lunes, 25 de abril de 2016

¿Qué ha pasado con los DDoS? (Repaso histórico)



Siempre me he quejado del abuso de las modas en ciberseguridad. Cada año una amenaza o riesgo se convierte en la conversación estrella y parece que es lo único que preocupa a las organizaciones. Se olvida todo lo demás y se invierte en productos o servicios que al poco tiempo quedan en el olvido.

Un caso extremo ha sido el de los ataques de denegación de servicio distribuidos o DDoS. Hace unos años eran el terror de las organizaciones y ahora la mayoría de responsables los han olvidado. Ya no son noticia de portada, ya no mueven tanto dinero, ya no dan tanto miedo.

¿Sera porque las organizaciones ya no son vulnerables a este tipo de ataques?

NO. La mayoría son igual de vulnerables que hace un par de años, unas cuantas han realizado inversiones en equipos o servicios para protegerse, pero muy pocas han entrenado y han puesto realmente en forma sus defensas.

Mientras tanto los “malos” si han mejorado sus técnicas y profesionalizado sus estrategias.

Los DDoS han seguido el proceso habitual de evolución de la mayoría de amenazas importantes a nivel de ciberseguridad. También las tecnologías de protección asociadas, aunque tal vez con un ritmo mayor del habitual:

Fase inicial: Finales de los 90 y principios de los 2000

Es difícil encontrar cual fue el primer ataque DDoS a gran escala. Por aquella época ya eran habituales los ataques distribuidos contra servidores de IRC.

La amenaza era poco conocida, solo algunos aficionados empiezan a probar el potencial de daño de estos ataques. Las técnicas son muy básicas y hay pocas herramientas disponibles y son muy sencillas (pruebas de concepto en su mayoría).

En 1996 se publica el primer exploit para hacer ataques de Ping-of-Death, que se basa en el envío de paquetes ICMP de gran tamaño y cuya técnica luego será utilizada como base en multitud de ataques DDoS.

También en 1996 se publica la primera prueba de concepto para realizar ataques de TCP SYN-FLOOD, aunque esta técnica se conocía ya anteriormente.

En 1997 se publica el código original del ataque SMURF (DDoS mediante reflexión de ICMP).

Ejemplo de ataque SMURF, uno de los primeros ataques DDoS por reflexión:



Fase de impacto: Mediados de los 2000

Algunos sitios importantes tales como Yahoo, eBay, CNN, Amazon o ZDNet, son víctimas de ataques realizados por aficionados o pequeños grupos. Todavía la finalidad de muchos de estos ataques no es económica.

Se empiezan a organizar unos pocos grupos profesionales que realizan los ataques de forma planificada y causan un gran impacto en sus objetivos ya que estos no están aún preparados ante el nuevo tipo de ataques. Las técnicas siguen siendo básicas, pero las herramientas empiezan a ser más avanzadas.

La mayoría de ataques son aun de tipo volumétrico pero empiezan a utilizarse cada vez más ataques a nivel de aplicación.

En 2004 se publica la primera versión de LOIC una herramienta para hacer DDoS de manera colaborativa. Esta herramienta y algunas de sus variantes han sido utilizadas habitualmente por grupos hacktivistas.

En 2005 se produce el primer ataque DDoS realizado mediante reflexión de DNS.

En 2006 se publican varias herramientas para realizar ataques mediante reflexión de DNS y NTP.

Fase de revolución: Finales de los 2000 y principios de los 2010

Los cibercriminales descubren la facilidad de realizar ataques DDoS y empiezan a monetizar de forma masiva los mismos mediante extorsión.

Los grupos hacktivistas también empiezan a utilizar de forma habitual los ataques DDoS de manera organizada.

Demostrado el gran impacto de esta amenaza, todo el mundo quiere subirse al carro. Por parte de los atacantes, se crean muchos grupos de aficionados y profesionales que quieren sacar partido de este ataque de moda. También aparecen multitud de vendedores de productos y servicios para intentar solventar el problema. Las técnicas empiezan a mejorarse, pero siguen siendo relativamente básicas. Se produce un aumento en el número y la complejidad de las herramientas disponibles.

