Hackers en la DINI: roban secretos militares peruanos de últimos 5 años

La Dirección Nacional de Inteligencia (DINI) confirmó que un grupo de hackers conocido como Guacamaya rompió el sistema de ciberseguridad de las cuentas de correos electrónicos del Comando Conjunto de las Fuerzas Armadas (CCFFAA) y el Ejército del Perú (EP) y ha conseguido acceso ilegal a 105 gigabytes de información secreta del periodo de 2018 a 2022.

“Son ataques de intrusión y robo de información contra instituciones militares del Estado”, señala un reporte del Equipo de Seguridad Digital de la DINI: “Los cibercriminales afirman haber obtenido 35 GB de información del dominio @ccffaa.mil.pe y 70 GB del dominio @ejercito.mil.pe, pero a la fecha dicha información no ha sido expuesta en ningún sitio web”.

Efectivamente, la plataforma de investigación periodística CIPER Chile informó de la sustracción de información secreta del CC. FF. AA. y del Ejército por parte del grupo Guacamaya. También mencionó que los correos electrónicos filtrados por Guacamaya contenían presuntos planes de guerra de militares peruanos en la frontera con Chile, pero se abstuvieron de difundirla por razones de seguridad.

Según los integrantes de Guacamaya, la intrusión a los correos electrónicos oficiales de instituciones militares y policiales del Perú, Chile, Colombia, México y El Salvador, forma parte de la Operación Fuerzas Represivas, que busca difundir información sobre presuntas actividades ilegales, como la persecución y espionaje a movimientos populares, activistas ambientales y líderes sociales.

Luego de calibrar como de extrema gravedad el ciberataque del grupo Guacamaya contra el CC. FF. AA. y el Ejército, el Equipo de Trabajo de Seguridad Digital de la DINI ha iniciado la evaluación de las dimensiones de la vulneración de los sistemas de ciberseguridad para evitar nuevas intrusiones y robos de información secreta.

De acuerdo con el reporte de la DINI, la acción de los hackers de Guacamaya es sumamente dañina, porque expone a los institutos militares “a la exfiltración de datos (fuga de información), la inoperatividad del servicio, la pérdida de datos, entre otras acciones”, lo que trae como consecuencia la afectación de “la confidencialidad, la integridad y la disponibilidad de sus activos digitales”.

Conforme lo informado por el Equipo de Seguridad Digital de la DINI, todas las entidades atacadas y amenazadas han iniciado coordinaciones para afrontar el ciberataque.

Estado de alerta

“Se recomienda maximizar las actividades y medidas de ciberseguridad contempladas en sus directivas internas sobre incidentes de seguridad informática, con el fin de prevenir algún incidente de seguridad que podría afectar los activos críticos digitales de su institución y/o entidad”, señala la DINI.

El grupo Guacamaya se inició hackeando al gobierno de Guatemala y a la Compañía Guatemalteca de Níquel, para exponer que estaban relacionados en operaciones de espionaje a líderes sociales y reporteros que cuestionan un proyecto minero impuesto con prácticas corruptas.

Guacamaya recurrió a la plataforma de DDoSecrets (Distributed Denial of Secrets), que fundó una excolaboradora de WikiLeaks y Julian Assange, Emma Best. DDoSecrets tendría 10 terabytes de información obtenida de los servidores de correos electrónicos de Perú, Chile, El Salvador, Colombia y México. Sin embargo, en el caso de nuestro país, dicha documentación no ha sido difundida.

De acuerdo con el reporte de la DINI, los hackers aprovecharon de una deficiencia en el sistema de correos electrónicos para infiltrase.

“(Se trata de una) vulnerabilidad activa denominada ProxyShell, que afecta a los servidores Exchange de Microsoft (en sus versiones 2013, 2016 y 2019) la cual permitiría (...) ejecutar un código remoto y falsificar las solicitudes de acceso por el lado del servidor”, precisó la entidad.

Las autoridades del Ministerio de Defensa todavía no emiten un pronunciamiento sobre las consecuencias del ciberataque en agravio del Comando Conjunto de las Fuerzas Armadas y del Ejército.

Es un problema de encriptación

Enfoque. Andrés Gómez, analista de Inteligencia

Lo primero que debería hacer el Perú es una reunión del Consejo de Seguridad y Defensa Nacional para analizar todas las aristas, con todos los miembros para tener idea de la magnitud del daño que produce el ataque. En paralelo, el Congreso, mediante sus comisiones de Defensa Nacional y Orden Interno e Inteligencia, debe proceder a activar la fiscalización correspondiente, citando a las autoridades que estime pertinentes. Luego analizar a nivel de Poder Ejecutivo, con el Ministerio de Defensa y el Sistema Nacional de Inteligencia (SINA), las previsiones futuras para evitar este tipo de ataques informáticos. Lo más grave no es lo que contienen los documentos, sino que se hayan hecho explícitos; ese es un problema de encriptación”.

Se tiene que encontrar al causante

Enfoque. Erick Iriarte, analista digital

Normalmente, los incidentes de brechas de información vienen de tres posibles fuentes. La primera es la fuente interna. Alguien descontento dentro de la institución, que obtiene la información y facilita su filtración. La segunda es una puerta de seguridad no cerrada. Un sistema desactualizado, un software no actualizado o un switch que no se cerró. La tercera es el ingreso forzoso, el que rompe el sistema. Hasta que no se tengan los análisis forenses, es difícil determinar la brecha. Si la brecha es humana, el error será de entrenamiento. Si es tecnológica, el problema es la falta de inversión. Pero si ha sido un ataque de fuerza bruta, la pregunta es qué harán las Fuerzas Armadas para encontrar al causante y reparar el daño del ataque.