Corea del Norte sigue adelante, burlándose discretamente de las severas sanciones económicas impuestas desde los Estados Unidos. Un estudio reciente parece haber encontrado evidencias de la manera en que el régimen totalitario de Kim Jong Un logra sobrevivir, a pesar del aislamiento al que ha sido sometido.
Desde hace tiempo, el gobierno de Kim Jong Un, quien subió al poder en diciembre del 2011, está explotando nuevas formas de sustentarse económicamente, empleando métodos relacionados a las actividades digitales ilegales.
La investigación afirma que el uso de Internet por parte de Corea del Norte ha subido hasta tres veces su volumen, si se consideran los datos originales de 2017. Desde ese entonces, la nación emplea una vía adicional por la cual dirigir su tráfico en el ciberespacio, que antes estaba forzado a atravesar las alcabalas digitales de China.
Actualmente, ese país cuenta también con la infraestructura que ofrece la compañía rusa TransTelecom (TTK), basada en su mayoría en conexiones de fibra óptica y que está catalogada como una de las redes mundiales más grandes de su tipo.
Esta firma de telecomunicaciones, en cuyos inicios atendió principalmente al sector corporativo, comenzó desde el 2008 a ofrecer sus servicios a clientes particulares. Ya en 2013 tenía comercialmente disponible conexiones a Internet mediante tecnología Gigabit Ethernet, con velocidad de descarga de 1 Gb/s.
Corea del Norte, forajidos digitales
Los responsables de develar el misterio sobre cómo Corea del Norte ha logrado subsistir financieramente a pesar de las sanciones internacionales se encuentran en Recorded Future, una compañía especializada en detección de amenazas cibernéticas y manejo de incidencias relativas a la seguridad informática.
Recorded Future ha tenido a Corea del Norte bajo su radar durante los pasados tres años. De acuerdo a sus hallazgos, la nación ha empleado ese tiempo para refinar sus técnicas de cibercrimen, usar Internet para financiarse y seguir desarrollando el programa nuclear local. Todo esto casi sin dejar huellas.
Las actividades ilegales que ejecuta el gobierno mediante su aprovechamiento de la web global comprenden: la piratería contra bancos en línea, extracción forzada o no autorizada de criptomonedas (criptojacking) y el cobro de rescates por secuestro de datos (ransomware).
Los resultados del estudio efectuado por Recorded Future identifican a otra fuente de ingresos muy productiva para el gobierno de Corea del Norte. La misma consiste en una fuerza de especialistas en IT enviada al extranjero con el fin de remitir hasta el 80% de sus ingresos al país.
Aunque, en algunos casos, el dinero generado por estos trabajadores puede provenir de empleos legítimos, testimonios dados por desertores del régimen afirman que actividades como la falsificación de juegos de video, el robo de casinos en línea y ataques a dispensadores automáticos de efectivo (ATM) en Corea del Sur forman parte del modus operandi.
No es lo que parece
Priscilla Moriuchi, quien supervisa el desarrollo de amenazas estratégicas en Recorded Future, opina que Corea del Norte ha sido muy hábil al ofrecer la imagen de un país tecnológicamente inmaduro y financieramente atrasado. Gracias a eso, dice, las medidas tomadas por el mundo occidental, diseñadas para controlarlos, han fracasado.
La analista ha estado involucrada en el monitoreo de naciones como Irán y Corea del Norte desde que prestó sus servicios en la Agencia Nacional de Seguridad (NSA) de los Estados Unidos. Allí se desempeñó como experta senior en amenazas cibernéticas para Asia oriental y el Pacífico durante 13 años.
“Sanciones como las aplicadas hasta ahora están completamente desfasadas”, opina Moriuchi. “El gobierno de Pyongyang sabe cómo realizar grandes movimientos internacionales de dinero, sin que nuestras medidas los afecten”.
Esta especialista en seguridad cibernética ha estado vigilando el tráfico de Internet, generado por Corea del Norte, justo en el período donde se ha producido el episodio de los misiles y las cumbres entre Washington y Pyongyang, que han llevado al punto muerto donde se encuentran hoy.
Un hueso duro de roer y nuclear
Según Recorded Future, existe el riesgo de que países como Siria, Irán o Venezuela, que se encuentran bajo restricciones económicas impuestas, decidan emular el ejemplo de Corea del Norte. Por ejemplo, Irán ya se apoya en el uso de las criptomonedas para efectuar pagos transfronterizos y pasar así de lado a las sanciones.
A pesar de los esfuerzos de los Estados Unidos y sus aliados, la no provisión de derivados del petróleo hacia este país y el desmembramiento de sus operaciones para la falsificación del dólar norteamericano no han sido suficientes para doblegar a la dictadura norcoreana.
Los líderes de Corea del Norte y la unión americana ya han estado reunidos en tres oportunidades. Sin embargo, las relaciones diplomáticas entre ambas naciones continúan estancadas.
El científico nuclear Siegfried Hecker, de Stanford, ha supervisado personalmente su programa de enriquecimiento de plutonio, y afirma que están muy cerca de completar un arsenal de 40 bombas nucleares. Mientras tanto, la reelección de Trump se interpone en que haya una nueva cumbre antes del próximo noviembre.
Corea del Norte invade el ciberespacio
El reporte de Recorded Future, “Cómo Corea del Norte Convirtió Internet en una Herramienta de Gobiernos Forajidos”, explica que el acceso de los norcoreanos de a pie a Internet es sumamente limitado. Los habitantes del país sólo pueden navegar por una “versión local” de la web.
Para efectos del estudio, tal tipo de trafico no fue relevante, aclaran. Lo interesante es el flujo de información que sale de y entra hacia Corea del Norte. Ese trafico proviene de altos funcionarios del gobierno, oficiales del ejercito y personal de las agencias de inteligencia.
El estudio detectó que el volumen de información así transferida se disparó a partir del 2017, justo cuando se activó el enlace alterno que TransTelecom comenzó a operar para el gobierno de Kim Jong Un.
Antes de eso, las consultas a Internet mostraban picos solamente durante las noches y los fines de semana. Los datos más recientes revelan un incremento notable en las solicitudes de navegador en horario laboral, lo cual significa que el trafico proviene mayormente de las dependencias oficiales.
Recorded Future indica además que, para navegar, los norcoreanos emplean una red privada virtual (VPN) desarrollada por ellos mismos. La vpn está basada en el encapsulamiento de datos mediante DNS, o el Sistema de Nombre de Dominio.
DNS es el mecanismo que permite a un computador establecer la correlación entre el nombre de un dispositivo y su dirección IP. Gracias a DNS es que podemos utilizar un navegador de Internet y consultar determinado sitio sabiendo tan sólo su nombre (www.sitioweb.com).
El informe indica que el encapsulamiento por DNS es una técnica que Corea del Norte también pudiera estar empleando para realizar intrusiones en sistemas informáticos foráneos. Por otro lado, sus piratas cibernéticos siguen perfeccionado las habilidades que les permiten borrar las evidencias luego de sus ataques.
Esto gracias a los conocimientos adquiridos por un conjunto de agentes que se preparan como expertos en ciberseguridad y que mantienen contacto con hackers que operan desde Rusia, China e India.
Una guerra digital contra el mundo
Los avances en materia de piratería informática por parte de Corea del Norte no son nada nuevos. Los norteamericanos quedaron prácticamente boquiabiertos cuando la compañía cinematográfica Sony Pictures Entertainment fue objeto de un exitoso y destructivo ataque en noviembre de 2014.
En esa ocasión, los hackers introdujeron un virus sumamente dañino en los sistemas de Sony, el Shamoon ( W32.DistTrack). El propósito fue sabotear el estreno del film “La Entrevista”, que contaba la historia de un supuesto plan de la CIA para eliminar al líder supremo de los norcoreanos.
En la cinta, el asesinato debía llevarlo a cabo un par de agentes de inteligencia que se hacían pasar por periodistas.
Según las Naciones Unidas, no menos de 35 países han sido objeto de ataques por parte de los piratas informáticos de Corea del Norte. Las incursiones han reportado a Pyongyang un estimado de USD 2 mil millones durante los últimos cuatro años.
Las victimas preferidas por los hackers en estos casos han sido plataformas de intercambio de criptomonedas e instituciones financieras, donde, haciendo uso del sistema SWIFT, los piratas han sido capaces de efectuar transferencias fraudulentas hacia cuentas fantasma que el gobierno norcoreano se encargaba de vaciar posteriormente.
La investigación resalta la meticulosidad de los procedimientos de incursión, dado que, como media, los piratas invertían entre nueve meses y 1.5 años en mapear extensivamente las redes bancarias intervenidas. También se reveló que los períodos escogidos para aprovecharse del SWIFT fueron los días de vacaciones y fines de semana largos.
¿Quieres llorar?
La aparición del ransomware WannaCry es también producto de la inventiva digital maligna patrocinada por Corea del Norte. El software, que se apoderaba de sistemas informáticos y solicitaba un pago en Bitcoin para su liberación, colapsó el sistema de salud en Gran Bretaña, y creó una situación sin precedentes en dicha región.
Por cierto, la señora Moriuchi posiblemente esté bastante familiarizada con este caso. WannaCry surgió a raíz de una fuga de software originada en la NSA, aunque la agencia nunca ha reconocido públicamente que tal cosa haya sucedido.
WannaCry causo daños en más de 200.000 equipos de computación, se extendió a Francia, España, afectando también la red de trenes en Alemania.
Afortunadamente, el joven británico y genio de la computación Marcus Hutchins, fue capaz de descubrir el “botón de desactivación” del programa en tiempo récord, gracias a lo cual pudo evitarse que los descalabros causados por el virus fueran mayores.
Juche 106
Como ha podido constatarse, 2017 ha sido un año clave en el despegue de las actividades ilegales de Corea del Norte en el ciberespacio. No es casual que el gobierno del país volteara a mirar las criptomonedas justo entonces.
Para el ecosistema cripto, diciembre de 2017 marca el antes y el después de Bitcoin. Fue en ese mes, de ese año, cuando la primera de las criptomonedas comenzó a conocer la fama mundial, después de haber protagonizado el grandioso rally que la llevaría a cotizarse a casi 20 mil dólares por unidad.
Es a partir de allí, cuando el gobierno norcoreano empieza a involucrarse a fondo con actividades criminales digitales, encontrando en las criptomonedas un medio ideal que le permita seguir obteniendo los ingresos necesarios para sostener los planes de la nación.
Seguidamente, los intercambios establecidos en su vecino inmediato, Corea del Sur, se convertirían automáticamente en objetivos prioritarios de su voracidad. Ahora, las criptomonedas eran el botín predilecto. Ransomware, criptojacking, criptoscam y criptomining eran las palabras mágicas que llevarían dinero fresco a las arcas del estado.
Que vengan las criptos
El equipo de Recorded Future pudo averiguar que entre las monedas preferidas por los hackers estaban Litecoin, Bitcoin y Monero. Al tiempo, en las Naciones Unidas también se le señaló al país de estar envuelto en Ofertas Iniciales de Monedas engañosas, fraguadas con los mismos fondos de su actividad criminal en línea.
Aunque parezca mentira, la minería formal de criptomonedas también estuvo, y está, entre las fuentes que proveen de efectivo a Corea del Norte. El reporte no indica la cantidad de equipos que se emplean para tal fin, pero sí determina que la operación de extracción de Bitcoin por ese medio es a baja escala y que se ha mantenido así desde hace dos años.
En el caso de Monero, los datos arrojan que la actividad minera de la moneda ha experimentado un aumento de 10x. Esto si comparamos los resultados del segundo trimestre de 2019 con el mismo periodo del año anterior. A finales del 2018, la minería de Monero en Corea del Norte mostraba un desempeño similar al de la extracción de Bitcoin que se explicó antes.
Esta tendencia se ha mantenido hasta el último trimestre de 2019. Para los analistas de Recorded Future tampoco fue posible determinar el numero de equipos mineros activos en la extracción de Monero, ya que el trafico hacia ellos se maneja mediante una sola dirección IP.
