(Ciber) GRU (XII): OPSEC

Los miembros del GRU expulsados de Holanda aplicaban medidas básicas de OPSEC, como llevarse ellos mismos la basura de la habitación del hotel; no obstante su detención ha puesto de manifiesto la falta de otras medidas de seguridad, igualmente básicas, que sin duda habrán dado mucho que hablar en el Servicio. Quizás las operaciones de proximidad -en Holanda al menos- no eran consideradas como de riesgo por el GRU, quizás son fallos humanos por incumplimiento de normativa… quién sabe. El hecho cierto es que esta OPSEC pobre ha sacado a la luz información sobre identidades, objetivos, TTP… del Servicio que nos han permitido conocerlo un poco mejor durante 2018 y que, de haber actuado de otra forma, estas evidencias no lo serían tanto.

Cuando hablamos de OPSEC, más allá de modelos y metodologías formales, hablamos siempre de las tres C [1]: cover, concealment, compartmentation. La cobertura de una operación debe permitir justificar dónde estás (estado) y qué estás haciendo (acción), la ocultación debe permitir ocultar actividades o identidades relacionadas con la operación y, por último, la compartimentación, como línea de defensa final, debe minimizar el impacto en caso de que las cosas vayan mal, no afectando a otras personas, operaciones, etc.

En el caso de los agentes identificados en Holanda, su cobertura era, como hemos dicho, una inspección de seguridad en la embajada rusa en Holanda, cercana a la sede de la OPCW; esto podría justificar que estaban en las proximidades de dicha sede, pero a partir de los dispositivos incautados difícilmente justificaría la acción, lo que estaban haciendo concretamente en esas proximidades… pero un apunte: ¿estas inspecciones de seguridad corresponden a un servicio militar? ¿No serían responsabilidad del FSO o, en todo caso del FSB? Curioso… En cualquier caso, si la cobertura era débil, la ocultación lo es más, cuando tenemos a cuatro miembros del Servicio viajando con identidades reales, pasaporte diplomático (con números secuenciales)… a una operación, y guardando entre sus pertenencias no sólo dispositivos electrónicos, sino también algo tan mundano como un ticket de taxi desde la sede de la Unidad hasta el aeropuerto, por poner un ejemplo -ticket confirmado como verdadero por la empresa de taxis correspondiente, de Moscú-. Esta ausencia de medidas de seguridad ha motivado que diferentes analistas, a partir de fuentes públicas, puedan obtener datos personales de los agentes, como sus perfiles en redes sociales o los clubes de fútbol en los que juegan; por ejemplo, se llega hasta el perfil de Aleksei SERGEYEVICH MORENETS en el portal mylove.ru, un sitio de citas ruso, en el que aparece el miembro de la Unidad 26165 con una foto tomada en Moscú, a pocos metros de la sede del Servicio.

Perfil de Aleksei SERGEYEVICH MORENETS en mylove.ru (Fuente: Daily Mail)

Si las medidas de cobertura y ocultación de los agentes detenidos en Holanda son pobres, las de compartimentación lo son quizás más; en los equipos incautados se muestran no sólo datos de la operación que estaban desarrollando, sino datos de otras operaciones que poco o nada tenían que ver con ésta. Desde una foto tomada en las Olimpiadas de Rio de 2016 -hecho que confirma que MORENETS estuvo allí, no sabemos si por motivos personales o laborales, hasta históricos de navegación y búsqueda de posibles objetivos ajenos a la OPCW o conexión a redes WiFi en hoteles de Kuala Lumpur, supuestamente al hilo de la investigación de Malasia por el caso del MH17; aunque uno de los agentes intentó destruir un teléfono móvil al ser sorprendidos, según afirma el gobierno holandés, el equipamiento electrónico ha mostrado trazas de actividades muy interesantes de los miembros del Servicio. Que estas actividades estén relacionadas con las operaciones del GRU -o no- es algo que no sabemos, pero en cualquier caso, sean trazas y datos personales o profesionales, NO deberían haber estado en esos dispositivos de ninguna forma.

¿Por qué se pueden producir estos errores? Como se suele decir, los atacantes también presupuestos, jefes, plazos… en su trabajo, y todos cometemos errores. Aunque mi opinión personal es que una operación, por simple o poco arriesgada que sea a priori, requiere de unas medidas OPSEC mínimas, desconozco por qué motivo (técnico, político, presupuestario…) en este caso no se aplicaron. No obstante, es necesario destacar que fallos aparentemente graves de OPSEC no son exclusivos del GRU; el FSB no se queda atrás en errores históricos en cuanto a medidas de seguridad operacional, como lo demuestran en el ámbito ciber supuestos documentos del CSEC canadiense filtrados por Snowden ([2]) en los que se explica cómo los operadores de Turla (¿ligado al FSB?) utilizan los entornos operativos de una campaña para un uso personal (consulta de correo y redes sociales, navegación…). También en un ámbito físico miembros del FSB han cometido errores muy graves, como cuando en 2016 una nueva promoción de agentes celebraron el fin de curso fotografiándose en Moscú y dando un paseo en Mercedes todoterreno por la capital rusa; en las redes sociales aún pueden encontrase imágenes del evento. El FSB premió esta actitud destinándolos a las zonas de Chukotka y Kamchatka, en el extremo oriental de Rusia, a más de ocho horas de vuelo de Moscú. Quien esté libre de pecado…

Referencias

[1] TheGrugq. OPSEC in the age of the egotistical giraffe. HITBSecConf, 2014.

[2] Canada CSEC. Hackers are humans too. Cyber leads to CI leads.

Ver también en: