Filtración de los ‘archivos Vulkan’ revela las tácticas de ciberguerra global y nacional de Putin
Foto compuesta: Guardian Design/Sputnik/AFP/Getty Images/Facebook/Telegram

La discreta oficina está situada en los suburbios del noreste de Moscú. Un cartel indica: “Centro de negocios”. Cerca del lugar hay edificios residenciales modernos y un antiguo e irregular cementerio, que alberga monumentos de guerra cubiertos de hiedra. En esta zona Pedro el Grande entrenó a su poderoso ejército.

En el interior del edificio de seis pisos, una nueva generación colabora en las operaciones militares rusas. Sus armas son más avanzadas que las de la época de Pedro el Grande: no se trata de picas y alabardas, sino de herramientas de hackeo y desinformación.

Los ingenieros de software que están detrás de estos sistemas son empleados del contratista NTC Vulkan. A primera vista, parece una consultoría de ciberseguridad común y corriente. No obstante, una filtración de archivos secretos de la empresa reveló el trabajo que realiza para reforzar las capacidades de guerra cibernética del presidente ruso Vladimir Putin.

Miles de páginas de documentos secretos revelan cómo los ingenieros de Vulkan han trabajado para las agencias militares y de inteligencia rusas para prestar apoyo en operaciones de hackeo, entrenar a agentes antes de ataques contra infraestructuras nacionales, difundir desinformación y controlar algunas secciones de internet.

El trabajo de la empresa está vinculado al Servicio Federal de Seguridad o FSB, la agencia de espionaje del país; a las divisiones operativas y de inteligencia de las fuerzas armadas, conocidas como GOU y GRU; y al SVR, la organización de inteligencia exterior de Rusia.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - 4147
Un diagrama que muestra un sistema de reconocimiento de hackeo de Vulkan cuyo nombre en clave es Scan, desarrollado desde 2018.

Uno de los documentos vincula una herramienta de ciberataque de Vulkan con el infame grupo de hackers Sandworm, que, según indicó el gobierno estadounidense, provocó en dos ocasiones apagones en Ucrania, interrumpió los Juegos Olímpicos de Corea del Sur y lanzó NotPetya, el malware más destructivo de la historia desde el punto de vista económico.

Con el nombre en clave Scan-V, el programa explora internet en busca de vulnerabilidades, que posteriormente guarda para utilizarlas en futuros ciberataques.

Otro sistema, conocido como Amezit, equivale a un proyecto para vigilar y controlar el internet en regiones que están bajo el mando de Rusia, y también permite divulgar desinformación a través de perfiles falsos en las redes sociales. Un tercer sistema creado por Vulkan –Crystal-2V– es un programa de entrenamiento para ciberagentes sobre los métodos que se necesitan para derribar infraestructuras ferroviarias, aéreas y marítimas. Un archivo que explica cómo funciona el software afirma: “El nivel de confidencialidad de la información procesada y almacenada en el producto es ‘Ultra Secreto'”.

Los archivos Vulkan, que datan de 2016 a 2021, fueron filtrados por un denunciante anónimo enojado por la guerra de Rusia contra Ucrania. Este tipo de filtraciones desde Moscú son extremadamente inusuales. Días después del inicio de la invasión en febrero del año pasado, la fuente contactó al periódico alemán Süddeutsche Zeitung e indicó que el GRU y el FSB “se esconden detrás” de Vulkan.

“La gente debería conocer los peligros que supone esto”, señaló el denunciante. “Debido a los acontecimientos en Ucrania, decidí hacer pública esta información. La empresa está haciendo cosas malas y el gobierno ruso es cobarde y está equivocado. Estoy enojado por la invasión contra Ucrania y las cosas horribles que están ocurriendo allí. Espero que puedan utilizar esta información para mostrar qué está ocurriendo a puerta cerrada”.

La fuente compartió posteriormente los datos y más información con la startup de investigación Paper Trail Media, con sede en Múnich, Alemania. Durante varios meses, periodistas que trabajan para once medios de comunicación, entre ellos los periódicos The Guardian, Washington Post y Le Monde, investigaron los archivos formando un consorcio dirigido por Paper Trail Media y Der Spiegel.