La elección de Monero resulta obvia cuando se consideran todos sus atributos de privacidad. Con las transacciones de Monero, no es posible conocer las direcciones que participan en la operación ni los montos transados. Hace poco Europol la calificó como una criptomoneda “prácticamente invisible”.
Por esta razón, los fondos en Bitcoin provenientes de WannaCry en 2017 fueron convertidos rápidamente en Monero, no sin antes pasar las monedas de BTC por una mezcladora de criptomonedas. Este proceso dificulta la vinculación de los BTC con identidades del mundo real, aumentando así el nivel de privacidad ofrecido por Bitcoin.
Otra diferencia notable entre ambas criptomonedas es la relativa a su extracción. La minería de Bitcoin exige el empleo de hardware especializado, los llamados equipos ASIC. En cambio, Monero puede ser producido por máquinas de computación convencionales, aunque adaptadas para la tarea.
Criptominería secreta norcoreana
Seguramente este factor tenga que ver directamente con el notable incremento registrado por la minería de Monero en Corea del Norte. La actualización del hardware dedicado a la extracción de la moneda es un elemento adicional que influye en el aumento de su producción.
El informe señala que esto también debe haber sucedido, debido a la detección de un gran flujo tráfico a través del puerto 7777, que se emplea en equipos de alto poder utilizados en minería de criptomonedas.
Los piratas informáticos norcoreanos han pulido también los engaños que emplean para convencer a los incautos de instalar software de criptojacking en sus computadores. El criptojacking es la minería oculta de criptomonedas.
El programa que la realiza se ejecuta en el ordenador sin que su propietario lo consienta o se entere de ello. Luego emplea el equipo para extraer monedas que van a parar a manos de los hackers. No existe una manera más fácil, barata e ilegal de obtener criptomonedas gratis.
El año pasado firmas de seguridad informática como Trend Micro, Kaspersky y otras determinaron que la probabilidad de ser atacado por criptojacking era diez veces mayor que la de ser víctima de ransomware.
Ni los traders se salvan
Terminando el 2018, hizo su aparición un nuevo tipo de malware empaquetado como una aplicación para el trading de criptomonedas. La app desarrollada por los piratas norcoreanos en realidad servía para intercambiar ciertas monedas digitales en línea.
Tras su instalación, el software ejecutaba una actualización que incluía un virus troyano denominado FALLCHILL, del tipo que confiere acceso remoto al equipo anfitrión. Una vez operativo, los hackers explotaban el troyano para realizar ataques a alguna plataforma de criptomonedas de su interés.
México sufrió un incidente de FALLCHILL que se reportó en enero de 2018 y que no halló mucha repercusión en los medios a nivel internacional. El virus logró infectar equipos de una firma de telecomunicaciones de la que no se proporcionaron detalles.
Un esquema similar se aplicó a la plataforma DragonEx de Singapur en 2019. Esa vez, los hackers se robaron casi 7 millones de USD en criptomonedas, entre las que se encontraban Tether (USDT), Ripple (XRP) y EOS. Para lograrlo emplearon un software llamado Worldbit-bot que facilitó la incursión en el intercambio.
Sin lugar a dudas, las criptomonedas representan para Corea del Norte una forma muy conveniente tanto de percibir ingresos como de movilizar los fondos obtenidos gracias a sus operaciones ilegales en Internet.
Corea del Norte, de armas tomar
La participación de los militares de Corea del Norte en las operaciones de extracción de criptomonedas se hizo evidente en un reporte presentado por las Naciones Unidas en agosto de 2019. Allí se responsabiliza a una sección perteneciente a las fuerzas armadas de la Republica Popular Democrática de Corea de realizar actividades de criptominería.
Los datos recogidos por la investigación de Recorded Future no permiten determinar cuál es la rama de las fuerzas armadas involucradas en la minería de Monero, o de Bitcoin. No hay que pensar mucho para imaginar que un país que busca sobrevivir a cualquier costo usará todos los recursos para lograrlo.
No son pocos los personajes que vaticinaron en su momento que las guerras del futuro se librarían en el campo de la electrónica. La de Corea del Norte es una verdadera guerra digital, y algunos especialistas comentan que, por ahora, la dictadura comunista de Kim Jong Un lleva consigo la ventaja.