Quiénes son The Dukes, los hackers que supuestamente intervinieron en las elecciones de Estados Unidos

La historia comenzó en mayo cuando el Comité Nacional Demócrata (DNC) descubrió «conductas sospechosas» en sus sistemas informáticos. Entonces llamó a la firma de seguridad CrowdStrike para que revisara sus computadoras. La empresa identificó a dos grupos de atacantes: uno que acababa de entrar al sistema (llamados Fancy Bear) y otro que llevaba allí casi un año (denominados Cozy Bear).

«Reconocimos que había un adversario en el ambiente (del DNC) que había atacado esa red y que estaba observando las comunicaciones», le dijo a la BBC Shawn Henry, jefe de seguridad de Crowdstrike y ex subdirector ejecutivo del FBI. «Lo atribuimos al gobierno ruso», agregó.

«En este caso particular pensamos que el gobierno ruso estaba involucrado en una campaña de espionaje, esencialmente reuniendo inteligencia contra los candidatos a la presidencia de Estados Unidos».

Tal como explica el periodista Andrey Soshnikov, experto en temas de seguridad de BBC Rusia, basado en Moscú, tanto Fancy Bear como Cozy Bear son nombres utilizados por un grupo de ciberespionaje vinculado al gobierno ruso que los investigadores del FBI han llamado The Dukes («los duques»).

«The Dukes es uno de los nombres del notorio grupo de ciberespionaje Cozy Bear», dice el periodista. Y agrega: «La compañía de seguridad y privacidad en internet basada en Helsinki, Finlandia, F-Secure, fue una de las primeras que le dio ese nombre debido a su enfoque de hackeo ‘de rompe y rasga’, que no incluía ningún intento de esconder sus huellas».

Activos desde 2008

The Dukes es uno de los llamados grupos APT (Advanced Persistent Threat, es decir, «de amenaza persistente avanzada»), que se dedican a operaciones de ciberespionaje generalmente contra organizaciones o países por motivos políticos o comerciales.

Desde hace tiempo se especula que The Dukes (conocido también como APT 29, Group 100, Cozy Duke y Euro APT) actúa apoyado por el gobierno ruso. De hecho, la firma F-Secure publicó en septiembre de 2015 una investigación sobre el grupo que tituló: The Dukes: 7 años de ciberespionaje ruso.

«The Dukes es un grupo bien financiado, sumamente dedicado y organizado que creemos ha estado trabajando para la Federación Rusa desde al menos 2008, recogiendo inteligencia para apoyar la toma de decisiones de política externa y de seguridad», afirma el informe. «The Dukes atacan principalmente a gobiernos de Occidente y organizaciones vinculadas, como ministerios y agencias gubernamentales, centros de estudios políticos y subcontratistas de gobierno», agrega.

Pero tal como explica Andrey Soshnikov, hasta el momento no hay evidencia pública que compruebe que el gobierno ruso está detrás del grupo.

«El gobierno ruso nunca ha admitido que contrate a hackers», afirma. «A veces el ministerio de Defensa organiza cursos de ‘hackeo ético’ para sus trabajadores y, por supuesto, los servicios secretos rusos tienen departamentos establecidos de tecnologías de información», agrega el periodista de la BBC. En su opinión, «si el gobierno ruso está apoyando a hackers, lo hace tras bambalinas, quizás por medio de una red de intermediarios».

Entre los que han sido blancos de ataques de The Dukes, dice F-Secure, están gobiernos de Asia, África y Medio Oriente, organizaciones asociadas al «terrorismo checheno» y portavoces rusos vinculados al comercio ilícito de sustancias controladas y drogas.

Blancos

Los primeros blancos del grupo, dice el informe de F-Secure, fueron en 2008 y estaban asociados con el movimiento separatista checheno. «Pocos meses después, en 2009, expertos obtuvieron evidencia de la participación de The Dukes en ciberataques a gobiernos y organizaciones de Occidente».

Cuando CrowdStrike descubrió que The Dukes había hackeado el DNC este año, no se supo con certeza cómo habían logrado entrar a los sistemas de la organización. La firma sospechó que habían utilizado estafas por spear fishing en los emails de los empleados del DNC.

Los spear fishing son comunicaciones que parecen legítimas, que a menudo aparecen como correos de un colega o alguien de confianza, pero contienen vínculos o archivos adjuntos que llevan a un software malicioso que permiten al hacker obtener acceso a una computadora.

Crowdstrike sospechó que los hackers estaban únicamente reuniendo inteligencia sobre los candidatos presidenciales. Pero después de que el DNC y Crowdstrike publicaron sus hallazgos, el material que los hackers habían obtenido se hizo público, con lo cual las agencias de inteligencia estadounidenses sospecharon que no se trataba únicamente de un espionaje tradicional.

Impacto

El robo de datos al DNC estaba vinculado a algo más: una operación diseñada para influir y tener un impacto en el mundo real. Tal como declararon conjuntamente la semana pasada el director Inteligencia Nacional de Estados Unidos, James Clapper, y el secretario de Seguridad Nacional, Jeh Johnson, «estos robos y revelaciones tenían la intención de interferir con el proceso electoral de Estados Unidos».

«Esta actividad no es nueva para Moscú. Los rusos han usado tácticas y técnicas similares en toda Europa y Eurasia, por ejemplo, para influir en la opinión pública allí». «Creemos que, basados en la extensión y sensibilidad de estos esfuerzos, sólo los más altos funcionarios rusos pudieron haber autorizado estas actividades», una afirmación que distintos especialistas han señalado como una referencia directa al presidente Vladimir Putin.

El Kremlin, por su parte, rechazó las acusaciones que describió como «ridículas». Y es que a pesar de que las agencias de inteligencia de Estados Unidos han responsabilizado públicamente a Moscú del hackeo, hasta ahora ninguna ha exhibido evidencia de que el gobierno ruso participara en la operación.

Tal como afirma Andrey Soshnikov de la BBC, la visión desde Moscú es que justamente no hay evidencia que muestre la participación del gobierno. «La mayoría de los especialistas en ciberseguridad en Rusia afirman que necesitan evidencias firmes para mostrar que los rusos están involucrados».

«A veces los hackers usan tecnología de ‘bandera falsa’ y dejan huellas falsas para nadie pueda reconocer su origen». Pero el periodista agrega: «Si estos hackers son de Rusia y no tienen conexión con el gobierno, es muy raro que no hayan hablado en su propio nombre».