En abril de 2007 se producen una serie de ataques de DoS coordinados contra Estonia, inundado los sitios web de las principales empresas y organismos. Los ataques fueron realizados mediante Ping floods, Smurf y otros ataques volumétricos. Este fue uno de los primeros ataques masivos atribuidos a una organización criminal promovida por un gobierno.

En 2009 se publica el código original del ataque Slowloris, ataque que demostró la posibilidad de provocar un gran impacto a nivel de aplicación incluso con un bajo flujo de conexiones.

Fase de madurez: Desde mediados de los 2010

Los cibercriminales tienen acceso a una gran variedad de métodos para realizar DDoS.

Se produce un proceso de selección en ambos bandos. Quedan menos grupos atacando, pero son más profesionales y el volumen de negocio prácticamente se mantiene. Quedan menos fabricantes y desparecen los “vendedores de humo”. Empiezan a utilizarse técnicas avanzadas pero las herramientas de código libre dejan de evolucionar o se hacen de pago.

A principios de 2013 se produce un ataque masivo contra Spamhaus que llega a picos de 85Gbps, generados mayoritariamente mediante amplificación de DNS.

También en 2013 se produce la caída de varios sitios web públicos de la OTAN, debido a un ataque DDoS realizado de forma organizada como resultado de las tensiones sobre Crimea. También atribuido a organizaciones criminales afines al gobierno ruso.

En Febrero de 2014 Cloudflare sufre un ataque que llega a picos de 325Gbps, realizado mediante reflexión de NTP.

En abril de 2015 se detecta un ataque que llega a los 334Gbps contra un operador de red de Asia, utilizando también técnicas de amplificación de protocolos UDP.

A finales de 2015 el grupo Anonymous reclama la autoría de un ataque de 40Gbps contra servidores en Turquía, en represalia por su supuesto apoyo al Daesh. Este es uno de los múltiples DDoS organizados por este grupo en los últimos años, aunque no suelen ser ataques demasiado exitosos en comparación con los realizados por organizaciones profesionales.

En enero de 2016 se produce un ataque contra varios sitios asociados a la BBC, alcanzando picos de 602Gbps, supuestamente utilizando servidores hospedados en Amazon AWS.

Evolución del volumen máximo de los ataques DDoS publicados:

 
Desde el punto de vista de la ciberdefensa el uso de DDoS con motivaciones políticas o terroristas empieza a ser habitual, aunque queda eclipsado en los medios de comunicación por los ataques realizados con fines económicos que suelen ser más voluminosos, aunque de menor duración.

A la hora de prevenir estos ataques es necesario conocer sus diversas formas y motivaciones, con el fin de disponer de los medios técnicos necesarios para contrarrestarlos en caso de que se produzcan.
 


 




lunes, 25 de enero de 2016

¿Serán vulnerables a ciberataques los futuros drones militares españoles?

“Narcotraficantes mexicanos consiguen hackear el futuro dron del ejército español” con este sorprendente titular el medio ECD (El Confidencial Digital) presentaba un articulo hace unos días. En él se aseguraba que los UAV (Unmanned Aerial Vehicle, los vulgarmente conocidos drones) que piensa adquirir el Ejército del Aire Español serian susceptibles de ataques similares a los sufridos por drones utilizados en la vigilancia de la frontera México-Estados Unidos.


El modelo en particular elegido por el Ejército del Aire es el  MQ-9 Reaper , una de las versiones mejoradas del famoso Predator. Se trata de un salto sustancial respecto a los aparatos de menor tamaño y capacidades actualmente operados en España. El Reaper además de misiones de reconocimiento puede ser armado, aunque en la versión española al menos en un principio no se utilizara esta opción destinándose el aparato únicamente para tareas de vigilancia.

