Newsletter
Si desea recibir periódicamente la newsletter de AHORA, introduzca aquí su correo electrónico:
Internacional
La guerra tecnológica de Dáesh
Los ataques informáticos de los yihadistas tienen más fines propagandísticos que económicos
Joaquín Pi Yagüe
- 18/03/2016
- Número 26
PATRICIA BOLINCHES
La propaganda audiovisual del autodenominado Estado Islámico (EI) y su forma de moverse en las redes sociales, especialmente en Twitter, son de sobra conocidas. Su capacidad real para causar daños informáticos en lo que parecen ser los inicios de la era de la ciberguerra, en cambio, ha sido una incógnita hasta hace poco. No obstante, los ataques cibernéticos por parte de piratas informáticos que decían abrazar el yihadismo no es algo exclusivo de esta organización.
El pasado agosto Junaid Hussain murió en Irak por un bombardeo con drones, según manifestaron fuentes oficiales estadounidenses y europeas. Se le atribuían grandes conocimientos informáticos hasta el punto de haber desarrollado un papel tan destacado en la organización que le llevó a dirigir Cibercalifato, una rama de EI dedicada a los ataques informáticos. Hussain había pasado medio año en la cárcel en 2012 por la sustracción y difusión de la lista de direcciones del ex primer ministro británico Tony Blair.
Napoleoni: “La de EI es una economía de dinero en efectivo, no creo que los bitcoins jueguen un gran papel”
Los ataques en el ciberespacio perpetrados por Dáesh en 2015 han tenido cierta resonancia. En enero consiguió piratear la cuenta de Twitter del Comando Central de Estados Unidos (CENTCOM, en su acrónimo en inglés) sustituyendo durante unas horas las fotos de encabezado y de perfil por imágenes y frases propagandísticas de la organización terrorista. Un mes después volvió a piratear una cuenta en esta misma red social: la de la revista Newsweek, que utilizó para enviar amenazas a la familia Obama.
El canal internacional de la televisión pública francesa, TV5, perdió el control sobre sus emisiones así como sobre sus cuentas de Twitter y Facebook durante tres horas en la noche del 8 al 9 de abril. Mientras quienes sintonizaban el canal veían la pantalla de color negro, varios documentos con detalles de las identidades de los efectivos del Ejército francés que participaban en operaciones antiterroristas en Malí y Oriente Próximo se difundieron en las cuentas que el canal tiene en Facebook y Twitter. Por su parte, Adrian Culler, exdetective de una unidad de la Policía especializada en delitos informáticos, reconoció durante aquellos días —según el diario Daily Mirror— que varias instituciones financieras habían sufrido ataques informáticos desde algunas IP radicadas, en teoría, en Siria e Irak.
‘Hackers’ yihadistas
Según detalló a Infobae el experto al frente de Eleven Paths (compañía de Telefónica que crea productos de seguridad informática), Chema Alonso, estos ciberataques se hacen mediante la técnica del phishing (suplantación de identidad), con la que se pretende obtener información a través del fraude. Para ello, el phisher suele enviar un correo electrónico desde una dirección en apariencia fiable como puede ser un organismo o empresa de confianza. El destinatario lo abre y se encuentra con un contenido que, de igual manera, aparenta ser inocuo, pero en realidad descarga un troyano que permite al emisor conseguir acceso remoto al ordenador infectado.
Para el ataque a TV5, Alonso afirmó que los terroristas utilizaron la técnica del spear phishing (phishing selectivo), que consiste en enviar el e-mail con el troyano a unas pocas direcciones de correo electrónico, o incluso a una sola. Los hackers pueden conseguir esto buscando perfiles profesionales de personas que trabajan allí a través de redes sociales como LinkedIn. Una vez se han hecho con ellas, solo es necesario que uno de los empleados o directivos caiga en la trampa para “que los piratas ya tengan acceso a todo el servidor de información de la organización atacada”.
Aunque con una simple conexión a internet alguien pudiera llevar a cabo estas operaciones, ¿cuenta Dáesh con gente dedicada a esto en particular? El periodista especializado en comunicación digital Andrés Ortiz, autor de #Yihad. Cómo el Estado Islámico ha conquistado internet y los medios de comunicación, sobre los captadores de EI en la Deep Web, afirma a AHORA: “Dáesh tiene piratas informáticos. Eso se sabe y de hecho está habiendo detenciones”. Ortiz explica que en el organigrama del centro de comunicaciones de EI, una suerte de división informática estaría a la misma altura que los encargados de llevar la política de propaganda que tanta notoriedad les ha reportado. “Hasta ahora tienen un centro de comunicaciones que se llama Al Hayat. Y digo hasta ahora porque esto puede cambiar y los números crecer o decrecer. Al Hayat cuenta con 12 delegaciones repartidas por todo el territorio de Dáesh.”
Según Ortiz, una muestra de la importancia que da el autoproclamado califato a las comunicaciones y a las nuevas tecnologías es que resulta “muy curioso y muy significativo que el director de comunicación que a menudo ha hecho las veces de portavoz y que se llama Al Adsnani tenga el trato de emir, al igual que hay un emir de finanzas, otro militar... Son los ministros de Dáesh”. Al Hayat no solo se dedica a la elaboración y difusión de propaganda. “Hay distintas divisiones: una de vídeo, otra informática, otra de internet. Los soldados de este centro cobran tres o cuatro veces más que un soldado raso de EI”, detalla Ortiz. Los dos estudios más especializados —aunque breves— que se pueden encontrar sobre este asunto entre los primeros resultados de búsquedas en la red corresponden a julio y agosto de 2013. El primero, firmado por Christopher Heffelfinger, experto en contraterrorismo y profesor de la Academia Militar de West Point, se centra en las acciones de grupos vinculados en mayor o menor medida a Al Qaeda y autoproclamados yihadistas. Resulta llamativo que en este escrito el nombre del hacker Junaid Hussain no aparezca vinculado aún a Dáesh.
En el segundo, firmado por el entonces investigador del ESISC (Centro para la Seguridad y la Inteligencia Estratégica Europea), Ludovic Terren, tampoco se recoge alusión alguna a la actividad de piratería informática de ningún grupo que pudiera identificarse con EI. Ambos señalan que los ataques cibernéticos en nombre del salafismo yihadista habrían sido de pequeña y mediana escala hasta principios de 2013. Heffelfinger señala en su artículo que “en comparación con los hackers y los grupos de piratas informáticos controlados o financiados por actores estatales, los hackers yihadistas van por detrás en lo que al impacto de sus ataques se refiere, a lo reducido de sus habilidades técnicas y, sobre todo, a sus habilidades de liderazgo, organizativas y de reclutamiento”.
Terren coincide con él al explicar que “la amenaza real que representan permanece en un índice bajo cuando se plantea la hipótesis de unos ataques de mayor entidad que pudieran tener éxito contra infraestructuras occidentales críticas. Esto se debe en parte a la falta de organización y de capacidades técnicas”.
No obstante, como si a través de sus análisis pudieran atisbar lo que iba a venir más adelante, Heffelfinger y Terren se muestran cautelosos, advirtiendo que el futuro está abierto y que la situación se podría complicar. El profesor de West Point apunta que “el grupo actual de hackers yihadistas es joven y ambicioso. No debería descartarse la perspectiva de tener yihadistas guiando ciberataques de gran impacto contra un sistema de control industrial o ataques financieros a gran escala”.
El investigador del ESISC, después de señalar las lagunas organizativas y técnicas de los piratas informáticos de esta ideología, matiza sus propias posiciones escribiendo: “Sin embargo, un vistazo a los ataques de piratería yihadistas en el último o en los dos últimos años sugiere un refinamiento progresivo de su modus operandi”.
