El malware no surge de la nada ni nace de forma espontánea de las entrañas de la red. Todas las cepas que han existido en algún momento las creó alguien, ya sea desde cero, a mano y con mucho amor o mediante la rápida edición de un código existente con el fin de escabullirse de sensores de antivirus antiguos. Sin embargo, aunque el número de ciberdelincuentes que existe en Internet es (literalmente) innumerable, solo una pequeña élite se ha ganado el derecho de contar con la distinción de los hackers más peligrosos del mundo. Por eso, hemos pensado que debíamos elaborar una lista con algunas de estas personas, estos grupos o estas organizaciones. Las personas que estarán siempre intentando hacerle daño. Las personas por cuya culpa nosotros siempre tendremos trabajo.

Dicho esto, se dará cuenta de que en esta lista falla un aspecto importante: los mejores ciberdelincuentes son aquellos que tienen muchísimo cuidado para que no les pillen nunca o ni siquiera dejan una pista de su presencia. Esto significa que la mayoría de las listas como estas están compuestas por organizaciones que querían que el mundo supiera que estaban ahí, o por gente bajo investigación por ser descuidada. Todo esto está muy bien, nadie va a negar que el hecho de que Gary McKinnon hackeara la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) y le costase al país 700 000 dólares es todo un problema. No obstante, en el amplio mundo de los hackers, él y otros como él son más una molestia que unos genios, al menos si se comparan con el todavía desconocido autor del gusano SoBig.F, que provocó 37 100 millones de dólares en daños en todo el mundo.

Dicho esto, aquí tiene algunos de los grupos y hackers más potentes y peligrosos que conocemos hoy.

Elliott Gunton: la juventud en rebelión

Elliott-Gunton_620x300

La genialidad técnica unida a la rebeldía juvenil (o una apatía general hacia el sufrimiento de los demás) es una combinación peligrosa que se encarna perfectamente en Elliott Gunton, de 19 años de edad. Gunton comenzó su carrera de ciberdelincuente a los 16 años, cuando fue pescado pirateando TalkTalk, una empresa de telecomunicaciones. La bronca recibida no bastó para disuadirlo y, desde entonces, en el Reino Unido se le ha acusado de todo: desde robo de información personal hasta falsificación, lavado de dinero con criptodivisas, trabajo como hacker al mejor postor, pirateo de cuentas de Instagram de famosos, venta de dichas cuentas a otros hackers y alojamiento de fotos… «indecentes» de niños en el ordenador de su casa.

Pero como sucede con la mayoría de los ciberdelincuentes, sus actividades trascienden sus fronteras nacionales: en Estados Unidos está acusado de robo de identidad y secuestro de EtherDelta (un sitio de intercambio de divisas, a través de su alojamiento web Cloudshare), y de estafar millones de dólares a varias víctimas en un periodo de casi dos semanas.

De hecho, las autoridades aseguran que consiguió birlarle 800 000 USD a una sola de las muchas personas a las que engañó.

Una bonita lista de delitos. Lamentablemente, el asunto no tiene un final feliz: incluso después de declararse culpable de los delitos de los que se le acusaba en el Reino Unido, solo pasó 20 meses en prisión (lo que resulta bastante en Reino Unido) y recibió una multa comparativamente escasa de 407 359 libras esterlinas. Además, debe pasar tres años y medio con acceso restringido a ordenadores y software.

En Estados Unidos, sus delitos podrían tenerlo 20 años entre rejas, pero en este momento no esta nada claro que eso vaya a suceder. Desde que Estados Unidos y el Reino Unido firmaron en 2004 su tratado de extradicción, solo 77 ciudadanos británicos han sido extraditados a Estados Unidos por sus delitos. Es perfectamente posible que ni se molesten en enviarlo para que sea juzgado, y además, de ser así, faltaría por ver si es declarado culpable.

En definitiva, Elliot Gunton no es el hacker más peligroso del mundo, pero sí es un perfecto ejemplo de lo que una persona con ciertos conocimientos, un buen PC y una total falta de empatía puede lograr… y de la frecuencia con que los hackers escapan a un castigo a la altura de sus delitos.

Evgeniy Mikhailovich Bogachev: un Cronos de la vida real

Es muy raro que un ciberdelincuente tan hábil sea descubierto en algún momento, pero también es extraño que exista un malware con la magnitud y la capacidad de destrucción de GameOver ZeuS.

