La inteligencia británica atrajo a la disidencia de la Primavera Árabe con un cebo online

Este artículo fue publicado originalmente en Motherboard.

Una unidad secreta de la agencia británica de inteligencia conocida como el Cuartel General de Comunicaciones del Gobierno (GCHQ en sus siglas inglesas) habría intentado influir en los activistas que operaban online durante las manifestaciones presidenciales en Irán de 2009, y durante los sucesivos levantamientos democráticos populares, a los que se conocería como a la Primavera Árabe. Así lo concluyen nuevas evidencias acumuladas en los documentos filtrados por Edward Snowden.

La unidad especial del GCHQ, más conocida como el Frente de Investigación contra la Amenaza de Inteligencia (JTRIG en sus siglas inglesas), salió a la luz por primera vez en 2014, cuando la filtración de documentos top secret descubrió que la misma habría intentado infiltrar y manipular — gracias al empleo de subterfugios, de artimañas y de cebos — a la comunidad online, en la que se contarían, entre otros, los miembros del colectivo de piratas informáticos de sombrero blanco Anonymous.

De tal manera, y si bien las tramas del grupo contra los activistas online ya se habían denunciado antes, lo cierto es que hasta ahora no había trascendido ninguna de sus campañas en Oriente Medio. Si este redactor ha logrado destaparlo es porque fue uno de sus objetivos en el pasado.

Ser víctima de estas artimañas facilita el conocimiento de algunos detalles clave sobre la manera de funcionar de esta unidad, como el empleo de un servicio acortado de URL, que ya fue incluido en los documentos filtrados por Snowden publicados en 2014.

El cebo

El GCHQ estableció en su día un servicio de URL acortado — lurl.me — que permitía la captación de señales de inteligencia online de elementos disidentes o conflictivos. La dirección lurl.me fue usada en Twitter y en otras redes sociales para propagar mensajes prorevolucionarios en Oriente Medio.

Los mensajes en cuestión buscaban atraer a gente que estaría manifestándose en contra de su gobierno con la intención de manipularles, y de obtener información sobre sus movimientos, para así multiplicar el prestigio de la agencia a la hora de descifrar maniobras subterráneas, y permitir que continuara con su propósito de expandir sus servicios globalmente. La dirección corta de URL facilitaba el rastreo de sus víctimas.

El proyecto vinculado a la unidad GCHQ llamado Frente de Investigación contra la Amenaza de Inteligencia, tendría la misión de emplear "tácticas sucias", para "destruir, desmentir, y perturbar a los enemigos para así desacreditarles", tal y como se deduce de los documentos filtrados.

El servicio corto a través de la URL fue bautizado en código como DEADPOOL y es una de las llamadas herramientas de "adocenamiento y persuasión" empleadas por la división para conseguir sus objetivos, tal y como desvela un documento de la organización filtrado en 2014.

A principios de aquel mismo año, la cadena NBC News publicó un documento filtrado que demostraba que el JTRIG habría atacado a las células activistas Anonymous y LulzSec. Lo hizo lanzando un ataque de denegación de servicio (DDoS en sus siglas inglesas) en los servidores que procuraban el servicio de chat conocido como Internet Relay Networks (IRC en sus siglas inglesas) de ambas compañías.

El departamento de los servicios secretos británicos también habría conseguido identificar a disidentes gracias al empleo de técnicas de ingeniería social; esto es, mediante el empleo de trampas de seguridad informática, como engañarles para que hicieran clic en enlaces corruptos —una técnica de lo más habitual entre los cibercriminales.

Una imagen muestra a un agente encubierto mandando un link — que en la imagen aparece redactado por la cadena NBC — a un individuo que respondería al nombre de POke. Según esta imagen, la apertura del enlace permitiría activar las señales de inteligencia necesarias para descifrar la auténtica identidad de POke, además de su correo electrónico y de su perfil en Facebook.

En el otoño de 2010 este redactor era miembro, desde hacía poco, de la red AnonOps IRC, que fue atacada por el JTRIG, y empleada por un agente encubierto del GCHQ para contactar a POke. Más tarde, en 2011, cofundador de LulzSec, junto a otros tres socios.

El documento filtrado también revela que JTRIG estaría monitorizando las conversaciones entre POke y el ex miembro de LulzSec, Jake Davis, quien entonces utilizaba el seudónimo virtual Topiary.

A través de múltiples fuentes, Motherboard confirmó que el link redactado para descubrir la auténtica identidad de POke por un agente secreto fue mandado a través de la web lurl.me.

Alteración encubierta

Las investigaciones posteriores acometidas sobre el servicio acortado de URL, un servicio que usaba datos públicos para consumar su engaño, han destapado un caso de lo más revelador. Según han concluido las investigaciones, el JTRIG habrían empleado la llamada herramienta DEADPOOL para consumar otras operaciones, entre ellas algunas intervenciones encubiertas en Oriente Medio.

El registro de Internet muestra que la página web estuvo activa desde junio de 2009 y señala que la última vez que estuvo online fue en noviembre de 2013. Una captura de pantalla de la web muestra que se trataba de "un servicio gratuito de URL acortada para "que consigas acceder a los links de tu familia y de tus amigos más deprisa".

Los recursos públicos online, los buscadores y las webs de las grandes corporaciones de las redes sociales, como las de Twitter, Blogspot y YouTube, muestran cómo todas estas habrían sido utilizadas para consumar los objetivos geopolíticos del GCHQ contemplados en los documentos previamente filtrados.

Casi todas las 69 páginas de Twitter que Google tiene registradas bajo la referencia lurl.me se refieren a tuits antigubernamentales que habrían sido emitidos por presuntos activistas iraníes y de Oriente Medio.

La gran mayoría pertenece a perfiles de Twitter ilustrados por el avatar del huevo que ilustra a todos los que no se han atribuido un imagen, han estado apenas activas durante unos pocos días y tienen solo un puñado de tuits. Sin embargo, existieron dos cuentas legítimas que habrían estado escribiendo tuits durante un periodo de un año, y que han retuiteado o se han referido al resto de perfiles, tuiteando a través del acortador de URL.

Según los datos de la agencia que ha publicado The Intercept, una de las estrategias para calibrar la efectividad de una operación consiste en comprobar online si un mensaje "ha sido entendido, aceptado, recordado y si ha variado el comportamiento de los usuarios de la red". Se trata de algo que podría consistir, por ejemplo, en rastrear las identidades de todos aquellos que hayan compartido o clicado en los links de lurl.me creados por GCHQ.

Otro documento del JTRIG publicado por The Intercept y titulado "Apoyo para las Ciencias Conductuales para los efectos provocados por el JTRIG y operaciones online HUMINT (de inteligencia humana)", puede usarse para descifrar el contenido de los perfiles de las redes sociales que han empleado el servicio corto de URL.

El JTRIG dispone de un grupo de operaciones para objetivos globales que, a su vez, dispone de un equipo en Irán, según relata el documento. El documento detalla que el equipo de Irán está trabajando actualmente para trabajar contra la proliferación. Y que lo hace: (1) desacreditando a la cúpula del ejecutivo iraní y a su programa nuclear; (2) retrasando y alterando el acceso a materiales empleados en el programa nuclear; (3) conduciendo la página de HUMINT; (4) contracensurando".

El documento explica detalladamente los métodos que el JTRIG emplea para conseguir sus objetivos, como crear personas falsas, subir vídeos a YouTube y arrancar grupos de Facebook para impulsar información específica o determinados planes. Muchas de las técnicas son evidentes en algunos perfiles que usan el servicio corto de URL de manera agresiva.

AGENTES DE LA CAMPAÑA

Al parecer existe un pequeño número de cuentas de Twitter que solo estuvieron activas durante junio de 2009, apenas cuentas con seguidores y han tuiteado repetidamente el mismo contenido y los links de lurl.me. Uno de los perfiles más tempranos y prolíficos a la hora de tuitear usando el servicio corto de URL es 2009iranfree.

Si estás fuera de Irán entonces llama al régimen para opinar libremente sobre las elecciones/y la censura.

Un larga franja de la red de Twiter sockpucket, prácticamente inactiva, parece dar vueltas a la idea de permitir a los iraníes que accedan a información que, de otro modo, será censurada por el régimen.

En el documento del JTRIG sobre la ciencia conductual a esto se les llama "suministrar acceso online a material no censurado (para alterarlo)". Tal objetivo se consigue suministrando información sobre sendas páginas web bloqueadas, además de acceso internacional a los informativos de noticias. La web más recurrente a la que se refieren los perfiles de Twitter es iran.news.info, una web consagrada a reproducir varias noticias en inglés sobre Irán.

Podría parecer que los objetivos de los manifestantes antigubernamentales en el GCHQ sean comunes en el sentido de que ambos persiguen desacreditar al régimen y acudir a la contracensura. Sin embargo, vale la pena recordar que otro de los objetivos señalados por el programa de JTRIG en Irán no es otro que llevar a cabo misiones de inteligencia humana online, ylurl.me ha sido tradicionalmente empleada para activar las señales que permitan la identificación de posibles activistas, tal y como se muestra en el documento filtrado del GCHQ al que se titula como hacktivismo [activismo informático].

Un tema curioso y recurrente de los perfiles de Twitter de esta red es alentar a los lectores que están lejos de Irán a que llamen a un determinado número de teléfono para quejarse. En los tuits se asegura que se trata del teléfono del presidente del país. El número también fue posteado en el foro de activismo WhyWeProtest. Uno de los métodos que describe el documento filtrado del JTRIG consiste en "simular ser una persona real (para desacreditarla, promover la desconfianza, disuadir, embaucar, detener, retrasar o alterar").

Más allá de este último objetivo, el de alterar, que sigue sin estar claro, parece que, en última instancia el llamamiento habría sido efectivo para sembrar la desconfianza; uno de los comentarios de la cadena reza: "No puede ser el de #Ahmadineyad. Y si lo fuera, la segunda llamada sería respondida por los servicios de inteligencia de Irán. Y pese a todo, siguen habiendo días raros. Imagino que cualquier cosa podría suceder llegados a este punto".

UNA RED ENREVESADA

El servicio acortado de URL no tuvo más actividad en Twitter en todo 2010. La siguiente vez que irrumpió fue en 2011, fundamentalmente a través de un perfil que estaría tuiteando desde Siria durante la Primavera Árabe, bajo el nombre access4syria. La cuenta solo estuvo activa en mayo y junio de 2011, y tan solo escribió sus tuits entre las 9 de la mañana y las 5 de la tarde, de lunes a viernes, en horario británico.

Parece extraño que al tiempo que se encarga de gestionar identidades falsas, el JTRIG solo tenga capacidad por controlar un número limitado de perfiles, que contienen exactamente la misma información, tan solo en momentos concretos y solo en inglés.

Sin embargo, una página del documento filtrado del JTRIG, ofrece alguna información sobre las dificultades que estarían pasando los agentes del JTRIG a la hora de llevar a cabo las operaciones. Entre las complicaciones experimentadas se contarían la de contar con solo dos o tres alias, y su limitado acceso a asesores lingüísticos.

Dificultades a la hora de mantener más de un pequeño número (ej, 2 o 3) de alias únicos y multidimensionales activos, especialmente cuando se realizan labores online de inteligencia humana.

Dificultades para comunicarse de manera moderna y representativa en la categoría sociocultural demográfica del alias.

Falta de imágenes fotográficas/presencia visual de los alias online.

Falta del tiempo y del personal necesarios para mantener blogs o alias, y para buscar material extremo en la web, etc…

Falta de asesores lingüísticos variados y culturales, como, por ejemplo, en ruso, árabe y pashtu.

El perfil de activismo sirio, al igual que sucede con los perfiles iraníes, también se centra en el objetivo de suministrar a los ciudadanos maneras de eludir la censura de sus gobiernos.

sigue conectado durante el bloqueo de internet en Siria. RT por favor, difunde el mensaje.

El perfil también tuiteó una serie de instrucciones en árabe para eludir la censura de un perfil de Blogspot.

Las instrucciones en árabe alientan a los lectores a "conectarse a internet vía satélite, por ejemplo, o desde las casas de tus amigos, las tiendas de internet o las oficinas de la empresa", para así no quedar desconectados.

También sugiere el empleo de "un proxy para acceder a las páginas bloqueadas. Esto te permitirá utilizar internet de manera segura. Por ejemplo, puedes utilizar el siguiente proxy", y sigue hasta dar sendas direcciones de IP para utilizar como proxys.

Aquellos que hayan usado los proxys asociados al JTRIG podrían descubrir que no son lo que parecen ser. Por ejemplo, una de las herramientas empleadas por el JTRIG como cebo contemplada en la misma categoría que la herramienta de servicio recortado de URL es el llamado MOLTEN-MAGMA que es un "CGI http Proxy con la capacidad de registrar todo el tráfico y el comportamiento de los intermediarios de las http". En otras palabras, JTRIG podría espiar a aquellos que usaran el proxy MOLTEN-MAGMA.

El registro de acceso acortado lurl.me fue visto online por última vez, de acuerdo con archive.org, en noviembre de 2013, solo unos meses después de que trascendieran las filtraciones de Snowden.

Se le han remitido preguntas al GCHQ sobre si habría creado los perfiles descubiertos y lurl.me, y sobre qué procedimientos y políticas estaban en vigor para asegurar la supervisión de las actividades encubiertas desempeñadas por el JTRIG. La agencia ha respondido con su respuesta estándar:

"Es una política antigua del departamento no hacer declaraciones sobre asuntos de inteligencia. Más allá de ello, el trabajo del GCHQ se lleva a cabo de acuerdo con un marco legal y de política muy estricto, lo que asegura que nuestras actividades sean autorizadas de manera necesaria y proporcionada, y que existe una supervisión rigurosa, entre ellas la del secretario del ESTADO, los Comisionados de los Servicios de Intercepción y de Inteligencia, la inteligencia del parlamento y el Comité de Seguridad", ha comentado un responsable del GCHQ a través de un correo electrónico.

A pesar de que internet ha procurado a los ciudadanos un poderoso mecanismo para organizar y sublevarse online contra los regímenes opresores, también ha suministrado un mecanismo igualmente poderoso a las agencias de inteligencia, que les ha permitido acceder y distinguir a los manifestantes.

Mientas muchas otras plataformas de protesta se han aprovechado de la naturaleza abierta de internet, estas desearán inevitablemente querer desarrollar los medios que les permitan sobreponerse a las infiltraciones de sus adversarios aprovechándose del mismo aperturismo.

La campaña de infiltración indiscriminada orquestada por los espías británicos, una campaña de la que no se había tenido noticia hasta ahora, demuestra hasta qué punto en el universo online cualquier herramienta se puede convertir en un arma de doble filo.

Mustafa es un investigador en seguridad y asesor online como @musalbas. Cuando tenía 16 años formó parte del colectivo LulzSec, cuyos miembros se convertirían en objetivos de la unidad de espías del GCHQ.

Sigue a VICE News En Español en Twitter: @VICENewsES