Picture of the author
Published on

El espionaje y falsas noticias en la política Latinoamericana

Authors
thanos ransomware

Francisco Olivares

El espionaje, la contra información, informaciones falsas, suplantación de identidad, robo de información, a través de equipos de hackers especializados en esa materia son contratados por factores del poder para producir campañas sucias contra figuras políticas, periodistas, líderes de opinión o líderes empresariales. Tales métodos han sido utilizados en los últimos 15 años por los países del continente, pero fue recurso especialmente manejado desde los países que han formado parte del Foro de Sao Paulo y los pertenecientes a la Alianza Bolivariana de los Pueblos de América (ALBA) como una fórmula para posesionar el llamado socialismo del siglo XXI y mantener el poder político y económico en los países de la alianza.

Así lo muestran las investigaciones que realizara el equipo de especialistas en informática de la organización Citizen Lab quienes en 2015 publicaron un amplio estudio de las actividades de estos hackers en América Latina.

Denominados por el equipo de investigación como los “Packrat” tales ataques han sido promovidos principalmente en Brasil, Venezuela, Ecuador y Argentina siendo Venezuela y Ecuador el centro desde donde estos equipos lanzaron sus ataques durante el período investigado.

Pero la utilización clandestina de equipos de hacker para promover informaciones falsas o “fake news” en la política no ha sido exclusiva de la izquierda socialista latinoamericana. Importantes asesores en campañas políticas del campo liberal han acudido a estos especialistas en la utilización de Malware (virus) y Phishing (suplantación de identidad) para objetivos electorales como lo reveló el hacker colombiano Andrés Sepúlveda, quien estuvo en el equipo de campaña de Enrique Peña Nieto en México para quien dirigió un equipo de hackers quienes robaron estrategias de campañas de los adversarios y crearon falsas corrientes de opinión, integrando así a equipos hackers a operaciones políticas.

Sepúlveda fue acusado por la obtención de información confidencial relacionada con dirigentes políticos y de guerrilleros de las FARC-EP y funcionarios de Gobierno relacionados con los Diálogos de paz entre el gobierno Santos y las FARC. En 2015, fue condenado a 10 años de prisión por los delitos: concierto para delinquir, acceso abusivo a un sistema informático, violación de datos agravado, uso de software malicioso y espionaje. En diciembre de 2020 el Juzgado 22 Penal del Circuito de Bogotá, concedió a Sepúlveda la libertad condicional por haber cumplido las tres quintas partes de su condena.

Otro caso que cobró relevancia fueron las denuncias que se atribuyeron a la campaña presidencial de Donald Trump, sobre las que, investigaciones del FBI se destaparon un escándalo por espionaje, cuyas pesquisas vincularon al equipo de Trump con el Kremlin, un gobierno que ha utilizado estos mecanismos contra occidente y los cuales no solo han actuado en Europa y Asia sino que en los últimos años se han instalado en Latinoamérica y Estados Unidos.

En el caso del ALBA se destaca la investigación que realizó el grupo canadiense, Citizen Lab, pertenecientes a la Universidad de Toronto, cuyos expertos en informática investigaron e hicieron seguimiento a las actividades de grupos de hackers que actuaron coordinadamente en América Latina. El estudio abarcó un período de 7 años, desde 2008 a 2014. Señala el estudio que: “La naturaleza y distribución geográfica de los objetivos parecen apuntar a un patrocinador o patrocinadores con intereses políticos regionales. Los atacantes a quienes los llamamos “Packrat”, han demostrado un agudo interés sistemático en la oposición política y en la prensa independiente en los llamados países del ALBA y sus regímenes aliados.

Explica el estudio que después de observar una ola de ataques en Ecuador en el 2015, “nosotros vinculamos estos ataques a una campaña activa en Argentina en el 2014. El objetivo en Argentina fue descubierto cuando los atacantes atentaron contra los dispositivos personales del fallecido fiscal Alberto Nisman y el periodista Jorge Lanata, reconstruyendo sobre lo que nosotros habíamos descubierto acerca de estas dos campañas. Luego rastreamos las actividades del grupo hacia atrás hasta 2008”.

La investigación une muchas piezas de tales campañas, desde los llamados malware y phishing hasta comandos y controles de infraestructuras distribuidos a través de Latino América. También refleja falsas organizaciones online que fueron creadas por los Packrat en Venezuela y Ecuador. ¿Quién es responsable? “Nosotros evaluamos muchos escenarios y consideramos que lo más probable es que Packrat está financiado por actores o personajes del Estado. Sin embargo no concluimos que Packrat opera con un patrocinador en particular”. El trabajo de estos Packrat se ha dirigido sistemáticamente a los perfiles de altas figuras políticas, periodistas y otros en muchos países. En total los investigadores detectaron al menos 12 comandos de control de malware diferentes y números IP en donde se enlazan virus que conectaban los mismos servidores que hacían “rats” (Archivos infectados). Igualmente encontraron controladores de dominios y más de 30 pruebas de malware que se conectaban a los mismos servidores que hacían rats.

Packrat también favoreció estrategias políticas mediante la creación y mantenimiento de falsos grupos de oposición y nuevas organizaciones de oposición en esos países a objeto de hacer bases de datos de opositores y dirigir sus malware y phishing e infectar los dispositivos de personas de oposición, determinaron los investigadores. Con esos mecanismos estos grupos falsos al tiempo que producían contra información, o campañas con información falsa, servían de plataforma para identificar opositores radicales y entrar en sus dispositivos. “Con desinformación radical los enganchan, los espían y los estudian”.

Es de resaltar que estos mecanismos de falsas noticias y falsos grupos políticos se han seguido aplicando en el continente y especialmente en Venezuela. Muchas de esas páginas fueron eliminadas pero en su lugar han aparecido nuevos dominios para generar campañas sucias y desprestigiar figuras públicas.

Campañas y espionaje en Venezuela

Las actividades de espionaje contra figuras políticas, campañas y contra información, ataques de hackers a medios de comunicación han estado a la vista en una Venezuela altamente polarizada. La necesidad del control de la información se inició desde la implantación de la llamada “Hegemonía comunicacional”. Fue un plan que se profundizó con la compra de medios de comunicación y leyes restrictivas. El propio ministro de la Defensa de Venezuela, Vladimir Padrino López, anunció que es necesario la creación de una fuerza especial “ciberguerra” e “incluir el máximo uso de los medios convencionales” (radios y televisión pública y privada) “y no convencionales” (redes sociales) contra la virtual “guerra de cuarta generación” que padecería la “revolución socialista”. Indica el jefe militar que es necesario tomar conciencia de una nueva doctrina de “ciberdefensa” como política de Estado y planteó la necesidad de adquirir equipos tecnológicos para contrarrestar a los eventuales hackers.

Pero la realidad es que al la par de la estrategia comunicacional, dos organismos de contra inteligencia se ocuparon del trabajo de espionaje hacia opositores: el SEBIN y la Dirección de Contra Inteligencia Militar (DGCIM). Junto a ellos han trabajado otros organismos de análisis de información y de espionaje electrónico como lo ha sido el CESPPA, Centro de Seguridad y Protección de la Patria, que utiliza plataformas de análisis a fin de procesar gran volumen de data que proviene justamente de las actividades de espionaje a través de medios electrónicos, equipos de intervención telefónica y especialmente de los equipos de hackers que acceden a las cuentas privadas de correo, dispositivos electrónicos y computadoras mediante sistemas de malware y phsishing.

En Venezuela han sobrado los casos de portales y cuentas personales de figuras políticas y periodistas críticos hackedas por estos grupos. Conversaciones privadas han sido expuestas públicamente en los programas de televisión que tienen como anclas a importantes figuras de la política y campañas que se extienden no solo a los medios y portales bajo control del Gobierno sino a través de las redes en donde actúan miles de usuarios alineados al Gobiernos conocidos en Venezuela como “Guerrilla comunicacional” y otro grupo llamados “Patriotas Cooperantes” cuyas acciones de forma anónima han llevado incluso a prisión a decenas de activistas civiles y militares acusados de conspiración. El equipo de Citizanlab ubicó a Venezuela como uno de los principales centros desde donde se dirigieron ataques, a través de cuentas y dominios, que orientaron sus campañas contra figuras del continente.

Portales falsos

Una de los más llamativos hallazgos del equipo de investigadores fue la creación de portales falsos en Venezuela. Algunos de ellos con apariencia a favor del Gobierno y contenido “anti-Chávez”. Según lo analizado por el equipo canadiense, los portales anti-Chávez buscaban generar contra información radical, aparentemente de opositores para generar confusión entre esos grupos. A partir del portal igualmente se crean grupos de opinión a través de las redes con cuentas anónimas como en Twitter y Facebook con el mismo objetivo.

Mediante ese mecanismo también se buscó atraer como seguidores a opositores radicales y de esta manera inyectarles virus (malware) y a través de ese mecanismo acceder a sus cuentas personales, identificarlos y hacerles seguimiento. Ese mecanismo les permite a quienes manejan esa data utilizar a los opositores a su favor.

Asimismo los portales a favor del Gobierno buscan generar opinión a favor del Gobierno y crear grupos de opinión, muchas veces fabricados en las redes, para apuntalar determinadas acciones.

Una de las creaciones del grupo Packrat, según el estudio, fue el portal Pancaliente.info. Esa página fue desconectada inmediatamente luego de que se publicara el informe de Citizenlab. El portal provenía de un IP que alojaba otros portales con el mismo perfil. El sitio aparentaba tener un gran volumen de noticias reales de actualidad, la mayoría de ellas desfavorables al Gobierno. Al examinarlo más a fondo se encontraron que además buscaba a los lectores venezolanos que estaban fuera de Venezuela.

Uno de los hallazgos es que el sitio contaba con muchos enlaces a otros dominios, mientras que el registro de dominio estaba enmascarado y el correo electrónico de registro se compartía con otros sitios de phishing.

En otros casos, el sitio había publicado documentos supuestamente "filtrados" con historias críticas a figuras vinculadas al PSUV. Muchos informes también conciernen a la comunidad de venezolanos que se oponen al régimen desde el exterior, especialmente a la diáspora radicada en España. Curiosamente, algunos de los primeros informes publicados en el sitio parecen haber sido escritos cuando el sitio se mostraba con un nombre e identidad diferente: "Venezuela365.com".

El informe de Citizenlab señaló que no encontraron evidencia de que PanCaliente o Venezuela365 haya sido usado para realizar ataques con malware o realizar intentos de phishing, ya sea directamente o como pretexto para contenido malicioso.

Nisman y Argentina

Una de las personalidades que fueron objeto de ataques de este grupo de los Packrat fue el fiscal argentino, Alberto Nisman, quien fue hallado muerto en su departamento con un disparo en la cabeza el 18 de enero de 2015. En 2014 fueron atacados por el grupo Packrat Alberto Nisman mientras realizaba su investigación sobre el atentado al edificio de AMIA y el periodista Jorge Lanata, el más férreo crítico de los gobiernos de los Kirchner. En esa época cuando se verificó que los archivos de los ataques enviados por correo a personajes en Argentina se identificó que toda esa actividad provenía de dominios con origen en Ecuador y Venezuela.

Nisman quien investigaba el caso del atentado contra el edificio de la Asociación Mutual Isrraelita Argentina AMIA, había recibido amenazas por sus investigaciones. El 13 de enero de 2015, días antes de su muerte, Nisman denunció que se habían producido una serie de actos con el fin levantar las alertas rojas de Interpol para detener a varios ciudadanos iraníes imputados en la causa AMIA como autores del atentado. Pero las investigaciones apuntaban a una complicidad directa con el Gobierno de Cristina Fernández de Kirchner.

