Un hacker delante de una bandera de Rusia formada por un código binario.
En 2014 los servicios de inteligencia de Holanda espiaron a quién se preparaba para espiar. El objetivo era un edificio de la Universidad de Moscú, cercano a la Plaza Roja. Gracias al acceso a las cámaras de seguridad, los holandeses captaron una imágen única de Cozy Bear. Un grupo hacker vinculado al Servicio Federal de Seguridad ruso (FSB).
Aún no eran famosos. Pero en los siguientes años Cozy Bear —también conocidos como APT29 o The Dukes— protagonizó los ataques informáticos más sonados. Desde los correos del Comité Nacional Demócrata de Estados Unidos hasta la injerencia en las elecciones que alzaron a Donald Trump como presidente. Ahora, Reino Unido, EEUU y Canadá acusan a Cozy Bear de un intento de hackeo para apropiarse de sus investicaciones sobre la vacuna del Covid-19.
No es la primera vez que se denuncian ciberataques durante la pandemia. La Casa Blanca alertó en mayo de que había piratas informáticos chinos e iraníes tratando de robar información a las farmaceúticas y a las universidades de Medicina. Pero esta vez la denuncia va más allá.
El jueves, los tres países señalaron en un comunicado al presunto culpable, Cozy Bear. Los hackers habrían atacado centros de investigación de vacunas en EEUU, Canadá y Reino Unido. Dos objetivos eran la Universidad de Oxford (donde las investigaciones de la vacuna están más avanzadas) y el Imperial College de Londres.
El Centro de Ciberseguridad Nacional (NCSC) británico desenmascaró a Cozy Bear. Expuso las "huellas digitales" de sus herramientas y reveló los dos softwares maliciosos que utilizan los hackers: WellMess y WellMail. Las tres potencias dijeron a las claras lo que siempre se ha sospechado. El vínculo directo de estos hackers con el Kremlin. "Es completamente inaceptable que los Servicios de Inteligencia rusos ataquen a quienes tratan de combatir la pandemia de coronavirus", expuso Dominic Raab, ministro de Exteriores británico. Rusia rechazó las acusaciones y criticó que no había pruebas suficientes para sustentarlas, informó El Mundo.
El rastro ruso
Es fácil perderse en la enreversada lista de ataques que asocian a Cozy Bear. Sí a ellos se les llama también APT29, a otro grupo de hackers, los Fancy Bear, se les conoce como APT28. No comparten inteligencia ni arsenales. Pero sus objetivos coinciden con los intereses rusos. Así lo sostuvo en 2017 la empresa de ciberseguridad S2 en una publicación de su blog Securityartwork.
Reino Unido también da por segura la injerencia rusa en las elecciones celebradas en los últimos años
"En ambos casos las metodologías de trabajo, las capacidades técnicas, la infraestructura de operación, la seguridad de sus operaciones denotan que APT28 y APT29 no son atacantes individuales o grupos poco organizados, sino grupos con una cantidad de recursos considerables, estables en el tiempo y con una estructura y operativa perfectamente definidas. ¿Apoyados por un estado? ¿Parte directa de dicho estado? (...) La probabilidad es alta, ya que pocas organizaciones pueden disponer de estas capacidades pero, como siempre, no podemos confirmarlo con certeza", explicó. Sí Cozy Bear estaría vinculado al FSB, los Fancy Bear dependerían del Departamento Central de Inteligencia ruso (GRU).
El diario británico The Telegraph ordenó de forma cronológica todos los ataques conocidos de ambos grupos. Cozy Bear y Fancy Bear están detrás del hackeo al Partido Demócrata de EEUU o de los intentos de robo de archivos secretos del Gobierno holandés. Los Cozy ciberatacan al sector militar, al farmacéutico, al tecnológico, a ONGs e incluso a grupos criminales. Dominic Raab también dio por seguro la injerencia rusa en las elecciones en Reino Unido celebradas en los últimos años.
¿Cómo atacan?
Cozy Bear utiliza el phishing para robar datos ajenos. Esta técnica consiste en hacerse pasar por otra empresa o identidad. Por ejemplo, tu banco o una agencia gubernamental. Normalmente utilizan un correo electrónico. Ahí piden al usuario que introduzca su credenciales para "consultar una transacción, cofirmar un gasto o aprobar un cambio en los términos de usuario". Así lo explica la periodista Marta Peirano en su libro El enemigo conoce el sistema (Debate, 2019) "En una buena campaña de phishing, todo en el correo es idéntico a un correo legítimo, salvo que te dirige a una página controlada por estafadores y que sólo se aprecia leyendo atentamente la URL", detalla.
Otro método habitual de Cozy Bear es incluir enlaces trampa en los mails. Si el usuario pincha sobre uno se le descargará un malware capaz de monitorizar su dispositivo. Desde 2018 los piratas emplean dos softwares hechos a medida. Se trata de WellMess y WellMail, que actúan como una especie de portales de contrabando en los sistemas informáticos.
No ha quedado claro si el grupo llegó a robar alguna información sobre las vacunas. El NSCS no detalló el número de ataques ni si tuvieron éxito. Aunque no es la primera vez que a Cozy Bear le sale bien un golpe. Por ahora todo son alertas y acusaciones.
Todas las claves de la actualidad y últimas horas, en el canal de WhatsApp de El Independiente. Únete aquí
Te puede interesar
Lo más visto
- 1 Tomás Pascual, tras la salida de su leche de Mercadona: "Mi padre no quería depender excesivamente de nadie"
- 2 La familia del jefe antidroga de Murcia sabía de sus relaciones con los narcos: "Come en la mano de Pedrito"
- 3 Zapatero apela a la "reconciliación" y pide "por favor" a Bildu que "llame a las cosas por su nombre"