En la novena planta de un anónimo edificio de la calle Sharikopodshipnikovskaya, en Moscú, está Grupo IB, la primera empresa privada de cazadores de cibercriminales de Rusia, creada en 2003. En su oficina hay hoy colgado en una pared una enorme estampa con una escena de Kill Bill de Tarantino, dibujos del hombre sin cabeza de Anonymous, fotografías de personajes de Star Wars y otras del presidente ruso Vladímir Putin con el fundador de la compañía, Ilya Sachkov.

Y también cartas de elogios de cuerpos de seguridad europeos, policías rusos e instituciones tan diversas como la OSCE, bancos, multinacionales, centro de empleo, tabaqueras, Microsoft. Supuestos buenos y supuestos malos aquí se funden en una realidad más compleja que lo poco que se conoce de las guerras informáticas que se libran en la red.

“Nuestro principal trabajo es monitorizar y contrastar los ataques cibernéticos que se llevan a cabo en cirílico, identificar a hackers y cibercriminales, cómo han actuado, quiénes les han pagado, dónde se ha originado el ataque.

Y luego entregar esa información a la policía y a nuestros clientes, que son en mayoría empresas”, sostiene Dmitry Volkov, cofundador de Grupo IB y director de Tecnología de Inteligencia de Amenaza (Threat Intelligence) de esta empresa de Moscú. “Es un trabajo complejo, que puede llevar meses, incluso años. Pero todo ataque cibernáutico deja rastros y esos son los indicios que se pueden seguir”, asegura Volkov, al añadir que -sorpresa- recientemente también han empezado a colaborar con Interpol y la europea Europol.

El exceso de ‘ruido' creado por troles rusos ha terminado por perturbar la sintonía oficial. La ciudadanía comienza a ver cualquier comentario progubernamental como propaganda pagada por el Kremlin

En un mundo en el que una minoría utiliza procesos digitales avanzados mientras la mayoría se queda cada vez más en la cuneta, el crecimiento de Grupo IB ha ido en paralelo con la multiplicación de virus, de los programas de 'phishing' (suplantación de identidad para obtener datos personales) y otros tipos de malware (programas maliciosos). “El año pasado, hemos pasado de 70 empleados a 250 y estamos buscando más personal”, asevera Volkov, de 43 años y licenciado por la Universidad Bauman de Moscú. A decir de este analista, es precisamente su nacionalidad una de las claves de su éxito. “Los rusohablantes son una de las primeras comunidades productoras de 'malware' bancario, por lo cual para nosotros es más fácil infiltrarnos.

Hablamos su mismo idioma, lo que [a los cibercriminales] les genera menos suspicacias, por el miedo que le tienen al FBI estadounidense”, argumenta Volkov. “Pero, ojo, rusohablantes no significa necesariamente rusos”, añade.

Fueron los equipos de Grupo IB los que detectaron en 2010 a los hermanos Popelysh, dos de los primeros criminales cibernéticos arrestados en Rusia, por el robo de 13 millones de rublos de 170 clientes de bancos en 46 regiones de Rusia.

En 2016, sus pesquisas llevaron al desmantelamiento del grupo Cron, una pandilla de ciber-criminales que había infectado un millón de teléfonos móviles y estaba planeando ataques contra los bancos Credit Agricole, BNP Paribas y Société Générale. Y su empresa también investigó el virus WannaCry, considerado el mayor ataque con software maligno de la historia —que puso en riesgo a Telefónica, FedEx y el sistema sanitario británico —, logrando obtener pruebas del nexo con Corea del Norte. “De lo que no hay dudas es de que los rusos son de los mejores en hackeo y contrahackeo”, comenta un fiscal europeo conocedor del asunto.

Esa es la delgada línea por el que transitan las cuestiones de seguridad nacional de los Estados -como lo fue el virus WannaCry y lo es, por ejemplo, el lavado de dinero a través de internet- y las disputas geopolíticas entre los países, cuyos confines no son siempre claros. Un ejemplo ha sido lo ocurrido con otra empresa rusa, la Kaspersky, propietaria de uno de los antivirus más populares en el mundo, y que en septiembre fue vetada por el Gobierno estadounidense, supuestamente por el miedo de Washington a que el Kremlin la estuviese usando para el espionaje.

