Esta semana, el periódico más importante de Alemania, Bild, informa de un gran ataque de piratería informática desde Rusia al sistema bancario alemán y nombra como culpables a “los piratas informáticos estatales rusos del grupo ‘Fancy Lazarus’”. Si el ataque se produjo realmente -hasta ahora no hay confirmación oficial-, será, como siempre, difícil de atribuir definitivamente a los actores estatales rusos, aunque los expertos en ciberseguridad los culpen. El grupo de ciberextorsionistas conocido como “Fancy Lazarus” podría estar vinculado a China, Corea del Norte o a ningún gobierno.
Debido a esta negación, el presidente de Estados Unidos, Joe Biden, tuvo que andarse con cuidado cuando intentó marcar “líneas rojas” al presidente ruso Vladimir Putin en una cumbre el mes pasado: No pudo decirle directamente a Putin que pusiera fin a los ciberataques. En su lugar, habló de no dar refugio a los ciberdelincuentes, una línea de discusión que Putin trató de desviar diciendo que Rusia consideraría la posibilidad de entregar a los ciberdelincuentes a Estados Unidos, pero sobre una base de reciprocidad. Esto es imposible como sistema global, ya que en teoría sólo se podrían organizar intercambios específicos.
La negación de la participación del Estado ruso en los ciberataques es, por un lado, más fuerte que la de sus depredaciones en Ucrania, por ejemplo. Por otro lado, parece poco convincente para cualquiera que sepa algo sobre una importante institución rusa: un mercado de la web oscura llamado Hydra, que podría ser el mayor del mundo y que no podría existir en ningún otro lugar. Además de ser un importante intermediario de la droga, ha contribuido a crear una red de canales de blanqueo de dinero para piratas informáticos difícil de utilizar para los no rusos.
La vida promedio de un mercado de la web oscura, o dark market -un sitio de compras online en una red encriptada y anónima como Tor- se estimó en 2018 en unos ocho meses. Se derrumban bajo el peso de las estafas o son víctimas de la acción de las fuerzas del orden, a veces impulsadas por los competidores. Es una jungla ahí fuera, y tanto los clientes como los vendedores están acostumbrados a migrar a nuevos lugares. Las excepciones más antiguas entre los mercados oscuros son extremadamente raras.
Hydra es una excepción para acabar con todas las excepciones. Se puso en marcha en 2015, facturó unos 9,4 millones de dólares al año siguiente, consiguió que creciera hasta los 1.400 millones de dólares en 2020 y sigue en marcha. Esas cifras proceden de un informe de la empresa de inteligencia de riesgos de ciberseguridad Flashpoint y de la firma de análisis de criptodivisas Chainalysis, que también estima que Hydra representa más del 75% de los ingresos del mercado oscuro en todo el mundo.
Todo ese volumen de negocio es en criptomonedas. Chainalysis sitúa la proporción de los flujos de Bitcoin procedentes de actividades ilegales en una pequeña fracción del 1%, pero, como escribió la firma de análisis en su “Informe sobre el Criptocrimen” de 2021, “lo primero que destaca es la recepción por parte de Rusia de una parte desproporcionadamente grande de los fondos del mercado oscuro, que se debe principalmente a Hydra.” No es de extrañar: En Moscú y otras ciudades rusas, Hydra es el lugar donde se adquieren las drogas, distribuidas en su mayoría como “tesoros ocultos” por equipos de jóvenes que pueden ganar miles de dólares al mes escondiendo pedidos bajo los bancos de los parques, enterrándolos bajo los árboles, clavándolos en los bajos de los buzones.
Un mercado ilícito tan grande y antiguo como éste es, necesariamente, todo un ecosistema, genera una gran demanda de servicios de blanqueo de dinero que también puede utilizarse para legalizar los ingresos procedentes de otros tipos de ciberdelitos distintos del tráfico de drogas. Chainalysis y Flashpoint describen un cambio importante que tuvo lugar en las prácticas de manejo de dinero de Hydra en 2018. Para poder retirar su dinero de Hydra, los vendedores deben convertirlo en rublos rusos a través de una gama específica de proveedores locales. Eso difícilmente hizo felices a los vendedores y, según el informe, algunos vendedores de drogas ahora prefieren liquidar en efectivo fuera de Hydra, enterrando alijos de divisas al igual que los “tesoros” de la droga. Pero, según el informe de Flashpoint-Chainalysis, la dependencia de los servicios locales y de los rublos hizo que las pistas de blanqueo de dinero hacia Hydra fueran “difíciles, casi imposibles, de rastrear”.
Esto, por supuesto, hace que la infraestructura monetaria de Hydra sea valiosa para todo tipo de ciberdelincuentes locales. El “Crypto Crime Report” de Chainalysis contiene un estudio de caso de un corredor de ciberdivisas ruso de venta libre que ha recibido 265 millones de dólares en criptodivisas desde que comenzó a estar activo en -quizás casualmente- 2018. Una parte significativa del dinero provino de Hydra, pero otros flujos fluyeron desde varias cepas de ransomware y estafas. El corredor OTC también ayudó a los clientes a convertir su bitcoin obtenido ilícitamente en efectivo.
El Departamento de Justicia de EE.UU. dice que consiguió recuperar parte del rescate pagado a los piratas informáticos que paralizaron el Colonial Pipeline a principios de este año, pero cuando se recuperó el bitcoin, los creadores del ransomware ya podían haberlo convertido en rublos utilizando los canales que han brotado alrededor de Hydra, alimentados por sus fiables volúmenes.
En cualquier conversación sobre Hydra, su krysha, o protección, es el elefante en la habitación. La Rusia de Putin es, cada vez más, un estado policial que ha concentrado un enorme poder en manos de las fuerzas del orden. Los negocios legítimos son regularmente asaltados, confiscados o arruinados por estas agencias. Sin embargo, Hydra prospera como pocos o ningún otro mercado oscuro. Sus creadores, que han tenido la intención de expandirse internacionalmente pero parecen haber renunciado a ello, al menos temporalmente, se sienten claramente seguros en Rusia. Su dependencia exclusiva de la infraestructura financiera basada en el rublo es prueba de ello. Citando a Flashpoint y Chainalysis, “el escrutinio de la aplicación de la ley y las argucias de la competencia han eludido hasta ahora a Hydra”. Esto puede ser una mera coincidencia, o podría indicar que Hydra es más resistente a las oscilaciones geopolíticas y a los esfuerzos de aplicación de la ley. Cuanto más tiempo opere Hydra sin mayores trastornos, más realista se vuelve esta última opción, siendo la única explicación plausible la de los actores regionales incentivados económicamente.”
Esa es una forma cautelosa de alegar que Hydra tiene poderosos protectores en la cúpula del establishment ruso. Rusia ha negado repetidamente cualquier conexión oficial con los ciberataques. Sin embargo, como señalan Flashpoint y Chainalysis, la magnitud del fenómeno Hydra sería improbable sin algún tipo de sanción semioficial.
Rusia tiene pocas empresas tecnológicas competitivas a nivel internacional, pero mucho talento en ingeniería, incluso del tipo aventurero. Una amalgama única de corrupción, experiencia de vanguardia y una postura geopolítica que hace que cualquier ataque a las instituciones occidentales sea útil en algún nivel para el gobierno, hace que Rusia sea un actor importante en el espacio del cibercrimen. Segunda, después de Ucrania, en la adopción de criptodivisas, Rusia está construyendo una competencia tecnológica que ningún otro país parece tener el descaro de desarrollar.
¿Puede Putin hacer algo al respecto? Probablemente no sea la pregunta correcta. Hasta ahora, no tiene ningún incentivo real para intentar tomar medidas enérgicas, especialmente si el negocio ilícito fuera transparente para alguien que conoce y en quien confía y, por lo tanto, está abierto a prestar servicios al Estado cuando lo requiera. La amenaza de represalias por parte de Estados Unidos no es lo suficientemente convincente: Tal y como están las cosas, Putin puede dejar que gente como Hydra se preocupe por esa perspectiva. Y si son aplastados, otros pueden ocupar su lugar. La red oscura no es nada si no es resistente.
Con información de Bloomberg
SEGUIR LEYENDO: