¿Quiénes son y cómo trabajan los hackers rusos que supuestamente están haciendo estragos?
La marca “hacker ruso” volvió a invadir las portadas de los periódicos tras las elecciones estadounidenses. Sin embargo, los expertos aseguran que estos hackers rusos no existen. O, mejor dicho, estos hackers no tienen por qué ser rusos necesariamente.
“Los hackers rusos son una imagen mitificada”, opina Alexéi Lukatski, consultor de seguridad de Cisco Systems. Según el experto, por “rusos” los servicios de seguridad occidentales se refieren a los ciudadanos de Rusia, sino también a los de los países vecinos, que anteriormente formaban parte de la URSS: Ucrania, Bielorrusia, Kazajistán; e incluso a los ciudadanos de los países del Báltico: Letonia, Lituania y Estonia.
El vicepresidente de InfoWatch, Rustem Jairetdinov, opina que los “hackers rusos” podrían ser incluso ciudadanos estadounidenses. Generalmente, por “hackers rusos” suele entenderse cualquier persona que haya obtenido formación matemática soviética o rusa –comenta el experto-. Estas personas podrían ser ciudadanos de cualquier país del mundo, incluido EE UU”.
Según los expertos, los hackers educados en el sistema matemático ruso tienen un sello propio. “A todos estos hackers les une la libertad de pensamiento: los rusos están acostumbrados a encontrar métodos no tradicionales para resolver los problemas típicos –comenta Lukatski-. Esta particularidad de la educación soviética todavía influye en las diferencias de los hackers rusos, que no piensan según los patrones típicos”.
Según señala Rustem Jairetdinov, los coreanos, los israelíes y los chinos ya han superado a los hackers rusos en cuanto al nivel de la preparación matemática. “Antes el ‘estilo ruso’ era un código compacto, porque los estudiantes solían tener muy pocos recursos informáticos y habían aprendido a aprovecharlos al máximo –señala Jairetdinov-. Pero ahora esta escuela está desapareciendo”.
Según InfoWatch, en el mundo existen decenas de miles de hackers en activo. Sin embargo, apenas se ha logrado probar la existencia de varias decenas, de aquellos que han sido descubiertos. Los “hackers negros” ganan dinero cometiendo delitos y procuran no permanecer mucho tiempo en el mismo sitio –señala Jairetdinov. Datos como el sexo, la edad o la formación suelen ser desconocidos hasta que se les echa el guante. La estadística de los casos que han llegado hasta el juzgado es insignificante.
Según señalan los expertos, los hackers operan con distintos móviles. “Existen hackers que roban dinero de cuentas bancarias y otros que buscan agujeros en otros productos y venden esta información. Por último, existen hackers a los que pocos han visto pero que suponen una amenaza para el orden mundial, los llamados hackers gubernamentales –comenta Lukatski-. Según los medios de comunicación estadounidenses, estos hackers sabotean todo lo que el Kremlin les ordena”.
La geografía de las ubicaciones de los hackers es muy amplia: pueden encontrarse en pequeñas ciudades de Siberia, cerca de centros de investigación, y en el sur del país. A menudo escogen un país cálido y barato que no entregue a los delincuentes: Vietnam, Tailandia o Indonesia.
“El mundo se ha vuelto más pequeño. Se puede vivir en un país y trabajar en otro –asegura Jairetdinov-. No se han observado lugares de concentración física de hackers, ya que estos suelen reclutar a sus compañeros de forma virtual. No necesitan encontrarse para colaborar, ni siquiera conocerse personalmente, los hackers suelen reconocerse por sus pseudónimos”.
Por lo general, a los rusos suelen atraparlos en el extranjero: por ejemplo, en octubre de 2016 Evgueni Nikulin fue detenido en la República Checa a petición del FBI como sospechoso de sabotear la red social LinkedIn. EE UU intenta conseguir su extradición, pero el gobierno ruso insiste en su repatriación.
El APT28
Por su propia esencia, los grupos APT son secretos, no hay información demostrable y todo es susceptible de ponerse en duda. Sólo algunos destellos permiten suponer la verdad. Por ejemplo: ¿Son los miembros de APT28 de nacionalidad rusa, como el gobierno que les paga? "No se sabe. En esta guerra la atribución es compleja, si no imposible", afirman desde S2 Grupo. Pero algunos datos desvelados por otra firma de seguridad, FireEye, demostrarían que, como mínimo, trabajan en Rusia, pues los virus que escriben están hechos en horario laboral ruso y en el código usan el idioma ruso.
FireEye es la empresa de seguridad que más ha estudiado al equipo APT28 y, a partir de coincidencias en su 'modus operandi' y herramientas usadas, puede detectar de forma más o menos fehaciente cuándo un ataque lleva su firma. Recientemente ha publicado un informe, "APT28: At the center of the storm" en el que se alinea con las tesis de los servicios de inteligencia de Estados Unidos, que atribuyen a APT28 los robos de información al Partido Demócrata.
Según FireEye, APT28 empezó a operar en 2007 pero en los dos últimos años sus acciones se han multiplicado, usando diferentes nombres para despistar o porque así les han bautizado terceros: Sednit, Sofacy, Pawn Storm y Fancy Bear. Firmaron como "CyberCalifato" su devastador ataque a la cadena de televisión francesa TV5Monde, en febrero de 2015, que dejó durante horas a los diferentes canales de la cadena sin poder emitir. Negro total.