“Ni Kaspersky Lab, ni su fundador y CEO, Eugene Kaspersky, tienen vínculo alguno con gobierno y la compañía nunca ha ayudado, y nunca lo hará, a gobiernos en el mundo en acciones de ciberespionaje”, ha hecho saber Kaspersky, en una respuesta a una petición enviada por esta periodista. “La compañía está siendo acusada injustamente, sin ninguna evidencia contundente que sustente estas acusaciones falsas (…) cree fervientemente que una investigación más profunda a Kaspersky Lab confirmará que estas acusaciones son infundadas”, ha añadido.

De hecho, Kaspersky, fundada en 1997 y que en 2008 puso en marcha un centro de investigación similar al del Grupo IB, ha rechazado desde el comienzo la acusación estadounidense y también se ha ofrecido a dar el código fuente de sus antivirus. Su argumentación, que es también la de Grupo IB, es que nunca han trabajado para ciberespionaje ruso, aunque sí para el ministerio de Defensa de este país, como hacen numerosas empresas informáticas con sus respectivos Estados, algo que se debe a que la seguridad en la red es parte de la defensa nacional. De poco ha servido. Desde entonces, la fuga de clientes de Kaspersky ha sido continua.

Rusia, China, Israel, Estados Unidos, Reino Unido... Las potencias libran una batalla propagandística en internet contratando a auténticos ejércitos de "trolls cibernéticos"
Se trata, en todo caso, de un campo de batalla todavía en evolución y opaco. Testigo es el caso de Stuxnet —ya parte de la casuística mayormente estudiada—, el virus que entre 2009 y 2010 saboteó las centrifugadoras nucleares en Irán y cuya autoría, según diversas investigaciones —también reportadas por The New York Times—, ha sido vinculada a Israel y Estados Unidos.

No obstante, ni en este caso, ni en los de los ataques por el cual han sido responsabilizado el Gobierno ruso, las pruebas han sido definitivas y los involucrados han admitido su vinculación. En este borroso panorama, en los últimos 15 años, Grupo IB ha asumido miles de casos, aunque desde la compañía dicen que no pueden dar la cifra exacta, que, al igual de que el nombre de muchos de los clientes, también es confidencial.

El nivel de secretismo es tal que los trabajadores hacen una prueba del polígrafo antes de ser contratados y luego la repiten cada seis meses. El motivo oficial es evitar que algún 'black hat' [criminal cibernético] se haga con la información que se gestiona.

En la Sección de Respuesta de Emergencias Informáticas de Grupo IB hay una veintena de informáticos que no superan la treintena. Trabajan las 24 horas los siete días de la semana, turnándose. Se ocupan de defender a clientes privados de ataques DDoS, intrusiones en las redes y robo de datos, phishing, fraudes bancarios, infracciones contra marcas registradas, redes de botnets (robots que se emplean para ilícitos en la red). Sentados detrás de sus ordenadores, vigilan los ataques en tiempo real.

“Los ataques a los bancos son lo más común, pero también hemos detectado que ahora los piratas informáticos se están concentrado, por ejemplo, en las compañías de criptomonedas, que son bastante vulnerables”, explica el canadiense Nikolas Palmer, director del Negocio Internacional de Grupo IB, al añadir que, al igual que los criminales, también sus cazadores están creciendo en números importantes en todo el mundo.

“Es un negocio millonario”, añade, de pie delante de una pantalla en la que se ven las direcciones IP [número que identifica a un ordenador en una red] de Estados Unidos doblar las de Rusia, por cantidad de ataques. “Aunque eso no significa que los atacantes sean estadounidenses. Hay que recordar que las IP se pueden alquilar”, aclara Palmer, en hacer hincapié en otro de los trucos que usan los cibercriminales para escaparse de sus cazadores.

ALD/ElConfidencial