Eran las 17 horas de este pasado domingo cuando saltaba la noticia. La cuenta de la Casa Real en Twitter empezaba a seguir al presidente de Ucrania, Volodimir Zelenski. Pero poco después dejaba de hacerlo. Un perfil que se dedica a controlar la actividad en esta red social de instituciones y políticos señalaba el rastro de la operación.
Llamó la atenciçon un posicionamientop político tan claro por parte de Zarzuela. Ese movimiento podría verse con malos ojos desde Moscú, y con ello podrían verse condicionados los intereses de empresas españolas en Rusia y del propio Estado.
Pero esta actividad no fue intencionada. La Casa Real detectó lo que calificó como una "intromisión cibernética" en su cuenta de twitter. En palabras llanas, habían hackeado la cuenta de la Monarquía española.
La institución informó de la manipulación y ha precisado que ha consistido en simular "un seguimiento falso a la cuenta del presidente de Ucrania".
"Detectada la intromisión, ha sido subsanada y recuperada la normalidad en la cuenta", ha precisado la fuente. Con más de un millón de seguidores, la cuenta de la institución monárquica española sigue, a su vez, a otras dieciséis cuentas, la mayoría de ellas de carácter institucional.
¿Quién está detrás?
¿Quién podría tener interés en que la primera institución del país mostrase un apoyo explícito al presidente ucraniano en plena invasión rusa? Da la casualidad que el Centro Nacional de Inteligencia (CNI) avisó en un informe publicado por EL ESPAÑOL que España lleva semanas, incluso antes del inicio de la guerra en Ucrania, sufriendo ciberataques dirigidos "a influir o alterar opiniones haciendo un uso intencionado, y generalmente planificado y organizado, de información dirigida a socavar la seguridad y estabilidad de los ecosistemas que conforman la sociedad".
En el documento se apunta que estos ciberataques son de una "peligrosidad muy alta o crítica contra el sector público y las empresas estratégicas", donde se podría enmarcar la institución que dirige Felipe VI.
"El impacto de estos ataques puede derivar tanto en pérdidas millonarias en empresas privadas hasta interferir en el normal funcionamiento de servicios públicos esenciales para la ciudadanía", relata el informe.
La ministra de Defensa, Margarita Robles, de la que depende el CNI, aseguró que la alerta en el ciberespacio se acaba de aumentar al nivel tres (sobre cinco). Fuentes especializadas alertan de que se trata de un nivel de riesgo elevado, según publicó Brais Cedeira.
"Se han aumentado los medios de vigilancia de las redes básicas, especialmente las procedentes de Rusia y Ucrania. Se ha creado el Comité de Ciberseguridad bajo el comité de crisis de Presidencia del Gobierno, dirigido por el Centro Criptológico Nacional", explicó Margarita Robles.
En el mismo informe revelado por este periódico se hace referencia, en una nota al pie, a dos grupos de hackers "asociados a los servicios secretos" del Kremlin. Se refiere a los llamados Cozy Bear y Fancy Bear, dos colectivos dedicados al ciberespionaje, "probablemente patrocinados por el gobierno ruso".
Fancy y Cozy Bear
“Son organizaciones promovidas por el Gobierno ruso, de eso no hay dudas”, explica José Lancharro, director de BlackArrow, la división de servicios ofensivos y defensivos de Tarlogic Security.
La forma de ‘trabajar’ de los dos grupos es distinta. También los nombres pueden variar, pero los más conocidos son APT28 para Fancy y APT29 para Cozy. “Los primeros dependen del FSB, que son los servicios de inteligencia exterior rusos. Sus objetivos son tangibles y se pueden medir: por ejemplo interferir en campañas electorales extranjeras o generar desprestigio a instituciones”, explica Lanchorro, que pone como ejemplo los ataques a Hillary Clinton cuando se prensentó a los comicios norteamericanos de 2016 o el asalto a los datos de los deportistas en las agencias antidopaje estadounidense y global. Su objetivo es desestabilizar a Occidente.
Cozy es otra cosa. “Son de naturaleza militar”, resumen Lancharro y el manager de BlackArrow, José Miguel Gómez-Casero. Silenciosos, sin llamar la atención, “son como un mal cáncer que se va expandiendo para conseguir toda la inteligencia posible durante el máximo tiempo posible sin llegar a un objetivo concreto, el objetivo es el camino”.
Cozy Bear es un corredor de fondo. Su ideal es permanecer años dentro de una de sus ‘víctimas’ hasta que puedan exprimirles toda la información relevante posible. Y en los últimos años han mejorado su técnica en las “permanencias”, que es como se conoce en el mundo de la ciberseguridad a la capacidad para que el día de mañana puedan volver entrar en sus objetivos para seguir consiguiendo información.
No se sabe con exactitud cuántas personas están detrás de estos equipos pero “no menos de 15”, explican los expertos de BlackArrow, “más todos los que le dan soporte y mantenimiento”. Tanto Cozy como Fanzy utilizan malwares propios, “diseñados por o para ellos”, porque no está del todo claro si los desarrollan ellos mismos o en el Kremlin, “para que sea más difícil de detectarlos y detenerlos”, explica Lancharro, a lo que añade: “Desde el punto de vista técnico, ambos son muy sofisticados”.
“Hacen campañas paralelas, es decir que pueden llevar varias operaciones al mismo tiempo. Para eso mínimo necesitan de tres personas. Así que nuestros cálculos propios es que no pueden ser menos de 15”, afirma Gómez-Casero.
“En el caso de España es lógico que estemos en la lista de los objetivos como ha alertado el CNI”, dice el manager de BlackArrow. Bajo su punto de vista, las dos organizaciones tienen como objetivos instituciones europeas y de la OTAN. El envío de armas y el posiconamiento contra la invasión en Ucrania nos pone en el punto de mira.