[current_date format ='l d F Y' ]

Hack & Leak es una forma de operación de influencia basada en la infiltración e intrusión a servicios digitales para obtener información que posteriormente será utilizada según convenga a quienes la robaron, casi siempre en forma de filtraciones públicas o privadas. Es una forma avanzada de doxxeo por la complejidad que implica, que requiere de equipos de hackers altamente entrenados y porque se dirige a objetivos de alto perfil. La más famosa y documentada fue la intervención rusa en la elección de Estados Unidos en 2016.

La participación de Rusia en el proceso electoral estadounidense a través de Internet se hizo pública cuando el laboratorio de seguridad informática FireEye presentó su reporte, en el que concluyó que John Podesta fue engañado para ceder su contraseña de correo electrónico en Gmail, a partir de lo cual se vulneró el resto de los correos electrónicos y servidores del equipo de campaña, entre ellos los de Hillary Clinton.

Ha sido una historia muy larga y compleja. Los correos electrónicos fueron puestos en Internet mediante el sitio dncleaks[.]com y WikiLeaks participó en hacerlos públicos selectivamente y en tiempos adecuados para favorecer a Donald Trump en su campaña, además de proveer de información a la llamada Internet Research Agency, también conocida como la “Granja de Troles de Olgino”.

El grupo de hackers que robó los correos electrónicos de la campaña de Hillary Clinton, Emmanuel Macron y una larga lista de objetivos políticos, gobiernos, empresas e instituciones se hacen llamar “FancyBear”, lo que está documentado en la investigación “TaintedLeaks” de Citizen Lab.¹ Los laboratorios de seguridad informática los identifican como APT28 (“Amenaza Avanzada Permanente núm. 28”), Sofacy, Pawn Storm, Strotinium y Sednit, entre otros nombres.

FancyBear se presenta como un grupo de ciberactivistas. La investigación de Robert Mueller confirmó lo que ya se sospechaba desde hace años: en realidad son una unidad que forma parte del Ejército ruso mediante el Departamento Central de Inteligencia de las Fuerzas Armadas de la Federación Rusa. Y algunos de sus operativos han estado vinculados con México.

Una de las técnicas más simples, pero altamente efectivas, que se pueden usar para robar información es engañar a los usuarios. Así, por ejemplo, a Podesta le insistieron tanto, lo suficiente, hasta hacerlo caer en un sitio falso de inicio de sesión de Gmail, una operación conocida como “spearfish”.

En el caso de México se valieron de lo que se le conoce como “typosquatting, que es el uso de una variación de nombre de dominio con fines maliciosos. El dominio que FancyBear eligió es g0b.mx (ge-cero-be punto eme-equis) para aprovechar que, sí no se pone atención, puede verse y confundirse con gob.mx (ge-o-be punto eme-equis), que es el dominio del gobierno federal mexicano.

El dominio g0b.mx fue registrado el 20 de septiembre de 2013 por alguien que se hace llamar “Lucas Jones” y que operaba sobre la llamada “Red Kevlar” (ns1.webkevlar.net y ns2.webkevlar.net), un conjunto de servidores utilizados por FancyBear.

En total, se sabe de 51 subdominios que existieron bajo el dominio g0b.mx:

api.g0b.mx

c0nacuila.g0b.mx

cfc.g0b.mx

cipet.g0b.mx

citas.sat.g0b.mx

conade.g0b.mx

conapo.g0b.mx

cpanel.g0b.mx

f911.g0b.mx

fifomi.g0b.mx

forum.g0b.mx

funci0npublica.g0b.mx

g0b.mx

hacienda.g0b.mx

imss.g0b.mx

infonavit.g0b.mx

inifap.g0b.mx

jalisco.g0b.mx

mail.c0nacuila.g0b.mx

mail.conade.g0b.mx

mail.fifomi.g0b.mx

mail.imss.g0b.mx

mail.sct.g0b.mx

mx1.g0b.mx

sat.g0b.mx

sep.g0b.mx

sicec.oportunidades.g0b.mx

smtp.c0nacuila.g0b.mx

smtp.conade.g0b.mx

smtp.conapo.g0b.mx

smtp.fifomi.g0b.mx

smtp.imss.g0b.mx

smtp.sct.g0b.mx

sre.g0b.mx

webmail.c0nacuila.g0b.mx

webmail.conade.g0b.mx

webmail.conapo.g0b.mx

webmail.sct.g0b.mx

ww1.c0fepris.g0b.mx

ww1.infonavit.g0b.mx

ww1.sicec.oportunidades.g0b.mx

ww1.wwww.g0b.mx

ww2.f911.g0b.mx

ww38.jalisco.g0b.mx

www.bajacalifornia.g0b.mx

www.cipet.g0b.mx

www.economia.g0b.mx

www.edomex.g0b.mx

www.i2tapalapa.df.g0b.mx

www.infonavit.g0b.mx

www.sat.g0b.mx

Silentforbusiness

APEC, 2013

Se tiene documentado por Symantec, ESET y PwC2 que el primer uso de este dominio por parte de FancyBear fue en 2013, cuando lo utilizaron con el subdominio mx1.g0b.mx para mandar correos electrónicos con malware haciéndose pasar por la Presidencia de México. En Censys consta el certificado SSL con su registro en 2013.

En ese operativo el objetivo fue robar el acceso al correo electrónico de políticos e instituciones miembros del Foro de Cooperación Económica de Asia Pacífico. Es la misma técnica utilizada para robar la contraseña del correo electrónico de Podesta.

¿CIBERACTIVISMO DEPORTIVO?

Públicamente FancyBear se presenta como “ciberactivistas” (www.fancybear.net, ahora requisado por el FBI3) que reconocen que su campaña es contra la WADA (Agencia Mundial Antidopaje), en respuesta a las sanciones que esta organización impuso en 2016 contra Rusia tras conocerse el programa institucionalizado de dopaje a sus deportistas.

Así, las revelaciones de información robada que han hecho públicas (y reconocen) es respecto a políticos, funcionarios, laboratorios e instituciones involucradas con el antidopaje y tanto de deportistas olímpicos como de futbolistas profesionales de todo el mundo.

¿Cómo lo hicieron? Una vez más, el primer paso fue simplemente engañar a los usuarios de correos electrónicos, haciéndose pasar por funcionarios, deportistas, instituciones, hospitales, laboratorios, de forma que lograron el acceso a los correos electrónicos y la información de servicios donde se almacenan los registros, análisis, resultados y todo lo relacionado con el dopaje en los países que le reportan a la WADA.

Pero ¿es posible que la operación de FancyBear contra la WADA haya tenido relación con México? FancyBear hizo la primera revelación de información robada a la WADA el 23 de septiembre de 20164. El caso del (ahora sabemos) falso positivo de doping de Paola Pliego se dio a conocer el 29 de julio de 2016. La exoneración de parte de la WADA llegó el 3 de noviembre de 2016.

El rastro digital indica que existieron los nombres mail.c0nacuila.g0b.mx y mail.conade.g0b.mx, que son typosquatting de mail.conaculta.gob.mx y mail.conade.gob.mx, instituciones responsables del deporte olímpico en México. Según RiskIQ, ambos estuvieron activos del 4 de octubre al 12 de diciembre de 2016.

¿De alguna manera pudo tener relación la operación de FancyBear con la exoneración de Paola Pliego? Pese al rastro digital existente, a falta de una oportuna y exhaustiva investigación, posiblemente nunca lo sabremos.

SEMAR

Parte del rasgo distintivo de FancyBear es el perfil de sus objetivos. Operan contra gobiernos y sus instituciones, ejércitos, diplomáticos y empresas estratégicas como las del sector energético, entre otras. Por eso, a estas alturas no es de sorprender que existiera un certificado SSL del 8 de noviembre de 2013 al 6 de febrero de 2014 que cubría a webmail.semar.g0b.mx y www.webmail.semar.g0b.mx5. En este caso no parece haber evidencia que haya sido usado, más allá del riesgo mismo de que haya existido.

¿PEGASUS?

No solo en México sino en todo el mundo hablar de NSO y su software Pegasus es acercarse a uno de los usos más cuestionables de la tecnología: el espionaje de objetivos civiles. Por una diferencia de 20 días una IP no tuvo traslape entre un dominio utilizado por FancyBear y uno usado por NSO.

Hasta agosto de 2016 el dominio account-gooogle.com, operado por FancyBear como parte del operativo que logró el robo de los correos de la campaña de Clinton, estuvo en la IP 8.5.1.35. Después de eso, en septiembre, por diferencia de aproximadamente 20 días a esa misma IP llegó el dominio newtarrifs.net, usado como parte de la campaña de NSO contra Ahmed Mansoor y mencionado también en el reporte Reckless I6 de Citizen Lab, la operación contra los periodistas y activistas mexicanos.

Esto puede no sonar descabellado si se entiende que Michael Flynn, el general que fue consejero de Seguridad Nacional por unas cuantas semanas en el gobierno de Donald Trump, y que fue investigado como parte de la intervención rusa en la elección presidencial, a través de su empresa OSY Technologies comercializaba el software de NSO. La carrera de Flynn, ya retirado del ejército estadounidense, como empresario y consejero independiente estuvo siempre marcada por la controversia, en especial justamente por su cercanía al gobierno ruso. OSY Technologies fue una de las empresas que aconsejaron y gestionaron la adquisición del software Pegasus por parte del gobierno federal mexicano durante el mandato de Enrique Peña Nieto, del que no hay constancia que se haya dejado de operar; tanto, que aún en 2019, el 20 de marzo, Citizen Lab presenta el reporte Reckless VII7, donde se documentó el espionaje mediante el software Pegasus contra Giselda Triana, viuda de Javier Valdez Cárdenas.

Pocos se preguntaron si acaso era posible que México fuera objetivo de operativos de ataque informático, principalmente proveniente de algún poder extranjero, que comprometen la seguridad. Según las evidencias que se mostraban por todo el mundo, otros tantos a lo único que atinaron fue a hacer mofa y escarnio. Pese al escepticismo generalizado, la realidad es que no somos ajenos como país a la gran arena mundial de los riesgos informáticos con objetivos políticos.

Hagamos red, sigamos conectados.


REFERENCIAS

1 https://citizenlab.ca/2017/05/tainted-leaks-disinformation-phish/

2 http://pwc.blogs.com/files/tactical-intelligence-bulletin—sofacy-phishing-.pdf

3 http://web.archive.org/web/20160913144330/http://fancybear.net/

4 http://web.archive.org/web/20160914180030/http://fancybear.net/

5 https://censys.io/certificates/bd6f78dd83a6065863477f46f38bb52df740e2db0c70cd6a27a7a505304e0bfa

6 https://citizenlab.ca/2017/06/reckless-exploit-mexico-nso/

7 https://citizenlab.ca/2019/03/report-slain-mexican-journalists-widow-targeted-by-spyware/

Autor

  • Leo García

    Diseño y coaching de estrategias para manejo de redes sociales. Experiencia en análisis de tendencias en línea.

    View all posts

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *