Para Kim Jong-un «la guerra cibernética es una espada multipropósito que garantiza a las fuerzas armadas del pueblo norcoreano una capacidad de ataque implacable, junto con las armas nucleares y los misiles», según habrían sido las propias declaraciones del líder de Pyongyang en una aparición pública en 2013.

La prensa occidental con frecuencia suele tender a ridiculizar y a describir la exuberancia del líder norcoreano como resultado de su «singular» personalidad. Sin embargo, es necesario analizar en detalle los efectos que provocan sus expresiones.

En los últimos días, las autoridades norcoreanas han anunciado que a sus ciudadanos se les prohibirá emular la vestimenta de Kim Jong Un, como por ejemplo usar gabardinas de cuero, por ser ello considerado una falta de respeto al mandatario. Esta decisión sin duda podría hacer sonreír a más de uno, pero si se pondera su verdadera dimensión podrá captarse la intencionalidad intrínseca. La ropa de cuero en Corea del Norte es muy cara e incluso a pesar que desde China se ha comenzado a comercializar cuero sintético para su fabricación, resulta una prenda demasiado onerosa en relación con el ingreso per cápita de sus ciudadanos. Un ciudadano norcoreano gana un promedio de 4000 wones al mes, mientras que una prenda de cuero sintético alcanza el precio de 80.000 wones.

Y por supuesto también debemos considerar la otra cara de la moneda. También en estos días se difundió la noticia que un ciudadano norcoreano fue condenado a muerte ante un pelotón de fusilamiento por haber distribuido a algunos estudiantes secundarios copias ilegales, en memorias USB, de la famosa serie «El Juego del Calamar» transmitida por Netflix. Recordemos que la difusión de esta serie se encuentra prohibida en Corea del Norte. El primer estudiante que compró y distribuyó el contenido del vídeo en la escuela fue sentenciado a cadena perpetua (se cree que fue salvado de la pena de muerte porque sus padres habrían sobornado a las autoridades). En cambio, el resto de los estudiantes involucrados fueron relegados a trabajos forzados durante cinco años.

No, no te metas con las regulaciones impuestas por el régimen coreano.

En el mundo occidental, distintos líderes políticos, diplomáticos, expertos militares y gurúes de la guerra cibernética describen generalmente el temperamento de Kim como el de un hombre irracional. Sin embargo resulta evidente que no han comprendido bien la dimensión del contexto en el que tienen lugar los hechos. En efecto, sus actos deben examinarse bajo la lente de la estrategia política y militar de Corea del Norte, donde los objetivos nacionales y las percepciones de seguridad deben siempre tomarse en su sentido más amplio.

Un claro ejemplo de ello es el programa informático militar de Corea del Norte que, gracias a su poder de ataque actual, representa una amenaza creciente para el mundo.

Los líderes norcoreanos consideran al ciberespacio como una parte integral de su estrategia militar, y lo denominan «el quinto gran campo de batalla» junto con la tierra, el mar, el aire y el espacio.

Los expertos militares en tecnología de la información son reclutados entre los jóvenes más talentosos de Corea del Norte, seleccionados y capacitados tan pronto como cumplen 17 años. Actualmente COREA DEL NORTE tiene al menos 7000 «Cyber Warriors» (ciber-soldados) en su haber.

A juzgar por sus hazañas durante la última década, Pyongyang tiene experiencia en causar cortes temporales o limitados a diversas infraestructuras críticas o interrumpir el funcionamiento de redes corporativas tanto en Corea del Sur, Estados Unidos como en Japón. ¿Podría también ser capaz de realizar operaciones destinadas a comprometer las cadenas de suministro de software?

Corea del Norte ha lavado criptomonedas obtenidas a partir de delitos informáticos cometidos contra instituciones financieras en todo el mundo. Los ciberdelincuentes coreanos han robado cientos de millones de dólares, probablemente con el propósito de financiar las prioridades de su gobierno, como los programas nucleares y misilísticos.

Todo lo dicho podría sorprender a la mayoría; es decir, que un país donde sus ciudadanos viven generalmente por debajo del umbral de la pobreza, pueda haber alcanzado semejante dominio de la tecnología de la información y de Internet.

En realidad, en las zonas rurales de Corea del Norte probablemente ni siquiera sepan qué es Internet, pero en la capital Pyongyang y en algunas de sus principales ciudades, donde viven los norcoreanos más acaudalados o en los círculos universitarios y en algunos cibercafés, el término «Kwangmyong» es de uso diario.

En idioma coreano significa «estrella brillante» y es el nombre asignado a la Internet Oficial de Corea del Norte. Es una red cerrada, que se asemeja a nuestra Internet de 1994, y que se ejecuta en las plataformas pirateadas japonesas de Microsoft. Las cuentas de correo electrónico y los navegadores son rudimentarios en comparación con los actuales, y sólo se puede acceder a unas pocas docenas de sitios web registrados en dominios «.kp». Por supuesto, se necesita una computadora para acceder a la red, pero esto sólo es posible si se cuenta con el permiso oficial del gobierno. Las únicas computadoras «legales» son fabricadas localmente por Morning Panda, una empresa administrada por el gobierno que produce unas pocas unidades a año, mientras que el hardware externo es completamente ilegal.

Y además también existe una pequeña elite de afortunados (líderes gubernamentales, piratas informáticos militares, laboratorios de investigación, etc), integrada por unos pocos miles de personas que emplean Internet a la usanza occidental. Con la intención que estos individuos abandonen el país una vez que abran la «ventana al mundo», el gobierno les otorga concesiones especiales como salarios elevados, viviendas gubernamentales de alto nivel y mucho prestigio.

Por último, encontramos un puñado de personas en las altas esferas (Kim y su familia por ejemplo) que utilizan Internet de manera «recreativa» (Facebook y otras aplicaciones para acceder a películas, libros y tecnología prohibida, artículos de lujo prohibidos, comidas y bebidas alcohólicas para su placer), una comunidad que simplemente no vive en la misma dimensión que sus compatriotas.

Las conexiones físicas a Internet se aglutinan en una sola línea que se conecta a la agencia china de telecomunicaciones Unicom y desde allí al mundo exterior. Sin embargo, Corea del Norte ha iniciado la implementación de conexiones satelitales a través de la empresa rusa SatGate en Hong Kong que es operada por proveedores chinos.

Pero una de las principales razones por las que Corea del Norte usa Internet es la guerra cibernética. Pyongyang sabe que no tendría ninguna posibilidad en un conflicto convencional con Estados Unidos y Corea del Sur, por lo que utiliza su disuasión cibernética de una manera absolutamente asimétrica. No obstante, los ciberataques norcoreanos no se originan dentro del país sino en el extranjero, en particular en Indonesia, Malasia, Nepal, Kenia, Nueva Zelanda, India y Mozambique, por ejemplo.

Pero no siempre fue así…

A lo largo del tiempo la Inteligencia norcoreana ha cambiado gradualmente su estrategia militar asimétrica, pasando a los ámbitos de la actividad delictiva y terrorista y especializándose cada vez más en los delitos cibernéticos como los ataques destructivos, el ransomware y otros.

Después de la Guerra de Corea, Pyongyang permaneció tan confinado internacionalmente como lo estaba entre las alianzas de Estados Unidos con Japón, Australia y Nueva Zelanda. Las sanciones y el aislamiento internacional alimentaron el odio anti-estadounidense y anti-Seúl, la capital surcoreana.

Las actividades terroristas se convirtieron en una práctica común para la Inteligencia Norcoreana, incluyendo el «Raid de la Casa Azul», o el intento de asesinato del presidente de Corea del Sur, Park Chung Hee, en su residencia en 1968; el ataque en la capital birmana de Rangún en 1983, cuando el presidente de Corea del Sur, Chung Hee, fue atacado durante una misión diplomática; el ataque en 1987, por orden directa del líder Kim Jong-il, al vuelo 858 de la línea Korean Air, que se dirigía de Bagdad a Seúl, donde murieron los 115 civiles que se encontraban a bordo.

Desde principios de los 90 cambió la tipología de las «acciones de inteligencia» norcoreanas, desde el terrorismo internacional a las actividades delictivas más dispares (producción y venta de drogas, falsificación de dinero, contrabando en todos los niveles, etc.), ciertamente de mayor rentabilidad y capaces de autofinanciar al Estado de manera más eficaz. En ese momento, al fin de la Guerra Fría, la falta de financiación de países amigos como Rusia y China, las sanciones internacionales, el hambre y el colapso de la economía favorecieron este nuevo giro.

