La principal agencia de espionaje de Corea del Norte tiene una célula especial llamada Unidad 180 que probablemente lanzará algunos de sus ataques cibernéticos más atrevidos y espectaculares, según se ha podido saber a través de funcionarios y expertos en seguridad de Internet, que han desertado de aquel país.
Corea del Norte ha estado siempre bajo sospecha y se la responsabiliza en los últimos años de una serie de ataques en línea, principalmente en las redes financieras, en los Estados Unidos, Corea del Sur y más de una docena de otros países.
Los investigadores de seguridad cibernética también han encontrado evidencia técnica que podría vincular a Corea del Norte con el ataque cibernético global de WannaCry «ransomware» que infectó más de 300.000 computadoras en 150 países este mes. Pyongyang ha calificado la acusación de «ridícula»; no esperábamos menos.
El quid de las acusaciones contra Corea del Norte la conexión entre la Unidad 180 con un grupo de hackers llamado Lazarus, que está relacionado con el acoso cibernético de 81 millones de dólares del año pasado en el banco central de Bangladesh y el ataque de 2014 al estudio de Hollywood de Sony. El gobierno de Estados Unidos ha responsabilizado a Corea del Norte por el hack de Sony y algunos funcionarios estadounidenses han dicho que los fiscales están construyendo un caso contra Pyongyang en el robo del Banco de Bangladesh.
No se han presentado pruebas concluyentes y no se han presentado cargos penales. Corea del Norte también ha negado estar detrás de los ataques de Sony y la banca; también sospechábamos esta respuesta, claro.
Corea del Norte es uno de los países más cerrados del mundo y cualquier detalle de sus operaciones clandestinas es difícil de obtener. Pero los expertos que estudian el país, ex reclusos y los desertores que han podido huir a Corea del Sur u Occidente han proporcionado algunas pistas.
Kim Heung-kwang, ex profesor de ciencias de la computación en Corea del Norte que desertó al sur en 2004 y todavía tiene fuentes dentro de Corea del Norte, dijo que los ataques cibernéticos de Pyongyang dirigidos a recaudar dinero probablemente estén organizados por la Unidad 180, (RGB), su principal agencia de inteligencia en el extranjero.
«La Unidad 180 se dedica a hackear instituciones financieras (por) romper y retirar dinero de cuentas bancarias», declaró Kim. También afirmó previamente que algunos de sus ex estudiantes se han unido al Comando Cibernético Estratégico de Corea del Norte, su ejército cibernético (La Unidad 180).
«Los hackers van al extranjero para encontrar en algún lugar con mejores servicios de Internet que Corea del Norte para no dejar huella«, añadió Kim. Dijo que era probable que fueran bajo la cobertura de ser empleados de empresas comerciales, sucursales en el extranjero de empresas de Corea del Norte, o empresas conjuntas en China o el sudeste de Asia.
James Lewis, experto de Corea del Norte en el Centro de Estudios Estratégicos e Internacionales de Washington, dijo que Pyongyang utilizó por primera vez la piratería informática como herramienta de espionaje y luego hostigamiento político contra blancos de Corea del Sur y Estados Unidos.
«Cambiaron después de que Sony usara el hacking para apoyar actividades delictivas para generar divisas para el régimen«, dijo.
«Hasta ahora este sistema, ha funcionado tan bien o mejor que las drogas, la falsificación y el contrabando, todos sus trucos habituales«, dijo Lewis.
Rentable, Asimétrica y Negativa
El Departamento de Defensa de Estados Unidos dijo en un informe presentado al Congreso el año pasado que Corea del Norte probablemente «considera el cibernético como una herramienta rentable, asimétrica y negativa que se puede emplear con muy poco riesgo de ataques de represalia, en parte porque sus redes están ampliamente separadas a través de la red«.
«Es muy probable que estén utilizando una infraestructura de Internet de terceros países«, dice el informe.
Funcionarios de Corea del Sur dicen que tienen pruebas consistentes de las operaciones de la guerra cibernética de Corea del Norte.
«Corea del Norte está llevando a cabo ataques cibernéticos a través de terceros países para ocultar el origen de los ataques y usar su infraestructura de tecnología de la información y comunicación«, dijo Ahn Chong-ghee, viceministro de Relaciones Exteriores de Corea del Sur.
Además del atentado contra el Banco de Bangladesh, dijo que Pyongyang también fue sospechado en los ataques contra bancos de Filipinas, Vietnam y Polonia.
En junio del año pasado, la policía dijo que el Corea del Norte invadió más de 140.000 computadoras de 160 compañías y agencias gubernamentales surcoreanas, implantando código malicioso como parte de un plan a largo plazo para sentar las bases de un ataque cibernético masivo a su rival. Eso ya nos suena más.
Corea del Norte también fue sospechosa de organizar ataques cibernéticos contra el operador surcoreano de reactores nucleares en 2014, aunque negó cualquier participación. Of course not.
Ese ataque se llevó a cabo desde una base en China, de acuerdo con Simon Choi, un investigador de seguridad senior en la empresa anti-virus Hauri, con sede en Seúl.
«Ellos operan allí de manera que independientemente del tipo de proyecto que estén haciendo, tienen direcciones IP chinas«, dijo Choi, quien ha realizado una extensa investigación sobre las capacidades de hackeo de Corea del Norte.
Enlace Malasia
Malasia también ha sido una base para las operaciones cibernéticas en Corea del Norte, según Yoo Dong-ryul, un ex investigador de la policía surcoreana que estudió técnicas de espionaje de Corea del Norte durante 25 años.
«Trabajan en empresas comerciales o de programación de TI en la superficie», dijo Yoo. «Algunos de ellos ejecutan sitios web y venden programas de juegos y apuestas«. Ojo con esto que nosotros ya advertimos que los sitios de juegos de apuestas no eran fiables…
Dos firmas de TI en Malasia tienen vínculos con la agencia de espionaje RGB de Corea del Norte, según una investigación realizada por la agencia Reuters este año, aunque no hubo ninguna evidencia de ellos estuvieras involucrados en la piratería informática.
Michael Madden, un experto estadounidense en el liderazgo de Corea del Norte, dijo que la Unidad 180 era uno de los muchos grupos de élites de guerra cibernética en la comunidad de inteligencia de Corea del Norte.
«El personal es reclutado en las escuelas secundarias superiores y recibe formación avanzada en algunas instituciones de formación de élite«, afirmó Madden.
«Tienen una cierta autonomía en sus misiones y encargos«, dijo, añadiendo que podrían estar operando desde hoteles en China o Europa del Este.
En Estados Unidos, las autoridades dijeron que no había pruebas concluyentes de que Corea del Norte estuviera detrás del programa de rescate de WannaCry, pero eso no era motivo para descartarlo.
«El hecho de que estén o no directamente involucrados con el ransomware no cambia el hecho de que son una verdadera amenaza cibernética«, dijo un alto funcionario de la administración, quien habló bajo condición de anonimato.
Dmitri Alperovitch, cofundador de la destacada empresa de seguridad estadounidense CrowdStrike Inc, añadió: «Sus capacidades han mejorado constantemente con el tiempo y los consideramos un agente amenazador que es capaz de infligir daños significativos a redes privadas o gubernamentales de Estados Unidos«.
