right como a la propaganda que intentaron extender los rusos: era identificada como propaganda de forma casi inmediata. Si te fijas en las grandes campañas de propaganda anteriores, como en la Primera Guerra Mundial por ejemplo, el Gobierno británico tenía un equipo de periodistas trabajando para ellos de forma secreta para influenciar en la información que se publicaba sobre el conflicto. Esas informaciones solo se identificaron como propaganda muchos años después. Esta vez fuimos capaces de identificarla a la vez que ocurría. Eso no quiere decir que no tenga un efecto, porque lo tiene, pero sí permite ser optimista respecto al futuro.

En general, para entender el futuro hay que entender que estas revoluciones y contrarrevoluciones están ocurriendo en el presente. Creo que es algo positivo en comparación a descubrirlas cinco o diez años después de que ocurran.

Aunque haya habido un auge de la extrema derecha, no creo que las fuerzas progresistas vayan a huir de Internet o a evitar su uso de ninguna forma. En ciertos aspectos creo que vamos a ver una sucesión de diferentes grupos en las posiciones más visibles y activas en las redes. Ninguno de los que hemos visto hasta ahora, desde Anonymous a los trolls de la alt-right, han establecido mecanismos para reproducirse a través del tiempo.

¿Por qué es difícil que un grupo hacktivista perdure?

Porque ninguno ha descifrado cómo hacerlo. Es muy difícil organizarse online de forma que permita reproducir un movimiento a lo largo del tiempo, la principal razón es que el panorama de software está cambiando todo el tiempo. Es muy difícil ir readaptándose a los nuevos medios de producción online y usarlos durante un tiempo prolongado. Por eso es un mundo con tanto dinamismo y cambio. Eso hace muy difícil predecir qué es lo que vendrá después y también significa que seguramente haya una alternancia ideológica también en Internet, dependiendo de quien se adapte mejor a la emergencia de cada nueva herramienta.

Anonymous lleva una temporada ralentizado. ¿Qué ha ocurrido? ¿Volverá en algún momento o podemos considerarlo una página pasada de las redes?

Bueno, Anonymous no es el tipo de fuerza que una vez fue, pero sigue teniendo cierta actividad en algunos sitios, como en España por ejemplo, donde los hackers se han integrado en los movimientos sociales muy, muy bien, siendo importantes en las corrientes del 15M pero también en el independentismo catalán.

A nivel internacional, el acoso a los hackers ha sido un factor muy importante. Cuando un grupo de hackers activos es detenido se derrumba todo el movimiento. Segundo, no era un movimiento diseñado reproducirse a sí mismo a través del tiempo con facilidad, porque era descentralizado, la gente no se conocía... eso hacía más difícil que se sostuviera a lo largo del tiempo. Y por último, las fuerzas progresistas están pasándolo mal en este momento, y no solo en Internet. Eso también ha afectado a Anonymous.

En cualquier caso, pienso que un movimiento hacktivista como Anonymous puede resurgir en cualquier momento, fácilmente, y hacerse muy visible online. No hay nada que prevenga que gente con especiales conocimientos técnicos se reúna en determinados puntos de encuentro de Internet, usen este tipo de herramientas como Anonymous y comiencen de nuevo con el hacking desde una lógica progresista y con objetivos progresistas.

No hay ninguna razón para que eso no ocurra de nuevo. Incluso ante el imperio de plataformas como Facebook, donde no necesitas conocimientos avanzados para ser un usuario intensivo. La gente con ese tipo de habilidades sigue estando ahí. Y siguen teniendo espacios donde reunirse.

Anonymous ha sido un movimiento casi copado por hombres. Ese próximo movimiento hacktivista, ¿podría ser más feminista?

Bueno, había ciertas partes de Anonymous que eran un poco más diversas. El movimiento en sí era diverso, con gente de diferentes orígenes, géneros… Pero la parte más hacker, sí es verdad que estaba formada por hombres casi al 100%.

En mi opinión, la parte más hacker, la gente con elevados conocimientos técnicos y deseo de irrumpir en otros sistemas y ordenadores con propósitos políticos, probablemente continuará siendo muy masculina. El número de hackers mujeres es pequeño, y mirando entre las hackers que están dispuestas a violar la ley, el número es todavía más pequeño.

Dicho esto, también es cierto que toda la esfera de la tecnología, del código abierto, o el desarrollo de herramientas criptográficas, se ha vuelto mucho más igualitaria de lo que era hace cinco años. Las cosas se han vuelto mucho más… bueno, quizá no mucho más, pero sí un poco más inclusivas. Y lo que sí que existe es un compromiso mucho mayor por la diversidad en comunidades como la de Tor y para el desarrollo proyectos para anonimizarte en Internet.

Por esa parte, se va a igualar un poco la participación de mujeres y hombres. Si miras a la parte más hacker y a la gente dispuesta a llevar a cabo ese tipo de acciones con propósitos políticos, tengo que ser honesta y decir que va a seguir siendo un campo muy masculinizado en los próximos años.

Durante la época de mayor actividad de Anonymous, usted defendió que los gobiernos estaban utilizando el movimiento como excusa para recortar libertades en Internet. ¿Ha pasado lo mismo con los hackers rusos?

¡Já! ¡Buena pregunta! Totalmente. Siempre hay una figura espeluznante, un hombre del saco de Internet, alguien por cuya idiosincrasia es fácil identificar con el mal. Los gobiernos señalan a esa figura y la aprovechan para mandar mensajes como “oh, mira lo que pasa con la encriptación”, o “necesitamos tener acceso a la información en esas plataformas”, o “la cibervigilancia es necesaria”.

Anonymous sirvió para ese objetivo cuando era muy fuerte y visible. Sin duda, actualmente son los hackers rusos los que han tomado ese rol en el imaginario colectivo y la obsesión de los gobiernos.

Indudablemente, el Gobierno ruso ha empleado el hackeo como un método para alterar el marco político en su beneficio, pero se ha desatado una histeria excesiva sobre lo que pueden hacer y lo que han hecho. Eso se ha usado para justificar restricciones de las libertades civiles.

Anonymous ha tumbado este martes la página web del Consejo General de Poder Judicial (CGPJ), poderjudicial.es. Hacktivistas asociados a esta identidad colectiva han llevado a cabo un ataque de denegación de servicio contra la web que la ha mantenido inactiva durante varias horas. En el momento de redacción de esta noticia, sigue inoperativa.

El ataque se ha producido en el marco de la “#OpCatalunya”, con la que los hacktivistas reivindican las protestas del independentismo catalán y critican la actuación de jueces y cuerpos de seguridad del estado. Algunos usuarios han atribuido su autoría a hackers de Nicaragua.

A través de la web del CGPJ se puede acceder al CENDOJ (Centro de Documentación Judicial), donde se encuentran todas las sentencias del Tribunal Supremo, los Tribunales Superiores, la Audiencia Nacional, las Audiencias Provinciales y los Juzgados.

Durante los últimos días Anonymous ha retomado las operaciones de la #OpCatalunya. Según han comunicado, se han realizado ataques contra las webs de la Policía o del Departamento de Seguridad Nacional, que actualmente se encuentran operativas.

En el marco de estas protestas, en 2017 ya tumbaron la web del Centro Nacional de Inteligencia (CNI), la del propio CGPJ, la CNMV (Comisión Nacional del Mercado de Valores), la del Tribunal Constitucional, el Partido Popular o los ministerios de Economía, de Fomento y de Justicia.

Los hacktivistas tuvieron además un papel relevante en el clonado de las webs de votación del referéndum soberanista el 1-O, después de que los jueces españoles ordenaran darlas de baja días antes de la votación. La Policía detuvo a varias personas por este replicado de páginas web por desobediencia, como un joven valenciano de 21 años o el secretario general de Pirates de Catalunya. Ambos fueron absueltos de los cargos.

En las últimas semanas se han registrado además otros ataques informáticos relevantes en Catalunya, como el que sufrió el Puerto de Barcelona, considerado una infraestructura crítica. No obstante, ningún hacktivista vinculado a Anonymous ha reivindicado estas acciones, que limitaron durante días las herramientas informáticas del Puerto.

La escuela de negocios IESE ha sido atacada. No ha sido algo físico, sino digital: el grupo ciberactivista La Nueve, vinculado a Anonymous, lleva desde el domingo por la noche explotando algunas vulnerabilidades de los servidores de la entidad, que han suspendido en seguridad.

“Trabajar con servidores bajo Windows XP y ASPNET es una osadía, mucho más si se almacenan en ellos 41.782.180 correos, 301.148 datos personales...”, dicen los hacktivistas en uno de sus tuits. El IESE ha confirmado el ataque a eso de las 14 horas del lunes a través de su cuenta oficial de Twitter y de un correo remitido a los medios.

La Nueve ha conseguido entrar a IESE Publishing, el distribuidor de material docente del IESE. También han accedido a la tienda de la escuela de negocios y han compartido un pantallazo con datos sobre sus clientes, entre los que figura alguien que podría ser el expresidente del gobierno, José María Aznar. 

Las vulnerabilidades que ha descubierto La Nueve en los servidores del IESE podrían ser investigadas por la Agencia Española de Protección de Datos, ya que tanto sus servidores como la seguridad de los mismos estaba desfasada y utilizaban programas antiguos, susceptibles a los ataques informáticos.

Son de Irak, son muy pocos y entre ellos hay hombres y mujeres. La mayoría están especializados en el ámbito de la ciberseguridad, es por eso que se toman tan en serio protegerse de cada una de las amenazas de muerte que reciben. Se llaman Daeshgram e intentan hacerle la vida lo más complicada posible a las redes de propaganda y comunicación del ISIS desde hace poco más de un año.

The Daily Beast y el canal de noticias Sky News consiguieron entrevistar a varios de los integrantes del grupo hace poco. Lo han hecho bajo fuertes condiciones de anonimato en las que ambos medios se ha comprometido a no revelar el nombre de sus interlocutores por el temor a unas posibles futuras represalias.

“Teníamos como objetivo debilitar la confianza y la efectividad de sus medios de comunicación en Telegram. También, de hacer que Telegram se convirtiese en un medio menos usado por el ISIS”, explica uno de los hackers de Daeshgram al canal de televisión británico. El nombre no está elegido en vano: Daesh es el acrónimo utilizado por algunos países francófonos para referirse al grupo terrorista de forma peyorativa y despectiva, mientras que gram haría referencia a Telegram.

“Estuvimos meses observando y fingiendo que éramos miembros del ISIS. Estudiamos cómo se comportaban, el tipo de lenguaje que usaban, e intentamos tomar nota de todas sus reglas no escritas”, explica un tal Nada al magazine estadounidense. Llevan infiltrados desde noviembre del año pasado. Solo así han sido capaces de colar fotos porno, sembrar la confusión a base de fake news (noticias y vídeos falsos) y poner a prueba la maquinaria de propaganda del Estado Islámico. Se juegan la vida con cada acción que llevan a cabo y suman numerosas amenazas de muerte, pero ellos siguen: “Simplemente lo aceptamos como parte de nuestro trabajo”, dicen.

Espíritu Anonymous: DDoS, defaces e ingeniería social

defaces“Nos ganamos una buena credibilidad en los grupos de Telegram del ISIS, entendimos cómo publican cosas, qué cosas no quieren oír, qué cosas quieren ver y cómo o qué tipo de contenidos publican en sus grupos de Telegram”, explica otro miembro de Daeshgram. Aparte de por motivos obvios, los hackers explican que actúan allí por las facilidades que ofrece a la hora de crear una nueva cuenta o un canal si otro ha sido prohibido previamente.

El grupo lo componen cuatro profesionales de la ciberseguridad, un ingeniero y un estudiante. En Twitter, una foto del icono de Telegram en blanco y negro y otra de la careta de Guy Fawkes al más puro estilo Anonymous decora su perfil. Se mueven a través de Telegram porque allí la censura no es tan estricta como en Twitter o Facebook.

Entre sus últimas acciones se encuentra el DDoS (ataque de denegación de servicio) que lanzaron contra la página web de Amaq, la agencia de noticias y prensa del ISIS. Durante el tiempo que estuvo caída aprovecharon para publicar otros links, que redirigían a sitios falsos con la misma apariencia (defaces) y donde anunciaban la muerte de un determinado soldado del Estado Islámico o lanzaban proclamas para minar la moral de los terroristas. “No sabían qué mensajes eran reales, cuáles falsos ni qué creer, así que dejaron de confiar en Amaq”, cuenta uno de los hackers. En el hashtag de Twitter #ParalyzingAmaq aún pueden leerse algunas reacciones.

También pueden presumir de haberle enseñado porno a la yihad: modificaron un fotograma de un vídeo de propaganda que anunciaban la creación de un centro de formación en Wilyat Al-Khayar (Siria), haciendo que pareciese que los futuros soldados estaban estudiando... pornografía. “Esto le permitió al Daesh saber que éramos capaces de replicar su publicidad a un alto nivel”, explica Nada a The Daily Beast. Después vinieron los vídeos de propaganda inspirados en el propio ISIS advirtiendo que Amaq había sido hackeada (a pesar de que no lo estuviera), los mensajes de audio contando noticias falsas o la creación de un canal de Telegram con más de 500 miembros.

“Ya no creen a Amaq nunca más”

Si el iPhone es el teléfono móvil de los terroristas, Telegram es su aplicación predilecta. Como el mundo ya comprobó el invierno pasado, ni el FBI pudo desbloquear el teléfono de Syed Farook, uno de los autores de la matanza de San Bernardino en diciembre del 2015. Al final, la agencia de inteligencia tuvo que pedir ayuda a una compañía forense israelí, que descifró el móvil por una suma que rondaba el millón de dólares.

Con Telegram ocurre algo similar. El servicio de mensajería se ha convertido en la “red predilecta de los terroristas del ISIS” y ha tenido un lugar más o menos destacado en la preparación de los últimos ataques del grupo terrorista. Con cerca de 100 millones de usuarios al mes, una de sus características más llamativas es la que permite crear chats secretos protegidos con cifrado de extremo a extremo. Así, además, las conversaciones pueden ser destruidas (o autodestruidas en un tiempo límite) y se elimina la opción del reenvío de mensajes.

En Rusia, Vladimir Putin amenazó con prohibir la plataforma este verano diciendo que no se ajustaba a la ley. El mandatario ruso exigía a la app de Nikolai y Pavel Durov cierta información confidencial para incluirla en su lista de servicios permitidos, ya que de otra forma seguiría considerándola el medio de comunicación de los terroristas. Finalmente, todo quedó en una multa en octubre tras negarse a entregar al Gobierno datos confidenciales de varios usuarios.

Daeshgram se ha convertido en el primer grupo hacktivista que consigue penetrar en las redes del ISIS, tanto a nivel social como técnico. Han llegado a causar confusión y hacer que los propios yihadistas se pregunten si lo que están leyendo es real o no. También han conseguido enfrentarles los unos a los otros y sembrar el atisbo de la duda en su interior. “Les hicimos romper sus propias reglas, les hicimos participar en debates sobre lo que era real y lo que no”, dicen los hackers, que concluyen: “Ya no creen a Amaq nunca más”.

La página web del Consejo General del Poder Judicial ha sido hackeada por Anonymous. El abogado de la Brigada Tuitera, Fabián Valero, era uno de los primeros en darse en cuenta a eso de las 16 horas del viernes.

El grupo hacktivista ha publicado horas más tarde en su perfil de Twitter otro mensaje reivindicando el ataque en el marco de la #OpCatalunya, donde piden también #FreeCatalonia y anuncian #TangoDown. No es el primer ataque que llevan a cabo utilizando este hashtag.

Anteriormente también cayeron las webs del CNI (Centro Nacional de Inteligencia), la CNMV (Comisión Nacional del Mercado de Valores), la del Tribunal Constitucional, el Partido Popular o los ministerios de Economía, de Fomento y de Justicia.

¿Qué hay en la página del CGPJ?

A través de la web del CGPJ se puede acceder al CENDOJ (Centro de Documentación Judicial), donde se encuentran todas las sentencias del Tribunal Supremo, los Tribunales Superiores, la Audiencia Nacional, las Audiencias Provinciales y los Juzgados.

También se puede acceder al calculador de indemnizaciones por despido, con el que “cualquier ciudadano podía calcular fácilmente si la indemnización de su despido era correcta”, según el abogado Fabián Valero. Pasadas las 18 horas de la tarde, la web del CGPJ sigue sin estar accesible.

El grupo hacktivista La Nueve ha conseguido acceder al servidor del Ayuntamiento de Guadalajara (PP). Aunque lo venían avisando desde hace varios días, el consistorio no se ha dado cuenta de las señales enviadas a través de Twitter por el colectivo.

El grupo vinculado a Anonymous ha conseguido publicar una entrada en la web del consistorio, donde explican que han decidido “explotar las vulnerabilidades” como respuesta a la petición del Ayuntamiento de cobrarle 2.000 euros a Ascensión Mendieta por exhumar el cadáver de Timoteo Mendieta.

“Hemos accedido al servidor web, es decir a todos sus archivos, documentos, usuarios, tienda online, sistemas de pagos, etcétera. A todos los servicios”, explica La Nueve a eldiario.es. El grupo asegura haber entrado a sus cinco bases de datos y que, si quisiera, podría “'retocar' todas sus aplicaciones desde su CMS [su editor web]”.

La Nueve continúa diciendo que las “contraseñas no estaban cifradas. La seguridad era mala”. Y por si se lo están preguntando: no, el grupo no publicará datos de los usuarios. “Sólo si consideramos que algunos deben ser públicos”, dicen.

“Si no lo hacíamos nosotras a la larga habría salido todavía más caro, así que con nuestros mejores deseos esperamos que disfruten del espectáculo y abandonen tan despreciables posturas. No están a la altura”, escribe La Nueve en la web del Ayuntamiento de Guadalajara.

La Nueve, el grupo hacktivista vinculado a Anonymous ha entrado en los servidores de CEDRO, el Centro Español de Derechos Reprográficos, coincidiendo con el Día Mundial de la Propiedad Intelectual. “No requería nada más que un poco de imaginación para averiguar la contraseña de acceso”, explican los ciberactivistas a eldiario.es.

Como ya hicieron en diciembre del año pasado cuando accedieron a la Cámara de Comercio de Madrid, La Nueve reivindica el ataque y anticipa que no publicará datos personales de nadie. “No es nuestro estilo”, dicen en el comunicado emitido tras la acción en la web unanueartxiboa.org. El nombre podría hacer referencia a José Unanue, un metalúrgico vasco, cofundador de Comisiones Obreras y luchador antifascista contra la dictadura de Franco. No lo confirman ni lo desmienten: “Se podría decir. Sigue al conejo blanco, Alicia”, responde La Nueve.

En varios tuits, el grupo hacktivista anuncia haber accedido a toda la base de datos de CEDRO, la 'SGAE' de los libros, por dos motivos: uno, celebrar el Día Mundial de la Propiedad Intelectual y dos, “señalar cómo se llenan los bolsillos con el canon pero no lo usan ni para respaldar a sus socios en este ámbito tan básico”.

CEDRO, el organismo que teóricamente se debería encargar de monetizar el canon AEDE, también gestiona los derechos de autor de libros, revistas y otras publicaciones. Fue precisamente la AEDE (Asociación de Editores de Diarios Españoles) que da nombre a la ley quien, en 2014, echó a Google News de nuestro país y propició que CEDRO fuera designado como el ente que habría de reclamar la famosa Tasa Google al buscador y al resto de publicaciones digitales. Algo que, ahora mismo, es una quimera.

“La seguridad de este país es tercermundista en materia informática”

“Lo que va a salir aquí es que CEDRO se está llevando lo de todo el mundo y está pagando a unos pocos”, explica el abogado Javier de la Cueva a eldiario.es. De momento, el grupo hacktivista asegura que, “si tuviésemos algo jugoso como ocurrió con El Corte Inglés ya lo habríamos publicado, pero no ha sido el caso”. De la Cueva no duda en comparar el canon AEDE con las cláusulas suelo: “Es como si se declaran ilegales por Europa las cláusulas suelo y el Gobierno lo que establece es que no se tienen que devolver. Eso hizo con el canon”. Aunque desde este diario nos hemos intentado poner en contacto con CEDRO, no hemos recibido respuesta.

La Nueve asegura haber llevado a cabo la acción “para demostrar, una vez más, que la seguridad de este país es tercermundista en materia informática y de protección de datos privados”. El grupo hacktivista critica en uno de sus tuits que, “con la pasta que robáis mediante el canon ya podríais destinar unos céntimos a mejorar la seguridad”. Han accedido al sistema integrado de contactos, donde “vemos lo que se les ha pagado a los socios, pero no el dinero que maneja la entidad”. También han entrado en los directorios de CEDRO, como el de 'Instituciones del Estado', 'Congreso', 'Senado' o 'Partidos Políticos': “Hasta 74.000 registros de personas varias”, asegura La Nueve.

De la Cueva explica que, entre los datos hackeados por Anonymous, podría salir “cómo se producen los repartos dentro de esas entidades de gestión, porque el problema gravísimo que tienen es que, como están recaudando lo de todos, no saben a quien pagar. ¿Y a quién se lo pagan? Obviamente a los que mandan. ¿Y quiénes son los que mandan? Pues las grandes editoriales. ¿Y de quién son las grandes editoriales? Pues de los que están vinculados a Cuatro, a La Sexta, al grupo Planeta, etcétera, etcétera”.

Mientras tanto, La Nueve asegura “no llevar la cuenta de las denuncias que nos han puesto” y creen que “probablemente sea mejor así”. También aconsejan a CEDRO “tirar abajo el sistema y deshacerse de él”. Terminan su pequeña charla con nosotros recomendando a la entidad “pedir disculpas a sus socios”, y se lamentan acerca de dónde se situará el foco mediático. Desde luego, no en la seguridad del organismo: “Como siempre nos culparán a nosotras presentándose ellos como víctimas ante la opinión pública”.

En La Nueve lo tienen claro: “No saldríamos de la cárcel con las últimas modificaciones penales”. Son los hackers vinculados a Anonymous que el miércoles por la noche atacaron la web de la Cámara de Comercio de Madrid y entraron hasta la cocina. Modificaron la cabecera de la página, publicaron alguna que otra noticia a modo de cachondeo y lo más importante: accedieron a todas las bases de datos del departamento. No han liberado la información en Internet por una cuestión de principios: “No exponemos los datos. Mostramos que esto es así”, dicen.

“La mayor parte de los portales institucionales y de grandes empresas mantienen unas vulnerabilidades que están más que publicitadas, dejando miles de datos al aire”, explican a eldiario.es. Los ataques SQLi (como el realizado por los hackers) se aprovechan de este tipo de vulnerabilidades para insertar código malicioso en las librerías de una base de datos. Se sabe cómo se ejecutan y cómo prevenirlos desde 2011, pero, según el grupo hacktivista, muchas corporaciones y entes oficiales siguen sin arreglar esas fallas de seguridad tan simples.

La de Madrid no ha sido la única Cámara de Comercio en la que La Nueve se ha fijado: “Hemos auditado unas cuantas y no nos hemos encontrado con muchos problemas a la hora de explotar vulnerabilidades, algunas muy graves”, dicen.

Todo partió de una encuesta en Twitter a raíz de una noticia en Security Affairs el lunes pasado. Un hacker eslovaco consiguió entrar en la base de datos de la Cámara de Comercio de Eslovaquia y publicó los datos de más de 4.000 personas en pastebin. “Es divertido comprobar lo mala que es la seguridad del Gobierno”, le dijo Kapustkiy al portal.

Denunciando vulnerabilidades: mejor de manera ilegal

A diferencia del eslovaco, La Nueve no ha publicado las bases de datos en ningún sitio, pero sí han avisado en las redes de su hazaña. Han preferido hacerlo así porque si hubieran ido por la vía legal les habrían detenido: “No se puede denunciar esto del modo en que nosotras lo hacemos; gracias a la Ley Mordaza, hacer una auditoría de seguridad de un portal sin autorización de los dueños es un delito”, explican. Por eso airean lo que ya está al descubierto, aunque no se encuentre a la vista de todos: “Lo que nos asusta es que esos datos estén ahí y nadie interponga el 'multazo' debido a sus responsables”, continúan.

De haber avisado en primer lugar a la Cámara de Comercio en vez de a las redes, el caso se habría silenciado. “Lo denuncias a la policía o a la empresa, lo corrigen y carpetazo. Nosotras somos más ácidas, la idea es de qué hablar”, explica La Nueve.

El ataque ha sido una mezcla entre un deface y un SQLi: “Desconfiguramos su web con algunas imágenes y textos chorras. Es acción directa, se entera todo el mundo y a la empresa no le pasa nada pero entendemos que se les cae la cara de vergüenza. Su credibilidad ya queda mermada públicamente”, continúan los hackers.

La Cámara ha emitido un comunicado este jueves donde reconoce el ataque: “La página web de la Cámara de Comercio de Madrid ha sido víctima de un ataque informático. Se está llevando a cabo el proceso de auditoría forense y análisis de vulnerabilidad con el fin de reforzar los accesos afectados”. El organismo presidido por Juan López-Belmonte “denunciará el hecho ante la Policía Nacional”. La web de la Cámara seguía sin funcionar a las 19 horas del día siguiente al ataque.

“Alguien tiene que hacerlo”

La Nueve ha accedido al gestor de newsletters de la Cámara, al gestor de documentos y al CMS para insertar noticias y bloques de texto en la web. Todo en apenas unas horas. “La AEPD debería penalizar estas faltas de seguridad, y sin embargo no lo hace. Nunca multa a la Administración ni a entidades poderosas”, continúa el grupo.

Alemania es uno de los países de la UE que cuenta con más leyes de protección de datos. Y eso a pesar de que septiembre supimos que se habían saltado 18 leyes para espiar a sus propios ciudadanos. “Se deberían adoptar unas medidas muchísimo más eficaces para la protección de datos privados, la seguridad de este país es un asalto a la intimidad de la gente. Es realmente vergonzoso”, continúan desde La Nueve.

Todas las acciones del grupo hacktivista les condenarían a pasar una buena temporada en la cárcel. “Entre el corte político que hemos defendido, nuestras impopulares opiniones y el número indefinido de acciones que ya de por sí suman una pena máxima de prisión, estaríamos enterradas”, reconocen. Fueron ellos quienes en 2012 accedieron a Capio Sanidad (más tarde renombrado como IDC Salud y ahora Clínicas Quirón) y quienes filtraron las cuentas de El Corte Inglés (publicadas en fíltrala). “Somos hacktivistas y asumimos el riesgo que eso conlleva. Alguien tiene que hacerlo”, dicen.

La Nueve, que fue el nombre que adoptó la 9ª compañía de la 2ª División Blindada de la Francia Libre durante la II Guerra Mundial, estaba compuesta por 150 republicanos españoles. Hoy son unos hacktivistas que rechazan de forma contundente la “negligencia profesional informática” de la Cámara de Comercio de Madrid, así como de otros muchos organismos y entes oficiales.

A la Cámara de Comercio de Madrid no le han robado aunque lo parezca. No ha sido algo físico ni con violencia, sino una cosa mucho más sutil: cuando la información no está protegida debidamente corre el riesgo de que muchos ojos puedan acceder a ella. Y eso es exactamente lo que ha conseguido La Nueve, un grupo de hackers vinculado al colectivo ciberactivista Anonymous: “We are Anonymous, Legion, One. Expect us” (Somos anónimos, legión, uno. Esperadnos), se presentan en su página web.

El hackeo se produjo a eso de las 21:45 horas del miércoles. Después, La Nueve reivindicaba en Twitter el ataque y publicaba varios pantallazos demostrándolo. Todo empezó con un “La seguridad informática de este país nunca nos defrauda camaramadrid.es”. Acto seguido, una cascada de tuits que anunciaban haber entrado a todas las bases de datos de la Cámara de Comercio de Madrid. Desde este diario nos hemos puesto en contacto con el organismo, que confirma el ataque. Dicen estar llevando a cabo un “proceso de auditoría forense y análisis de vulnerabilidad con el fin de reforzar los accesos afectados” y aseguran que denunciarán los hechos ante la Policía Nacional.