Mecanismos de financiación
En el artículo mencionado anteriormente, Terren explica también que “es importante diferenciar entre el pirateo con fines monetarios para recaudar fondos antes de llevar a cabo un atentado terrorista en la vida real y el hackeo como un acto terrorista en sí mismo, en el cual unos hackers intentan desestabilizar infraestructuras políticas y financieras en nombre de la yihad”. Como en tantos otros aspectos del ámbito cibernético, Dáesh ha conseguido unificar estas dos actividades que parecían presentarse en compartimentos estancos para dirigirlas hacia un único objetivo.
En un artículo publicado en agosto de 2014 en el diario digital estadounidense Daily Dot —especializado en el campo de las nuevas tecnologías— se afirmaba que el autodenominado EI podría estar recolectando fondos a través de internet exigiendo, además, que estos donativos se hicieran en bitcoins. El diario ponía como ejemplo una cuenta, @KhilafaHackers, poco después cancelada en Twitter, en la que no se había ingresado nada en el momento en el que el periodista indagó. El bitcoin es una moneda virtual. Se considera criptomoneda porque, en teoría, al no ser acuñada por ningún poder específico y centralizado puede viajar por todo el mundo y es muy difícil de rastrear o bloquear.
Daily Dot había publicado un mes antes otra noticia según la cual habían localizado a un bloguero que enseñaba a grupos yihadistas a usar la criptomoneda y el navegador Tor, que otorga un gran anonimato cuando el usuario se mueve por páginas no indexadas por buscadores —lo que se conoce como Deep Web—. La cuenta localizada por Daily Dot se defendió personalmente afirmando que “no pertenecía a ISIS”, pero sí decía ser “un opositor al Gobierno iraquí”.
El periodista que firmaba la información tuvo a bien aclarar que el bitcoin no debía ser estigmatizado como una moneda exclusivamente de uso criminal, ya que la idea de la misma había atraído, entre otros, a gente de “negocios, libertarios y defensores de la privacidad”. De hecho, el autor terminó recordando que, al fin y al cabo, la “mejor manera de esconder dinero, ya sean los yihadistas o nosotros mismos, es el dinero en efectivo”.
Dinero en efectivo
La economista, profesora, columnista y experta en la financiación del terrorismo Loretta Napoleoni se muestra escéptica respecto a este tema cuando responde a las preguntas de AHORA: “No creo que los bitcoins jueguen un papel tan grande. La de Dáesh es una economía de dinero en efectivo. No puedes tenerlo todo en bitcoins. Puedes ingresarlo en una cuenta, pero esta será una cuenta que estará dentro del sistema monetario internacional, por lo que también estará controlada —de hecho, los bitcoins están muy bien monitorizados—, a menos, claro, que exista gente en los países del Golfo que lleven el dinero en efectivo hasta la frontera. Pero esta es una operación muy complicada”.
Terren: “Hay que distinguir entre el pirateo para recaudar fondos y el hackeo como acto terrorista”
Si el uso de los bitcoins, de acuerdo a lo apuntado por Napoleoni, es difícil y no está ni mucho menos extendido dentro de Dáesh, cabe preguntar a la experta si los terroristas realizan sus operaciones de financiación manejando moneda convencional. “Lo que yo sé hasta ahora es que la financiación se está haciendo en dólares y liras turcas, no tanto en euros”, detalla Napoleoni. Y ahonda en estos datos: “¿Por qué usan liras turcas? Porque es mucho el comercio que se hace con Turquía, por supuesto. Hay mucho contrabando con ese país, pero también he oído que se puede usar moneda siria, así que, por ejemplo, EI vende petróleo en el sur, en áreas controladas por el régimen de Al Asad, y esto se hace en moneda siria”, insiste Napoleoni.
Como ya se ha mencionado, para investigadores como Terren el modus operandi del autodenominado Estado Islámico supuso un antes y un despúes. Aunque es importante distinguir entre la piratería informática por motivos financieros y la piratería informática como un acto terrorista en sí, Terren se muestra cauteloso a la hora de elaborar un diagnóstico cuando se trata de Dáesh: “Basándome en lo que conozco, creo que EI está más inclinado a atacar en el plano informático con propósitos propagandísticos que por cuaquier otra cosa. Dudo que pirateen con fines económicos”.