Aunque Corea del Norte representa una fracción infinitesimal en la producción de opio crudo entre los países asiáticos, con las actividades ilegales que de él se derivan, Pyongyang logró garantizar un ingreso al erario público de casi mil millones de dólares al año. Su extensa red de contrabando está a cargo de los servicios militares y de inteligencia y depende en gran medida de organizaciones criminales internacionales con sede en Taiwán, Filipinas y Japón.

El recurso de la falsificación en Corea del Norte también ha sido vinculado desde hace tiempo al creciente aislamiento internacional, que ha provocado literalmente el colapso de su economía. ¿Quién no recuerda los billetes estadounidenses falsos que dieron lugar a la circulación de los billetes conocidos como SuperNote? En la década de 1970, la Inteligencia de Corea del Norte había hecho circular un billete falso de 100 dólares. Los billetes de 1 dólar llegaron tiempo después, a través de procedimientos especiales con derivados químicos, blanqueados y reimpresos en su versión final de 100 (ó 50) dólares. Muchos años más tarde, en 2006, Estados Unidos culpó a Corea del norte por esta práctica criminal.

Pero como es obvio, el país asiático nunca reconoció todas las objeciones que se plantearon, en una especie de negación admitida, porque probablemente si hubiera reivindicado cada una de las conductas delictivas, se habrían dado las condiciones para una declaración de guerra por parte de Estados Unidos y de Corea del Sur. Hecho que Pyongyang no podía darse el lujo de permitir que ocurriera, por su evidente posición de inferioridad frente a ellos.

A partir del 2009 los servicios de Corea del Norte atravesaron un importante proceso de reestructuración, lo que dio lugar a la creación de la Oficina General de Reconocimiento – RGB (también conocida como Unit 386). A pesar de ser empleada por el brazo militar de Corea, el Ejército Popular de Corea – KPA, el RGB ha mantenido una amplia dirección operativa como inteligencia externa, pero también como centro de comando para todas las actividades «ilícitas» y la guerra asimétrica. De hecho es también la organización que ejerce el control sobre toda la actividad informática. Junto con el Departamento de Estado General, están subordinados a la Comisión de Asuntos de Estado que preside Kim Jong-un.

El RGB estaría compuesto por siete dependencias y, entre ellas, el Bureau 121.

El Bureau 121 constituye la formación de élite del Ejército Norcoreano integrada por los expertos cibernéticos más talentosos de Corea del Norte.

Sus integrantes son seleccionados entre los 100 mejores graduados de la Universidad de Automación de Pyongyang, tras finalizar la carrera de cinco años de duración. La mayor parte de las operaciones de guerra electrónica y del ciberespacio se desarrollan en el interior de la Unidad de Conducción de CiberGuerra (Cyber Warfare Guidance Unit), otra de las denominaciones que recibe el Bureau 121

Los ciberdelincuentes norcoreanos han sido acusados de una amplia gama de actividades ilícitas y destructivas tanto en el país como en el extranjero. Los primeros ciberataques comenzaron a principios de la década del 2000, en los que se borraban discos, se propagaba malware y se realizaban ataques DDoS, cada vez más potentes contra redes de mayor relevancia.

En 2013, los medios de comunicaciones y las instituciones financieras de Corea del Sur fueron atacados, y al menos 50.000 computadoras y servidores de ese país quedaron fuera de servicio durante varios días en cinco bancos y estaciones de televisión. En 2014, al estilo Stuxnet, las centrales hidroeléctricas, los reactores nucleares, y decenas de otras infraestructuras críticas fueron atacadas, con el riesgo de causar efectos disruptivos.

Ciberataques a la industria del entretenimiento y del espectáculo: basta recordar la hazaña contra Sony Pictures Entertainment en noviembre de 2014, donde los ciberdelincuentes querían infringir una lección ejemplificadora al productor de esa empresa, por haber creado y transmitido la película «La Entrevista», cuya trama se centró en un plan destinado al asesinato del líder norcoreano. O la que tuvo lugar en diciembre 2014 contra AMC Theatres. Y nuevamente en 2015 contra Mammoth Screen, donde estaban trabajando en la serie de películas de ciencia ficción que trataba sobre un físico nuclear inglés capturado y encarcelado en Corea del Norte.

