Konstantin Asmolov*
El 8 de junio de 2018, el FBI puso a Park Jin Hyok, un ciudadano norcoreano, en su lista de buscados y emitió una orden para su arresto. Está acusado de conspiración para cometer fraude electrónico y fraude informático .
Según los investigadores, Park estudió en la Universidad de Tecnología Kim Chaek en Pyongyang, y posteriormente viajó a China donde, mientras trabajaba para Chosun Expo (una empresa conjunta con Korea Expo), participó en actividades ilegales y también actuó como un agente de inteligencia norcoreano. Al parecer, no solo es un programador, sino que también es parte de una organización de piratería vinculada al gobierno de Corea del Norte, que ha llevado a cabo algunos de los fraudes informáticos más antiguos que se han registrado. Estos incluyen un ataque cibernético a Sony Pictures Entertainment Inc., ataques a bancos de todo el mundo en los que los piratas informáticos intentaron defraudar a sus víctimas por más de mil millones de dólares, y el virus de ransomware WannaCry, que ha infectado a miles de sistemas informáticos en todo el mundo. .
Se alega que Park está involucrado en una conspiración criminal de gran alcance creada por un grupo de hackers reclutados por firmas controladas por el gobierno de Corea del Norte. La compañía de cobertura - Chosun Expo Joint Venture, también conocida como Korea Expo Joint Venture, está vinculada a Lab 110, una de un grupo de organizaciones de piratería (a la que hacen referencia varios investigadores independientes de ciberseguridad como el Grupo Lazarus) dirigida por el Gobierno de Corea del Norte.
Los cargos han traído consigo una nueva ronda de denuncias sobre actividades cibernéticas ilegales por parte de Corea del Norte, pero, como el autor ha demostrado en varias ocasiones, un análisis más detallado revela una imagen muy diferente. Esto es particularmente evidente en el caso del virus WannaCry.
Desde el 27 de diciembre de 2017, el pirata informático Konstantin Kozlovsky, arrestado por fraude cibernético, declaró en una entrevista con el canal de televisión independiente TV Rain que el FSB era responsable del virus WannaCry. Su objetivo al afirmar, entre otras cosas, que los servicios especiales rusos habían participado en piratear a los servidores del Partido Demócrata de los Estados Unidos, no era defender a Corea del Norte, sino culpar a las autoridades rusas, y al menos en parte, exonerarse a él mismo. Kozlovsky es uno de los sospechosos arrestados por participar en un plan para estafar a los bancos de 1,2 mil millones de rublos que usan el virus Lurk, cuya estructura recuerda, en cierta medida, a los utilizados por los "hackers de Corea del Norte". Como defensa de los cargos penales que enfrenta, argumenta que fue reclutado para crear virus para los servicios especiales,
La evidencia de la participación de Corea del Norte en esta historia consiste principalmente en similitudes en las técnicas de programación de computadoras utilizadas. El 16 de mayo, el especialista en seguridad de la información de Google, Neel Mehta, publicó un extenso código, una combinación de figuras, letras y símbolos, que (como explicaron los medios estadounidenses) era común tanto al virus WannaCry como al virus al que el Grupo Lazarus, supuestamente conectado Corea del Norte solía defraudar a sus víctimas en 2015.
Sin embargo, no todos estaban convencidos de esta evidencia. John Miller, experto en seguridad cibernética de Fire Eye, dijo que las similitudes en el código entre el virus WannaCry y el virus creado por el Grupo Lazarus no son suficientes para demostrar que los virus tienen una fuente común. Los fragmentos del código utilizado por el Grupo Lazarus podrían haber sido simplemente copiados por otro grupo de hackers, tal vez para confundir a los investigadores e impedir que se identifique a los verdaderos autores.
El 13 de octubre de 2017, Brad Smith, presidente de Microsoft, declaró que las autoridades norcoreanas habían utilizado herramientas cibernéticas y armas robadas de la Agencia de Seguridad Nacional de EE. UU. para crear el virus WannaCry. El autor encuentra esta afirmación aún más sorprendente: ¿de qué manera podrían los hackers norcoreanos robar algo del servicio de seguridad más experimentado del mundo? Pero, en lugar de culpar a otras partes, hay una explicación más simple: ya que estamos hablando de armas cibernéticas que se sabe que la NSA usa, ¿por qué la NSA no puede estar detrás del ataque? La alternativa a esta simple explicación nos obliga a aceptar que uno de los servicios de seguridad más profesionales del mundo, que se especializa en operaciones en el ciberespacio, no puede protegerse de los piratas informáticos de Corea del Norte.
Después de todo, el 31 de marzo de 2017, WikiLeaks publicó 676 archivos que revelaron la capacidad de la CIA para ocultar sus propias actividades de Internet . La filtración reveló que la CIA ha acumulado un extenso arsenal de tecnologías cibernéticas de última generación "robadas" de los programas cibernéticos de otros países, y que no solo puede llevar a cabo una gran variedad de tipos de ataques sino que también puede marcar esos ataques con las "huellas dactilares" de aquellos a los que fueron robadas dichas tecnologías.
Tales actividades pueden ser "normales" para cualquier servicio especial profesional, pero la revelación es interesante, no obstante. Los piratas informáticos que lanzaron un virus ransomware usaron Eternalblue, un exploit (una pieza de malware que aprovecha las vulnerabilidades de los programas para acceder a ellos) que fue originalmente utilizado por la Agencia de Seguridad Nacional de EE. UU. para operar remotamente computadoras que ejecutan Microsoft Windows. Eternalblue fue lanzado en Internet por el grupo de Shadow Brokers, junto con otros archivos supuestamente pertenecientes a la NSA. Aún no está claro cómo las herramientas creadas por los servicios especiales más reservados de EE. UU. terminaron en manos de piratas informáticos. Los medios estadounidenses han especulado que esto pudo ser una fuga por parte de un experto.
La situación con el grupo Lazarus es similar: se culpa a ese grupo por prácticamente todo, y su nombre se usa como sinónimo de hackers norcoreanos en general. Sin embargo, además del sendero de Corea del Norte, hay otros senderos que conducen a una amplia variedad de otros países. El hecho es que el Dridex netbot, utilizado por hackers de muchos países, se utilizó para llevar a cabo los ataques. Y, lo que es más, el equipo que usó Dridex para llevar a cabo el ataque fue claramente bien organizado y disciplinado: se mantuvo en una semana laboral de 5 días e incluso se tomó un descanso para las vacaciones de Año Nuevo. Esto podría verse como una prueba de la participación de los servicios especiales de Corea del Norte, pero ¿por qué deberían los piratas informáticos de Pyongyang tomarse un descanso para Navidad y Año Nuevo?
Por lo tanto, el autor actual recomendaría tener en cuenta una cosa: como los hackers han demostrado con frecuencia, el ciberdelito no tiene nacionalidad y sus practicantes tienen muchas menos probabilidades de trabajar para sus propios gobiernos de lo que los teóricos de la conspiración nos harían creer.
*PhD en Historia, Investigador Líder en el Centro de Estudios Coreanos del Instituto de Estudios del Extremo Oriente de la Academia de Ciencias de Rusia