(Ciber) GRU (XIII): preguntas y conspiraciones

Todo lo sucedido en 2018 en relación al GRU, tanto las acusaciones públicas de diferentes gobiernos como las investigaciones privadas en relación a sus actividades, nos hacen plantearnos diferentes preguntas; seguramente todas ellas tengan respuesta, pero no la conocemos, o al menos no a ciencia cierta… por eso, también podemos hablar de conspiraciones a la hora de responder a estas cuestiones. Vamos a verlas en este apartado.

¿Cómo se ha obtenido esta información?

No lo sabemos. Desde luego, de fuentes públicas no: seguramente estamos hablando de información obtenida de fuentes humanas, por ejemplo, por un posible topo en el Servicio… o en otro servicio que conozca bien al GRU.

Algunos analistas relacionan con las informaciones que han visto la luz este año la detención, en diciembre de 2016, entre otros de Sergei MIKHAILOV (Coronel del FSB, Director del Segundo Departamento del ISC), Dmitry DOKUCHAEV (Comandante del FSB, adscrito al mismo departamento que MIKHAILOV y buscado además por el FBI) y Ruslan STOYANOV (analista de Kaspersky, pero anteriormente ligado al FSB). Acusados todos ellos de alta traición a la patria y que podrían haber vendido información sensible a la inteligencia estadounidense. ¿Podrían haber traicionado estas personas al FSB, y por extensión al GRU, facilitando datos de operaciones, agentes, técnicas… usadas por el Servicio contra intereses extranjeros? ¿Podría tener un topo aún activo alguno de los servicios rusos que venda esta información a otros servicios de inteligencia? Quién lo sabe…

¿Por qué se ha proporcionado públicamente tanto nivel de detalle, en especial USA y Holanda?

No lo sabemos. Sin ser un experto en leyes dudo que un documento de acusación requiera dar datos de empleos, direcciones, fechas concretas de actividades en una operación; y sin ser un experto en exposiciones de altos cargos de servicios de inteligencia, dudo también que una presentación pública requiera igualmente ese nivel de detalle. Insisto: sin ser un experto en ninguno de los casos. Documentos de servicios de inteligencia sí contienen esta información detallada, pero obviamente no salen a la luz, salvo excepciones (por ejemplo, [1]).

Sí que puedo decir, con algo más de criterio, que técnicamente hacer públicos estos datos puede ser contraproducente, salvo una excepción: que el gobierno estadounidense y el holandés busquen no sólo acusar, sino algo tan impensable como una demostración de fuerza… Quizás las palabras de Theresa May en su discurso ([2]) sean muy significativas: “We are increasing our understanding of what the GRU is doing in our countries, shining a light on their activities, exposing their methods and sharing them with our allies, just as we have done with Salisbury”. Sobre todo “exposing their methods”… ¿se refería la Primera Ministra británica simplemente a compartir esta información con sus aliados, o directamente a sacarla a la luz? Quién lo sabe…

¿Por qué sólo el GRU? ¿Por qué no se ha publicado información del FSB?

No lo sabemos. Al menos en la potencial injerencia rusa en las elecciones estadounidenses de 2016 no sólo participó el GRU: también lo hizo el FSB, en forma de APT29. Entonces, ¿por qué en 2018 sólo se ha acusado a miembros del GRU? ¿Vendieron, si es que realmente lo hicieron, MIKHAILOV, DOKUCHAEV y demás, sólo información del GRU? ¿Dispone la inteligencia estadounidense -o la británica, o la holandesa…- de información también del FSB que por algún motivo no han querido publicar? ¿O simplemente se la reservan para que vea la luz en 2019 y así podamos hacer un análisis y una serie especial del FSB en unos meses, como hemos hecho la del GRU? Quién lo sabe…

¿Es la unidad 26165 del GRU el grupo conocido como APT28? ¿Es la unidad 74455? ¿Son ambas unidades? ¿Ninguna?

No lo sabemos. Sí que sabemos -o creemos saber, porque lo dicen servicios aliados… que también pueden equivocarse o mentir- que APT28 está directamente ligado al GRU; vamos, que es parte del Servicio, bien como única capacidad ciber, o bien como una capacidad ciber más dentro del GRU.

En mi opinión, APT28 puede ser la Unidad 26165 si entendemos a APT28 como un actor avanzado que compromete objetivos y les roba información de potencial interés para Rusia; si entendemos a APT28 como, además de lo anterior, el actor que maneja dicha información -con infraestructura, sockpuppets, etc.-, en línea con el concepto ruso de information warfare o la confrontación de información técnica y psicológica a la que hemos hecho referencia quizás APT28 sea no sólo la Unidad 26165, sino también la Unidad 74455. Pensemos que es lógico que el manejo de información (la confrontación psicológica) recaiga en un grupo diferente al robo de información o las operaciones CNO (la confrontación técnica) por muchos motivos: calidad, seguridad… Así, APT28 podría ser la Unidad 26165 simplemente, la Unidad 26165 y la Unidad 74455 conjuntamente, coordinadas a un nivel superior dentro del GRU, o incluso podríamos identificar a APT28 con el GRU en su conjunto, sin descartar que dentro del Servicio haya más grupos APT, conocidos o no en estos momentos. Quién lo sabe…

¿Ya no es tan bueno el GRU? ¿Seguirá operativo en el ámbito ciber?

Sí lo sabemos. El GRU ha sido históricamente muy bueno (para algunos, el mejor) y seguirá siéndolo de aquí en adelante, tenga el nombre que tenga, tanto en el ámbito ciber como en el ámbito no ciber. Todos cometemos errores, a veces graves; el GRU siempre ha tenido fama de asumir riesgos y cuando uno asume riesgos puede equivocarse. Es así de sencillo. Pensemos, no obstante, en todas las operaciones exitosas que puede estar llevando a cabo el Servicio en estos momentos y que desconocemos: seguramente no hemos visto más que la punta del iceberg.

Sin duda APT28 no va a desaparecer; podrán cambiar sus TTP, algunos de sus objetivos, algunos de sus intereses… e incluso su identificación, pero tenga el nombre que tenga o que le quieran dar analistas de todo el mundo, seguirá operando en el ámbito ciber. Pensar lo contrario sería demasiado ingenuo.

Referencias

[1] NSA. Report on Russia’s Spearphishing. https://cryptome.org/2017/06/NSA-Report-on-Russia-Spearphishing.pdf

[2] Gobierno UK. PM statement on the Salisbury investigation: 5 September 2018. Septiembre,2018. https://www.gov.uk/government/speeches/pm-statement-on-the-salisbury-investigation-5-september-2018