Cómo apoyan las operaciones cibernéticas al sistema estatal
– Las unidades norcoreanas se concentran principalmente en el espionaje político y económico y en la obtención de divisas. Los ataques disruptivos son actualmente bastante improbables.
– Los fondos generados se destinan principalmente a la estabilización política y económica del Estado y a la ampliación de las capacidades militares nucleares y convencionales.
– Hasta la fecha, se han obtenido entre 3,000 y 6,000 millones de dólares estadounidenses (sin contar los casos no reportados) mediante el uso de recursos cibernéticos.
– Estas actividades pueden contrarrestarse detectando y dando a conocer los procedimientos norcoreanos, así como mediante el reconocimiento de posibles instituciones objetivo.
– Las unidades norcoreanas actúan de forma oportunista y flexible. Es de esperar que los ataques continúen a pesar de las contramedidas. Por el momento, no existe una amenaza significativa para Alemania.
En años recientes, la República Popular Democrática de Corea (RPDC) ha instrumentalizado cada vez más el espacio cibernético e informativo para aplicar su programa de política de Estado, explotando todo el espectro de posibles objetivos operativos: sabotaje e interrupción, señalización, espionaje político, espionaje económico, obtención de divisas extranjeras y propaganda. Según Kim Jong-un, los ciberataques funcionan junto a las armas nucleares como una “espada multiusos” para alcanzar los objetivos del régimen.
Objetivos e impacto
Unidades de la RPDC han lanzado repentinamente ataques disruptivos para sabotear e interrumpir los sistemas enemigos con el fin de forzar concesiones políticas de Corea del Sur y EE. UU. o como instrumento de señalización política: hasta ahora infructuosos. Ejemplos notables en este contexto fueron varias operaciones contra sistemas informáticos en Corea del Sur, como la “Operation Dark Seoul” [1] y “Ten Days of Rain”, que provocaron trastornos generalizados en el país. No se habían observado actividades comparables desde 2014; cabe suponer que las actividades cibernéticas ofensivas tuvieron escaso impacto como medio de diplomacia coercitiva. Por lo tanto, cabe suponer que la RPDC no llevará a cabo por el momento ninguna operación fuera de un escenario militar.
Hasta ahora, el espionaje político se ha dirigido principalmente contra instituciones civiles y públicas surcoreanas, así como contra organizaciones internacionales y particulares extranjeros. El objetivo de las operaciones es obtener información estratégica y relevante para la política de seguridad. En los últimos años, por ejemplo, se ha atacado a once miembros del Consejo de Seguridad de la ONU para obtener información sobre resoluciones de sanciones [2]. También han sido comprometidos grupos de reflexión (think tanks) y periodistas internacionales para obtener información sobre evaluaciones extranjeras de la situación de la RPDC [3]. Las actividades mencionadas continúan y se adaptan con flexibilidad a los intereses políticos del régimen. No se puede suponer que Corea del Norte se abstendrá de realizar espionaje político.
En cuanto a las actividades de espionaje por motivos económicos, la RPDC lleva a cabo operaciones para generar información sobre sectores económicamente relevantes. En el pasado, el objetivo principal eran las empresas internacionales de defensa con el fin de obtener información técnica para el desarrollo de sistemas modernos de armamento, incluidas las armas nucleares [4]. Sin embargo, durante la pandemia de COVID-19 de 2020 a 2022, el Estado también atacó a los fabricantes de vacunas en el extranjero para asegurar la producción autosuficiente de vacunas de la RPDC. El espionaje económico es similar al espionaje político en sus cálculos y está orientado a los objetivos estratégicos de los dirigentes del Estado. Es de esperar que la RPDC lleve a cabo más ataques contra empresas de tecnología satelital en el futuro para respaldar sus esfuerzos recientes de producir armas basadas en el espacio y sistemas de reconocimiento.
Los ataques con motivación financiera para obtener divisas extranjeras se vienen observando desde 2011 aproximadamente. Al principio, el enfoque de los actores se dirigía principalmente a objetivos de bajo umbral, como las plataformas de juegos. Sin embargo, a partir de 2015, se produjo un aumento de la calidad y la cantidad de las actividades. La RPDC atrajo la atención internacional con complejas campañas de ataques contra instituciones financieras: comprometiendo el sistema internacional de pagos SWIFT y atacó el mecanismo de pago de los cajeros automáticos, así como una campaña mundial de ransomware WannaCry [5]. Los ataques contra el sector financiero generaron aproximadamente dos mil millones de dólares estadounidenses, y las actividades de ransomware provocaron la encriptación de 230,000 sistemas en 150 países.
En respuesta a las operaciones, el enfoque de la RPDC fue expuesto por instituciones internacionales de ciberseguridad que cooperaron internacionalmente, y se implementaron los mecanismos de protección adecuados. Como resultado, la rentabilidad de los ataques se redujo significativamente y la RPDC tuvo que reajustar su estrategia. Desde entonces, los atacantes se han centrado cada vez más en las plataformas de criptomonedas no gubernamentales, que siguen demostrando ser un objetivo rentable y preferido. Estas plataformas suelen tener bajos estándares de seguridad y atraen menos atención pública que un banco si se ven comprometidas. Como parte de las operaciones, los piratas informáticos de la RPDC acceden a cuentas bancarias digitales y transfieren las criptomonedas a un monedero norcoreano. A continuación, la moneda se blanquea a través de diversos mecanismos y se convierte en moneda fiduciaria. Desde 2015, la RPDC ha sido capaz de generar de este modo entre 3,000 y 6,000 millones de dólares estadounidenses. Sin embargo, cabe suponer que el número de casos no denunciados es mucho mayor. Se dice que en 2020 se obtuvieron 1,700 millones de dólares estadounidenses mediante ataques maliciosos. Aparte del uso del malware WannaCry [6], no se conocen ataques con motivación financiera contra objetivos alemanes.
Motivos
La RPDC no dispone de una doctrina cibernética oficial que permita conocer los cálculos estratégicos de los dirigentes del Estado. Sin embargo, los motivos del régimen pueden deducirse de la situación política del Estado, las especificaciones del ciberespacio y los objetivos finales del Estado.
Pionyang se ve inminentemente amenazado por la presencia militar estadounidense y su alianza con Corea del Sur. Este es un factor clave para la ejecución de ataques disruptivos. En caso de conflicto militar, los medios cibernéticos pueden utilizarse como instrumento de guerra asimétrica. En tiempos de paz, el régimen utiliza el ciberespacio para llevar a cabo ataques contra otros Estados sin arriesgarse a una escalada con sistemas de armas convencionales. Esta estrategia de “mil incomodidades” sirve para demostrar poder, generar recursos financieros que se necesitan con urgencia y legitimar el liderazgo del Estado tanto en términos de política interior como exterior.
Debido a la insuficiencia económica, las sanciones internacionales y la gran demanda de productos importados, el Estado norcoreano depende de las divisas extranjeras para mantener su economía interna, financiar artículos de lujo para la élite y seguir ampliando su capacidad armamentística nuclear y convencional.
El régimen utiliza métodos clandestinos e ilegales para obtener divisas extranjeras desde 1970. En este contexto, los ciberataques parecen ser ahora el instrumento más lucrativo para contrarrestar el déficit económico. Por un lado, esto puede atribuirse al declive de los métodos convencionales. Por ejemplo, la producción de dinero falso, el contrabando y la esclavitud moderna de ciudadanos norcoreanos en el extranjero han sido combatidos intensamente por la comunidad internacional [7]. Además, puede observarse una correlación entre el aumento de la inversión en el programa de armas nucleares y el incremento de la cantidad y calidad de las operaciones cibernéticas. Las tácticas de adquisición en el ciberespacio son difíciles de prevenir debido a la opacidad e inmaterialidad del dominio. Los actores pueden actuar sin ser detectados y en impunidad, además de negar las acusaciones de forma plausible. Más aún, la relación costo-beneficio favorece a los atacantes. Las contramedidas activas (como los hackbacks) contra la RPDC son en gran medida ineficaces, ya que Corea del Norte apenas ofrece superficie de ataque debido a su bajo nivel de digitalización. Se sospecha que Estados Unidos ha desbaratado ocasionalmente la infraestructura de ataque norcoreana, pero sin éxito apreciable.
Para obtener una visión teórica de la motivación del Estado, es esencial la Doctrina Songun (los militares primero), que ha determinado las acciones políticas del régimen desde 2009. La doctrina da prioridad a la preparación de la nación para defenderse frente a las amenazas percibidas. Los recursos estatales se invierten principalmente en el aparato de defensa de la RPDC, cuyo núcleo es el programa de armas nucleares. La idea básica de la Doctrina Songun es la interacción entre un ejército fuerte y la prosperidad económica. Según la doctrina, una industria armamentística fuerte debe generar suficientes recursos financieros mediante la exportación de equipos militares y, al mismo tiempo, garantizar la integridad territorial del Estado. Las élites del país, entre las que también figuran las unidades cibernéticas, se dedican oficialmente en primer lugar al sector de la defensa. Por lo tanto, está en consonancia con la doctrina que la mayoría de las inversiones y operaciones de espionaje industrial sirven para promover lo militar.