Bogachev_620x300

La botnet de la que era autor este hombre consiguió infectar millones de ordenadores de todo el mundo y les introdujo un ransomware, además de robar todos los datos que tenían almacenados en su sistema. Con esto, no solo consiguió una increíble cantidad de dinero y ocasionó más de 100 millones de dólares en daños, sino que también se ganó la atención del Gobierno ruso, que parece que se aprovechó de su red para investigar y, posiblemente, entrometerse en asuntos internacionales.

El FBI y otras organizaciones internacionales contra la delincuencia tardaron dos años en averiguar únicamente el nombre de este hacker y ahora ofrecen tres millones de dólares, la mayor recompensa por un ciberdelincuente, a cualquier persona que pueda ayudarles a llevarlo ante la justicia. Por desgracia, gracias a su asociación con las autoridades rusas, parece improbable que eso llegue a suceder. Aunque en el pasado fuera un hábil ciberdelincuente, ahora vive sin esconderse en Anapa, una pequeña ciudad turística del mar Negro al sur de Rusia, rodeado de coches de lujo y con su propio yate privado.

Por supuesto, el Gobierno ruso jamás ha admitido que haya trabajado con él. Sin embargo, tanto la negativa a detenerlo como el repentino exceso de tiempo libre y dinero de Bogachev así parecen indicarlo.

Hoy en día, trabaja con nombres de usuario como slavik, lucky12345 o pollingsoon, entre otros. En cuanto a cuál será su próximo movimiento, lo más probable es que nunca lo sepamos.

The Equation Group y The Shadow Brokers: Yang y Yang

No se puede hablar de hackers famosos y peligrosos sin hablar de aquellos que patrocina el Estado.

The Shadow Brokers se ganan la vida con la venta de armas cibernéticas de The Equation Group de la NSA

The Equation Group es el nombre informal de la unidad Tailored Access Operations (o TAO) de la Agencia de Seguridad Nacional (NSA) de EE. UU. y su función es recopilar información relacionada con la guerra cibernética. Sé que son muchos nombres propios, pero le prometo que, a partir de aquí, es todavía más confuso. Fundado en 2001, este grupo fue un secreto de Estado bien oculto hasta que se «descubrió» en 2015, cuando se relacionaron con la organización dos tipos de malware de espionaje: EquationDrug y GrayFish. También se sabe que se abastecieron de vulnerabilidades conocidas para asegurarse de que sus actividades como hacker no se detectasen y se ha especulado con que estuvieron detrás de Stuxnet, el gusano que afectó al programa nuclear iraní durante un tiempo.

Como la mayoría de las entidades estatales, The Equation Group existe para promocionar su programa nacional en casa y fuera, y la mayor parte de su «obra» tuvo lugar en Irán, Rusia, Pakistán, Afganistán, India, Siria y Mali. Quizás eso podría haber significado su fin: no hay nada raro en la existencia de hackers de un estado y estaban haciendo un trabajo bastante bueno para mantener ocultas sus actividades.

Hasta que llegaron The Shadow Brokers.

El origen de The Shadow Brokers es todo un misterio. Se presupone que el siniestro nombre de este grupo, «descubierto» en 2016, es, en realidad, una referencia friqui para la que se inspiraron en un traficante de información con un nombre similar de la saga del videojuego «Mass Effect». No sabemos con seguridad si fue de forma intencionada o no (los expertos han formulado hipótesis de todo tipo, desde que se trata de alguien de dentro de la NSA hasta que son espías extranjeros, siendo, por supuesto, Rusia la principal sospechosa) porque. igual que su origen, todo es un misterio para nosotros. Por lo menos, este grupo cumple con su nombre en un aspecto: no son más que sombras.

Sin embargo, aunque su naturaleza está rodeada de misterio, todas sus actividades han sido más que reales. En agosto de 2016, una cuenta de Twitter que aparentemente pertenecía al grupo @shadowbrokerss anunció una página web y un repositorio de GitHub en los que había instrucciones sobre cómo participar en una subasta en la que el ganador recibiría varias de las herramientas empleadas por, redoble de tambores, Equation Group. En ese momento, esa «subasta» fue muy sospechosa, pero ahora sabemos exactamente lo que ofrecían: EternalBlue, EternalRomance y otras vulnerabilidades de seguridad que fueron fundamentales para la creación de uno de los ataques de malware más peligrosos de 2017, del que formaron parte los infaustos casos de ransomware Wannacry y NotPetya.

The Shadow Brokers se nutrieron de The Equation Group: vendieron sus secretos al mejor postor

Pero sus acciones no acabaron ahí. Durante los meses siguientes, continuaron publicando una lista de servidores y herramientas que usaba The Equation Group y ofrecieron un «envío de datos del mes» a la persona que quisiera pagar el precio establecido, con lo que demostraban que, aparentemente, podían acceder sin restricciones a la NSA. Y como parece que no tenemos ninguna pista que nos indique quiénes son, lo único que podemos hacer es especular e intentar prepararnos para el siguiente ataque.

Desde entonces, The Shadow Brokers guardan silencio, lo que significa que han quedado satisfechos con el caos causado, que han dejado de anunciar sus actividades o que están esperando la próxima oportunidad para atacar. Cualquiera de estas explicaciones es tan probable como insatisfactoria, pero esa es la triste realidad de los grupos de hackers: suelen ser tan temporales como peligrosos.

Bureau 121: los piratas del Eje del mal

Bureau 121, hackers de Corea del Norte

Aunque, por fortuna, sus ambiciones nucleares se han visto muy atemperadas debido a la presión política, las ambiciones digitales de Corea del Norte han aumentado gracias a un creciente ejército de hackers que trabaja día y noche para conseguir dinero para el régimen y sembrar el caos entre los enemigos del estado. Aunque su grupo de hackers, llamado «Bureau 121», ha sido, con total seguridad, responsable de una cantidad innumerable de ciberataques y delitos, ha llevado a cabo varios ataques importantes de gran repercusión mediática que merecen una mención especial.

El primero, y tal vez más famoso, fue el ataque del ransomware Wannacry, que los EE. UU. atribuyeron recientemente a Corea del Norte. Aunque se supone que The Shadow Brokers participó en la creación de este ransomware gracias a su acceso a herramientas de ciberguerra de la NSA, fueron los norcoreanos quienes lo diseñaron y lo implementaron, y las consecuencias fueron 300 000 dispositivos infectados y 4000 millones de dólares en daños. También fueron los responsables de una filtración de datos masiva de Sony Pictures en 2014, una venganza que tuvo lugar tras la producción de una comedia de Seth Rogen cuyo argumento era la humillación y el asesinato del «amado líder» Kim Jong Un. Este ataque filtró un número incalculable de información y correos electrónicos personales al público, y Sony se gastó 15 millones de dólares en reparar los daños.

Los hackers norcoreanos son tan víctimas como el resto de la población

Sin embargo, antes de empezar a catalogar a los hackers como los malos, debemos recordar que son tan víctimas del régimen como los demás ciudadanos norcoreanos. Hacinados en apartamentos abarrotados y normalmente sobrecalentados, controlados por un gran equipo de seguridad y con una libertad muy limitada, se espera de un hacker norcoreano medio que «gane» (y luego entregue) entre 60 000 y 100 000 dólares al año por cualquier medio necesario. No alcanzar esta marca resulta en un destino tan triste como previsible.

Si ha habido un momento para decir «no hay que odiar a los jugadores, hay que odiar el juego», sería este.

Fancy Bear: un zarpazo a la democracia

«Fancy Bear» («Oso elegante») es un bonito apodo para una peligrosa organización de hackers

No está mal el nombre, ¿no? Si el grupo se pareciese siquiera un poco a la imagen que evoca, esta lista no sería tan deprimente. Por desgracia, ese no es el mundo en el que vivimos…

Fancy Bear (también emplea otros nombres) es un grupo del que estamos seguros (en un 90 %) que coopera con los rusos en apoyo de sus actividades de ciberguerra. Aunque no engloba todas las actividades que Rusia lleva a cabo en Internet (¿qué grupo podría hacerlo, cuando hablamos de una potencia mundial?), son los hackers más peligrosos y los responsables de algunas de las acciones de hackers de mayor repercusión mediáticas de los últimos diez años.

Arrancaron en 2008 pirateando el Gobierno georgiano para sembrar el caos justo antes de que el ejército ruso invadiera el país. Y, desde entonces, han participado en innumerables polémicas y conflictos de esa región mediante acciones de todo tipo: han amenazado a manifestantes y periodistas contrarios al Kremlin, piratearon el parlamento alemán durante seis meses en 2014, han amenazado de muerte a las esposas de militares estadounidenses, deshabilitaron el 20 % de la artillería de Ucrania a través de una aplicación dañada y, como todo el mundo sabe, filtraron correos electrónicos de la Convención Nacional Demócrata de EE. UU., acción que en modo alguno fue la primera o la última del grupo relacionada con unas elecciones, ya que sus esfuerzos por manipular la democracia también se han detectado en comicios alemanes, franceses y ucranianos.