La susceptibilidad de los drones a posibles ciberataques es algo ampliamente debatido, aunque existe poca información fiable cuando se refiere a la vulnerabilidad de los sistemas militares. Fue muy publicitada la captura por parte de Irán de un drone stealth del tipo RQ-170 en Diciembre de 2011 pero nunca quedo clara la causa exacta, si fue un accidente del drone, una toma de control mediante hacking, uso de perturbación de señales de satélite o alguna combinación de factores.

Lo que sí es cierto es que Diciembre del pasado año se provoco un gran revuelo cuando Timothy Bennett, program manager de ciencia y tecnología del DHS (Departamento Home Land Security EEUU) declaro a la revista Defense One que los grupos de narcotraficantes que operan en la frontera de México dispondrían de la capacidad de interferir el funcionamiento de los drones de la policía fronteriza (Defense One "DHS: Drug Traffickers Are Spoofing Border Drones") . No obstante tal como comenta el articulo de Defense One que es la fuente primaria de todos los demás artículos en Internet sobre este tema, los mas susceptibles serian los drones de pequeño tamaño , que bien por sus limitaciones físicas para portar electrónica avanzada o por provenir gran parte de sus tecnologías del mundo civil que no disponen de protección frente a los ataques a la señal de GPS. El articulo efectivamente menciona al MQ-9 pero no como un drone vulnerable, todo lo contrario enmarcado en los datos del aumento de capacidades del departamento de interior de EEUU en lo que respecta a aparatos aéreos no tripulados.

Ciertamente los drones menos capaces dependen de la señal de GPS civil , que no dispone de características de seguridad y es por tanto susceptible a ataques. Estos ataque podrían consistir tanto en la perturbación de la señal mediante interferencias como en la suplantación. Este último tipo ataque mas sofisticado fue demostrado en DEFCON 23 por los investigadores Lin Huang y Qing Yang de la empresa china de seguridad Qihoo 360 (Low-cost GPS Simulator). Usando dispositivos del tipo SDR fueron capaces de suplantar la señal civil "en claro" de GPS , afectado a un drone comercial tipo quadcopero como es el DJI Phantom. Estas investigaciones se unen a otras similares como la de estudiantes de la Universidad de Texas (UT Austin Researchers Successfully Spoof an $80 million Yacht at Sea) o " Is Your TimeSpace Safe? Time and Position Spoofing with Open Source Projects" de Alibaba Mobile Security.

Pero podemos ir mas alla en el tema que nos ocupa. Un rápido análisis de fuentes abiertas disponibles sobre esta futura compra nos descubre las características del MQ-9 Reaper que adquirirá España y parece que en un principio podremos respirar aliviados pues las vulnerabilidades anunciadas por ECD no parecen tales.

Como toda venta de material sensible de defensa de EEUU esta debe de ser aprobada por el congreso, este material sensible incluye los drones, pero también otros componentes como sistemas de comunicaciones, radares o posicionamiento avanzados. En particular la futura venta declarada a España según documentos publicos en la agencia que controla las ventas militares norteamericanas , la Defense Security Cooperation Agency en "Foreign Military Sale to Spain for MQ-9 Block 5 aircraft and associated equipment,"  se compone de los siguientes elementos.

The Government of Spain requested a possible sale of:
Major Defense Equipment (MDE):
Four (4) MQ-9 Block 5 Remotely Piloted Aircraft
Twenty (20) Embedded Global Positioning System/Inertial Guidance Unit (EGI) (3 per aircraft, and 8 spares)
Two (2) Mobile Ground Control Stations (MGCS)
Five (5) Multi-Spectral Targeting Systems (MTS-B) (1 per aircraft, 1 spare)
Five (5) Synthetic Aperture Radar, Lynx AN/APY-8 (1 per aircraft, 1 spare)