Cinco agencias de inteligencia occidentales confirmaron que los archivos Vulkan parecen ser auténticos. La empresa y el Kremlin no respondieron las múltiples solicitudes de comentarios.

La filtración incluye correos electrónicos, documentos internos, planes de proyectos, presupuestos y contratos. Ofrecen una visión de los amplios esfuerzos del Kremlin en el ámbito cibernético, en un momento en que está librando una brutal guerra contra Ucrania. Se desconoce si las herramientas creadas por Vulkan han sido utilizadas para perpetrar ataques en el mundo real, en Ucrania o en otros lugares.

Sin embargo, se tiene conocimiento de que los hackers rusos atacaron en repetidas ocasiones las redes informáticas ucranianas, una campaña que aún continúa. Desde la invasión del año pasado, los misiles de Moscú cayeron sobre Kiev y otras ciudades, destruyendo infraestructuras críticas y dejando al país en la oscuridad.

Los analistas señalan que Rusia también está inmersa en un conflicto continuo frente a lo que percibe como su enemigo, Occidente, que incluye a Estados Unidos, Reino Unido, la Unión Europea, Canadá, Australia y Nueva Zelanda, países que han desarrollado sus propias capacidades cibernéticas ofensivas clasificadas en el marco de una carrera armamentista digital.

Algunos documentos de la filtración contienen lo que parecen ser ejemplos ilustrativos de posibles objetivos. Uno de ellos contiene un mapa que muestra puntos distribuidos por todo Estados Unidos. Otro contiene los detalles de una planta nuclear ubicada en Suiza.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - 9E94B7EB-F870-40BC-9027-4D3BEE4CFE7E
Mapa de Estados Unidos encontrado en los archivos Vulkan filtrados que formaban parte del multifacético sistema Amezit.

Uno de los documentos revela que los ingenieros recomiendan a Rusia que aumente sus propias capacidades utilizando las herramientas de hackeo robadas en 2016 a la Agencia de Seguridad Nacional de Estados Unidos y publicadas en internet.

John Hultquist, vicepresidente de análisis de inteligencia de la empresa de ciberseguridad estadounidense Mandiant, que revisó algunas partes del material a petición del consorcio, comentó: “Estos documentos sugieren que Rusia considera que los ataques contra infraestructuras críticas civiles y la manipulación de las redes sociales son una misma misión, que básicamente es un ataque contra la voluntad de luchar del enemigo”.

¿Qué es Vulkan?

El director ejecutivo de Vulkan, Anton Markov, es un hombre de mediana edad, de cabello corto y ojeras. Markov fundó Vulkan (que significa volcán en español) en 2010, junto con Alexander Irzhavsky. Ambos se graduaron en la Academia Militar de San Petersburgo y sirvieron en el ejército en el pasado, ascendiendo a los rangos de capitán y mayor, respectivamente. “Tenían buenos contactos en ese sentido”, comentó un exempleado.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - CBE38E3A-FA0F-4025-868F-697A69884EB4
Anton Markov, director ejecutivo de Vulkan. Foto: redes sociales

La empresa forma parte del complejo militar-industrial ruso. Este mundo clandestino engloba agencias de espionaje, empresas comerciales e instituciones de educación superior. Especialistas como programadores e ingenieros cambian de un sector a otro; los agentes secretos del Estado dependen enormemente de los conocimientos del sector privado.

Vulkan surgió en un momento en que Rusia expandía rápidamente sus capacidades cibernéticas. Tradicionalmente, el FSB asumía el liderazgo en asuntos cibernéticos. En 2012, Putin designó como ministro de Defensa al ambicioso y enérgico Sergei Shoigu. Shoigu –responsable de la guerra de Rusia en Ucrania– quería disponer de sus propias tropas cibernéticas, que le reportaran a él de forma directa.