Fancy Bear se ha hecho un nombre manipulando elecciones

A pesar de ser uno de los grupos de hackers más perjudiciales del mundo, Fancy Bear casi nunca se atribuye la autoría de su trabajo: suele actuar con los alias de Anonymous o el ISIS. Sin embargo, si se indaga un poco en su metodología y sus herramientas suele desvelarse quién es el verdadero atacante. Por supuesto, Moscú ha negado que Fancy Bear tenga relación alguna con ellos, por lo que no podemos estar absolutamente seguros de que las autoridades rusas sean las responsables de todas las actividades señaladas… aunque nosotros consideramos que es bastante seguro.

En cualquier caso, no parece que Fancy Bear vaya a desaparecer pronto y, con tantas elecciones en ciernes, no cabe duda de que aparecerá en los titulares más pronto que tarde.

Alexsey Belan: yujuuu, Yahoo

Alexsey-Belan_620x300

No cabe duda de que este letón de 29 años ha tocado bastante las narices a bastante gente. Antes de las actividades que lo convirtieron en una persona de interés público ya era famoso en círculos de hackers, pues con su apodo M4G era asiduo a estas comunidades e incluso llevaba un blog relativamente popular sobre pirateo, aunque en él no detallaba sus actividades más ilícitas. Tras piratear servidores de videojuegos, a un proveedor de computación en la nube de Israel y sitios web dedicados a las comunicaciones ICQ, empezó a ganar bastante dinero asesorando a otros hackers y vendiendo en línea datos privados de usuarios. En 2011, las autoridades ya estaban detrás de él y, en 2012 pasó a estar oficialmente en busca y captura por sus delitos.

Alexsey Belan robó los datos de más de 700 millones de cuentas entre 2013 y 2016

El pirateo a Yahoo de 2013 fue, sin ninguna duda, la mayor filtración de datos de la historia, pues se robaron los datos de los 3000 millones de cuentas de la plataforma. Sin embargo, hasta donde sabemos, él no fue el responsable de ese robo: lo fue del pirateo de 2014, tras el que se filtró información de más de 500 millones de cuentas. Poca cosa, en comparación… pero fue parte de la oleada de pirateos que, supuestamente, Belan desarrolló entre 2013 y 2016 contra sitios de comercios electrónico en California y Nevada, entre ellos el ya mencionado de Yahoo. Durante este tiempo, pirateó y robo información de nada menos que 700 millones de cuentas: 500 millones de Yahoo y 200 millones de otros orígenes diversos. Un buen montón de información privada.

Sin embargo, cuando las autoridades policiales internacionales lo fueron a detener, ya había huido. Y, aunque nadie sabe con seguridad dónde podría estar escondido, hay pruebas que apuntan a Rusia. Porque claro, Rusia es Rusia.

Unit 8200: hackers Kosher

Unit 8200, la unidad de ciberinteligencia de Israel

No ha existido nunca un grupo más inspirador, ni más espeluznante, que Unit 8200, la unidad de ciberinteligencia seudoclandestina del Gobierno israelí. Unit 8200 es un modelo de eficacia y técnica que cuenta con un historial demostrado en lo que respecta a sus actividades contra el terrorismo. También presenta una característica importante en el mundo de la ciberseguridad: cuenta con más mujeres que hombres. Además, son responsables de algunos de los malware más terroríficamente eficaces que se han creado, así como del espionaje masivo a gobiernos y civiles a una escala sin precedentes en el mundo civilizado, con aprovechamiento de la información obtenida.

Según los expertos, Unit 8200 es la élite de la élite

Aunque se fundó en 1952 como la segunda unidad del Servicio de inteligencia, desde ese momento se expandió hasta convertirse en la mayor unidad de la Fuerza de Defensa israelí. Muchas de sus actividades son clandestinas (como es habitual en organizaciones así), pero algunos de sus logros han salido a la luz. Esta unidad ha frustrado ataques terroristas en todo el mundo, ha ayudado a desarrollar el virus Stuxnet y ha creado parte del malware llamado «Duqu 2.0», un malware de espionaje tan avanzado que  Kaspersky lo calificó como algo que estaba varias generaciones adelantado a su tiempo. También participaron en batallas activas contra hackers activistas propalestinos, además de durante la serie de ataques contra Israel de 2013, #OpIsrael.

