Las conexiones entre el Kremlin y las grandes mafias del cibercrimen ruso
La filtración de miles de mensajes internos de la banda de ciberdelincuentes Conti descubre la forma de operar de los grupos organizados
¿Qué son las ejecuciones sumarias de las que se acusa a Rusia?
«El equipo de Conti anuncia oficialmente su total apoyo al Gobierno de Rusia. Si alguien decide organizar un ataque cibernético o cualquier actividad de guerra contra Rusia, utilizaremos todos nuestros recursos posibles para contraatacar las infraestructuras críticas del enemigo». Estas fueron las palabras empleadas ... por Conti, una de las mafias del cibercrimen ruso más peligrosas, apenas un día después de que los soldados del país gobernado por Putin comenzasen a plantar las botas en suelo ucraniano. La amenaza, sorprendente por el hecho de que un grupo criminal profesional, más enfocado sobre el papel en el beneficio económico que en la política, tomase partido por un estado que, en teoría, debería perseguirlo, no tardó demasiado en tener respuesta. Además, desde dentro de la propia banda; que se calcula que en 2021 llegó a tener unos ingresos superiores a los 160 millones de euros gracias a su virus, destinado al secuestro de empresas e instituciones.
Apenas un par de días después del anuncio, al grito de «gloria a Ucrania», «que le jodan a los invasores rusos», un investigador del país invadido, que había estado infiltrado en Conti desde hacía años, compartió a través de Twitter un tesoro de información de la banda cibercriminal. Entre este, más de 60.000 chats internos entre miembros del grupo que fueron enviados entre 2020 y 2022. De acuerdo con expertos en ciberseguridad consultados por ABC, y que han revisado los mensajes compartidos por el filtrador, el mundo nunca había tenido a su disposición tanta información sobre la forma de operar de las mafias rusas del cibercrimen. Tampoco acerca de los lazos existentes entre estos grupos y el Gobierno ruso.
«Nunca habíamos tenido un atisbo similar a este tipo de organizaciones tan complejas. Ha sido como poder estar dentro de ellas. Nosotros ya sabíamos que Conti era uno de los grupos que más dinero estaba consiguiendo secuestrando a empresas y robando sus datos. Pensábamos que eran unas 15 o 20 personas. Ahora sabemos, gracias a los mensajes, que son unos 100, como una mediana empresa», explica David Sancho, jefe de investigación de la empresa de ciberseguridad Trend Micro. Los mensajes han dejado en claro que la banda está perfectamente organizada y estructurada. Que tiene un líder, que firma los mensajes como ‘Stern’, mandos inferiores, como el usuario ‘Mango’, equipo de recursos humanos y área técnica, todos con unas obligaciones bien definidas. También las mismas preocupaciones que tendría cualquier persona corriente que estuviese ganándose el sueldo -que oscila entre los 1.500 y los 2.000 dólares mensuales, en el caso de los trabajadores corrientes- mediante la realización de actividades criminales. No faltan los mensajes de duda; tampoco de miedo por las medidas que puedan tomarse contra ellos. Incluso cuando los mensajes refuerzan la teoría, repetida hasta la saciedad desde el Gobierno de Estados Unidos durante los últimos años, de que el Kremlin está dispuesto a dejarlos operar. Al menos, mientras que no lleven a cabo ataques contra empresas e instituciones rusas.
«La sensación que dejan los mensajes es de que existe una relación de mutua cordialidad entre Moscú y los grupos cibercriminales que operan en el país. También queda la sensación de que, al menos, los mandos superiores de la organización pueden tener algún tipo de contacto con la Administración rusa. No todos son iguales ni tienen las mismas inclinaciones. Pero no cabe duda de que hay cierta filización política por parte de los delincuentes», dice Josep Albors, jefe de investigación y concienciación de la empresa de ciberseguridad ESET. En chats fechados en abril de 2021, ‘Mango’, uno de los mandos medios de Conti, consulta con otro miembro de la banda, que firma como ‘Profesor’, si el grupo tiene algún tipo de filiación política. «Pues claro que somos patriotas», respondió el delincuente.
Relación con el FSB
A continuación, aparecen unos mensajes entre ‘Mango’ y otro cibercriminal que utiliza el pseudónimo de ‘Johnyboy77’. En los chats, discuten planes para acceder a información del medio ‘ Bellingcat ’, que había llevado a cabo una investigación en la que se relacionaba a los servicios de inteligencia de Rusia, el FSB , con el envenenamiento, en 2020, del opositor al Kremlin Alexéi Navalni . En los mensajes aparece recogido directamente el nombre del servicio federal ruso. «Hermano, no te olvides de Navalni, se lo señalé al jefe; está esperando los detalles», escibió ‘Mango’. En los chats también se menciona la dirección de las oficinas del FSB en San Petersburgo.
Christo Grozev , investigador principal de ‘Bellingcat’ para Rusia, realizó una serie de publicaciones en Twitter, al hilo de los mensajes de Conti, en los que informaba de que el medio, en su momento, recibió un mensaje anónimo en el que se alertaba de que cibercriminales rusos «que actúan por orden del FSB habían pirateado a uno de sus colaboradores» para acceder a toda la información disponible sobre el caso Navalni. «Tratamos de averiguar cuál era ese grupo de delitos cibernéticos que aparentemente recibe órdenes del FSB. La invasión rusa de Ucrania finalmente trajo la respuesta», zanjó Grozev.