Claves del ciberataque prorruso a medios españoles: cómo un ‘voluntariado’ de hackeo tira una web
El martes después de las elecciones generales periódicos como ‘El Mundo’, ‘ABC’ o ‘El Español’ sufrieron un sabotaje informático por parte de activistas defensores de Putin
Inflan el tráfico del periódico elegido, saturan su servidor hasta ‘colgar’ la web, presumen de ello y lo celebran con su comunidad de fans. Así actúan los hackers pro Putin del grupo ‘NoName057’ que intentaron sabotear este mismo martes, dos días después de las elecciones generales, las páginas de varios periódicos españoles para “hacer un favor a la madre Rusia”.
El Mundo, ABC, El Español y Expansión empezaron la jornada del 25 de julio con anomalías en sus gráficas. El tráfico de las cabeceras no paraba de aumentar. Lo que en un primer momento pudo parecer simplemente una mañana exitosa, al cabo de un rato se convirtió en un problema. Las visitas a los diarios no eran limpias. Estaban siendo hackeados.
Nunca es un buen momento para ser boicoteado, pero en nuestro país las últimas semanas han estado especialmente cargadas de trabajo informativo. El día de dicho ataque, sin ir más lejos, toda la atención estaba puesta en los posibles pactos que podrían desbloquear el contexto político que han dejado los comicios del 23J. Es posible que, precisamente por eso, los ciberdelincuentes consideraran que era la ocasión ideal para hacer ruido.
“El que despertó la alerta fue El Español. Fue el primer periódico que empezó a tener un tráfico extraño”, explica para El HuffPost Diego Suárez, el director de Tecnología de la compañía que vela por la velocidad, la seguridad y el rendimiento de las webs de varios medios de comunicación en España.
“Tenemos muy monitorizados los periódicos. A nivel técnico hay una serie de sistemas y sondas que nos permiten saber cuánto tráfico está entrando, desde qué países, desde qué direcciones IP y otros muchos parámetros. En estos casos, cuando ves un salto en la gráfica ya sabes que hay una anomalía y que hay que investigar más. Ahí empiezas a ver que están pidiendo unas URL que normalmente no se piden, que están haciendo llamadas que no parecen de un tráfico corriente, búsquedas que no tienen sentido (…) En El Español había patrones raros que nos hicieron tirar del hilo y pararlo a tiempo”, cuenta el experto.
El periódico El Mundo fue el que sufrió las peores consecuencias. En su caso los hackers empezaron a atacar sobre todo la parte de login, es decir, donde los usuarios se autentifican para entrar a leer y comentar las noticias. Esa página quedó bloqueada. “Con los demás no lo consiguieron, pero El Mundo sí lograron que cayera. Le atacaron con todo y consiguieron encontrarle un punto débil”. A las 12:49 los atacantes fardaron de la victoria en su canal de Telegram: “Hemos colapsado el servicio de autorización del portal de uno de los periódicos más populares de España”, escribían junto a la captura de pantalla de la web bloqueada con marca de agua y acompañada de su característico oso pardo rugiendo.
Sin embargo, a pesar del susto, los técnicos explican que estaban prevenidos desde hacía más de una semana. Según Suárez, las personas del equipo dedicadas exclusivamente al “contraespionaje” ya habían estado notando movimientos extraños. “Sabíamos que podrían producirse ciberataques a medios de comunicación, a instituciones públicas y a banca. La semana de las elecciones lo hicieron con el Ministerio del Interior, entre otros”. Quieren llamar la atención y que se hable de ellos. Por eso “tienen redes sociales y canales en Telegram”. Están orgullosos porque “piensan que están haciendo un favor así a la madre Rusia”.
Hackers universitarios y voluntarios
Su intención no va tan dirigida a destruir como a “hacer presión”. Cuando se da una situación de este tipo cualquier usuario con nivel intermedio de informática podría preguntarse cómo son los delincuentes que están detrás de estas actividades. En ese caso, la ficción, la fantasía y la imaginación tienden a recrear una sombra encapuchada capaz de extraer los mayores secretos que esconde internet. Un ‘cerebrito’ solitario que puede poner en jaque a los gobiernos y los bancos.
Sin embargo, pocos imaginarían que, la gran mayoría de estos ciberataques salen adelante por una especie de ‘voluntariado’ del hackeo y por “estudiantes universitarios” que acaban de llegar a la veintena. “Hay ciberdelincuentes profesionales, pero en este caso concreto son más personas con un perfil de activismo nacionalista. Los organizadores del movimiento si están preparados, pero los demás son voluntarios”, cuenta Diego Suárez.
Los cabecillas del movimiento pro ruso proporcionan a todo aquel que se ofrezca a unirse a su ‘lucha’ un programa de su servidor. De esta manera, “te alistas como voluntario del hackeo”. “Realmente lo que están haciendo es dejar su ordenador para que lo utilicen los verdaderos hackers (…) Cualquier persona que comparta esos objetivos y tenga conexión a internet puede colaborar con ellos. El organizador cuando lo necesite usará su ordenador como un recurso extra para atacar”.
Al tratarse de un movimiento puramente ideológico la captación de voluntarios es incluso más sencilla. Además, para dejar claros sus objetivos y reforzar sus ideas, en el canal de Telegram donde celebran las victorias también plasman mensajes como este, donde muestran su desprecio a España por enviar ayudas y armamento al ejército ucraniano: “Plus ultra (más allá del límite) es lo que está escrito en el escudo de España. Desgraciadamente, el Gobierno español malinterpreta el lema oficial de su país, adoptado por Carlos V en 1492, y va más allá de los límites de su estupidez”.
Los medios, sin armas de prevención
Sea como fuere, no se puede decir que el problema del ciberataque esté ‘solucionado’. “Estas cosas en realidad nunca se terminan de solucionar, te quedas esperando a la siguiente”. No hay armas para luchar contra un ataque basado en saturar el tráfico de un periódico. “Lo único que podemos hacer es poner medidas para que no se note el ataque y se pueda seguir trabajando con normalidad (…) Ellos acceden masivamente a la web con intención de tirarla, de saturar los servidores donde están albergadas las cabeceras y se caigan”.
Y es que, el servidor está en ese momento tan ocupado intentando dar tantas respuestas a peticiones que los usuarios pueden percibir una lentitud extrema a para cargar cualquier página o percibir que da error. “No se puede calcular durante cuánto tiempo han sido o están siendo atacados. Sin ir más lejos, El Mundo hasta el día siguiente de su caída siguió siendo agredido, aunque no se notara”.
Los técnicos del diario pusieron medidas con sus servidores y proveedores para lograr que los lectores y los redactores no se percataran de que, mientras leían las noticias, todavía había una red de hackers activistas que estaba saboteando las redes informáticas de la cabecera y celebrando vía Telegram que seguían “ocasionando porblemas reputacionales y financieros a las empresas españolas”. En esta ocasión, presumiendo de haber “destruido” la web del hotel Only You Boutique de Madrid.