No hay duda que el ciberespacio es el nuevo campo de batalla de las agencias de seguridad de cara a proteger sus activos más valiosos ante potenciales ciberataques. Sin embargo, al igual que en el ámbito físico, también los medios de comunicación adquieren un papel importante de cara a configurar una argumentación en la opinión pública sobre la procedencia de estos ciberataques. A raíz de ello, estamos acostumbrados a escuchar que todos nuestros males en el mundo virtual proceden de Rusia, Corea del Norte y China o de grupos organizados ubicados dentro de sus fronteras.
Un ejemplo de ello lo encontramos en el robo de información a la Agencia Mundial Antidopaje (World Anti Doping Agency o WADA por sus siglas en inglés). Inmediatamente después de que se produjera la primera filtración en la que se publicaba que deportistas estadounidenses habrían consumido sustancias prohibidas con consentimiento del Comité Olímpico Internacional (COI), la propia agencia publicó en un comunicado oficial que había sido informada por las autoridades de que el ciberataque procedía de Rusia y que había sido protagonizado por el grupo denominado Fancy Bear. Pero, ¿es tan fácil investigar su procedencia? ElevenPaths, la unidad de ciberseguridad de Telefónica, ha publicado un informe analizando el caso.
Qué se sabe de la información expuesta
El 13 de septiembre el grupo identificado como @FancyBears en Twitter publicaba en una web de reciente creación información sobre cuatro conocidas deportistas de élite que, presuntamente, habría sido sustraída en una acción perpetrada contra la WADA. Este incidente se produce apenas unas semanas después del envío de una serie de correos electrónicos de spear phishing para la recolección de credenciales de usuarios de este organismo.
La información publicada en las webs pertenecientes al colectivo incluía diversos ficheros PDF y capturas de pantalla de lo que parecían ser informes oficiales de WADA. Los metadatos de los documentos extraídos exponían el nombre chnd (un usuario de administración de la organización), el software OpenOffice 2.1 del que se tiene constancia de vulnerabilidades de ejecución remota y la fecha del 31 de agosto de 2016 en una zona horaria UTC-4.
Con respecto a la web de difusión
Las ciberidentidades implicadas utilizaban una narrativa característica asociada tradicionalmente al colectivo hacktivista Anonymous que los propios autores enmarcan en el contexto de una operación a mayor escala bautizada como #OpOlympics. Por otro lado, se tiene constancia de que la marca Fancy Bear Hack Team ya ha sido asociada en febrero de 2016 a otros grupos hacktivistas vinculados a Rusia como APT28.
En las páginas web se utiliza como fecha de la filtración el 13 de septiembre lo que podría indicar un desfase horario que situara al filtrador en la franja horaria de, al menos, UTC+3 (hora de Moscú). La segunda parte de la filtración tiene fecha de publicación en la web del 15 de septiembre. Sin embargo, las cabeceras consultadas el día 15 de septiembre sirven como fecha de última modificación el 14 de septiembre de 2016 a las 21:30 GMT, es decir, el miércoles 14 de septiembre 23:30 de UTC+2 y ya 15 de septiembre para la zona horaria de UTC+3 y anteriores. Esta circunstancia es coherente con la hipótesis barajada por la WADA acerca de los orígenes del ataque.
En su cuenta de Facebook también se publicita la información filtrada. Aunque el primer comentario está en griego, 6 de los 10 siguientes se encuentran en ruso, lo que también sugiere una primera divulgación de la página de Facebook en plataformas de habla rusa.
Por su parte, el dominio fancybear.org está registrado con un proveedor de registro anónimo mientras que fancybear.net sí que se ha identificado información adicional que apuntaría a un usuario situado en Francia con una cuenta gmx.com. Ambos dominios fueron registrados muy recientemente: el 1 de septiembre de 2016.
Los comentarios del código HTML que sirve para mostrar la página web en la que se expuso la primera parte de la fuga, estos estaban en coreano, aunque se correspondían con palabras sencillas como: contenido (함유량), redes sociales (소셜) 네트워킹) o final (끝). Curiosamente, tras la divulgación de la segunda parte de la fuga, no se han vuelto a encontrar estos comentarios.
Por último, una de las imágenes de fancybear.net es 0125b8b3cb8177e_M.png con hash MD5 a20350dc2e412a9c351d83571ecc3251. Curiosamente, la única referencia que se ha podido identificar en internet a una imagen con ese nombre se encuentra en el sitio de habla rusa kira-scrap.ru.
No es tan fácil atribuir una acción en la red
Una de las máximas de la ciberdelincuencia que también es interiorizada por colectivos hacktivistas es la seguridad en operaciones, también conocida como Opsec. OpSec hace referencia a la utilización de técnicas destinadas a evitar la exposición de la infraestructura tecnológica y a ocultar los métodos utilizados por los atacantes. En el caso de Fancy Bear, se ha identificado información en ocasiones contradictoria por lo que no es posible descartar por completo que se trate de un ataque de falsa bandera en el que la información fuera intencionadamente expuesta para hacer creer que el ataque proceda de Rusia. Por desgracia, muchas veces no queda más que esperar a que los delincuentes cometan un error para llevarlos ante la justicia.