“Concretamente, *todas* las bases de datos de la Cámara de Comercio e Industria de Madrid están en nuestra partición cifrada”, escribía La Nueve en la red social. La web parece que ya está “recuperada” aunque muchos de sus directorios aún dirigen a páginas en blanco o en construcción. Aunque a ratos está caída, en la noche del miércoles mostraba un gran banner que hacía las veces de cabecera del sitio web con una frase: “Cuestiónalo todo. La Nueve. We are Anonymous, Legion, One. Expect us”.

70.500 euros en transacciones

Uno de las capturas que ha publicado el grupo de hackers muestra las transacciones que se han hecho desde una terminal de pago de la propia cámara. Estos dispositivos, conocidos como TPVs (Terminales de Pago Virtuales) sumaba operaciones por valor de 70.481,41 euros a lo largo de este año.

La Nueve también ha podido acceder al gestor de newsletters del organismo, al gestor de documentos y al editor para insertar noticias y bloques de textos en la web. Llegaron a publicar, incluso, una nota de prensa titulada “La seguridad en la Red no ha cambiado mucho... sigue siendo una mierda”, donde ridiculizaban las medidas de seguridad de la Cámara de Comercio.

El grupo de hackers también modificó una noticia donde la Cámara de Comercio anuncia unos cursos de especialización en SQLi, un lenguaje de programación. “Las asistentes podrán familiarizarse con las herramientas tecnológicas que contribuyen a realizar incursiones en webs institucionales como esta. Una vez superado el curso, obtendrás una titulación de tocapelotas certificado de los suburbios de Internet como Experta script kiddie”, escribieron.

Siguiendo los pasos de Kapustkiy

“Ahora en serio, esto de las Cámaras de Comercio, verdaderos lobbies empresariales, es un pitorreo. Besitos a @kapustkiy”, fue otro de los tuits de La Nueve. La persona mencionada consiguió hackear la base de datos de la Cámara de Comercio de Eslovaquia el pasado lunes.

El grupo ciberactivista también ha publicado fotos en las que se pueden entrever nombres y apellidos de las bases de datos de la Cámara, aunque no han llegado a revelar ningún dato privado. Proclaman, además, que “La Nueve no roba, incauta, y no publica datos privados. Quien los tiene al aire es la @CamaradeMadrid”.

Desde su despacho en Ventura, una ciudad estadounidense de poco más de 100.000 habitantes situada en el estado de California, Jay Leiderman se ha labrado una reputación en el mundo digital por ser el abogado de los ‘hacktivistas' de Anonymous, un trabajo que, en la mayor parte de los casos, ha realizado 'pro bono', es decir, voluntariamente y sin retribución monetaria.

Como letrado principal en varios casos y como consultor en otros, en los últimos cinco años ha tenido que ponerse en varias ocasiones delante del juez para batallar no solo por sus clientes, sino por la necesidad de cambiar una ley, la Computer Fraud and Abuse Act, que, en su opinión, criminaliza a los usuarios de internet.  

Todo comenzó en septiembre de 2011, cuando este abogado originario de Queens, Nueva York, tuiteó que defendería a aquellos ‘hacktivistas’ de Anonymous cuyas causas y actos estuvieran justificados. Hacía ya varios meses que las acciones protagonizadas por individuos y grupos amparados bajo el paraguas de este colectivo habían comenzado a protagonizar titulares.

Era la época en la que una oleada de ataques DDoS –los que provocan que un servicio se colapse– llegó a inutilizar las páginas de Paypal, Visa y MasterCard a modo de represalia por negarse a procesar las donaciones a Wikileaks. También era el tiempo en que distintas acciones para apoyar la Primavera Árabe habían convertido a Anonymous en un conocido de los medios y en una nueva realidad para la sociedad.

“Era el momento en el que todo estaba empezando y estaba claro que las fuerzas del orden estaban preparadas para devolver el golpe”, explica Jay Leiderman a HojaDeRouter.com. “Así que defenderlos parecía lo más justo”.

Tras su oferta vía Twitter, uno de los primeros en contactar con él fue Christopher Doyon, también conocido como Commander X o “el 'hacker' de los sintecho”. Miembro del colectivo Anonymous, en 2010 Doyon llevó a cabo, supuestamente, un ataque DDoS contra la página web del Condado de Santa Cruz. Era su forma de responder a la disolución de una acampada que protestaba contra una ley que prohibiría a los indigentes dormir en la calle.

“Hicieron una protesta durante la hora de comer en la que ralentizaron los servidores durante unos minutos, y Commander X se enfrentaba a la posibilidad de 15 años en prisión. Es ridículo”, señala Leiderman.

Para el abogado, este caso sería un buen ejemplo de por qué ciertos ciberataques deberían estar protegidos bajo el manto de la libertad de expresión. “Para ellos fue una protesta. No estaban de acuerdo con lo que se estaba haciendo en Santa Cruz y fue una manera de expresarse, de hacerse oír”, defiende.

“Los servidores no fueron dañados, no hubo ningún daño, no cerraron un negocio durante días”, prosigue. “Fue una protesta razonable, en tiempo, en lugar y en forma, así que debería ser reconocida como tal”.

Detenido cuando se dirigía a un encuentro con Leiderman, Doyon escapó a Canadá tras depositar su fianza y desde entonces se encuentra huido de los Estados Unidos. Pero solo sería el primero. Despúes de Commander X vendrían otros y, poco a poco, este abogado empezó a acumular un notable lista de casos.

Entre otros, participó en el acuerdo con la Fiscalía en el caso de Jeremy Hammond, el hombre que publicó documentos de Stratfor, una agencia de espionaje privada;  ayudó a recoger fondos para la defensa de Deric Lostutter (KYAnonymous), el 'hacker' que visibilizó el caso de los jugadores de fútbol americano implicados en la violación del instituto de Steubenville, Ohio; y formó parte del acuerdo en el que Raynaldo 'Royal' Rivera, el 'hacker' del grupo LulzSec acusado de participar en la filtración de Sony, aceptó una condena de un año y un día en vez del máximo de 15 años al que se enfrentaba.

Uno de los casos que más presencia le ha otorgado en los medios es el de Matthew Keys. Este periodista dio acceso a los 'hackers' de Anonymous a los sistemas informáticos de Tribune Co, tras dejar su empleo en una de las compañías del grupo a causa de una disputa con un supervisor. Poco después de ofrecer las claves, una noticia de la web de Los Angeles Times fue alterada por un ciberataque.

Según explica Leiderman, su cliente se hubiera enfrentado de partida a menos años de cárcel si hubiera optado por otro método de venganza contra su antiguo empleador; por ejemplo, si le hubiera golpeado con un bate o hubiera pintado con esprái todos los ordenadores de Los Angeles Times. “Nadie fue herido, no hubo daños permanentes, no se robó la identidad de nadie, no hubo vidas arruinadas”, declaró en su momento Leiderman. “Fue una broma, y al parecer una broma puede conseguirte 25 años en prisión”. Finalmente, después un largo juicio y un informe muy extenso en el que Leiderman remarcaba lo injusto de la ley, el periodista fue condenado a dos años de cárcel.

El enemigo a batir: la Computer Fraud and Abuse Act

Todos los casos a los que se enfrenta este abogado criminalista tienen un componente común: la injusticia, en su opinión, de la Computer Fraud and Abuse Act, la ley por la que son juzgados los autores de supuestos delitos informáticos. Introducida en 1984 y desarrollada más ampliamente en 1986, esta norma ha sido criticada por su dureza y su desconexión con los avances tecnológicos. Protectora de los derechos de corporaciones y agencias gubernamentales, los usuarios de a pie no están tan amparados por ella y las penas máximas que impone son consideradas por una parte de los legisladores y por los ‘hacktivistas’ como desorbitadas.

Aunque se ha intentado modificar en un par de ocasiones, hasta ahora ninguna tentativa ha dado frutos. “Ningún intento de cambiar nada ha funcionado en América en… no sé cuántos años. Los republicanos odian a los demócratas, los demócratas odian a los republicanos. Y desde luego no se preocupan por escuchar y por hacer cosas racionales que disminuyan los castigos”, explica el abogado.

Según Leiderman, el Congreso de la nación norteamericana está lleno de “hombres blancos viejos, muchos de los cuales no usan el email”. Por ello considera que no se puede esperar que entiendan la relación de la tecnología con la vida diaria. “Y si no pueden entenderlo a ese nivel, ¿cómo van a entender cómo castigarlo, cómo legislarlo?”, se pregunta.

Trabajar en casos relacionados con Anonymous ha modificado un poco sus rutinas. Ahora, el abogado neoyorquino, muy activo en internet y en los medios, intenta proteger sus comunicaciones lo máximo posible, aunque también procura no preocuparse en exceso por la NSA “o quien quiera que esté escuchando”. “Al final, tienes que seguir viviendo tu vida”, considera.

Admite, sin embargo, que ya conoce unos cuantos trucos y tiene un canal seguro de comunicación al que le pueden escribir con dudas y consultas relacionadas con delitos informáticos y con el ‘hacktivismo’. Los cinco años que lleva trabajando en este tipo de casos le han convertido en una de las voces más autorizadas para responder. “Cuando alguien me contacta y no sé quién, es la forma más bonita y más pura de comunicación porque no hay ningún tipo de prejuicio. A través del ordenador todos somos iguales”, declaró.

Pero a pesar de su fama y de su conexión con el tema, los 'hackers' no son los únicos protagonistas de su actividad, ni en los juzgados ni en la Red. “Todavía llevo más casos relacionados con la marihuana medicinal que con cualquier otra cosa”, concreta. Según Leiderman, la gente siempre quiere conseguir más cantidad del producto de lo que permite la ley. “Así que me mantengo ocupado”, comenta entre risas.

Aún así, para él, lidiar con los casos relacionados con internet es una de las facetas más interesantes de su trabajo. “El mundo de los ordenadores es fascinante y mucho más amplio de lo que puedas imaginar”, concreta. Por ello, desde su despacho en Ventura, Leiderman pone su pequeño granito de arena en la lucha por cambiar la concepción acerca del ‘hacktivismo’ y adaptar las leyes a los nuevos tiempos.

“Nunca he sido demasiado aficionado a que el Gobierno sobrerregule nuestra libertad”, sentencia. “Y una forma de cambiar las cosas es siendo un abogado defensor y plantando cara al sistema”.

--------------------------------------------

Las imágenes de este artículo son propiedad, por orden de aparición, de Jay Leiderman y Valis Iscari0t

Este jueves a mediodía quedó visto para sentencia el juicio por el caso Anonymous después de la lectura por las partes de las conclusiones finales. El Ministerio Fiscal mantuvo los cargos contra los tres acusados, aunque esta vez bajó las penas respecto al escrito original de acusación solicitando ahora tres años, ocho meses y un día por daños informáticos continuados y una multa de 1.400 euros. Por integración de grupo criminal pidió siete meses y dieciséis días.

Respecto a uno de los temas más polémicos recogido en el sumario, y que salió a colación en la vista oral, el uso de un agente infiltrado de la policía nacional, en sus conclusiones el fiscal sostuvo que “no concurrían los requisitos para que se pidiera autorización judicial” para que dicho infiltrado actuara.

También hizo énfasis en que uno de los acusados, J.L.Z.F., confesara en su día leyendo la declaración que este firmó en dependencias policiales. No obstante, el paso del tiempo, según esta parte, ha provocado que ese atenuante que en un principio se iba a aplicar a este acusado en concreto no pueda ser aplicado. Procedió asimismo a señalar que “no hablamos de organización criminal, ni de asociación ilícita sino de grupo criminal, porque se trata de unos pocos dentro de esa organización [Anonymous] que deciden unirse en un momento dado para llevar a cabo un ataque [informático]”. En este caso, el Ministerio Fiscal no varió el criterio aplicado en este aspecto en el escrito de acusación inicial.

Respecto a la página que sufrió el supuesto ataque más virulento, la de la Junta Electoral Central (JEC), en sus conclusiones la Fiscalía no habló ya de “colapso” ni de interrupción, sino que matizó diciendo que esta web “quedó medio paralizada”, y para el fiscal esto es suficiente para imputar el delito de daños informáticos.

La defensa insiste: “No hay relación entre apodos y ataques”

Después del fiscal le tocó a la defensa de los tres acusados exponer sus conclusiones. David Maeztu, abogado de R.T.S. afirmó que “ni los nicks [apodos] que se les atribuyen [a los tres acusados] guardan una relación que sea irrefutable con los ataques”. Tras él, Miguel Capuz subrayó lo paradójico de las declaraciones de los testigos y de los peritos-testigos pertenecientes a la Policía Nacional, quienes “se ratifican” en el contenido de sus informes, pero luego “no recuerdan”, refiriéndose así a la respuesta que daban de forma más habitual a lo largo de la vista cuando quien preguntaba era la defensa, mientras que casi siempre tendían a recordar lo que sabían cuando lo hacía el fiscal, a quien este abogado quiso devolver la pelota afirmando que cuando los agentes detuvieron a su cliente estos solo le informaron de que debía acompañarlos a la comisaría en calidad de detenido por “asociación ilícita sin explicarle el porqué”, y estableció el siguiente símil: “Es como decirle a alguien 'usted está detenido por asesinato y no le digo por el asesinato de quién'”.

Capuz también quiso señalar que “si Anonymous es un grupo criminal, ¿por qué no se les ha imputado como persona jurídica?”, y añadió que “Anonymous nunca reivindicó los ataques”, y aquí quiso apuntar algo respecto a este asunto a colación de la rectificación implícita del fiscal: “No confunda el daño con el perjuicio”, en alusión al ataque a la página de la JEC.

Finalmente, tomó la palabra Carlos Sánchez Almeida, abogado de Y.D.L.I. para establecer un hilo conductor en su alegato que relacionaba el proceso con motivaciones políticas. Recurriendo a metáforas cinematográficas señaló que el ataque informático a la JEC no existió y que “esta película va de control social”. Según su versión: “Ante la medida de la JEC [que prohibió las acampadas en Sol] los ciudadanos protestaron masivamente enviando correos electrónicos, no fue un ataque”. Es más, para él “el servicio ni se obstaculizó ni se interrumpió”, y recordó que tal como dice el artículo 264 del Código Penal el daño “tiene que ser además de carácter grave y permanente”, concluyó.

