Cómo la inteligencia británica engañó a la disidencia de la Primavera Árabe

Una unidad secreta de la agencia británica de inteligencia conocida como el Cuartel General de Comunicaciones del Gobierno (GCHQ por sus siglas en inglés) habría intentado influir en los activistas que operaban en línea durante las manifestaciones presidenciales del 2009 en Irán y durante los sucesivos levantamientos democráticos populares, a los que se conocería como la Primavera Árabe. Así lo concluyen nuevas evidencias acumuladas en los documentos filtrados por Edward Snowden.

La unidad especial del GCHQ, más conocida como el Frente de Investigación contra la Amenaza de Inteligencia (JTRIG por sus siglas en inglés), salió a la luz por primera vez en 2014, cuando la filtración de documentos secretos reveló que habrían intentado infiltrar y manipular — gracias al empleo de subterfugios, de artimañas y de engaños — a la comunidad en línea, en la que se contarían, entre otros, los miembros del colectivo de piratas informáticos Anonymous.

De tal manera, y si bien las tramas del grupo contra los activistas online ya se habían denunciado antes, lo cierto es que hasta ahora no había trascendido ninguna de sus campañas en Oriente Medio. Si este redactor ha logrado destaparlo es porque fue uno de sus objetivos en el pasado. Ser víctima de estas artimañas facilita el conocimiento de algunos detalles clave sobre la manera en que funciona esta unidad, como el empleo de un servicio acortador de URLs que ya había sido incluido en los documentos filtrados por Snowden, publicados el 2014.

EL ENGAÑO

El GCHQ estableció un servicio acortador de URLs, llamado lurl.me, el que permitía captar señales de inteligencia online de elementos disidentes o conflictivos. La dirección lurl.me fue usada en Twitter y en otras redes sociales para propagar mensajes revolucionarios en Oriente Medio.

Los mensajes en cuestión buscaban atraer a gente que estaría manifestándose en contra de su gobierno con la intención de manipularlos y de obtener información sobre sus movimientos, para así multiplicar el prestigio de la agencia a la hora de descifrar maniobras subterráneas y permitir que continuara con el propósito de expandir sus servicios globalmente. La dirección acortadora de URLs facilitaba el rastreo de sus víctimas.

El proyecto vinculado a la unidad GCHQ, llamado Frente de Investigación contra la Amenaza de Inteligencia, tendría la misión de emplear "tácticas sucias" para "destruir, desmentir, y perturbar a los enemigos y así desacreditarlos", tal y como se deduce a partir los documentos filtrados.

El servicio acortador de URLs fue bautizado en código como DEADPOOL y es una de las llamadas herramientas de "organización y persuasión" empleadas por la división para conseguir sus objetivos, tal y como reveló un documento de la organización filtrado en 2014.

A principios de aquel mismo año, la cadena NBC News publicó un documento filtrado que demostraba que el JTRIG habría atacado a las células activistas Anonymous y LulzSec. Lo hizo lanzando un ataque de denegación de servicio (DDoS por sus siglas en inglés) en los servidores que procuraban el servicio de chat conocido como Internet Relay Network (IRC en sus siglas inglesas) de ambas organizaciones.

El departamento de servicios secretos británicos también habría conseguido identificar a disidentes gracias al empleo de técnicas de ingeniería social; esto es mediante el empleo de trampas de seguridad informática, como engañarles para que hicieran clic en enlaces corruptos, una técnica habitual entre los cibercriminales.

Una imagen muestra a un agente encubierto mandando un link — que en la imagen aparece redactado por la cadena NBC — a un individuo que respondería al nombre de P0ke. Según esta imagen, la apertura del enlace permitiría activar las señales de inteligencia necesarias para descifrar la auténtica identidad de P0ke, además de su correo electrónico y de su perfil en Facebook.

En el otoño de 2010 este redactor era miembro desde hacía poco de la red AnonOps IRC, que fue atacada por el JTRIG y empleada por un agente encubierto del GCHQ para contactar a P0ke. Más tarde, en 2011, yo fui cofundador de LulzSec junto a otros tres socios. El documento filtrado también revela que JTRIG estaría monitoreando las conversaciones entre P0ke y el ex miembro de LulzSec, Jake Davis, quien entonces utilizaba el seudónimo virtual Topiary.

A través de múltiples fuentes, Motherboard confirmó que el link redactado para descubrir la auténtica identidad de P0ke fue mandado a través de la web lurl.me.

ALTERACIÓN ENCUBIERTA

Las investigaciones posteriores sobre el servicio acortador de URLs, un servicio que usaba datos públicos para consumar su engaño, han destapado un caso de lo más revelador. Según han concluido las investigaciones, el JTRIG habrían empleado la llamada herramienta DEADPOOL para consumar otras operaciones, entre ellas algunas intervenciones encubiertas en Oriente Medio.

