Articulo por Andy Greenberg, redactor jefe de WIRED y cubre temas de piratería informática, ciberseguridad y vigilancia.
Es autor del nuevo libro Tracers in the Dark: The Global Hunt for the Crime Lords of Cryptocurrency. Su último libro fue Sandworm: Una nueva era de ciberguerra y la caza de los hackers más peligrosos del Kremlin.
• • •
Los hackers -especialmente los patrocinados por el Estado y centrados en el espionaje y la ciberguerra, y los ciberdelincuentes organizados que explotan las redes de todo el mundo con fines lucrativos- no son animales domésticos. Destrozan empresas, siembran el caos, perturban infraestructuras críticas, apoyan a algunos de los ejércitos y dictaduras más dañinos del mundo y ayudan a esos gobiernos a espiar y oprimir a personas inocentes en todo el mundo.
Entonces, ¿por qué, cuando escribo sobre estos grupos organizados de hackers como periodista de ciberseguridad, me encuentro refiriéndome a ellos con nombres cariñosos como Fancy Bear, Refined Kitten y Sea Turtle?
¿Por qué, cuando entrevisto a distintas empresas de ciberseguridad sobre una unidad concreta de hackers de la inteligencia militar rusa, tengo que traducir internamente que esta empresa se refiere a Fancy Bear como Pawn Storm, mientras que esta otra los llama Iron Twilight? ¿Por qué, cuando escribí un artículo de noticias a principios de esta semana sobre un equipo de hackers vinculado a Corea del Norte que ha espiado a sus vecinos surcoreanos, ha robado millones en criptomoneda para financiar el régimen totalitario de Kim Jong-un y ha corrompido el software distribuido por múltiples empresas para difundir código malicioso por todo el mundo, me encontré refiriéndome a ellos como “el grupo de hackers conocido como Kimsuky, Emerald Sleet o Velvet Chollima”? Francamente, todo esto es un poco vergonzoso y, para el lector medio, da a la información sobre conflictos cibernéticos la misma gravedad que a las jugadas de un juego de cartas Pokémon.
Hace unos días, la división de ciberseguridad de Microsoft anunció que iba a cambiar toda la taxonomía de nombres que utiliza para los cientos de grupos de hackers que rastrea. En lugar de su sistema anterior, que daba a esas organizaciones los nombres de elementos -un sistema bastante neutro y científico en este sentido-, ahora dará a los grupos de hackers nombres de dos palabras, incluyendo en su descripción un término basado en el tiempo que indica en nombre de qué país se cree que trabajan los hackers, así como si están patrocinados por el Estado o son criminales.
Eso significa Phosphorous, un grupo iraní que Microsoft reportado esta semana que ha tenido como objetivo infraestructuras críticas estadounidenses como puertos marítimos, empresas energéticas y sistemas de tránsito, ahora tiene el poco temible nombre de Mint Sandstorm. Iridium, la unidad militar de hackers rusa más agresiva y peligrosa enfocada en la ciberguerra y más conocida como Sandworm -responsable de múltiples apagones en Ucrania y del malware más destructivo de la historia – tiene ahora el caprichoso título de Seashell Blizzard. Barium, un equipo de hackers chinos que ha realizado más ataques a la cadena de suministro de software que cualquier otro grupo del mundo, es ahora Brass Typhoon, una frase que, confieso, me cuesta separar de flatulencia.
Muchos de los nuevos nombres sonaban tan absurdos que, de hecho, volví a comprobar si Microsoft no había publicado el nuevo sistema de etiquetado el 1 de abril. Tempestad Bígaro. Tempestad de Calabaza. Tempestad Spandex. Tifón de Guinga. “Estos nombres son una tontería”, dice Rob Lee, fundador y director general de la empresa de ciberseguridad de sistemas de control industrial Dragos. “Hablando de no ser tomados en serio como profesión”.
Dejando a un lado la tontería, el nuevo sistema es contraproducente para el análisis real de la ciberseguridad, argumenta Lee. Dado que la inteligencia sobre amenazas de Microsoft es una de las mejores del mundo, los analistas y clientes de todo el sector tendrán que revisar sus bases de datos -e incluso algunos de sus productos- para adaptarlas al nuevo sistema de nomenclatura de Microsoft, afirma. Y el sistema revisado incluye ahora conjeturas sobre la lealtad nacional de los piratas informáticos, sin indicar el grado de confianza de los analistas en esas evaluaciones, añade Lee.
¿Qué ocurre si un grupo de hackers que se cree que forma parte de la agencia de inteligencia de un país resulta ser un contratista de hackers a sueldo? ¿O ciberdelincuentes reclutados temporalmente para trabajar en nombre de un gobierno? “Las valoraciones cambian con el tiempo”, afirma Lee. “(La propia empresa de Lee, Dragos, admite que da a los grupos de hackers nombres minerales que a menudo son confusamente similares a los del antiguo sistema de Microsoft. Pero al menos Dragos nunca ha llamado a nadie Gingham Typhoon).