Sánchez Almeida sacó a relucir algo que hasta ahora no mencionó siquiera de pasada o en entrevista concedida a eldiario.es antes del juicio. Después de acusar a las autoridades competentes en la materia de “hacer una operación a medida destruyendo la imagen de tres personas para desprestigiar al movimiento 15M”, finalizó su versión con el siguiente dato: “Al igual que había agentes provocadores en las manifestaciones, resulta repugnante ver a un funcionario policial incitando [a los participantes] en el chat”.

Y manifestó a eldiario.es que “habrá que ver quién es el responsable después de que se dicte sentencia” de que a su cliente, y a los otros dos acusados “se les haya vapuleado” en su imagen y honor, entre otras cosas por “aparecer publicados sus nombres completos en los medios” cuando se les acusó de los delitos por los que están siendo juzgados. No obstante, espera que se aprenda una lección de todo el asunto, “para otros supuestos” ya que “un agente provocador puede hacer que se cometan delitos”.

A las nueve y media de la mañana arrancó el juicio por el caso Anonymous en la sala de vistas 14 del Juzgado de lo Penal número 3 de Gijón, en el Palacio de Justicia. Ante una sala casi al límite de su capacidad, se han podido oír las declaraciones de los tres acusados y el testimonio de dos funcionarios de la Policía Nacional. Además, también han testificado el director de Recursos Humanos de la empresa donde estuvo trabajando uno de los acusados y el jefe de TIC en el Congreso de los Diputados en el período en que fue atacada la página de esta institución, así como los dos peritos informáticos designados por la defensa.

El fiscal ratificó en su escrito de acusación la petición, por la que acusa a R.T.S., J.M.Z.F. y Y.D.L.I. de “un delito de grupo criminal” y de “un delito continuado de daños”, pidiendo penas que van desde los cinco años a cinco años y cuatro meses de prisión y multas de 4.200 a 5.600 euros.

David Maeztu, abogado del acusado R.T.S., denunció después que “agentes de la Brigada de Investigación Tecnológica desarrollaron un papel activo en los chats que estuvieron monitorizando, no actuando de forma pasiva sino con una actuación tendente a incitar a [adoptar] alguna conducta en los participantes de ese chat”. Señaló asimismo que “algunas de esas conversaciones [del chat] se produjeron antes de los hechos que se enjuician”.

Posibles causas de la nulidad del proceso

Maeztu también se refirió al hecho de que se hubieran incluido en el sumario conversaciones entre los acusados y la defensa: “Esas conversaciones entre abogado y cliente siguen estando ahí”. Asimismo hizo alusión a otro caballo de batalla de la defensa en este proceso: el volcado de alguno de los ordenadores, en concreto en uno de ellos donde, de acuerdo a su versión, “los puertos estaban accesibles”.

Miguel Capuz, que defiende a J.M.Z.F., desmintió lo afirmado por el fiscal en lo que se refiere al supuesto ataque informático contra las webs de PP, PSOE y CiU previsto para el 20 de mayo de 2011 que supuestamente abortó la intervención policial, y que fue bautizado como V de Votaciones, sosteniendo que “la Junta Electoral Central dice que desde el 18 de mayo se recibieron correos masivamente, aunque el ataque se suponía que estaba previsto para el 20 de mayo”. Capuz tampoco quiso dejar pasar la oportunidad para afirmar que “se ha vulnerado el derecho de mi cliente a un juez de instrucción imparcial porque no se entregó a la defensa la pieza separada de R.T.”, y, del mismo modo, “la defensa del señor Z. [él mismo] solicitó que se le entregaran los CD [con las supuestas conversaciones de chat y telefónicas] […] pasó el plazo y no se entregaron”.

La importancia de estos CD la explicó el abogado de Y.D.L.I., Carlos Sánchez Almeida, en una conversación con eldiario.es previa al juicio: “Unidos a las actuaciones hay una serie de CD donde hay unas conversaciones que sostiene sprocket [usuario bajo el que actuaba la policía]. Lo que figura en el sumario de esas conversaciones es lo que la policía ha querido señalar”.

Los fragmentos de dichas conversaciones de chat recogidas en el sumario al que ha tenido acceso eldiario.es se refieren mayoritariamente a algunas propuestas de sus participantes de atacar páginas en algunos casos, la verificación de la efectividad de esos u otros ataques en otros, y la conversación en la que ese agente infiltrado que operaba bajo el nombre de sprocket y uno de los acusados, J.M.Z.F., fijaban un encuentro en Madrid aprovechando que el segundo quería desplazarse hasta allí para conocer de primera mano cómo se desarrollaban los primeros acontecimientos del 15M.

Pero Sánchez Almeida confirma que hay mucho más, ya que, de acuerdo con sus conclusiones, sprocket “es un agente encubierto que en algunas conversaciones está incitando a la comisión de delitos”, y que “el agente encubierto no estaba regulado en aquella fecha legalmente. El agente encubierto en Internet se introduce después de la reforma de la LECRIM que ha entrado en vigor en el año 2015”. Por todo esto concluye que “su actuación es muy discutible jurídicamente en tanto en cuanto, primero, hace investigaciones en Internet sin que haya denuncia y […] en lugar de limitarse a investigar lo que está haciendo, interactúa con los de Anonymous para señalar objetivos”.

Para Sánchez Almeida, al igual que para sus otros dos colegas de la defensa, “este sería otro motivo de nulidad más” junto con la inclusión en el sumario de las conversaciones entre David Maeztu y R.T.S. donde la policía llega a identificar específicamente a Maeztu como abogado de R.T. y el hecho de que uno de los ordenadores cuyo vaciado de datos se realizó no tuviera tapados sus puertos con el precinto pertinente que lleva el sello del Juzgado.

Finalmente, los tres abogados han coincidido en señalar la desproporcionalidad de los medios empleados en materia de escuchas de las comunicaciones en relación con la investigación de un delito de daños informáticos, que en un principio era lo que se investigaba. De acuerdo a lo sostenido por la defensa, este no estaba tipificado como delito grave, y por tanto violaría el artículo 18 de la Constitución Española relativo a la inviolabilidad del domicilio y el secreto de las comunicaciones.

El agente infiltrado dice no recordar casi nada

Después de los tres abogados de la defensa, declararon los acusados, quienes manifestaron su inocencia en los hechos que se les imputan. Solo uno de ellos, R.T.S., respondió a preguntas del fiscal y de su abogado. Los otros dos tan solo lo hicieron a las preguntas de la defensa.

Como testigos ajenos a las Fuerzas y Cuerpos de Seguridad del Estado declararon Alberto Pérez Vallejo, director de Recursos Humanos de Remolques Marítimos entre 2009 y 2012 -años en los que R.T.S. trabajó en esa empresa- y Javier de Andrés Blasco, director del Centro TIC del Congreso de los Diputados en el momento de producirse los ataques DDoS (Denegación de Servicio Distribuido por sus siglas en inglés).

Sin duda fue la declaración como testigo de un policía la que suscitó más murmullos en la sala. Dijo, a pesar de que supuestamente le leían declaraciones suyas textuales realizadas en su día bajo su nickname, que nunca ofreció a los otros participantes de los chats “una red de 20.000 bots” para cometer ataques informáticos, de la cual decía en esos canales que pertenecía a un amigo suyo, y se defendió afirmando que “en ningún momento ofrecí nada, simplemente conté eso”, y más adelante insistió diciendo que “no puedo ofrecer algo que no tengo”.

Cuando volvieron a preguntarle de nuevo los abogados de la defensa si ese supuesto ofrecimiento podía entenderse como una incitación, al igual que su afirmación de la inminencia de un ataque informático el día 20 de mayo de 2011, él aseguró que hizo esto porque “tenía que integrarse y hablar en su misma jerga y de los mismos temas”.

Para cerrar la sesión declararon los dos peritos informáticos que redactaron el informe para la defensa, José Luis Ferrer Gomila y Josep Barrera Sánchez. Ante las preguntas del fiscal primero y de la propia defensa posteriormente ratificaron el contenido del informe del primero al que ha tenido acceso eldiario.es.

En dicho documento se señala que “no es necesario que exista coordinación entre los posibles atacantes del sistema. De hecho es posible que un solo usuario pueda dejar fuera de servicio los sistemas con 'prestaciones' bajas o medias”. 

Además, afirman en el escrito que después de un ataque de denegación de servicio “el sistema atacado suele volver a su normal funcionamiento sin que sea precisa ninguna intervención por parte de los responsables técnicos del sistema atacado, a diferencia de los ataques de distribución de virus o malware que, una vez atacado el sistema, este debe ser 'depurado'”.

Centrándose en el ataque sufrido por la Junta Electoral Central, el autor del informe puntualiza, refiriéndose además al propio informe de daños elaborado por la JEC que “los atacantes consiguieron dejar la página web [de la JEC] fuera de servicio de forma intermitente (en ningún caso se manifiesta que se dañara permanentemente, ni temporalmente, ese sistema)”.

Respecto a los 700 euros en concepto de daños informáticos equivalente a dos jornadas de trabajo de un consultor externo experto en seguridad contratado por la JEC, la conclusión a la que llegó el perito en el informe citado es que “si el ataque de denegación de servicio tuvo éxito es, en buena parte, porque el sistema atacado presentaba vulnerabilidades”.

El 10 de junio de 2011 no fue un día más para la Policía española. El community manager envió a las 9 de la mañana el siguiente tuit: “Desarticulada la cúpula de la organización 'hacktivista' Anonymous en España”. El atrezzo de la sala de prensa se preparó con la solemnidad de las operaciones especiales. Una maraña de cables, discos duros y ordenadores se expusieron sobre un mural a la vista de los fotógrafos, como las armas que se intervienen a los comandos terroristas o la droga de las organizaciones mafiosas.

Ante las cámaras comparecieron dos comisarios jefes; el de la Brigada de Investigación Tecnológica (BIT), Manuel Vázquez, y de la Unidad de Delincuencia Económica y Fiscal, José Luis Olivera. Dieron cuenta de la detención de los supuestos cabecillas de una presunta red cibernética criminal y antisistema llamada Anonymous. Todos los medios recibieron la nota de prensa habitual en los grandes casos.

Uno de los mandos policiales blandió en la mano una careta de plástico, de las que hizo famosas el protagonista del cómic y película V de Vendetta, tomada también como símbolo para acciones de protesta en Internet, muchas de ellas amparadas bajo el paraguas del nombre de Anonymous. El jefe de la Brigada de Investigación Tecnológica (BIT), Manuel Vázquez, precisó: “No hablamos de una cúpula jerárquica, sino de una cúpula funcional”. Y explicó que los tres jóvenes detenidos eran los administradores de chats de Anonymous en España, y que gracias a ellos la organización impulsaba ataques desde nuestro país.

Se les acusaba de haber participado en ofensivas internacionales contra páginas web de multinacionales como Sony o Enel, de los bancos BBVA y Bankia, portales gubernamentales de países como Egipto, Argelia, Libia, Irán, Chile, Colombia y Nueva Zelanda. También de haber atacado solo un mes antes la página de la Junta Electoral Central.

Durante los días 18 y 19 de mayo, en vísperas de los comicios autónomicos y municipales de 2011, el servidor de la Junta recibió 344.944 correos electrónicos y dos millones de peticiones en apenas un minuto, todas de la misma IP. El ataque hizo caer la página, a tres días de las elecciones.

El contexto es importante para entender los arrestos y la publicidad que quiso darle la Policía: por aquellos días la Puerta del Sol y otras plazas españolas llevaban casi un mes tomadas por el movimiento 15M.

1.600 folios de investigación

Un lustro y 1.600 folios de sumario después, instruido en el juzgado número 4 de Gijón de donde es originario uno de los detenidos, los tres acusados, Rodrigo Tuero Sala, Yuri David López Ibáñez y José María Zaragoza Formiga, se enfrentan este miércoles al primer juicio de esta naturaleza en España. La Fiscalía pide para cada uno de ellos más de cinco años de prisión por pertenencia a grupo criminal y daños ocasionados durante los ataques a la Junta Electoral Central y el sindicato UGT, los únicos delitos de los que son acusados.

Según el escrito de acusación que firma el fiscal Alberto Rodríguez Fernández, los tres “formaban parte del colectivo Anonymous y prepararon ataques de denegación de servicio (DDoS) contra el entorno informático de la Junta Electoral Central, la página web del sindicato UGT y la del Congreso. Este ataque afectó de forma importante al normal funcionamiento de los servicios de correo electrónico y a la web de la JEC, obstaculizando los trámites previos al proceso electoral”.

La mayor parte de la pena que solicita, más de cuatro años de cárcel para cada uno de los arrestados, la pide el ministerio público por daños, pese a que un peritaje del Centro de Nuevas Tecnologías del Congreso de los Diputados, donde esta residenciada la Junta Electoral Central, cifra en 700 euros los perjuicios ocasionados por el ataque. Según el dictamen incorporado a la causa, el equivalente a “dos jornadas de trabajo de un consultor experto en seguridad, si bien fue el impacto negativo en el normal desarrollo del trabajo, lo que ocasionó mayores perjuicios”.

Uno de los acusados, José María Zaragoza, admitió ser autor de parte de los ataques cuando fue detenido por la policía, y entregó su ordenador personal. Ese atenuante de colaboración rebaja la pena solicitada en un año de prisión; para él se solicitan cuatro años y cuatro meses, 12 menos que para los otros dos acusados.

Un proceso plagado de irregularidades

Los escritos de defensa, a los que ha tenido acceso eldiario.es, piden la libre absolución de los acusados y denuncian a su vez que el proceso está plagado de irregularidades. En los siete tomos que resumen la instrucción figuran conversaciones de los acusados con sus abogados defensores y actuaciones dudosas de algunos policías que pudieron extralimitarse alentando los ataques cuando se infiltraron en los chats donde supuestamente se estaban preparando.

Las detenciones en 2011 y sobre todo la jerga utilizada por la policía en aquella operación despertaron la indignación de muchos colectivos de internautas que ridiculizaron en la Red la operación. Tras la anunciada desarticulación de la cúpula de Anonymous España en 2011, siguieron repitiéndose ataques cibernéticos a empresas e instituciones que se cobijan bajo la misma identidad.