En esta lista vemos que el segundo elemento declarado son 20 unidades sistemas de  posicionamiento EGI , el propio nombre indica que se trata de unidades duales que combinan los sistemas GPS/INS. Un sistema de navegación inercial, o INS por sus siglas en inglés (Inertial Navigation System), es un sistema de ayuda a la navegación que usa un computador, sensores de movimiento (acelerómetros) y sensores de rotación giroscópicos para calcular continuamente mediante estima la posición, orientación, y velocidad (dirección y rapidez de movimiento) de un objeto en movimiento sin necesidad de referencias externas. Es usado en vehículos como barcos, aeronaves, submarinos, misiles, y naves espaciales. Una de sus características es que no necesita de ninguna señal externa, y por tanto es imposible de interferir. Al tiempo que tampoco emite ningún tipo de señal que pueda utilizarse para detectar su presencia.
Honeywell EGI

Si proseguimos con nuestra busqueda de información, de nuevo públicamente accesible, sobre el sistema Embedded Global Positioning System/Inertial Guidance Unit (EGI) encontramos que es fabricado por el contratista de defensa Honeywell (actualmente Northrop Grumman) que ofrece los modelos LN-100G Embedded INS/GPS (EGI) , LN-251 y LN-260 Advanced Airborne INS/GPS (AEGI).Según la información del fabricante, todos ellos incorporan la tecnología PPS y SAASM.

The LN-100G provides three simultaneous navigation solutions: hybrid GPS/INS, Free Inertial, and GPS Only. The LN-100G has been integrated with All-In-View GPS, both Precise Positioning Service (PPS) (P(Y) and SAASM codes) and Standard Positioning Services (SPS), to provide users with superior navigation performance for geo-location and transfer of remote sensors.

La señal de GPS en realidad un conjunto de diversas señales que a su vez se transmiten en varias frecuencias distintas desde los satélites de órbita media de la constelación NAVSTAR. La señal que habitualmente usamos en nuestros navegadores , smartphones, etc es la conocida como L1-C/A , la señal civil transmitida en la frecuencia L1 en 1575.42 MHz . Sin embargo los usuarios militares disponen de un mayor número de señales, en frecuencias distintas y protegidas mediante diversas arquitecturas cifrado.   Esta señal cifrada PPS tenía originalmente la finalidad de denegar el uso al enemigo de la señal GPS de mayor precisión y se apoyaba en una señal civil que contenía un margen de error deliberado S/A, algo que se desactivo en mayo de 2000. Posteriormente y para combatir la posibilidad de la suplantación (Spoofing) de la señal GPS se creó el sistema SAASM (Selective Availability Anti-spoofing Module) asociado a la señal P(Y). SAASM permite autenticar la señal de los satélites así como la distribución de claves a receptores a través del aire. No incorpora por si mismo capacidad frente ataques brutos de perturbación de la señal, aunque la disponibilidad de frecuencias distintas con un nivel de señal mas alto que el GPS civil, y el uso de antenas que pueden anular la dirección de origen de una señal de interferencia dificultan este tipo de ataques.



En vista de estos datos, podemos concluir que finalmente ¿serán los futuros dones Españoles seguros a ataques? Difícilmente se puede afirmar , máxime sistemas que ni siquiera están en servicio, lo que sí parece quedar claro es que NO serán vulnerables al ataque en particular (spoofing de la señal civil de GPS) que publica ECD.

Estación de control de UAV Predator MQ-1. Curiosidad: arriba-derecha una ventana de mIRC para windows (Articulo sobre uso militar del IRC).

Lo que no es menos cierto es que un UAS (Unmanned Aircraft System) se compone o hace uso de una gran variedad de sistemas de comunicaciones, posicionamiento, navegación aérea, así como elementos en tierra como estaciones de control. En todos ellos pueden darse diversos escenarios de ataque. Estos pueden ir desde la introducción deliberada o accidental de malware en la estación de control, de lo que ya existen precedentes (Wired Exclusive: Computer Virus Hits U.S. Drone Fleet) al compromiso de sistemas de terceros necesarios para su misión, incluyendo al jamming de sistemas de navegación. Ahora bien el Ejército del Aire ejercita habitualmente sus capacidades de defensa tanto en guerra electrónica, en ejercicios periódicos como el “Nube Gris” como la Ciberdefensa. Aspecto este ultimo reforzado el año pasado con la creación del  Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire. Así pues podemos confiar que llegado el caso no se lo pondrán nada fácil a posibles “hackers de drones”.

miércoles, 23 de diciembre de 2015

Resumen CiberDefensa 2015


El año está a punto de terminar y es momento de recordar los acontecimientos que marcaron el 2015 en el ámbito de las Ciberdefensa. Una vez más comparamos el año presente con el pasado y constatamos la proliferación del número de incidentes, vulnerabilidades descubiertas, nuevas técnicas de ataque y campañas APT, tantos que hacen cualquier posible resumen incompleto.

Si tuviéramos que reseñar alguna corriente en este 2015 fue la gran actividad relacionada con campañas del tipo APT con origen o objetivo en Oriente Medio. Múltiples actores han sido alternativamente la fuente o destino de sofisticados ataques con fines de inteligencia en la zona, desde Iran a Israel, pasando por supuesto por la convulsa Siria y su vecino Líbano. Entre otros durante el año se desarrollaron o se dieron a conocer las actividades de Arid Viper, Desert Falcons , Rocket Kitten 2 , Threat Group-2889,  Duqu 2.0, Volatile Cedar, Cadelle y Chafer


Como no podía ser de otra forma el estado islámico también estuvo relacionado con diversos eventos en el mundo ciber. Así en Abril casi previendo los ataques terroristas convencionales que se ocasionarían meses mas tarde se produjo el hack de la cadena de televisión francesa TV5Monde, este supuso la toma de control de sus cuentas en redes sociales por parte del autodenominado cybercalifato y la suspensión temporal de emisiones. Por otro lado la muerte en agosto de Yunaid Hussain, conocido como Abu Hussain Al Britani comandante de la 'División de hacking del Estado Islámico', marco la primera vez que un hacker se convierte en el objetivo de un bombardeo selectivo.

La zona asia-pacifico también fue un escenario caliente de APT descubiertos durante el año como fueron Lotus Blosson o Ocean Lotus, la continuidad de Dark Hotel o el señalamiento a la unidad del ejército popular chino 78020 como el grupo detrás de Naikon.

Por su parte FireEye, empresa que siempre ha causado expectación por sus informes sobre APT, hizo públicos los informes sobre los denominados APT30 , otro APT basado en la zona asiatica y uno de los mas longevos con una década de actividad. Así como APT29, de origen aparentemente ruso también conocido como HAMMERTOSS. Segun FireEye este último usaría malware utilizando esteganografia como C&C sobre redes sociales como Twitter y GitHub. El grupo estaría relacionado al cierre en agosto de 2015 del sistema de correo electrónico no clasificado del pentágono como respuesta a un incidente.

No fueron los únicos APT de origen supuestamente Ruso también dieron de que hablar: en septiembre se hizo público por parte de Kaspersky que el APT Turla había implementado un sofisticado canal de comunicación totalmente anónimo basado en el empleo de proveedores por internet via satélite. Da la casualidad de que el primero en teorizar y demostrar este canal encubierto fue nuestro compañero de blog Leonardo Nve hace ya unos años en una serie de charlas por todo el mundo incluyendo la célebre Black Hat.

El año empezó y se cerró con el conocimiento de ataques altamente sofisticados que tendrían como origen a la Agencia de Seguridad Nacional norteamericana. En Febrero el revuelo lo marcaba Kerspesky con su informe sobre el Equation Group. Mientras que en los últimos días de diciembre causo revuelo el comunicado de Juniper de la existencia de backdoors criptográficos en sus productos de VPN, que guardan un sorprendente parecido con los implantes FEEDTROUGHT revelados previamente por Snowden.

En una noticia que paso relativamente desapercibida la NSA anuncio los  algoritmos de cifrado recomendados dentro de la Suite B que incluye algoritmos como AES o ECDSA como sustitutos de los anteriores Suite A. Pero lo extraño llego en agosto con la enmienda publica de la agencia para fabricantes que no dedicaran excesivos esfuerzos a la migración a la Suite B, en previsión de una futura Suite de cifrados diseñados para resistir ataques de computación cuántica. Lo que nos deja entrever que la NSA empieza a considerar factible los ataques criptográficos derivados de esta futura revolución informática.

Estados Unidos fue por su parte víctima de sonados casos de ciber ataques, como el robo de información de OPM , la oficina que gestiona las acreditaciones de seguridad del gobierno norteamericano y por tanto maneja dosieres de todos los empleados gubernamentales incluyendo los de servicios de inteligencia.

Fue precisamente en 2015 cuando EEUU plasmo por primera vez su posición en cuanto al uso militar del ciberespacio, en el documento ciber estrategia del departamento de defensa.

El febrero la CIA dio a conocer la existencia del DDI (Digital Innovation Directorate), lo que supone que la agencia de inteligencia asigna un nivel departamental de directorio al mundo Ciber, poniéndolo al nivel del Directorio de Análisis o del Directorio de Operaciones. Y sin embargo al mismo tiempo la CIA fue objeto de un insólito ataque, como fue el acceso a la cuenta personal de correo  del Director de la CIA John Brennan a manos de un adolescente y su posterior publicación en Wikileaks.

El debate sobre el futuro candidato a la presidencia demócrata se vio salpicado por un escándalo de origen informático. Hillary Clinton fue fuertemente criticada al descubrirse que durante 2012 cuando era Secretaria de Estado utilizo un dominio y servidor de correo personal en lugar del oficial del departamento. Entre otros riesgos información clasificada circulo por redes no clasificadas y estuvo expuesta a posibles ataques de hackers de todo el mundo.

En Julio el hack a la empresa Hacking Team puso al descubierto a diversos organismos de inteligencia y cuerpos de seguridad por todo el mundo, clientes de sus productos de espionaje digital. Un buen recordatorio de la importancia de la independencia nacional en las herramientas de ataque y defensa.

Nuestro país tampoco ha estado ajeno a la actividad, el desarrollo de las habilidades de Ciberdefensa continua a buen ritmo a todos los niveles, desde la realización de eventos con patrocinio estatal como Cybercamp o las Jornadas STIC del CCN-CERT, al desarrollo de capacidades puramente militares, como la puesta en marcha en octubre del Centro de Operaciones de Seguridad de Ciberdefensa del Ejército del Aire.

Sin duda nos quedarían en el tintero múltiples incidentes, pero por no sobrecargar al lector iremos cerrando esta entrada que al menos ha reflejado las principales tendencias del año. Para el próximo 2016 no queda si no suponer otro salto cuantitativo en todo lo ciber de la mano de la carrera por el desarrollo de ciber capacidades de todo tipo de grupos y países, amenaza del terrorismo yihadista, así como la gran cantidad de conflictos internacionales no resueltos.

viernes, 30 de octubre de 2015

Ciberguerra y el ejercicio TRIDENT JUNCTURE de la OTAN.

Mientras escribo estas líneas se está desarrollando el mayor ejercicio de la OTAN en la última década. Más de 30.000 militares de la OTAN se entrenan en el sur de Europa, buena parte de ellos en España. Se trata del TRIDENT JUNCTURE EXERCISE 2015 , abreviado TRJE15.

Hasta el 6 de noviembre desarrollaran diversos supuestos con el objetivo de adiestrar y certificar a la NRF 2016, una fuerza de alta disponibilidad y tecnológicamente preparada, capaz de desplegarse donde sea necesario en un periodo corto de tiempo.


Como cualquier ejercicio de cierta entidad en la actualidad, es de suponer que los escenarios de ciberguerra también serán ensayados o al menos incorporados en los supuestos. Es algo que ya tratamos en este blog a cuenta de otro ejercicio de la OTAN el UNIFIED VISION. Por la propia naturaleza de la ciberdefensa y más aun en un ejercicio todavía en marcha es difícil confirmar a partir de información publica que actividades se están realizando.

