El CNI señala a Rusia por el ciberataque a la Guardia Civil en plena investigación sobre Putin y Cataluña
La herramienta informática utilizada en el ataque, que robó datos de los agentes, se opera "desde Rusia"
La Guardia Civil ha detectado un intento de ciberataque contra su red informática, que busca colarse en los servidores a través de correos electrónicos infectados enviados a las direcciones de los agentes. Los atacantes utilizan para ello la identidad de una empresa que realiza reconocimientos médicos a la plantilla del Cuerpo. El instituto armado ya sufrió hace menos de un mes otro ciberataque de gravedad que provocó una fuga de datos personales de agentes.
Fuentes del Centro Criptológico Nacional (CCN), dependiente del Centro Nacional de Inteligencia, señalan que la herramienta usada para ese ataque «se opera desde Rusia». El intento de acceso a los servidores de la Guardia Civil se produce, además, mientras el Instituto Armado y la Policía Nacional investigan el paso de agentes de la Rusia de Vladímir Putin por Cataluña coincidiendo con el procés.
Datos personales, médicos y de contacto de miles de guardias civiles, y también de miembros de las Fuerzas Armadas, quedaron expuestos el pasado mes de marzo tras un cibersecuestro ejecutado contra el sistema informático de una empresa sevillana. Una firma que realiza los reconocimientos médicos a estas plantillas.
Ahora, tal y como ha informado OKDIARIO, la Guardia Civil y el Centro Criptológico Nacional (CCN), la unidad dependiente del CNI especializada en ciberseguridad, sospechan que los atacantes están intentando abrir una nueva brecha. Esta vez, directamente en los servidores del Cuerpo policial. Fuentes del CCN, consultadas al respecto por este diario, admiten que «las pistas parecen apuntar a Rusia».
Esta cadena de ciberataques ha llamado la atención de la seguridad del Estado, no sólo por lo delicado de la información que está en juego, vinculada a datos personales de funcionarios policiales, sino por el origen de la herramienta utilizada. En ese ataque se utilizó un programa denominado Lockbit 3.0. Un complejo sistema informático que trae de cabeza a los servicios de inteligencia de todo el mundo por su efectividad y lo difícil que es frenarlo. Y en parte, porque opera directamente desde territorio ruso, fuera del alcance de acción de los países que sufren sus ataques. Posiblemente, con el visto bueno o la complicidad del Gobierno de Vladímir Putin. Como dato, según ha revelado la Agencia de Ciberdefensa de EEUU (CISA), el programa está preparado para abortar un ataque si detecta que el idioma usado en el ordenador infectado es ruso o árabe. El resto, vía libre.
El Departamento del Tesoro de Estados Unidos decretó el pasado mes de febrero una serie de sanciones económicas contra los grupos que utilizan estas herramientas, señalando abiertamente al Gobierno ruso de patrocinar este tipo de actividades. Al mismo tiempo, la policía de 11 países -incluido Estados Unidos- lanzó contra esta red la llamada Operación Cronos, que bloqueó servidores y grandes cantidades de dinero en criptomonedas procedentes de rescates. Se entendió como un golpe mortal a quienes están tras Lockbit 3.0, pero poco tiempo después volvieron a atacar con más persistencia y con objetivos aún más ambiciosos.
Cuando se investiga a Rusia
No pasa desapercibido el hecho de que este ciberataque contra la Guardia Civil, por grupos esponsorizados por el Kremlin, se produzca al mismo tiempo que el Instituto Armado y la Policía Nacional investigan la conexión entre los servicios de inteligencia de Vladímir Putin y el separatismo catalán.
Cabe recordar que durante el procés, y, especialmente, en las semanas previas y posteriores al 1-O, se registró el paso por España de al menos siete agentes rusos expertos en sabotajes y asesinatos. Se sospecha que trabajan bajo las órdenes de Sergei Fedotov, un oficial de la inteligencia militar rusa vinculado al asesinato en Londres del agente doble ruso-británico Sergei Srkipal y su hija.
El pasado mes de marzo, el juez de la Audiencia Nacional Manuel García Castellón, encargado de la causa del Tsunami, solicitó un informe policial sobre el paso de agentes rusos por Cataluña y su posible influencia en la organización del procés y el referéndum ilegal.
En el esclarecimiento de estos hechos, que lleva años analizándose, la Guardia Civil ha tenido un papel fundamental. Suya es la investigación del caso Voloh, que reveló el paso de parte de estos agentes rusos por España, así como la presencia de tres informáticos bielorrusos dando apoyo a uno de los cerebros detrás de la organización del Tsunami que incendió Cataluña tras la sentencia condenatoria a los líderes del 1-O.
Ciberataque
«Pulse aquí». Con esa simple invitación por correo electrónico, recibido por parte de una falsa empresa de reconocimientos médicos, la red informática de la Guardia Civil puede verse seriamente comprometida. Incluso enfrentarse a un bloqueo temporal de su sistema, con lo que ello supondría. Según confirman fuentes del Cuerpo a OKDIARIO, en los últimos días se ha recibido en los buzones de correo electrónico corporativo de agentes un mensaje desde el dominio GrupoMPE.net.
Las comandancias de toda España, por orden de la Dirección General, están difundiendo a toda la plantilla una advertencia: «Se está recibiendo en los correos corporativos un correo electrónico desde la cuenta @grupompe.net, donde en el cuerpo del correo hay un enlace con la indicación «pulse aquí». Esa cuenta simula ser de la empresa MPE, que es la encargada de los reconocimientos médicos del cuerpo». La instrucción es concisa: «Se debe evitar abrir el correo, no pinchar en el enlace y eliminarlo», dice el correo en negrita y en gran tamaño de letra.
Robo de datos
La historia viene de atrás y preocupa, mucho, en la Dirección General de la Guardia Civil. El Grupo MPE es la empresa con sede en Sevilla que realiza reconocimientos médicos a la plantilla de agentes de la Guardia Civil. El pasado mes de marzo sufrió un ciberataque en sus servidores que los dejaron inutilizados. Una técnica denominada Ransomware. Este tipo de archivos bloquea los ordenadores de los usuarios de una determinada red. Para desbloquearlo, los atacantes exigen el pago de una cantidad económica en un corto periodo de tiempo.
La cuantía del rescate depende, muchas veces, de la entidad de la organización atacada. En España, Telefónica sufrió uno de estos ataques en 2017, que bloqueó la red de su central en Madrid. Por cada uno de los ordenadores infectados con el software WCry, los atacantes solicitaban 300 dólares. Este tipo de ataques mueve anualmente unos 400 millones de dólares en rescates.
Lo que sospechan internamente en la Guardia Civil, y eso es lo que ha encendido todas las alarmas, es que el grupo que está enviando estos correos a las direcciones corporativas del Cuerpo es, muy posiblemente, el mismo que el pasado mes de marzo ejecutó uno de estos cibersecuestros contra esta empresa de reconocimientos médicos.