Los archivos subidos a Internet con información del gobierno de Filipinas confirman que la filtración de la charla del presidente de estas islas, Rodrigo Duterte, con Donald Trump no fue un hecho aislado y que los líderes de gobierno no son inmunes a este tipo de problemas de seguridad.
El pasado 24 de mayo, The Intercept se hacía eco de una llamada de Trump realizada el 29 de abril desde la Casa Blanca a su homólogo filipino. En ella le felicitaba por el “increíble trabajo” que a su juicio Duterte estaba desarrollando en su “lucha contra las drogas”.
Lo halagó diciendo que era “un buen hombre” y lo instaba a “seguir con el buen trabajo”.
Trump felicitó a Duterte por su campaña contra las drogas, muy cuestionada por algunos medios
El tono empleado por The Intercept en esta noticia fue notablemente duro y habló de “respaldo incondicional a la sangrienta campaña de exterminio de Duterte contra sospechosos de ser traficantes y consumidores”.
Esta campaña, según este medio estadounidense, “incluyó llamamientos abiertos a los asesinatos extrajudiciales y promesas de indultos e inmunidad para los asesinos”.
Es solo la punta del iceberg
El medio especializado CyberScoop realizó una investigación propia si bien recurriendo también a “múltiples” expertos para determinar qué había tras esta filtración.
Afirman que el 15 de mayo, unos ocho días antes de trascender la conversación entre Trump y Duterte, alguien subió al repositorio de VirusTotal lo que parecía ser el documento que poco después trascendería a la prensa junto con archivos adjuntos de email de carácter malicioso.
No está claro por qué los documentos fueron publicados en un sitio como VirusTotal, pero un experto consultado por la publicación asegura que no es tan extraño y que este es uno de los lugares que pueden utilizar junto con las redes sociales.
Alguien subió a VirusTotal los documentos entre los que se encuentra aquel que luego trascendió a la prensa
No obstante, también pudo ser una «mera chapuza» de un grupo que ya cometió diversos errores operativos al poner en práctica sus habilidades como hackers, a juzgar por el aparente escaso número de documentos publicados.
Los otros documentos subidos a VirusTotal, según CyberScoop, incluían: notas informativas sobre una conversación entre Duterte y el líder chino Xi Jinping sobre Corea del Norte.
El escaso número de documentos publicados ha sugerido la hipótesis de un error operativo
También se pueden ver notas informativas sobre una inminente llamada de cortesía entre funcionarios del gobierno filipino y el senador estadounidense Cory Gardner.
Por si esto fuera poco, también hay informes de gabinete sobre la “situación presidencial” redactados por el Consejo Filipino de Seguridad Nacional y un diagrama sobre una conferencia reciente de ASEAN (Asociación de Naciones del Sureste Asiático, por sus siglas en inglés).
Atribución otorgada sin demasiadas dudas
Los técnicos de seguridad consultados por CyberScoop relacionaron los metadatos de aquel que subió los documentos a VirusTotal con OceanLotus, un grupo al que se le ha denominado APT32 y que varias empresas de seguridad informática con sede en Estados Unidos relacionan con el gobierno vietnamita.
Un director de Respuesta a Incidentes de la empresa FireEye también realizó esta asociación, esta vez no hablando solo de los metadatos -que como más de una vez se ha dicho en merca2 son fácilmente falsificables- sino más en general de “evidencia forense de carácter digital”.
Varias empresas de seguridad informática con sede en EE.UU. vinculan a APT32 con el Gobierno vietnamita
Un examen de lo que se conoce en el mundo de la ciberseguridad como TTP (Tácticas, Técnicas y Procedimientos en sus siglas inglés) ayudan a vincular todo esto con OceanLotus y a sacar una conclusión más.
De acuerdo a otro experto consultado de la firma de ciberseguridad estadounidense Area 1 Security, la tónica de OceanLotus es una aparente efectividad combinada con una “seguridad operativa muy pobre”.
Aparte de subir los documentos, las dos identidades asociadas a esta acción también subieron en los últimos meses archivos modificados para ser utilizados, valga la expresión, como ciberarmas.
La tónica de OceanLotus (APT32) es la combinación de una aparente efectividad con una seguridad operativa «muy pobre»
Esto último no es tan extraño. Los hackers a veces pueden subir código malicioso a VirusTotal para comprobar de forma gratuita si este va a ser detectado en la red del objetivo que se va a atacar.
Pero no solo del peritaje forense digital vive una compañía como FireEye. En su informe se establece un nexo de interés político en lo que parecen ser los planes de OceanLotus.
Entre 2014 y 2017 FireEye detectó que APT32 centró su atención en empresas extranjeras con un marcado interés en productos manufacturados, de consumo y en el sector hotelero de Vietnam.
VirusTotal puede servir a un ‘hacker’ para comprobar gratuitamente si un código malicioso se detectará en la red atacada
También pusieron el punto de mira, supuestamente, en empresas vietnamitas y de propiedad extranjera que estuvieran desarrollando infraestructura tecnológica o de seguridad de redes.
Desde 2013, también se les ha adjudicado tener como objetivo a periodistas y disidentes vietnamitas, así como a funcionarios del Gobierno filipino.
En estas cuestiones siempre tiene que haber algún “pero”
Algo que tampoco se puede pasar por alto es que el experto de FireEye consultado por CyberScoop se refiere repetidamente a los documentos como “cebos”.
CyberScoop puntualiza que no puede confirmar la autenticidad de los documentos subidos a VirusTotal más allá de la coincidencia entre las fechas de los mismos con aquellas en las que se produjeron los encuentros diplomáticos de los que se hablan en esos mismos archivos.
Puede ser que los documentos subidos a VirusTotal sean un cebo para incitar a la víctima a abrir un adjunto con ‘software’ malicioso
El especialista de FireEye habla entonces de “cebo” porque tales documentos podrían haber servido a los atacantes para incitar a su víctima a abrir algún adjunto que contuviera software malicioso.
Sea como fuere, como concluye este medio, lo cierto es que el caso de Filipinas viene a mostrar que los esfuerzos en materia de ciberespionaje van mucho más allá de los estados más industrializados.