Organización
La organización de los grupos cibernéticos norcoreanos no puede determinarse con claridad debido a diversas declaraciones contradictorias. Sin embargo, se sabe que las unidades cibernéticas están subordinadas al Ejército Popular de Corea, cuyo comandante en jefe es el “Líder Supremo Kim Jong-un”. Se dice que la mayoría de los actores conocidos tiene su base en la Oficina 121 del Servicio de Inteligencia Militar de la Oficina General de Reconocimiento (RGB, por sus siglas en inglés). Las unidades asignadas aquí incluyen el Grupo Lazarus, Bluenrrof y Kimsuky [8]. También es posible que partes del aparato cibernético estén subordinadas al Ministerio de Seguridad del Estado. Junto al RGB, la Oficina 39 tiene una importancia central, ya que al parecer es responsable de la generación convencional de recursos financieros. Debido a los objetivos comunes de las organizaciones, cabe suponer que existe una cooperación operativa. Recientemente se ha observado un cambio en la organización y las responsabilidades de los actores. Mientras que en el pasado las agrupaciones funcionaban independientemente unas de otras, desde 2022 se ha observado una fusión de las unidades. También ha habido un intercambio de responsabilidades e instrumentos entre los agentes, lo que sugiere una cooperación modificada (división del trabajo), más eficaz y que ahorra recursos. La formación y el perfeccionamiento de las unidades tiene lugar tanto en universidades de la RPDC como en China [9]. Una característica clave de la organización cibernética norcoreana es el despliegue estratégico de unidades disfrazadas de especialistas informáticos en el extranjero. Los actores operan desde sus respectivas ubicaciones, lo que dificulta la atribución y reduce los costes estatales.
Perspectivas
El régimen norcoreano seguirá llevando a cabo operaciones en el ciberespacio para alcanzar objetivos estatales y probablemente lo hará aún más en el futuro. Las operaciones con motivación financiera y el espionaje en particular son ahora un instrumento esencial de la política estatal. Los motivos fundamentales también están anclados en el sistema doctrinal de la RPDC. El programa nuclear y de misiles del país requiere altos niveles de inversión e información técnica. Al mismo tiempo, el Estado está cada vez más presionado por sus problemas económicos. Por lo tanto, es difícil predecir cómo evolucionarán en el futuro las políticas volátiles e impulsivas del régimen. Si los ataques a cuentas digitales, mercados de criptomonedas o flujos financieros digitales siguen resultando lucrativos, no cabe suponer que Pionyang abandone la obtención de divisas extranjeras mediante operaciones cibernéticas selectivas. La cooperación entre las unidades de la RDPC y aliados políticos como Rusia, China o Irán no ha sido observada en ocasiones. La cooperación interestatal en el ciberespacio requiere un alto grado de coordinación e integración operativa, algo bastante improbable dados los actuales intereses políticos del régimen. Las actividades de la RPDC en el ciberespacio aún no han supuesto ninguna amenaza particular para la República Federal de Alemania. Sin embargo, a la más mínima erosión de las tensas relaciones diplomáticas actuales entre la RPDC, Corea del Sur y Estados Unidos podría tener consecuencias devastadoras para la situación de seguridad mundial. En 2019, las Naciones Unidas ya habían iniciado las medidas correspondientes, como la intensificación de las sanciones, la denuncia pública y el aumento de la cooperación transnacional, con el fin de frenar el impacto de los atentados y sus efectos políticos [10]. Sin embargo, es probable que la fluctuación de los precios de las criptomonedas o el aumento de las medidas de seguridad de las plataformas puedan contrarrestar los ataques. Las autoridades de seguridad se han concentrado hasta ahora en la detección y publicación de las TTP (Tácticas, Técnicas y Procedimientos) norcoreanas. Este enfoque y la amplia difusión de información relacionada con los atacantes han demostrado ser en ocasiones los medios más eficaces para mitigar los ataques. Sin embargo, debido a la gran importancia para la doctrina y las finanzas del Estado, cabe suponer que la RPDC adaptará sus métodos y buscará nuevas vías. Por lo tanto, actualmente es importante vigilar el enfoque, reforzar la resistencia de los objetivos de ataques y prevenir los métodos de adquisición en el espacio digital y cinético lo mejor posible con los socios internacionales.
En la actualidad, los actores de la RPDC sólo tienen una relevancia limitada para Alemania. Hasta la fecha se han observado pocos ataques significativos contra objetivos regionales. Actualmente no hay indicios de una futura priorización operativa para Alemania.
More about this:
© 2024 The Author(s). This is an Open Access article distributed under the terms of the Creative Commons Attribution License (https://creativecommons.org/licenses/by-sa/4.0/), which permits unrestricted use, distribution, and reproduction in any medium, provided the original work is properly cited. The terms on which this article has been published allow the posting of the Accepted Manuscript in a repository by the author(s) or with their consent.
First published in :
KAF – Konrad Adenauer Foundation
