Los hackers de Corea del Norte, cada vez más voraces: bancos, compañías de energía y Gobiernos

Mientras Donald Trump trataba de convencer a Kim Jong-un de que el camino que debía adoptar Corea del Norte era uno similar al país que los acogía durante su cumbre, Vietnam, el joven dictador se mantenía frío. Imperturbable. Fue a la reunión sabiendo que nada cambiaría bajo su administración. No traicionaría décadas de tiranía porque un hombre del otro lado del océano Pacífico intentara explicarle los beneficios de la libertad y el libre mercado.

A unos 2.500 kilómetros de distancia un ejército silencioso, oculto en oficinas y conducido por sus más estrechos colaboradores lo dejaba en claro. No se trataba de uno convencional, sino uno digital. Se trataba de sus hackers.

De acuerdo con un informe elaborado por la compañía de ciber seguridad McAfee, durante los últimos 15 meses los ataques provenientes de Corea del Norte se multiplicaron y tuvieron como blancos bancos, entidades financieras, gobiernos, compañías petroleras y otras instituciones tanto de los Estados Unidos, América Latina y Europa.

Luego de la primera cumbre entre ambos mandatarios -el 12 de junio de 2018 en el Hotel Capella, en la isla de Sentosa, Singapur- las pruebas misilísticas norcoreanas cesaron. Incluso, el régimen informó que había destruído una de sus principales bases de tests. Pero después de todos esos meses y promesas de acercamiento, los hackers redoblaron sus ataques.

McAfee consiguió acceder a uno de los cuarteles cibernéticos de la dictadura. No lo hizo solo, sino con la asistencia de agencias de seguridad de naciones que están preocupados por las intromisiones a sus empresas y a sus dependencias oficiales. Durante la ventana que duró el ingreso a uno de sus servidores, la compañía de seguridad informática observó en tiempo real cómo más de un centenar de firmas alrededor del mundo eran golpeadas por piratas informáticos.

Las ciudades que más golpes recibieron fueron: Nueva York, Houston, Londres, Madrid, Tokio, Tel Aviv, Roma, Bangkok, Seúl, Taipei y Hong Kong. Los rubros atacados eran variados: desde bancos y entidades financieras hasta empresas dedicadas a la extracción de petróleo y gas. Desde firmas abocadas a la tecnología nuclear hasta organizaciones no gubernamentales.

En octubre pasado, por ejemplo, la firma de ciberseguridad norteamericana FireEye identificó a un grupo de élite dentro de las cibertropas norcoreanas: APT38. El objetivo de esta unidad operativa es conseguir fondos para el aislado régimen de Kim Jong-un.

Los investigadores de FireEye aseguran que APT38 es una de muchas células reunidas bajo el paraguas conocido como Lázaro, pero que posee habilidades específicas y herramientas avanzadas que les ha permitido realizar enormes robos en bancos de todo el mundo.

En total, APT38 -que cuenta con "los recursos de un Estado"- atacó en los últimos meses activos por un valor de más de 1.100 millones de dólares y logró robar "cientos de millones basado en la información que pudimos confirmar", de acuerdo a un informe de FireEye.

"El APT38 es único porque no teme destruir las pruebas o las redes de víctimas como parte de sus operaciones. Esta motivación hacia la destrucción es probablemente el resultado del grupo que trata no solo de cubrir sus huellas, sino también de cubrir las operaciones de lavado de dinero. Además de las operaciones cibernéticas, la información pública ha detallado el reclutamiento y la cooperación de las personas en el país para apoyar el final de los robos de APT38, incluidas las personas responsables del lavado de fondos y la interacción con los bancos receptores de fondos robados. Esto se suma a la complejidad y la coordinación necesaria entre los múltiples componentes que soportan las operaciones APT38", señala el informe de FireEye.

La región, afectada

En la región, bancos chilenos y mexicanos también fueron víctimas de los hackers de Kim Jong-un.  El 24 de mayo de 2018 en Santiago de Chile el Banco de Chile padeció un durísimo golpe a sus arcas. Un virus penetró el sistema, inutilizó sus ordenadores y dejó al descubierto los datos de sus clientes. Fueron alrededor de 9 mil terminales afectadas.

Mientras el equipo de seguridad informática de la entidad intentaba controlar esa embestida digital, miles de operaciones bancarias estaban siendo ejecutadas, logrando robar unos 10 millones de dólares.

En un abrir y cerrar de ojos hackers desde algún lugar desconocido del planeta habían conseguido un robo -otro más- millonario. El seguimiento final de las huellas del ataque, tras descartar ordenadores en otros puntos del planeta, no extrañó: había sido ejecutado desde Corea del Norte.

El método utilizado fue el mismo que el régimen implementó en el hurto al mexicano Banco Nacional de Comercio Exterior (Bancomext) en enero pasado y al Banco Central de Bangladesh hace dos años. O en el hackeo a Sony, cuando boicotearon el estreno de una película –The Interview– que se burlaba del dictador. La Reserva Federal de Nueva York también sufrió un intento de robo: mil millones de dólares que fueron salvados por poco.

"En el pasado, los hackers de Corea del Norte solían atacar los sitios web del gobierno con el objetivo de destruir los sistemas y desencadenar una confusión social. Ahora han cambiado (de estrategia) a ganar dinero, atacando bancos y compañías privadas", dijo Kim Seung-joo, asesor en ciberseguridad del gobierno surcoreano y profesor de la Universidad de Corea en Seúl.

"Los coreanos del norte han mejorado mucho más de lo que esperamos en los últimos cinco años. Probablemente a través de mucha paciencia, atención y habilidades", indicó Jason Healey, experto en ciberseguridad de la Universidad de Columbia, en una entrevista con CNN.

Desde el ataque a la productora, los hackers norcoreanos han incrementado exponencialmente su actividad. Y mejorado significativamente sus estrategias. Una de las más peligrosas se experimentan en LinkedIn de acuerdo a lo investigado por McAfee.

En esa red social de negocios sus objetivos son las computadoras de altos ejecutivos. Copiaron sistemas de reclutamiento que les permiten "pescar" en esa pecera de millones de usuarios. Cuando el interesado en el nuevo empleo presiona un determinado enlace para conocer condiciones y descripción de la posición aspirada, ha provocado que el presunto reclutador de talento (en verdad el hacker) pueda ingresar a su ordenador.

Organización

Todas las unidades de ciber delito en Corea del Norte responden a la Oficina General de Reconocimiento (RGB, por sus siglas en inglés). Por esta oficina pasa además todo lo referente a las actividades clandestinas del régimen comandado por Kim Jong-un, convirtiéndola en una de las más influyentes y poderosas del régimen. La más conocida es la Oficina 121. También la más importante.

Se calcula que los cibersoldados que forman parte de este ejército son alrededor de 1.700, apoyados por otros 5.000 que dan soporte de todo tipo, en todo el mundo. Pero no están solos. China tiene un importante protagonismo en esta historia. Beijing les provee de equipos e infraestructura.

Las negociaciones entre Estados Unidos y Corea del Norte ingresaron la última semana en un túnel oscuro. Nadie sabe si habrá una luz de paz entre ambas naciones. Pero además de los misiles y de la capacidad misilística de Pyongyang, deberá plantearse la opción digital, la nueva guerra que libra Kim Jong-un y se expande como una epidemia por todo el mundo.

MÁS SOBRE ESTE TEMA: