Los cibersoldados de Kim Jong-un, el arma secreta de Corea del Norte

En mayo de 2017, un virus ransomware llamado WannaCry infectó ordenadores en España antes de extenderse rápidamente al Reino Unido y a todo el mundo. Un mensaje que exigía 300 dólares en bitcoins a cambio de los archivos almacenados en el ordenador apareció en casi 300.000 dispositivos.

Vodafone, FedEx, Renault, el National Health Service (el sistema sanitario británico) o la Deutsche Bahn (la empresa pública de ferrocarriles alemana).... la lista de víctimas fue colosal. Este hackeo, descrito por Europol como un ataque "de un nivel sin precedentes", nunca se atribuyó oficialmente a Corea del Norte.

Pero muchos analistas informáticos apuntan a un grupo de hackers de Pyongyang, Lazarus, a la hora de apuntar a un culpable. Es el caso de Simon Choï, creador de la ONG Issue Makers Lab, para quien esta ofensiva online lleva "la firma de Corea del Norte"online . El momento del ataque, unos meses después de las nuevas sanciones del Consejo de Seguridad de la ONU contra Pyongyang, le empuja a creer que se trataba de una respuesta del régimen comunista, cuyo objetivo es demostrar su capacidad de atacar intimidando esta vez a un menor coste.

Durante los últimos 13 años, Simon Choi, un hombre delgado de gafas redondas, y sus colegas han estado escrutando las actividades de los norcoreanos en internet. "Si tengo que comparar la amenaza de las armas nucleares con la de los hackers, creo que estos tipos son los más peligrosos".

Estos ataques en línea son reales, mientras que el coste diplomático y económico de utilizar armas nucleares sería colosal para el régimen. La serie de pruebas de 2016 a 2017 provocó sanciones económicas que desde entonces han aislado y debilitado financieramente al país.

Sin embargo, los ataques en línea aún no han dado lugar a ninguna respuesta internacional y el régimen no se ha privado de pasar a la ofensiva. Seongsu Park, investigador de seguridad informática de la empresa de protección antivirus Kaspersky, cree que "teniendo en cuenta las características de los ataques, la evolución tecnológica y el cambio de estrategia, Lazarus es el grupo de hackers más activo del año".

Este aumento de los ataques online de Corea del Norte es difícil de determinar, ya que siempre es difícil atribuir públicamente la responsabilidad del ataque a un Estado. Pero los hackers con sello de Pyongyang tienen sus características propias.

"No son los mejores del mundo, pero saben lo que quieren, son muy prácticos y, sobre todo, decididos", afirma Simon Choï, que se describe como un contrahacker, que ya ha colaborado con los servicios de inteligencia surcoreanos. "Si es necesario, enviarán un correo electrónico a un objetivo todos los días durante años hasta que haga clic en el enlace".

Este análisis lo comparte Jenny Jun, autora de una tesis en Columbia sobre ciberseguridad y autora de numerosos textos sobre ciberataques al norte del paralelo 38. "Son persistentes, están organizados y sus capacidades han evolucionado considerablemente en la última década". Los objetivos también han evolucionado, tanto en términos de posibilidades técnicas como de necesidades del régimen.

Divisas, vacunas e inteligencia

"En 2015 se produjo una evolución notable. Empezaron a ser muy activos en los ciberdelitos", dice Jenny Jun. "Utilizaron toda la escala de posibilidades. En un año, robaron más de 300 millones de dólares, según la ONU. En comparación, todas las exportaciones de carbón del país ascienden a 400 millones de dólares". El combustible es el producto más vendido del país, lo que da una idea del montante del robo de monedas en línea en el modelo económico norcoreano.

En 2016, mientras las sanciones internacionales aislaban cada vez más al régimen, los soldados online de los Kim intentaron el atraco del siglo. El objetivo: el Banco Central de Bangladesh, o más bien sus mil millones de dólares almacenados en la Reserva Federal de Estados Unidos. El banco central fue atacado en línea y, jugando con la diferencia horaria entre Washington y Daca, los hackers falsificaron los códigos SWIFT (que permiten transmitir órdenes de transferencia entre bancos) y envíaron con éxito 81 millones de dólares a asociaciones de Filipinas, donde el dinero fue blanqueado.

El resto de las órdenes de transferencia fueron bloqueadas por las autoridades bancarias estadounidenses. La maniobra fue a pesar de todo un éxito para los hombres de Kim, que demostraron sus impresionantes capacidades. Desde entonces, los grupos de hackers se han centrado en las monedas digitales (o criptomonedas), un delito prácticamente imposible de rastrear, sencillo y eficaz.

"Toman como objetivo los monederos digitales de particulares, como usted y como yo, recurriendo al phising [estafa mediante el correo electrónico]", describe Ben Read, director de análisis de ciberseguridad de Mandiant Fire Eye. "Luego encuentran las criptomonedas en el monedero del usuario y las liquidan". En febrero, tres piratas informáticos norcoreanos fueron detenidos en Estados Unidos, acusados de robar el equivalente a 1.300 millones de dólares en criptodivisas.

"De 1.200 a 1.300 personas muy activas"

Estos hackers son la mano armada del régimen, pero sobre todo satisfacen sus necesidades. En sus inicios, las ofensivas digitales tenían como objetivo defender públicamente al régimen atacando directamente a sus enemigos. A decir de las intentonas contra la Casa Blanca, la Presidencia surcoreana o los estudios Sony Pictures, culpables, según Pyongyang, de haber producido una película que escenificaba el asesinato de Kim Jong-un en 2014.

Este uso "ideológico" del ejército de hackers parece haber disminuido con el tiempo. Desde el inicio de la crisis sanitaria, apuntó a los laboratorios que trabajan en la vacuna, la anglosueca AstraZeneca, la surcoreana Celltrion y, según Reuters, Pfizer.

Esta ofensiva digital también permite conocer al régimen norcoreano las innovaciones tecnológicas en el mundo exterior. Así lo ilustran los ataques contra la industria armamentística en Europa del Este, contra los laboratorios farmacéuticos o incluso el ataque a una central nuclear india en 2019.

Los objetivos son múltiples para estos hackers norcoreanos organizados en diferentes grupos. Simon Choï consiguió elaborar un modelo de su organización. "Somos una ONG y nuestros recursos son limitados, pero los servicios de inteligencia han identificado seis grupos distintos, con entre 1.200 y 1.300 personas muy activas, y 5.000 de apoyo". Se dice que el equipo de ciberataque está dividido entre al menos tres entidades estatales conocidas.

Se dice que la Oficina General de Reconocimiento –los servicios de inteligencia norcoreanos– supervisa a los dos mayores grupos, que responden a las siglas RGB3 y RGB5, Lazarus y Kimsuky respectivamente, los más activos y conocidos por los especialistas del sector.

El primer grupo podría disponer de servidores en Pyongyang y es responsable de las golpes más notorias (Banco Central de Bangladesh, Sony Studios, WannaCry, etc.). Es experto en dar grandes golpes y atacar a las grandes organizaciones.

Por su parte, los hackers de Kimsuky se habrían instalado en ciudades fronterizas chinas. Desde Dalian, Dandong o Shenyang, son menos visibles, ya que se dirigen a los particulares para acceder a los recursos institucionales. Sus últimos intentos se han centrado en Celltrion, la empresa farmacéutica surcoreana, o en Novavax y AstraZeneca.

Otros grupos operan bajo la égida del Ministerio de Defensa (Ministerio de las Fuerzas Armadas Populares), cuyo rastró detectó Shoi en el hackeo de la central nuclear india en 2019.

Por último, el Ministerio de Seguridad del Estado, al parecer, se centra principalmente en su vecino del sur. "Es muy difícil determinar exactamente dónde están operando, hay muchas posibilidades", dice Ben Read, director de análisis de ciberseguridad de Mandiant Fire Eye. "Sin embargo, podemos identificarlos con un grado de certeza bastante alto. Hay que ver en qué franja horaria operaban, qué lenguaje utilizaban, qué métodos...".

Se podría pensar que esta intensa actividad de los hackers norcoreanos expondría a su país a represalias en línea. Pero aquí es donde el aislamiento y el retraso económico de Corea del Norte se convierten paradójicamente en ventajas. Con poco más de 1.000 direcciones IP por cada 25 millones de habitantes, Corea del Norte parece menos permeable a los ataques de los hackers que sus enemigos.

Corea del Norte lanza dos misiles balísticos hacia el mar de Japón

Ver más

De hecho, si hay menos personas conectadas a internet, también hay menos vulnerabilidades que las que puedan existir entre los enemigos del régimen. Basada en gran parte en la intranet, llamada Kwangmyong, literalmente "luz brillante", la red del país es "muy difícil de penetrar", considera Simon Choï, "pero una vez que se entra, creo que son muy vulnerables". Sin embargo, se niega a comentar oficialmente si ha existido un posible ataque por su parte.

Texto en francés: