As¨ª es un ataque, paso a paso

Un combatiente de la oposici¨®n siria conectado a su ordenador, una mujer libanesa llamada Iman que aparece en pantalla. Una breve conversaci¨®n v¨ªa chat a trav¨¦s de la red de mensajer¨ªa instant¨¢nea Skype, un intercambio de fotos. Im¨¢n env¨ªa una fotograf¨ªa ¡°personal¡± al soldado. ?ste la abre. Ya est¨¢: el Dark Comet RTA (siglas de Troyanos de Acceso Remoto) que esconde la imagen, virus capaz de secuestrar informaci¨®n del ordenador, acaba de penetrar una computadora de las fuerzas que combaten al r¨¦gimen de Bachar El Assad.

As¨ª se libra la ciberguerra hoy en d¨ªa. El hacker se disfraza de chica guapa y env¨ªa un virus que extrae informaci¨®n estrat¨¦gica, planes de operaciones, identidades de otros combatientes. Ocurri¨® en diciembre de 2013, seg¨²n revela la firma de ciberseguridad norteamericana FireEye, que esta semana present¨® un informe en el que recoge una operaci¨®n de hackeo en pleno conflicto sirio que ilustra la pujanza de la guerra digital en la era moderna. Estos son algunos extractos de esa conversaci¨®n entre el soldado y la presunta Im¨¢n:

Iman: ?Est¨¢s abriendo Skype en tu m¨®vil?

Soldado: Computador y m¨®vil. ?Qu¨¦ edad tienes?

I: 27. ?Y t¨²?

S. 28.

I: 5 de mayo de 1986.

S. Lolololololo [Carcajadas]. Yo 5 de mayo de 1985.

I: Una dulce coincidencia. (Env¨ªo del archivo Nueva-Foto-Iman.pif)

S. Me vuelves loco.

La pregunta sobre la manera de conectarse permite al hacker saber qu¨¦ tipo de troyano tiene que enviar. La fecha de nacimiento es una informaci¨®n a la que puede acceder f¨¢cilmente en Skype o en un perfil de Facebook y le permite crear un v¨ªnculo en torno a una supuesta coincidencia.

As¨ª de sencillo resulta infectar un ordenador enemigo. Y canales de comunicaci¨®n como Skype o las redes sociales son dos de las v¨ªas que estos hackers (o agentes de inteligencia), utilizaron para acceder a la informaci¨®n sobre las tropas que combaten el r¨¦gimen de Bachar El Assad.

Se utiliz¨® como anzuelo una p¨¢gina ficticia de apoyo a fuerzas de oposici¨®n que conten¨ªa una secci¨®n para conocer gente con fotos de mujeres con velo

En un periodo que va de mayo a diciembre de 2013, los mensajes falsos de chicas como Iman permitieron atraer a los soldados a sus perfiles en Facebook, que conten¨ªan enlaces envenenados. Tambi¨¦n se utiliz¨® como anzuelo una p¨¢gina ficticia de apoyo a fuerzas de oposici¨®n que conten¨ªa noticias sobre el conflicto sirio y una secci¨®n para conocer gente con fotos de mujeres con velo. Al clicar la opci¨®n de establecer conversaci¨®n en v¨ªdeo en directo se abr¨ªa la puerta a un nuevo troyano.

Con este tipo de tretas, el grupo de hackers consigui¨® acceder a 7,7 gigabytes de datos: 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes enviados, fundamentalmente, en la segunda mitad de 2013. Inclu¨ªan documentos de operaciones militares, detalles de las posiciones sobre el terreno de las fuerzas opositoras. En las conversaciones de Skype se hablaba de rutas de abastecimiento, llegadas de barcos con lanzamisiles, d¨ªas y horas de las entregas de armamento.

El grupo de hackers consigui¨® acceder a 64 bases de datos de Skype, 12.356 contactos, 31.107 conversaciones y 240.381 mensajes

En uno de sus rastreos en busca de c¨®digos malignos, los analistas de FireEye, empresa que colabora con organismos como la CIA e Interpol, dieron con los documentos robados a las fuerzas de oposici¨®n siria. Entre ellos se hallaba un directorio con informaci¨®n, escrita en ¨¢rabe, con planes muy detallados de una operaci¨®n de asalto a la ciudad de Khirbet Ghazaleh, paso estrat¨¦gico para acceder a la localidad de Daraa. Inclu¨ªa tablas de Excel con los requerimientos de munici¨®n por soldado. Se detallaban los modelos de tanques y rifles, los morteros que se iban a usar, el nombre y apellidos de los entre 700 y 800 combatientes involucrados en la operaci¨®n, mapas de Google Earth con los planes del ataque.

La firma norteamericana dice que no puede identificar para qui¨¦n trabajaban esos hackers, ni afirmar a ciencia cierta que el r¨¦gimen de Bachar El Assad tuviera acceso a la informaci¨®n. ¡°Ser¨ªa muy naif pensar que el r¨¦gimen de El Assad no aprovech¨® esta informaci¨®n; pero nosotros solo podemos especular, no sabemos lo que hicieron o dejaron de hacer¡±, declara en conversaci¨®n telef¨®nica desde Reading, Reino Unido, Jason Steer, jefe de estrategia de seguridad de la firma para Europa, Oriente Medio y ?frica.

Entre las v¨ªctimas del robo de informaci¨®n, un ordenador cuyas credenciales en Skype se?alaban que estaba instalado en Espa?a y que estaba en contacto con las fuerzas que combaten a El Assad. FireEye refleja esta circunstancia en su informe pero no puede confirmar al 100% que se tratara de un ordenador radicado en suelo espa?ol.

El asalto a Khirbet Ghazaleh no lleg¨® a materializarse. No se sabe si porque las autoridades sirias lo abortaron a tiempo o porque lo hicieron las fuerzas rebeldes al saber que les hab¨ªan robado la informaci¨®n. Una cosa, dice Steer, queda clara con un informe como este: ¡°La ciberguerra es parte del campo de batalla¡±.