Ciberataques a instituciones crediticias: en el período entre 2015 y 2019, los ciberdelincuentes norcoreanos intentaron robar casi 1200 millones de dólares entre México, Malta, Taiwán, Vietnam, Bangladesh y el continente africano, apuntando al sistema de identificación bancaria para transferencias internacionales, el código SWIFT. En octubre de 2018 realizaron retiros fraudulentos de FAST Cash por un valor estimado en 6,1, millones de dólares contra instituciones bancarios. El Bank Islami Pakistan Limited (BankIslami) también fue una de sus víctimas.

Extorsión mediante virus y ransomware: en mayo 2017 apareció WannaCry (también conocido como WanaCrypt0r 2.0), un gusano ransomware que pronto se convirtió en responsable de una «pandemia cibernética», infectando de manera disruptiva las computadoras que ejecutan Microsoft Windows. Una vez iniciado Windows en la PC, el código malicioso encriptaba los archivos contenidos en la computadora y solicitaba un rescate valuado en algunos cientos de dólares para que el usuario pudiera recuperar los archivos desencriptados. Hasta el 2020 esta modalidad criminal, que también recurre a otros ransomware, se convirtió en un hábito frecuente y sumado al robo de datos sensibles tuvo un crecimiento exponencial.

Actividades con criptomonedas: en el período de marzo de 2018 a septiembre de 2020, el mundo de las criptomonedas ingresó en el campo de interés de los tecnocriminales norcoreanos.

Se lanzaron en la red numerosas aplicaciones de criptominería «maliciosas» (Celas Trade Pro, WorldBit-Bot, iCryptoFx, Union Crypto Trader, Kupay Wallet, CoinGo Trade, Dorusio, CryptoNeuro Trader y Ants2Whale), que aunque se comportaban normalmente en ejecución, abrían puertas traseras en las computadoras de sus víctimas que eran aprovechadas por los crackers norcoreanos.

En el mismo período, los ciberdelincuentes de Pyongyang cometieron numerosos robos de moneda virtual por un valor total de decenas de millones de dólares – frente a diversas empresas que desarrollaban su actividad precisamente en el ámbito de las criptomonedas. En particular, se vio afectada una empresa eslovena, que reportó la pérdida de 75 millones de dólares en criptomonedas. Pero otra empresa indonesia también perdió alrededor de 25 millones de dólares de la misma manera. En agosto 2020, fue el turno de una empresa de servicios financieros de Nueva York, casi 12 millones de dólares, tras ser atacada por la aplicación maliciosa llamada CryptoNeuro Trader.

Campañas de Spear Phishing: en el período comprendido entre marzo de 2016 y febrero de 2020, muchas organizaciones públicas de EEUU resultaron afectadas, así como decenas de empresas privadas conectadas con EEUU. Todas ellas e vieron literalmente inundadas por una campaña de Spear Phishing. De manera no exhaustiva resultaron afectadas empresas de energía, empresas aeroespaciales, empresas de tecnología, el Departamento de Estado de EEUU, el Departamento de Defensa de EEUU, etc.

Otras «estrategias» de tipo financiero: entre 2017 y 2018 un ciberdelincuente norcoreano, conocido como Kim Il, estuvo involucrado en la compleja estafa de Marine Chain Token, contra inversores financieros internacionales desprevenidos. Se utilizó Blockchain para convencer a las víctimas de que compraran acciones de buques de transporte marítimo de Corea del Norte, utilizando la moneda virtual como una forma de evadir las sanciones de EEUU. Otro medio para adquirir criptomonedas fue el llamado Oferta Inicial de Monedas (ICO por su sigla en inglés). Una ICO es precisamente un nuevo enfoque de crowdfunding utilizado por las empresas blockchain. Por lo general crean sus monedas criptográficas (o token) y las venden al público para recaudar dinero para implementar su cadena de bloques. El ICO es un método de recaudación de capital para startups que utilizan criptomonedas como financiación.

Una amplia gama de grupos de piratas informáticos, tanto gubernamentales como afiliados, pertenecen a la Oficina General de Reconocimiento. Incluyen (pero no se limitan) a: Andariel, BeagleBoyz, Bluenoroff, The Chollima Groups, Dark Hotel, Group 123, The Kimsuky Group, Lazarus (también conocido como APT 38), Reaper (mejor conocido como APT 37 o Thallium) y finalmente Starcraft.

Lazarus es el más grande y activo de los grupos tecnocriminales norcoreanos. Vio la luz en 2007 y es parte de Lab110 dentro del Bureau 121. Sus objetivos preferidos han sido las industrias aeroespaciales, químicas, electrónicas, de entretenimiento y espectáculos, financieras, militares, gubernamentales, de salud, infraestructura y logística, manufactura, medios y publicaciones. También ha apuntado a organizaciones norcoreanas de derechos humanos en Corea del Sur y Japón. Lazarus realizó las hazañas más atroces, incluidos los ciberataques a los bancos surcoreanos en 2013, Sony Pictures Entertainment en 2014 y el ataque de Ransomware WannaCry en 2017.

Kimsuky nació en 2012 con la tarea de recopilar la mayor cantidad de información posible a nivel mundial utilizando técnicas de ingeniería social como el phishing, el robo de credenciales y los ataques de tipo «watering hole«. Los principales objetivos del grupo estaban dirigidos principalmente contra EEUU, Corea del Sur, Japón, pero también a los think tanks (centros de pensamiento académico), agencias gubernamentales y otras organizaciones enfocadas en temas de seguridad nacional y programas nucleares.

Reaper (APT 38) ha estado apuntando a instituciones financieras y bancarias desde 2015 con el fin de obtener dinero mediante mecanismos de extorsión para satisfacer los fines del estado central de Corea del Norte. APT 38 participa en los eventos de Vietnam TP Bank (2015), Bangladesh Bank (2016), Far Eastern International Bank (2017), Bancomext (2018) y el Banco de Chile (2018).

Andariel ha estado involucrado desde 2015 en delitos de espionaje contra empresas extranjeras, industrias de defensa, organizaciones financieras y agencias gubernamentales. Golpeó los sistemas de cajeros automáticos de los bancos en reiteradas oportunidades mediante la clonación de tarjetas y claves. También hizo circular malware especialmente diseñado empaquetado en sitios de juegos de azar en línea.

Bluenoroff también ha contribuido plenamente a reponer las finanzas de estado norcoreano a través de sus actividades ilícitas. Aparece al público en 2014 y estuvo involucrado en un intento de robar dinero (incluida la moneda virtual) equivalente a casi 1,1 mil millones de dólares de varias instituciones de crédito ubicadas en Bangladesh, Pakistán, India, Corea del Sur, Vietnam, Taiwán, Filipinas, Turquía, Chile y México. Luego, el grupo criminal, en alianza con Lazarus, robó alrededor de 81 millones de dólares del Banco Central de Bangladesh utilizando credenciales Swift robadas. Mientras que el intento de obtener otros 851 millones de dólares tuvo un desenlace diferente, ya que fracasó por un error trivial.

Finalmente, el Grupo Chollima que a su vez consta de cuatro subgrupos diferenciados por métodos de ataque y objetivo: Labyrinth Chollima, que tiene como objetivo a los servicios de inteligencia extranjeros; Ricochet Chollima, que roba los datos de las víctimas; Silent Chollima, se centra principalmente en los medios de comunicación de Corea del Sur; Stardust Chollima, que lanza ataques a empresas comerciales.

* Marco Crabu – Licenciado en Ciencias Sociológicas, Facultad de Ciencias Políticas de la Universidad de Bolonia. Especialista en Seguridad, Geopolítica y Defensa

Artículo publicado originalmente en italiano el 5/12/2021 en OFCS.Report – Osservatorio – Focus per la Cultura della Sicurezza, Roma, Italia, https://www.ofcs.it/cyber/kim-jong-un-la-guerra-cibernetica-e-una-spada-multiuso/#gsc.tab=0

Artículo traducido al castellano por el Equipo Ciberprisma con autorización expresa del autor y del editor de OFCS.Report