Unit 8200 es la élite de la élite y eso se puede resumir con una cita de Peter Roberts, importante investigador del Royal United Services Institute, es decir, el instituto investigador de seguridad y defensa de Reino Unido: «Unit 8200 es, probablemente, la principal agencia de inteligencia técnica del mundo y se encuentra al mismo nivel que la NSA en todos los aspectos, excepto en la magnitud. Se concentra muchísimo en aquello que busca (está, sin duda, más focalizada que la NSA) y lleva a cabo sus operaciones con un grado de tenacidad y pasión que no se ve en ningún otro sitio».

Unidad 61398 del Ejército Popular de Liberación chino: cibercomunistas

Unidad 61398 del EPL, la unidad militar de pirateo de China

Llevamos un rato analizando a los hackers patrocinados por los Estados alrededor del mundo, pero esta lista no estaría completa si no le hacemos una visita a nuestros amigos del lejano oriente: China.

Hasta hace poco, China ha negado rotundamente haber participado en actividades ilícitas en Internet y contar con un grupo de hackers que actúe en su beneficio. Pero todo cambió muy bruscamente cuando, en 2015, China admitió abiertamente que tenía un equipo de defensa cibernética, pero se negó a explicar detalladamente lo que esta unidad hacía. Esa negación es perfectamente normal, pero tenemos una idea bastante buena del tipo de chanchullos que llevan a cabo.

Quizás el mayor escándalo relacionado con este grupo sea la Operación Shady RAT, muy posiblemente el mayor ataque ejecutado en Internet patrocinado por un Estado: durante un periodo de cinco años, desde 2006 hasta 2011, la Unidad 61398 del EPL se infiltró y robo datos de más de 70 empresas internacionales, Gobiernos y organizaciones sin ánimo de lucro.

La Unidad 61398 del EPL parece centrarse únicamente en robar datos de Gobiernos, corporaciones y organizaciones sin ánimo de lucro

Sin embargo, ese es el límite de las actividades de la Unidad 61398 del EPL: robar datos importantes de entidades internacionales. Por ejemplo, en 2014 se le acusó de hackear innumerables documentos confidenciales robados sobre el sistema de defensa de misiles de Israel. Tras una breve pausa, han comenzado a piratear de nuevo empresas estadounidenses y recientemente se les relacionó con Huawei, una marca que últimamente aparece cada vez más en las noticias.

En resumidas cuentas, la Unidad 61398 del EPL es grande (se estima que usa más de mil servidores), concentra mucho sus actividades y, probablemente, es solo la punta del iceberg.  O, para ser más exactos, es la élite de un inmenso ejército de hackers que se puede desplegar en un instante.

No suena demasiado divertido, ¿verdad?

Machete: piratear a machetazos

machette_620x300

Es raro que un grupo de hackers no patrocinado directamente por un Gobierno dure demasiado. La mayoría, como Lulsec, se forman y se descomponen en cuestión de meses. Unos pocos, como Lizard Squad, aguantan algunos años hasta que se arresta a los jefes y los subordinados se dispersan. Incluso el grupo de hackers más famoso del mundo, Anonymous, solo duró unos cinco años antes de derrumbarse desde dentro debido a su insostenible aseveración de que cualquiera podía incorporarse.

Por eso, el hecho de que Machete, un grupo de hackers con base en Sudamérica, haya durado una década (y sumando) resulta prácticamente milagroso.

Machete, como cualquier buen grupo de hackers que haya conseguido durar tanto, está totalmente envuelto en el misterio. Los descubrió en 2014 Kaspersky, pero llevan mucho más en activo extendiendo malware, robando información y, en general, actuando como los jefes del ciberdelito en Venezuela, aunque también tienen víctimas en Ecuador, Colombia y Nicaragua.

Parecen especialmente interesados en atacar al ejército venezolano mediante ataques de phishing astutamente camuflados con el fin de robar información esencial, como archivos con que describen rutas de navegación y ubicaciones mediante coordenadas militares. Son tan astutos que, para asegurar la lectura de sus correos electrónicos de phishing, los elaboran a mano a partir de información robada previamente para hacerlos parecer auténticos. Y cuando roban nueva información, pueden utilizarla para elaborar mensajes de phishing aún más convincentes y así crear un bucle perpetuo que les permite robar «gigabytes de información cada semana», según algunos informes.

A fecha de hoy, lo único que las autoridades pueden decir con seguridad acerca de Machete es que parecen hablar español, a juzgar por algunos textos de portapapeles y pulsaciones de teclas. Todo lo demás es esquivo, desconocido y, por el momento, imparable.

AVG AntiVirus FREE Descarga GRATUITA