El método que emplearon los atacantes para penetrar en la red de comunicación interna del Ministerio de Defensa, así como los objetivos que pretendían alcanzar, encajan con el modus operandi del grupo ruso Fancy Bear, principales sospechosos de la agresión. Los hackers se movieron más de tres meses por el sistema, al que accedieron a través de un correo infectado, y habrían intentado acceder a información relacionada con la industria militar española.

Fuentes de la investigación consultadas por EL ESPAÑOL detallan que, con total certeza, la agresión procedió desde el exterior. El ciberataque se centró en la red de propósito general de Defensa, el sistema que sostiene, entre otros, los correos electrónicos de 50.000 empleados y funcionarios del Ministerio. Uno de ellos dio la señal de alerta a principios de marzo al detectar movimientos en su cuenta en horas en las que no estaba conectado.

Las pesquisas iniciales -en manos del Centro Criptológico Nacional, el Mando Conjunto de Ciberdefensa y el Centro de Sistemas y Tecnologías de la Información y las Comunicaciones (CESTIC)- determinaron que los atacantes llevaban tres meses moviéndose en esta red interna. La investigación, ahora en un estado más avanzado, certifica casi con total seguridad que este plazo de tiempo es más extenso. 

Pero, ¿quién está detrás de la agresión? La atribución es uno de los problemas más complejos a los que se enfrentan los investigadores al estudiar un ciberataque. Los atacantes emplean diversos métodos para camuflar sus movimientos. Los análisis, no obstante, apuntan con firmeza hacia el grupo de hackers ruso Fancy Bear.

El ciberataque a la red del Ministerio se produjo mediante un phising, un correo con un archivo infectado. El usuario, al descargarlo, infecta su propio ordenador y reenvía el código dañino a otros miembros de la misma red. Generalmente, estos ataques llegan camuflados a través de cuentas creadas expresamente para una agresión concreta, con una apariencia de confianza para el destinatario.

Los Fancy Bear, un grupo de ciberespionaje ruso subrepticio que algunos analistas vinculan al Kremlin, ya atacaron con este mismo método la red del Ministerio de Defensa estadounidense. Los hackers atacaron los correos electrónicos de al menos 87 empleados que trabajaban en proyectos de desarrollo tecnológico como drones o misiles, entre otros. 

La forma de actuar guarda estrechos paralelismos con otros ataques a países miembro de la OTAN y con el que recientemente ha sufrido Defensa. Una técnica sencilla de engaño con el que los atacantes logran acceden a información sensible. Estas agresiones cobran especial relevancia en un contexto en el que la tensión militar entre la Alianza Atlántica y Rusia ha pasado a un nivel mayor en escenarios como Ucrania o los países bálticos.

Otros movimientos de Fancy Bear

Al grupo Fancy Bear se le atribuyen algunos de los mayores ciberataques y acciones de desinformación contra países occidentales de los últimos tiempos. En su órbita se ha colocado la agresión que el parlamento alemán sufrió en diciembre de 2014, así como a diferentes representantes del Bundestag de los izquierdistas Die Linke o de los cristiano demócratas del CDU en 2016. Los investigadores apuntaron que esas injerencias tenían como fin influir en las elecciones germanas de 2017.

También se considera que los Fancy Bear serían los verdaderos autores de una serie de falsas amenazas yihadistas contra altos representantes militares estadounidenses. Bajo ese mismo pretexto yihadista lanzaron otro ciberataque en abril de 2015 la televisión francesa TV5Monde.

Ese mismo verano, la OTAN y la Casa Blanca sufrieron una serie de ciberagresiones. En agosto de 2016, la víctima de un envío masivo de correos afectados por phising fue la Agencia Mundial Antidopaje; lo mismo le sucedió al Partido Demócrata estadounidense a comienzos de ese mismo año. Todos esos movimientos, en mayor o en menor medida, se atribuyen a Fancy Bear.

La lista es extensa. Desde Ucrania hasta el Comité Olímpico Internacional, pasando por ministros holandeses. También se les atribuyen supuestas injerencias en las últimas elecciones francesas o alemanas.

Un largo historial que refleja las capacidades ofensivas de este grupo de hackers rusos en el ciberespacio. Analistas en ciberseguridad los ubican -al menos, por los objetivos escogidos- en la órbita del Kremlin. Ahora son, también, los principales sospechosos del ataque al Ministerio de Defensa español.

Noticias relacionadas