Aunque si atendemos a la rueda de prensa celebrada el pasado Julio sobre el TRIDENT JUNCTURE. El propio oficial a cargo del ejercicio General Hans-Lothar Domröse (Comandante del Allied Joint Force Command - JFC  Brunssum) vino a confirmar que al menos si se ejercitarían las capacidades ciberdefensivas , aunque no las ofensivas , enmarcado en el uso de la mas alta tecnología lo que incluye sistemas como el puntero UAV (drone) Global Hawk. Además el general se permitió una pequeña broma. Domröse en respuesta al periodista Jan Kordys de Agence Europe sobre si se probaran las capacidades ciberofensivas la respuesta fue: “Ciberofensiva, no. Nosotros estrictamente defendemos. Yo no tengo autoridad para pasar a la ofensiva. Aunque cuando salga de esta sala descubrirá que su smartphone esta borrado y habré sido yo. OK, no , no lo voy a hacer es solo una broma!”.



La respuesta pone de relieve uno de los principales retos en la actualidad en la ciberguerra: quien , cómo y cuando tiene autoridad para lanzar una operación ofensiva. Es significativo que ni siquiera un mando de la escala que ocupa Domröse tenga autoridad para lanzar una operación ciberofensiva. Recordemos que por lo que sabemos de Stuxnet la operación conjunta usa-israel tuvo que ser aprobada por el mismo presidente de los Estados Unidos.

Sin embargo , y a cuenta precisamente del TRIDENT JUNCTURE, parece que otras naciones no tienen tantas restricciones para lanzar operaciones ciberofensivas, aunque solo sean de baja intensidad como pueda ser la contra información.  En una presentación basada en el trabajo de Rebecca Goolsby (Office of Naval Research de la Armada Estadounidense) que a principios de año en el propio JFC Brunssum desvelaba el descubrimiento de una posible Botnet dedicada a promocionar información negativa sobre el entonces futuro ejercicio TRIDENT JUNTURE.

En particular una botnet estaría siendo usada para la realización del conocido como “Black Hat SEO” , esto es optimización de resultados de  motores de búsqueda (SEO ) de forma de determinadas paginas aparezcan en los resultados mas relevantes para una búsqueda dada. El SEO de sombrero negro (blackhat) se refiere a la utilización de técnicas SEO consideradas agresivas o deshonestas que se centran en engañar a  los motores de búsqueda. Por lo general desafían las normas y reglas que proponen los buscadores, y son penalizadas si son detectadas.



¿Quién puede estar detrás de estas actividades de contra información en Internet? Todos los indicios apuntan a Rusia. Mucho se ha comentado que el TRIDENT JUNCTURE podría ser una demostración de fuerza y capacidades frente a los posibles adversarios de la alianza atlántica. Y en el actual escenario de la guerra en Ucrania o la intervención rusa en Siria muchos han apuntado a esta teoría de que Rusia seria el ficticio enemigo en el ejercicio, aunque la OTAN muy diplomaticamente lo desmienta.

Es ampliamente conocido que Rusia a través de organizaciones como las “Web brigades” o “The Agency” han estado involucradas en la difusión de información dudosa en beneficio propio del gobierno ruso. Al hilo de estas operaciones de desinformación y propaganda, el pasado junio The New York Times publicaba la existencia de una organización conocida como The Agency (Internet Research Agency), en la que sus empleados se dedican a publicar miles de mensajes online con el objetivo de manipular opiniones y apoyar al gobierno de Putin. En la práctica, un grupo de trolls de internet a sueldo.

Por tanto no podemos asegurar que la fuente de la botnet detectada sea Rusia. Pero tampoco es de extrañar que muchos piensen que esas actividades de descredito de la OTAN pudieran por tanto responder a un plan organizado desde Rusia.