Desde 2011, Vulkan recibe licencias gubernamentales especiales que le permiten trabajar en proyectos militares clasificados y en secretos de Estado. Se trata de una mediana empresa tecnológica que cuenta con más de 120 empleados, de los cuales aproximadamente 60 son desarrolladores de software. Se desconoce el número de contratistas privados a los que se les concede acceso a proyectos tan confidenciales en Rusia, pero algunos cálculos sugieren que no son más de una docena.

La cultura corporativa de Vulkan se parece más a la de Silicon Valley que a la de una agencia de espionaje. Tiene un equipo de futbol para el personal, y correos electrónicos motivadores que incluyen consejos para mantenerse en forma y celebraciones de los cumpleaños de los empleados. Incluso existe un slogan optimista: “Haz del mundo un lugar mejor” aparece en un lustroso video promocional.

Vulkan afirma que se especializa en “seguridad de la información”; oficialmente, sus clientes son grandes empresas estatales rusas. Entre ellas figuran Sberbank, el banco más grande del país; la aerolínea nacional Aeroflot; y la compañía ferroviaria rusa.

“El trabajo era divertido. Usábamos las tecnologías más avanzadas”, comentó un exempleado que al final dejó la empresa tras desilusionarse con el trabajo: “La gente era muy inteligente. Y el sueldo era bueno, muy superior al habitual”.

Además de los conocimientos técnicos, esos generosos sueldos compraron la expectativa de que hubiera discreción. Algunos miembros del personal se graduaron de la Universidad Técnica Estatal Bauman de Moscú, que tiene un largo historial de incorporar nuevos empleados al Ministerio de Defensa. La organización de los flujos de trabajo se basa en principios de estricto secreto operativo, y nunca se le informa al personal sobre lo que están haciendo otros departamentos.

La ética de la empresa es patriótica, según sugiere la filtración. En la víspera de Año Nuevo de 2019, un empleado creó un animado archivo de Microsoft Excel con música militar soviética y la imagen de un oso. Junto a él aparecían las palabras: “APT Magma Bear”. Se trata de una referencia a grupos de hackers estatales rusos como Cozy Bear y Fancy Bear, y parece hacer alusión a las propias actividades turbias de Vulkan.

Cinco meses después, Markov les recordó a sus empleados el Día de la Victoria, festividad del 9 de mayo que conmemora la victoria del Ejército Rojo sobre la Alemania nazi en 1945. “Se trata de un acontecimiento significativo en la historia de nuestro país”, comentó al personal. “Crecí viendo películas sobre la guerra y tuve la suerte de poder hablar con veteranos y escuchar sus historias. Estas personas murieron por nosotros, para que podamos vivir en Rusia”.

Uno de los proyectos de mayor alcance de Vulkan se llevó a cabo con la aprobación de la unidad de ciberguerreros más infame del Kremlin, conocida como Sandworm. Según fiscales estadounidenses y gobiernos occidentales, durante la última década Sandworm fue responsable de operaciones de hackeo de una escala asombrosa. La unidad ha perpetrado numerosas acciones malignas: manipulación política, cibersabotaje, interferencia electoral, correos electrónicos desechables y filtraciones.

Sandworm inutilizó la red eléctrica de Ucrania en 2015. El año siguiente participó en la descarada operación de Rusia que tenía como objetivo alterar las elecciones presidenciales de Estados Unidos. Dos de sus agentes fueron acusados de difundir correos electrónicos robados a los demócratas de Hillary Clinton utilizando una identidad falsa, Guccifer 2.0. Después, en 2017, Sandworm robó más datos en un intento de influir en el resultado de las elecciones presidenciales francesas, según señala Estados Unidos.

Ese mismo año, la unidad perpetró el ciberataque más impactante de la historia. Los agentes utilizaron un malware diseñado a la medida llamado NotPetya. Primero en Ucrania, NotPetya se propagó rápidamente por todo el mundo. Dejó fuera de servicio a empresas de distribución, hospitales, sistemas postales y fabricantes de productos farmacéuticos: un ataque digital que pasó del mundo virtual al mundo físico.

Los archivos Vulkan revelan la existencia de una pieza de la maquinaria digital que podría desempeñar un importante papel en el próximo ataque que desencadene Sandworm.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - 7B989A70-AE94-4E8A-A530-6EFECE1CDD16_1_105_c-1122x1280
Un cartel de “Se busca” del FBI de seis miembros del GRU que se cree que trabajan para Sandworm. Foto: FBI

Un sistema ‘construido con fines de ataque’

La unidad especial Sandworm, que forma parte del “principal centro de tecnologías especiales” del GRU, es conocida internamente por su código de campo 74455. Este código aparece en los archivos Vulkan como “parte encargada de la aprobación” en un documento técnico.

El documento describe un “protocolo de intercambio de datos” entre una base de datos aparentemente preexistente gestionada por el ejército que contenía información sobre las debilidades del software y el hardware, así como un nuevo sistema que se había encargado a Vulkan que contribuyera en el desarrollo: Scan-V.

Los grupos de hackers como Sandworm acceden a los sistemas informáticos buscando primero sus vulnerabilidades. Scan-V respalda este proceso, realizando reconocimientos automáticos de posibles objetivos en todo el mundo a la caza de servidores y dispositivos de red potencialmente vulnerables. Posteriormente, la información se guarda en un almacén de datos, lo que les proporciona a los hackers un medio automatizado para identificar objetivos.

Gabby Roncone, otra experta de la empresa de ciberseguridad Mandiant, hizo la analogía de las escenas de las viejas películas de guerra en las que la gente coloca “su artillería y sus tropas en el mapa. Quieren averiguar dónde están los tanques enemigos y dónde tienen que atacar primero para atravesar las líneas enemigas”, explicó.

El Instituto de Ingeniería Física, un centro de investigación de la región de Moscú estrechamente asociado a la GRU, encargó el proyecto Scan en mayo de 2018. Todos los detalles eran clasificados. Se desconoce si Sandworm era uno de los usuarios previstos del sistema, no obstante, en mayo de 2020, un equipo de Vulkan visitó unas instalaciones militares en Khimki, la misma ciudad situada a las afueras de Moscú donde la unidad de hackeo tiene su sede, con el fin de probar el sistema Scan.

“Scan definitivamente está construido con fines de ataque. Encaja perfectamente con la estructura organizacional y el enfoque estratégico del GRU”, comentó un analista después de revisar los documentos. “No se encuentran con mucha frecuencia diagramas de red y documentos de diseño como estos. Realmente es un material muy complejo”.

Los archivos filtrados no contienen información sobre el código malicioso ruso, o malware, utilizado para las operaciones de hackeo. Sin embargo, un analista de Google señaló que en 2012 la empresa tecnológica asoció a Vulkan con una operación que involucró un malware conocido como MiniDuke. El SVR, la agencia de inteligencia exterior de Rusia, utilizaba el malware MiniDuke en campañas de phishing. La filtración revela que una sección encubierta de la SVR, la unidad militar 33949, contrató a Vulkan para que trabajara en varios proyectos. La empresa asignó a su cliente los nombres en clave de “sanatorio” y “dispensario”.

Control sobre internet, vigilancia y desinformación

En 2018, un equipo de empleados de Vulkan viajó al sur del país para asistir a las pruebas oficiales de un programa radical que permite ejercer el control, la vigilancia y la desinformación en internet. La reunión se llevó a cabo en el Radio Research Institute situado en la ciudad de Rostov del Don y vinculado al FSB. Este subcontrató a Vulkan para que ayudara en la creación del nuevo sistema, denominado Amezit, que en los archivos también aparecía vinculado al ejército ruso.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - 93BC510A-CF0E-4F92-908B-B9D91CF40485
Una captura de pantalla del sistema Amezit que muestra cuentas falsas creadas por Vulkan que imitan perfiles reales de redes sociales.

“Muchas personas trabajaron en Amezit. Se invirtió dinero y tiempo”, recordó un exempleado. “También participaron otras empresas, posiblemente porque el proyecto era muy grande e importante”.