¿Ataques en el ciberespacio para causar daños en el mundo real?
Joaquín Pi Yagüe
¿Sería posible que una operación en internet tuviera como consecuencia directa bajas humanas en el mundo real? En diciembre de 2014 el canal galo France 24 publicaba una noticia que sondeaba la posibilidad de que Dáesh hubiera pasado del ciberataque propagandístico al ciberataque como arma de guerra. El grupo “Raqqa está siendo masacrada en silencio” (RBSS, por sus siglas en inglés), que difunde las atrocidades de EI en esta ciudad, recibió un escueto correo electrónico: “Gracias por dar una imagen de la vida real en Raqqa”. Este mensaje era una trampa. Desde el Citizen Lab de la Universidad de Toronto señalaron, según explica el canal francés, que se trataba de un malware para intentar localizar a los activistas de RBSS. Este virus registra la dirección IP de la víctima junto con algunos detalles sobre el sistema de su ordenador. Dichos datos son enviados de vuelta al hacker que en un principio envió ese correo electrónico. Esta información puede ser utilizada para lanzar ataques más sofisticados en un futuro. Pero lo más inquietante es que mediante este procedimiento el pirata informático puede situar a la víctima en un espacio determinado. No obstante, la posibilidad de atacar físicamente a un enemigo localizándolo previamente en el espacio cibernético podría ser una ventaja para quienes luchan contra EI. La revista One Hacker anunció que el Departamento de Defensa de EE.UU. había logrado dar con un algoritmo que serviría para combatir a Dáesh, reproduciendo sus comportamientos. Se trata de recrear los métodos de EI mediante el rastreo de miles de datos del Instituto para el Estudio de la Guerra sobre las acciones terroristas del grupo. Al hacer esta exploración hallaron patrones comunes en determinadas acciones que pueden llevar a distinguir tácticas concretas. Se comprobó, por ejemplo, que a la explosión de una serie de coches bomba en Bagdad le sucedían ataques terroristas en ciudades situadas al norte de Irak.
¿Sería posible que una operación en internet tuviera como consecuencia directa bajas humanas en el mundo real? En diciembre de 2014 el canal galo France 24 publicaba una noticia que sondeaba la posibilidad de que Dáesh hubiera pasado del ciberataque propagandístico al ciberataque como arma de guerra. El grupo “Raqqa está siendo masacrada en silencio” (RBSS, por sus siglas en inglés), que difunde las atrocidades de EI en esta ciudad, recibió un escueto correo electrónico: “Gracias por dar una imagen de la vida real en Raqqa”. Este mensaje era una trampa. Desde el Citizen Lab de la Universidad de Toronto señalaron, según explica el canal francés, que se trataba de un malware para intentar localizar a los activistas de RBSS. Este virus registra la dirección IP de la víctima junto con algunos detalles sobre el sistema de su ordenador. Dichos datos son enviados de vuelta al hacker que en un principio envió ese correo electrónico. Esta información puede ser utilizada para lanzar ataques más sofisticados en un futuro. Pero lo más inquietante es que mediante este procedimiento el pirata informático puede situar a la víctima en un espacio determinado. No obstante, la posibilidad de atacar físicamente a un enemigo localizándolo previamente en el espacio cibernético podría ser una ventaja para quienes luchan contra EI. La revista One Hacker anunció que el Departamento de Defensa de EE.UU. había logrado dar con un algoritmo que serviría para combatir a Dáesh, reproduciendo sus comportamientos. Se trata de recrear los métodos de EI mediante el rastreo de miles de datos del Instituto para el Estudio de la Guerra sobre las acciones terroristas del grupo. Al hacer esta exploración hallaron patrones comunes en determinadas acciones que pueden llevar a distinguir tácticas concretas. Se comprobó, por ejemplo, que a la explosión de una serie de coches bomba en Bagdad le sucedían ataques terroristas en ciudades situadas al norte de Irak.