Un grupo de hackers vinculado a China ha atacado en los últimos tres años a varias organizaciones de derechos humanos, grupos de expertos, medios de comunicación y agencias de distintos gobiernos extranjeros, según un informe revelador de la empresa de ciberseguridad Recorded Future.

El informe, al que ha tenido acceso en exclusiva MIT Technology Review, ofrece nuevas pistas sobre cómo los contratistas privados y las empresas ficticias que operan con relativamente pocos recursos pueden realizar operaciones de hackeo de larga duración y tener éxito contra los objetivos de alto valor con tácticas simples pero efectivas. Los expertos afirman que, al utilizar hackers del sector privado, el Gobierno chino gana la capacidad de alcanzar más objetivos de espionaje y libera recursos dentro de las agencias militares y de inteligencia para llevar a cabo hackeos más sofisticados. La operación también señala el error generalizado y persistente que existe entre las instituciones vulnerables al no implementar las defensas básicas de ciberseguridad.

Los hackers, conocidos como RedAlpha, han atacado a las organizaciones como Amnistía Internacional, la Federación Internacional de Derechos Humanos, Radio Free Asia, el Instituto Mercator de Estudios de China, así como otros think tanks y grupos humanitarios y gubernamentales de todo el mundo. El impacto de los piratas informáticos aún no está claro. Sin embargo, a juzgar por la duración de la campaña, los analistas opinan que este espionaje digital, en líneas generales, ha tenido éxito.

Los investigadores de Recorded Future tienen una confianza "alta" en que RedAlpha está respaldado por el Gobierno chino, ya que todos los objetivos "caen dentro de intereses estratégicos", afirma el director del equipo de amenazas estratégicas de la organización, Jon Condra.

Como era de esperar, este grupo de hackers se ha interesado en los últimos años por las organizaciones en Taiwán, incluido el Partido Progresista Democrático y el Instituto Estadounidense en Taiwán, que es de facto la embajada de Estados Unidos en la pequeña isla democrática. El Gobierno de Beijing (China) reclama a Taiwán como parte del territorio chino.

RedAlpha ha estado activo desde al menos 2015, aunque no fue identificado públicamente hasta 2018, en un informe de Citizen Lab. Ha atacado constantemente a los grupos que el Partido Comunista Chino llama los "cinco venenos": tibetanos, uigures, taiwaneses, activistas por la democracia y Falun Gong. Todos estos incluyen a los disidentes nacionales que, por diversas razones, critican y desafían el control del Partido Comunista sobre China. También a aquellos que comparten la visibilidad y apoyo internacional.

El trabajo de Citizen Lab descubrió por primera vez la campaña de RedAlpha contra la comunidad tibetana, sus agencias gubernamentales y un grupo de medios de comunicación. En los años transcurridos desde entonces, Recorded Future ha identificado distintas cibercampañas adicionales contra los tibetanos, y el año pasado un informe de PricewaterhouseCoopers indicó que el grupo ampliaba su enfoque para incluir a personas físicas, grupos étnicos vulnerables, organizaciones de la sociedad civil y un número creciente de agencias gubernamentales.

Lo que es particularmente interesante sobre estos nuevos hallazgos es que RedAlpha todavía opera de la misma manera simple y barata que desde hace años. De hecho, este último espionaje se vinculó a las campañas anteriores porque el grupo había reutilizado muchos de los mismos dominios, direcciones IP, tácticas, malware e incluso información de registro de dominios que los expertos en ciberseguridad habían identificado públicamente durante años.

"Si funciona, no hay que cambiarlo", resalta Condra. Las tácticas de RedAlpha son tan sencillas y directas que Condra describe este trabajo como un espionaje que probablemente se lleva a cabo con "un presupuesto ajustado". No obstante, al menos en este caso, lo simple puede ser bastante efectivo. "Probablemente no sea el grupo con más recursos", opina el experto, y resalta: "Es posible que quieran economizar y ahorrar algo de dinero a la hora de registrar los dominios o buscar hosting. Si las campañas que llevan a cabo con las tácticas que parecen funcionar independientemente de la exposición pública, no hay razón para que cambien. Eso funciona y es rentable".

Más específicamente, RedAlpha ha creado y usado cientos de dominios falsos y maliciosos en un esfuerzo por robar nombres de usuario y contraseñas de sus objetivos. "Apostaría a que se trata de una táctica bastante efectiva para ellos", indica Condra. Los investigadores creen que es probable que esto se deba a la mala adopción de las medidas de seguridad básicas por parte de las organizaciones que se encuentran en su punto de mira, lo que crea una barrera de entrada baja para los hackers.

"Muchas organizaciones no han implementado la autenticación multifactor", añade Condra quien señala que "eso es aún más común en los gobiernos de los países que se desarrollan más lentamente, tienen presupuestos más ajustados y una mayor resistencia institucional al cambio". "No veríamos a RedAlpha actuando de esta manera en el transcurso de tres años si no estuvieran obteniendo algo de sus objetivos", afirma. La autenticación multifactor es una tecnología de ciberseguridad que evita que los hackers se apoderen de una cuenta incluso si han robado una contraseña; es muy recomendada y relativamente fácil de implementar, pero a menudo se deja de lado por otras prioridades.

A medida que continúan aumentando las tensiones entre Estados Unidos y China por Taiwán, los analistas opinan que es probable que los piratas informáticos llevasen a cabo labores de espionaje con el objetivo de crear la inteligencia política. El grupo también se hizo pasar por agencias gubernamentales de India, Brasil, Vietnam y Portugal.

China es ampliamente considerada como una de las ciberpotencias más activas y altamente capaces del mundo, junto con Estados Unidos. Aunque tiene a hackers en sus agencias militares y de inteligencia, se sabe que China también ha usado a los contratistas privados como RedAlpha para realizar operaciones de ciberespionaje, según varias acusaciones estadounidenses.

Algunas pistas significativas apuntan a las conexiones de RedAlpha con importantes grupos estatales. Los detalles compartidos sobre el registro de dominios maliciosos conectan al grupo con una persona que antes afirmaba ser miembro del Ejército Verde, el primer grupo de hackeo clandestino de China de 1997. El Ejército Verde, de hecho, es uno de los grupos más importantes en la historia del hackeo chino, una alianza de varios miles de piratas informáticos nacionalistas chinos que atacaban sitios web extranjeros. Esta organización dio lugar a algunos de los hackers más destacados del país, y partes de la facción se convirtieron en grandes empresas de ciberseguridad del sector privado que aún están activas en la actualidad.

Además, una dirección de correo electrónico utilizada para registrar varios de los dominios maliciosos de RedAlpha en múltiples campañas de espionaje se ha relacionado con una empresa china que trabaja con numerosas empresas estatales, así como con la Universidad de Ciencia y Tecnología del Ejército Popular de Liberación, institución estatal de élite enfocada en la investigación de las capacidades militares chinas de alta tecnología.  Conocida actualmente como Jiangsu Cimer Information Security Technology Co., la empresa ofrece productos de ciberseguridad defensivos y ofensivos. Jiangsu Cimer no respondió a una solicitud de comentarios.

"Esta estrategia permite al Gobierno chino subcontratar algunas de las acciones más sencillas que se pueden hacer", concluye Condra. Sin embargo, el experto advierte que "no es necesario que el plan sea desarrollado por profesionales en China porque no necesitan utilizar las herramientas avanzadas en las campañas de bajo nivel".

El portavoz del Gobierno chino, cuando se le contactó para hacer comentarios, aseguró que el país se oponía a los ciberataques y "nunca los alentaría, apoyaría ni los toleraría".