El Internet Archive muestra que la página web estuvo activa desde junio de 2009 y señala que la última vez que estuvo online fue en noviembre de 2013. Una captura de pantalla de la web muestra que se trataba de "un servicio gratuito de URL acortada para "que consigas acceder a los links de tu familia y de tus amigos más deprisa".

Los recursos públicos online, los buscadores y las webs de las grandes corporaciones de las redes sociales, como las de Twitter, Blogspot y YouTube, muestran cómo todas estas habrían sido utilizadas para consumar los objetivos geopolíticos del GCHQ contemplados en los documentos previamente filtrados. Casi todas las 69 páginas de Twitter que Google tiene registradas bajo la referencia lurl.me se refieren a tuits antigubernamentales que habrían sido emitidos por presuntos activistas iraníes y de Oriente Medio.

La gran mayoría pertenece a perfiles de Twitter ilustrados por el avatar de un huevo, que ilustra a todos los que no se han atribuido un imagen, y han estado apenas activas durante unos pocos días y tienen solo un puñado de tuits. Sin embargo, existieron dos cuentas legítimas que habrían estado escribiendo tuits durante un periodo de un año y que han retuiteado o se han referido al resto de perfiles tuiteando a través del acortador de URLs.

Según los datos de la agencia publicados The Intercept, una de las estrategias para calibrar la efectividad de una operación consiste en comprobar online si un mensaje "ha sido entendido, aceptado, recordado y si ha variado el comportamiento de los usuarios de la red". Se trata de algo que podría consistir, por ejemplo, en rastrear las identidades de todos aquellos que hayan compartido o hecho click en los links de lurl.me creados por GCHQ.

Otro documento del JTRIG publicado por The Intercept y titulado "Apoyo para las Ciencias Conductuales para los efectos provocados por el JTRIG y operaciones online HUMINT (de inteligencia humana)", puede usarse para descifrar el contenido de los perfiles de las redes sociales que han empleado el servicio acortador de URLs.

El JTRIG dispone de un grupo de operaciones para objetivos globales que, a su vez, dispone de un equipo en Irán, según relata el documento. El documento detalla que "el equipo de Irán está trabajando actualmente para trabajar contra la proliferación contraria. Y que lo hace: (1) desacreditando a la cúpula iraní y a su programa nuclear; (2) retrasando y alterando el acceso a materiales empleados en el programa nuclear; (3) conduciendo la página de HUMINT; (4) contra censurando".

El documento explica detalladamente los métodos que el JTRIG emplea para conseguir sus objetivos, como crear personas falsas, subir vídeos a YouTube y crear grupos de Facebook para impulsar información específica o determinados planes. Muchas de las técnicas son evidentes en algunos perfiles que usan el servicio acortador de URL de manera agresiva.

AGENTES DE LA CAMPAÑA

Al parecer existe un pequeño número de cuentas de Twitter que solo estuvieron activas durante junio de 2009, apenas cuentan con seguidores y han tuiteado repetidamente el mismo contenido y los links de lurl.me. Uno de los perfiles más tempranos y prolíficos a la hora de tuitear usando el servicio corto de URL es 2009iranfree.

Un larga franja de la red de Twitter llamada sockpucket, prácticamente inactiva, parece darle vueltas a la idea de permitir que los iraníes puedan accedan a información que, de otro modo, será censurada por el régimen.

En el documento del JTRIG sobre la ciencia conductual a esto se les llama "suministrar acceso online a material no censurado (para alterarlo)". Tal objetivo se consigue suministrando información sobre páginas web bloqueadas, además de acceso internacional a los informativos de noticias. La web más recurrente a la que se refieren los perfiles de Twitter es iran.news.info, una web dedicada a reproducir varias noticias en inglés sobre Irán.

Podría parecer que los objetivos de los manifestantes antigubernamentales en el GCHQ sean comunes en el sentido de que ambos persiguen desacreditar al régimen y acudir a la contra censura. Sin embargo, vale la pena recordar que otro de los objetivos señalados por el programa de JTRIG en Irán no es más que llevar a cabo misiones de inteligencia online y lurl.me ha sido tradicionalmente empleada para activar las señales que permitan la identificación de posibles activistas, tal y como se muestra en el documento filtrado del GCHQ al que se titula como hacktivismo.

Un tema curioso y recurrente de los perfiles de Twitter de esta red es alentar a los lectores que están lejos de Irán a que llamen a un determinado número de teléfono para quejarse. En los tuits se asegura que se trata del teléfono del presidente del país. El número también fue posteado en el foro de activismo WhyWeProtest. Uno de los métodos que describe el documento filtrado del JTRIG consiste en "simular ser una persona real (para desacreditarla, promover la desconfianza, disuadir, embaucar, detener, retrasar o alterar").

Más allá de este último objetivo, el de alterar, que sigue sin estar claro, parece que en última instancia el llamado habría sido efectivo para sembrar la desconfianza; uno de los comentarios de la cadena reza: "No puede ser el de #Ahmadineyad. Y si lo fuera, la segunda llamada sería respondida por los servicios de inteligencia de Irán. Y pese a todo, siguen habiendo días raros. Imagino que cualquier cosa podría suceder llegado este punto".

LA ENREDADA WEB

El servicio acortador de URLs no tuvo más actividad en Twitter en todo 2010. La siguiente vez que irrumpió fue en 2011, fundamentalmente a través de un perfil que estaría tuiteando desde Siria durante la Primavera Árabe, bajo el nombre access4syria. La cuenta solo estuvo activa en mayo y junio de 2011 y tan solo escribió sus tuits entre las 9 de la mañana y las 5 de la tarde, de lunes a viernes, en horario británico.

Parece extraño que al tiempo que se encarga de gestionar identidades falsas, el JTRIG solo tenga capacidad por controlar un número limitado de perfiles que contienen exactamente la misma información, tan solo en momentos concretos y sólo en inglés. Sin embargo una página del documento filtrado del JTRIG ofrece alguna información sobre las dificultades que estarían pasando los agentes del JTRIG a la hora de llevar a cabo las operaciones. Entre las complicaciones experimentadas se contarían la de contar con solo dos o tres alias y su limitado acceso a asesores lingüísticos.

El perfil de activismo sirio, al igual que sucede con los perfiles iraníes, también se centra en el objetivo de suministrar a los ciudadanos maneras de eludir la censura de sus gobiernos.

El perfil también tuiteó una serie de instrucciones en árabe para eludir la censura de un perfil de Blogspot.

Las instrucciones en árabe alientan a los lectores a "conectarse a internet vía satélite o desde las casas de tus amigos, las tiendas de internet o las oficinas de empresas", para así no quedar desconectados. También sugiere el empleo de "un proxy para acceder a las páginas bloqueadas. Esto te permitirá utilizar internet de manera segura. Por ejemplo, puedes utilizar el siguiente proxy" y sigue hasta dar direcciones de IP para utilizar como proxys.

Aquellos que hayan usado los proxys asociados al JTRIG podrían descubrir que no son lo que parecen ser. Por ejemplo, una de las herramientas empleadas por el JTRIG como engaño y contemplada en la misma categoría que la herramienta de servicio acortador de URLs es el llamado MOLTEN-MAGMA que es un "CGI http Proxy con la capacidad de registrar todo el tráfico y el comportamiento de los intermediarios de las http". En otras palabras, JTRIG podría espiar a aquellos que usaran el proxy MOLTEN-MAGMA.

El registro de acceso acortado lurl.me fue visto online por última vez, de acuerdo con archive.org, en noviembre de 2013, solo unos meses después de que trascendieran las filtraciones de Snowden.

Se le han remitido preguntas al GCHQ sobre si habría creado los perfiles descubiertos y lurl.me y sobre qué procedimientos y políticas estaban se estaban utilizando para asegurar la supervisión de las actividades encubiertas desempeñadas por el JTRIG. La agencia ha respondido con su respuesta estándar.

"Es una política antigua del departamento no hacer declaraciones sobre asuntos de inteligencia. Más allá de ello, el trabajo del GCHQ se lleva a cabo de acuerdo con un marco legal y de política muy estricto, lo que asegura que nuestras actividades sean autorizadas de manera necesaria y proporcionada y que existe una supervisión rigurosa, entre ellas la del secretario del Estado, los Comisionados de los Servicios de Intercepción y de Inteligencia, la inteligencia del parlamento y el Comité de Seguridad" comentó un responsable del GCHQ a través de un correo electrónico.

A pesar que internet ha procurado a los ciudadanos un poderoso mecanismo para organizar y sublevarse en línea contra los regímenes opresores, también ha suministrado un mecanismo igualmente poderoso a las agencias de inteligencia, que les ha permitido acceder y distinguir a los manifestantes.

Mientras muchas otras plataformas de protesta se han aprovechado de la naturaleza abierta de internet, estas inevitablemente quieren desarrollar los medios que les permitan sobreponerse a las infiltraciones de sus adversarios, aprovechándose de la misma apertura.

La campaña de infiltración indiscriminada orquestada por los espías británicos, una campaña de la que no se había tenido noticia hasta ahora, demuestra hasta qué punto en el universo online cualquier herramienta se puede convertir en un arma de doble filo.

Mustafa es un investigador en seguridad y asesor online como @musalbas. Cuando tenía 16 años formó parte del colectivo LulzSec, cuyos miembros se convertirían en objetivos de la unidad de espías del GCHQ.