Vulkan desempeñó un papel fundamental. Ganó un contrato inicial para la construcción del sistema Amezit en 2016, no obstante, los documentos sugieren que los ingenieros de Vulkan seguían mejorando ciertas partes de Amezit hasta muy avanzado el año 2021, y que se preveía un mayor desarrollo en 2022.

Una parte del sistema Amezit está orientada al ámbito nacional, lo que permite que los agentes secuestren y tomen el control de internet en caso de que se produzcan disturbios en alguna región rusa o de que el país tome el control del territorio de un país rival, como Ucrania. Se puede eliminar el tráfico de internet que sea considerado políticamente perjudicial antes de que tenga la oportunidad de difundirse.

Un documento interno de 387 páginas explica cómo funciona el sistema Amezit. El ejército necesita acceso físico al hardware, como las antenas de telefonía móvil, así como a las comunicaciones inalámbricas. Una vez que controlan la transmisión, es posible interceptar el tráfico. Los espías militares pueden identificar a las personas que navegan por la red, ver a qué acceden en internet y rastrear la información que comparten los usuarios.

Desde la invasión del año pasado, Rusia ha detenido a manifestantes que protestaban contra la guerra y ha aprobado leyes punitivas para impedir la difusión de críticas públicas contra lo que Putin denomina una “operación militar especial”. Los archivos Vulkan contienen documentos relativos a una operación del FSB cuyo objetivo es vigilar el uso de las redes sociales en Rusia a una escala gigantesca, utilizando el análisis semántico para detectar contenidos “hostiles”.

Según una fuente familiarizada con el trabajo de Vulkan, la empresa desarrolló un gran programa de recopilación para el FSB llamado Fraction. El programa rastrea páginas como Facebook u Odnoklassniki –el equivalente ruso– en busca de palabras clave. El objetivo es identificar a posibles figuras de la oposición a partir de datos de código abierto.

El personal de Vulkan con frecuencia visitaba el centro de seguridad de la información del FSB en Moscú, la unidad cibernética de la agencia, para realizar consultas sobre el programa secreto. El edificio se encuentra junto a la sede del FSB en Lubyanka y una librería; la filtración revela que los espías de la unidad recibían el gracioso sobrenombre de “amantes de los libros”.

El desarrollo de estos programas secretos refleja la paranoia existente en el seno de los dirigentes rusos. Les aterrorizan las protestas en las calles y las revoluciones como las de Ucrania, Georgia, Kirguistán y Kazajistán. Moscú considera que el internet es un arma crucial para mantener el orden. En su país, Putin eliminó a sus oponentes. Ha detenido a los disidentes; críticos como Alexei Navalny han sido envenenados y encarcelados.

Aún no se ha revelado si se utilizaron los sistemas Amezit en la Ucrania ocupada. En 2014, Rusia se apoderó de forma encubierta de las ciudades orientales de Donetsk y Luhansk. Desde el año pasado, ocupa más territorio y corta los servicios ucranianos de internet y telefonía móvil en las zonas que controla. Los ciudadanos ucranianos se han visto obligados a conectarse a través de los proveedores de telecomunicaciones radicados en Crimea, con tarjetas SIM repartidas en campos de “filtración” dirigidos por el FSB.

No obstante, los reporteros pudieron rastrear la actividad en el mundo real que realizaban cuentas falsas de redes sociales vinculadas a Vulkan que formaban parte de un subsistema de Amezit, cuyo nombre en clave era PRR.

Herramientas de propaganda interna automatizada

Ya se tenía conocimiento de que el Kremlin hace uso de su fábrica de desinformación, la Internet Research Agency, con sede en San Petersburgo, que fue incluida en la lista de sanciones de Estados Unidos. El multimillonario Yevgeny Prigozhin, estrecho aliado de Putin, se encuentra detrás de la operación de manipulación masiva. Los archivos Vulkan revelan cómo el ejército ruso empleó a un contratista privado para que creara herramientas similares de propaganda interna automatizada.