Cuando me puse en contacto con Microsoft acerca de su nuevo sistema de nombres, el director de su Centro de Inteligencia sobre Amenazas, John Lambert, me explicó los motivos del cambio: Los nuevos nombres de Microsoft son más distintivos, memorables y fáciles de buscar. En contraste con el punto de Lee sobre la elección de nombres neutros, el equipo de Microsoft quería dar a los clientes más contexto sobre los hackers en los nombres, dice Lambert, identificando inmediatamente su nacionalidad y motivo. (Los casos que aún no se atribuyen plenamente a un grupo conocido reciben un clasificador temporal, señala).
El equipo de Microsoft también se estaba quedando sin elementos: al fin y al cabo, sólo hay 118. “Nos gustó la meteorología porque es una fuerza omnipresente, es perturbadora, y hay un espíritu afín porque el estudio de la meteorología a lo largo del tiempo implica la mejora de los sensores, los datos y el análisis”, dice Lambert. “Ese también es el mundo de los defensores de la ciberseguridad”. En cuanto a los adjetivos que preceden a esos términos meteorológicos -a menudo la verdadera fuente de la comicidad involuntaria de los nombres-, son elegidos por los analistas de entre una larga lista de palabras. A veces tienen una conexión semántica o fonética con el grupo de hackers, y otras son aleatorias. “Cada uno tiene una historia de origen”, dice Lambert, “o puede ser simplemente un nombre sacado de un sombrero”.
Hay una cierta y obstinada lógica detrás de la creciente proliferación de nombres de grupos de hackers en el sector de la ciberseguridad. Cuando una empresa de inteligencia sobre amenazas encuentra pruebas de un nuevo equipo de intrusos en la red, no puede estar segura de estar viendo al mismo grupo que otra empresa ya ha detectado y etiquetado, aunque vea malware, víctimas e infraestructura de mando y control familiares entre los dos grupos. Si tu competidor no comparte todo lo que ve, es mejor no hacer suposiciones y rastrear a los nuevos hackers con tu propio nombre. Así, Sandworm se convierte en Telebots, y Voodoo Bear, y Hades, y Iron Viking, y Electrum, y-sigh-Seashell Blizzard, ya que los analistas de cada empresa echan un vistazo diferente a la anatomía del grupo.
Pero, dejando a un lado la expansión, ¿tenían que ser estos nombres tan ridículos? Hasta cierto punto, puede ser prudente dar nombres a las bandas de hackers que les quiten su glamour malévolo. A los miembros del grupo ruso de ransomware EvilCorp, por ejemplo, no les hará ninguna gracia que Microsoft los haya rebautizado como Manatee Tempest. Por otra parte, ¿es realmente apropiado etiquetar a un grupo de hackers iraníes que pretende penetrar en elementos cruciales de la infraestructura civil estadounidense Mint Sandstorm, como si fueran un sabor exótico de ambientador? (El nombre más antiguo que les dio Crowdstrike, Charming Kitten, no es desde luego mejor). ¿Realmente era necesario cambiar el nombre de los mercenarios hackers israelíes conocidos como Candiru, que han vendido sus servicios a gobiernos que persiguen a periodistas y activistas de derechos humanos, por el de Tsunami de Caramelo, una marca propia de una bebida de Dunkin’, y que ya ha sido adoptada por una cepa de cannabis?
Kevin Mandia, uno de los cazadores de hackers originales y fundador y director general de la empresa de ciberseguridad Mandiant, plasmó este problema en un discurso pronunciado en la Cumbre de Inteligencia sobre Amenazas a la Ciberseguridad de 2018. Siempre me he preguntado cómo se entra en una sala de juntas y se dice: “Señor, sé que ha habido una brecha. Estás en los titulares. Y os ha pirateado el pato Fluffy Snuggle'”, dijo Mandia. “Simplemente no funciona”.
Mandia admite hoy que, en los cinco años transcurridos desde su comentario sobre el Pato Mullido, se ha acostumbrado más a los ridículos nombres de grupos de hackers. “No me importa cómo se llamen, sólo quiero asegurarme de que tenemos el catálogo correcto. ¿Tenemos sus huellas dactilares, tenemos sus defensas?”, dice.
En nuestra entrevista, sin embargo, todavía parecía estar realmente desconcertado por el esquema de etiquetado de su competidor Crowdstrike, que nombra a los hackers con nombres de diferentes animales en función de su nacionalidad. “El oso es Rusia… ¿o no?”. reflexionó Mandia en voz alta. “Panda es China. Pero eso es un oso. Ya me he confundido”.
Mandia y Lee sueñan con el día en que un organismo gubernamental -por ejemplo, el Instituto Nacional de Estándares y Tecnología de EE.UU.- proponga una convención de nombres de grupos de hackers que pueda ser adoptada por todo el sector. Pero ambos dicen también que las empresas nunca se ceñirían a ella. Dejando a un lado el marketing, la niebla de la guerra en la investigación de la ciberseguridad significa que los analistas de las distintas empresas nunca estarán seguros de estar observando a las mismas entidades, a menos que todas se pongan de acuerdo para compartir abiertamente cada fragmento de su inteligencia estrechamente guardada.
Hasta entonces, ten cuidado con Periwinkle Tempest. El año pasado, Periwinkle Tempest lanzó infligentes ataques de ransomware en toda Costa Rica, lo que llevó al gobierno del país a declarar una emergencia nacional. Periwinkle Tempest son algunos de los hackers más peligrosos del mundo. Periwinkle Tempest. En serio.