Lazarus, levántate y ataca
El misterioso grupo de hackers que está detrás de algunos de los ataques informáticos más notorios de los últimos años está señalado como instrumento del gobierno de Corea del Norte
Hace unas semanas se conoció la noticia de que Kim Jong-Un, el todopoderoso líder de Corea de Norte, le propuso a Donald Trump una reunión cara a cara para discutir sin restricciones el futuro del plan nuclear norcoreano que tiene en vilo al mundo. Trump ya respondió que el encuentro se producirá posiblemente antes de que concluya el mes de mayo y se especula con que Finlandia podría brindar el escenario de la cumbre. El compromiso de Kim es congelar las pruebas nucleares y misilísticas hasta después del encuentro.
Desde hace décadas, el régimen norcoreano hace un culto del despliegue militar con fines extorsivos. Perfecciona con constancia su capacidad misilística al tiempo que desarrolla tecnología nuclear con fines bélicos, y por eso asusta a buena parte del mundo. Su estratégica posición geográfica completa el rompecabezas que explica por qué un país pequeño y con una economía semejante a la de Honduras, tiene tanto protagonismo en el escenario político internacional.
Sin embargo, misiles y tecnología nuclear no serían los únicos recursos desarrollados en Corea del Norte para alcanzar su objetivo de abastecimiento, ni el chantaje bélico su único método para alcanzarlo. Desde distintos organismos, públicos y privados, señalan al denominado Lazarus Group o Grupo Lázaro, responsable de varios ataques informáticos, como un instrumento del régimen norcoreano.
Mundo informatizado, ataques informáticos
En los últimos años la seguridad informática fue convirtiéndose en un campo cada vez más controvertido. Cada vez hay más dispositivos conectados, pero paralelamente no hubo un desarrollo proporcional respecto de los modos de protegerlos. Eso no ocurre solamente con los usuarios particulares sino también con empresas y organismos del sector público. La proliferación de ataques también está vinculada a que la información se transformó en una importante fuerte de poder y, por lo tanto, su apropiación o, en su defecto, su destrucción, forman parte de pugnas cada vez más frecuentes.
En este contexto, el conjunto hackers que integran Lazarus Group adquirió protagonismo a través de varios ataques notorios. El primero de ellos se conoció como Operación Flame, se realizó en 2007 y utilizó malware (software malicioso que trata de infectar un ordenador o un dispositivo móvil) de primera generación contra el gobierno de Corea del Sur. Entre 2009 y 2012 se produjo la Operación Troy, que consistió en derribar páginas gubernamentales de Corea del Sur saturando sus servidores. Utilizaron lo que se denomina ataque de denegación de servicio distribuido o DDoS -por sus siglas en inglés- el cual se lleva a cabo generando un gran flujo de información desde varios puntos de conexión hacia un mismo punto de destino, causando que un servicio o recurso sea inaccesible para sus legítimos usuarios.
En 2011 tuvo lugar Ten Days of Rain, otro ataque DDoS pero más sofisticado que apuntó a medios de comunicación, entidades financieras y a la infraestructura crítica de Corea del Sur. El famoso ataque a Sony Pictures se produjo en 2014. La compañía japonesa fue atacada por lanzar la película The Interview, una comedia que ofrece una mala imagen de Corea del Norte. Los hackers accedieron y lanzaron toda clase de información confidencial, incluyendo correos, información personal e incluso películas no publicadas. En 2015 comenzaron a atacar bancos, comenzando por Ecuador y Vietnam: el Banco del Austro y Tien Phong Bank perdieron 13 millones de dólares. También intentaron atacar bancos en Polonia y en México. En 2016 apuntaron más alto aún, robando 81 millones de dólares al Banco de Bangladesh. En 2017 intentaron robar 60 millones de dólares de un banco taiwanés, aunque se recuperó la mayor parte del dinero. También se cree que WannaCry podría ser obra suya, y que han robado Bitcoin de diferentes fuentes.
Cómo opera Lazarus
De la rusticidad a la sofisticación, así podría calificarse el devenir de los ataques de Lazarus. Al comienzo atacaban para hacer daño, pero actualmente el grupo intenta obtener el máximo beneficio posible de cada acción. Todo parece indicar que el grupo se profesionalizó y que sus objetivos son cada vez más específicos. Además, como ya fuera expresado, Lazarus ha dejado de operar sólo en Corea del Sur para internacionalizar sus ataques.
Su modus operandi actual consiste en comprometer un único sistema dentro del blanco a atacar para proceder a infiltrarse. Dedican varios días o semanas investigando los sistemas, y llegado el momento roban el dinero, no sólo de bancos, sinó también de casinos, negocios de criptomonedas y compañías de inversiones.
Respecto de quienes conforman Lazarus se sabe muy poco. Pero pese a que la identidad de los individuos es desconocida, se sabe trabajan en equipo, como si se tratase de una fábrica de amenazas y ataques.
Varias pistas apuntan Corea del Norte. El gobierno de los Estados Unidos denunció al régimen de Kim Jong-Un como el actor detrás de Lazarus Group y de WannaCry. Podría tratarse de un equipo desde dentro, un grupo de hackers a sueldo o incluso mercenarios a cuenta del gobierno norcoreano.
Sin embargo, estos datos también podrían ser engañosos. Algunas de las pistas que apuntan a Corea del Norte podrían estar puestas por los autores para engañar a los investigadores. Es decir, no se puede descartar esa posibilidad.
WannaCry y Ciberguerra
El gobierno de Trump responsabilizó públicamente a Corea del Norte de ser responsable del ataque cibernético WannaCry que afectó gravemente a empresas y usuarios de 150 países.
WannaCry fue el ataque masivo de mayor alcance conocido utilizando técnicas Ransomware, uno de los tipos de malware más peligrosos para la ciberseguridad mundial, ya que infecta ordenadores personales y redes donde estén conectados, bloquean el funcionamiento de los equipos apoderándose de los archivos con un cifrado fuerte y exigen a organizaciones, empresas o usuarios una cantidad de dinero como rescate para liberarlos.
Para el gobierno de los Estados Unidos hay evidencias que indican que el ataque WannaCry de Lazarus es responsabilidad de Corea del Norte. La administración Trump está adoptando en consecuencia posturas más duras contra los piratas informáticos y los gobiernos que los despliegan, y anunció que trabajará en el fortalecimiento de la seguridad de los sistemas y redes del país.
Investigaciones realizadas por organizaciones gubernamentales del Reino Unido y por empresas privadas de distintos países -Google incluída- señalan también al régimen de Corea del Norte como el titiritero detrás de Lazarus.
Pero también hay analistas que indican que el código utilizado en WannaCry pudo haber sido colocado allí para confundir a los investigadores. Por su parte, el gobierno norcoreano ha negado repetidamente tener nada que ver con WannaCry y lo califica como una de las habituales campañas de desinformación desplegadas desde los Estados Unidos en su contra.
La realidad indica que ni el gobierno de Corea del Norte ni el de los Estados Unidos -con un largo historial de espionaje informático- son acreedores de confianza. Tampoco lo son los gobiernos de Rusia y China, que cuentan con legiones de hackers y mercenarios que realizan ciberespionaje y ciberataques. WannaCry fue un ejercicio de simple delincuencia, un aviso o una prueba que se fue de las manos. Posiblemente nunca se sepa con exactitud. Lo que sí puede confirmarse es que existe una ciberguerra fría que, en un mundo informatizado, puede causar un daño incalculable.