Pero es de destacar que cuando los investigadores de su muerte del laboratorio forense de la Policía Metropolitana de Buenos Aires analizaron sus dispositivos personales encontraron un archivo malicioso en su teléfono android. El archivo llevaba el nombre “estrictamente secreto y confidencial”.

Su teléfono estaba infectado por ese archivo a través del cual todas sus llamadas habían sido grabadas, y sus mensajes intervenidos. Por esa razón se conocieron públicamente todas las llamadas realizadas por Nisman antes de su muerte. Varias horas de llamadas quedaron grabadas y posteriormente salieron a la luz pública. La identificación del archivo la hizo uno de sus colaboradores de la firma “Virus Total”. Que es una de las empresas que analiza virus en Argentina, en mayo de 2015, y determinaron que ese archivo era un rats utilizado para espiar, conocido como AlienSpy, con el cual se habilitó el mecanismo para grabar toda la actividad, acceso a sus correos y a su webcam. También infectaron una computadora personal windows. Desde allí igualmente le espiaron sus correo.

Movimiento Anti Correa

En Ecuador el grupo Packrat desarrolló una actividad muy amplia a través de páginas falsas. Entre ellas se destaca ecuadorenvivo.com a partir de la cual hicieron varios dominios y correos falsos, cuentas de twitter, organizaciones políticas falsas, como lavozamericana.info. La característica común es que aparentaban ser de oposición a los gobiernos de la izquierda en latinoamérica. En estos portales se hacía opinión e información falsa sobre Correa, Kirchner, Maduro, Evo Morales y Chávez. Pero en realidad eran Packrat, simulando ser un movimiento de oposición del continente. También se destacó en ese tipo de acciones el llamado Movimiento Anti Corresista, que generó un portal, a partir del cual se promocionaron correos, cuentas de

twitter, de facebook y desde allí desplegaron una intensa actividad. Según detalla el informe de Citizen Lab, desde ese portal y sus redes se fabricó información falsa con títulos como: “Documento secreto filtrado del Gobierno de Correa”; “El sillón millonario y las actividades corruptas”; mensajes en el que se indicaba: “Compartimos con usted nuestro sitio web en el cual publicamos información del corrupto Gobierno de Rafael Correa”. Descargue el documento en www.movimientoanticorreista.com (fuera de servicio actualmente) pero al ingresar en el sitio web, si bien se encontraba información y noticias, la mayoría fabricadas, a la vez el usuario, generalmente un opositor radical, quedaba infectado y sus cuentas privadas intervenidas y expuestas al grupo Packrat.

Campañas preexistentes de phishing

El mecanismo de los ataques a través de las páginas falsas (phishing) el usuario al entrar en ellas e introducir una clave solicitada, el mecanismo envía al usuario a una página falsa similar a la original al entrar allí queda expuesto al virus a través del cual su información personal queda expuesta al grupo de hackers. Así se utilizó en páginas como Movimiento Anticorreista.com, lavozaméricana.Info . Según explica Citizen Lab.

Uno de los phishing mas comunes y populares es hacer páginas de facebook, redes sociales o correos falsos, con mecanismos en los que se debe colocar nombre de usuario y contraseña y una vez que se da click éste le notifica que se equivocó de clave pero en la siguiente al volver a poner la clave lo lleva a la página real y el usuario no se percata de que le ha sido infectado.

Los mensajes utilizados en español generalmente son personalizados, especialmente con conocidas figuras políticas. Otra fórmula es utilizar personas relacionadas o vinculadas al usuario que se quiere intervenir simulando mensajes de un allegado quien le recomienda que revise determinado archivo y al abrirlo ya queda infectado. Así lo hicieron recurrentemente con personajes de la Asamblea Nacional de Ecuador a quienes les robaron sus claves de manera de espiar todos sus contenidos.