Este subsistema Amezit permite que el ejército ruso lleve a cabo operaciones encubiertas de desinformación a gran escala en las redes sociales y a través de internet, mediante la creación de cuentas que se asemejan a personas reales en internet, o avatares. Los avatares tienen nombres y fotos privadas robadas, que posteriormente se manipulan durante meses para crear una curada huella digital realista.

La filtración contiene capturas de pantalla de cuentas de Twitter y hashtags falsos utilizados por el ejército ruso desde 2014 hasta principios de este año. Difundían desinformación, entre otras cosas una teoría conspirativa sobre Hillary Clinton y la negación de que los bombardeos rusos en Siria mataron a civiles. Tras la invasión de Ucrania, una cuenta falsa de Twitter vinculada a Vulkan publicó: “Excelente líder #Putin”.

Filtración de los 'archivos Vulkan' revela las tácticas de ciberguerra global y nacional de Putin - C62E464C-2821-4005-9CC3-B0DF66AD6AAA
Un tuit de una cuenta falsa de redes sociales vinculada a Vulkan.

Otro proyecto desarrollado por Vulkan y ligado al sistema Amezit resulta mucho más amenazador. Con el nombre en clave Crystal-2V, se trata de una plataforma de entrenamiento para ciberagentes rusos. Capaz de permitir que hasta 30 aprendices la utilicen simultáneamente, al parecer la plataforma simula ataques contra diversos objetivos de infraestructuras nacionales esenciales: vías ferroviarias, centrales eléctricas, aeropuertos, canales, puertos y sistemas de control industrial.

¿Un riesgo continuo para la seguridad?

La naturaleza intrusiva y destructiva de las herramientas para cuya construcción se contrató a Vulkan genera preguntas difíciles para los desarrolladores de software que han trabajado en estos proyectos. ¿Se les puede describir como cibermercenarios? ¿O espías rusos? Algunos seguramente sí lo son. Otros quizás son simples engranajes de una máquina más grande, que realizan importantes tareas de ingeniería para el complejo cibermilitar de su país.

Hasta el inicio de la invasión de Rusia contra Ucrania en 2022, el personal de Vulkan viajaba abiertamente a Europa occidental, visitando conferencias sobre tecnologías de la información y ciberseguridad, entre ellas una celebrada en Suecia, con el objetivo de relacionarse con los delegados de las empresas de seguridad occidentales.

Algunos exgraduados de Vulkan actualmente viven en Alemania, Irlanda y otros países de la Unión Europea. Algunos trabajan para empresas tecnológicas mundiales. Dos de ellos trabajan en Amazon Web Services y Siemens. Siemens se negó a realizar comentarios sobre empleados concretos, pero señaló que tomaba estas cuestiones “muy en serio”. Amazon indicó que aplicaba “controles estrictos” y que la protección de los datos de los clientes era su “máxima prioridad”.

Se desconoce si los exingenieros de Vulkan que se encuentran ahora en Occidente suponen un riesgo para la seguridad, y si han llamado la atención de las agencias de contrainteligencia occidentales. La mayoría, según parece, tienen parientes en Rusia, una vulnerabilidad que se sabe que ha sido utilizada por el FSB para presionar a profesionales rusos que se encuentran en el extranjero para que colaboren.

Cuando un periodista lo contactó, un exmiembro del personal expresó su arrepentimiento por haber ayudado a la agencia de espionaje militar y nacional de Rusia. “Al principio no estaba claro para qué se utilizaría mi trabajo”, señaló. “Con el tiempo comprendí que no podía seguir haciéndolo y que no quería apoyar al régimen. Tenía miedo de que me pasara algo o de terminar en la cárcel”.

El denunciante anónimo de los archivos Vulkan también se exponía a enormes riesgos. El régimen ruso es conocido por perseguir a las personas que considera traidoras. En su breve intercambio con un periodista alemán, el autor de la filtración comentó que era consciente de que el hecho de facilitar información sensible a medios de comunicación extranjeros era peligroso. Pero que había tomado precauciones que le habían cambiado la vida. Señaló que había dejado atrás su vida anterior y que ahora existía “como un fantasma”.

Síguenos en

Google News
Flipboard