Hace dos semanas, los observadores del extraño y restringido rincón de Internet de Corea del Norte comenzaron a notar que el país parecía estar lidiando con serios problemas de conectividad. En varios días diferentes, prácticamente todos sus sitios web (solo tiene unas pocas docenas) se desconectaron intermitentemente al mismo tiempo, desde el sitio de reservas de su aerolínea Air Koryo hasta Naenara, una página que sirve como portal oficial para el dictador Kim. Al menos uno de los enrutadores centrales que permiten el acceso a las redes del país pareció estar paralizado en un punto, paralizando las conexiones digitales al mundo exterior.
Algunos observadores de Corea del Norte advirtieron que un algún país el país podrían haber lanzado un ataque cibernético contra el estado, ¿el motivo?, Corea del Norte acababa de realizar una serie de pruebas de misiles, lo que implica que los piratas informáticos pudieron mandar este mensaje.
Pero la responsabilidad de dichas interrupciones de Internet en Corea del Norte no recae en el Comando Cibernético de EE. UU. ni en ninguna otra agencia de piratería patrocinada por el estado. De hecho, fue el trabajo de un solo hombre estadounidense con pijama y pantuflas, sentado en su sala de estar, viendo películas de Alien y comiendo palomitas, y que desde su casa realizaba dichas interrupciones al Internet de todo un país.
Hace poco más de un año, un hacker solitario que se hace llamar P4x fue pirateado por espías norcoreanos. P4x fue solo una de las víctimas de una campaña de piratería dirigida a investigadores de seguridad occidentales con el objetivo aparente de robar sus herramientas de piratería y detalles sobre las vulnerabilidades del software. Él comenta que logró evitar que esos piratas informáticos robaran información personal de valor.
Después de un año, P4x ha tomado el asunto por sus propias manos. P4x habló con WIRED y compartió impresiones de pantalla para verificar su responsabilidad en los ataques, pero se negó a usar su nombre real por temor a enjuiciamiento o represalias.
P4x dice que ha encontrado numerosas vulnerabilidades sin parchear en los sistemas de Corea del Norte que le han permitido lanzar ataques de «denegación de servicio» en los servidores y enrutadores de los que dependen las pocas redes conectadas a Internet del país. En su mayor parte, se negó a revelar públicamente esas vulnerabilidades, pero nombró, como ejemplo, un error conocido en el software del servidor web NginX que maneja mal ciertos encabezados HTTP, lo que permite que los servidores que ejecutan el software se vean abrumados y desconectados. También aludió a encontrar versiones «antiguas» del software de servidor web Apache, y dice que comenzó a examinar el propio sistema operativo casero nacional de Corea del Norte, conocido como Red Star OS.
P4x dice que ha automatizado en gran medida sus ataques a los sistemas de Corea del Norte, ejecutando periódicamente scripts que enumeran qué sistemas permanecen en línea y luego lanzando exploits para eliminarlos. «Para mí, esto es como un pentest».
Esos métodos de piratería relativamente simples han tenido efectos inmediatos. Los registros del servicio de medición del tiempo de actividad Pingdom muestran que durante el hackeo de P4x, casi todos los sitios web de Corea del Norte estaban caídos. (Algunos de los que se quedaron arriba, como el sitio de noticias Uriminzokkiri.com, tienen su sede fuera del país). Junade Ali, un investigador de seguridad cibernética que monitorea Internet en Corea del Norte, dice que comenzó a observar lo que parecía ser algo extraño pero a gran escala. los ataques a Internet del país comenzaron hace dos semanas y desde entonces ha seguido de cerca los ataques sin tener idea de quién los estaba llevando a cabo.
Ali dice que vio fallas en los enrutadores clave del país, no solo el acceso a los sitios web del país, sino también a su correo electrónico y otro servicio basado en Internet. “A medida que fallan los enrutadores, sería literalmente imposible que los datos se enruten a Corea del Norte”, dice Ali, describiendo el resultado como “una interrupción total de Internet que afecta al país”. (P4x señala que, si bien sus ataques a veces interrumpieron todos los sitios web alojados en el país y el acceso desde el extranjero a cualquier otro servicio de Internet alojado allí, no cortaron el acceso saliente de los norcoreanos al resto de Internet).
Por raro que sea que un solo hacker provoque un apagón de Internet de esa escala, no está nada claro qué efectos reales han tenido los ataques en el gobierno de Corea del Norte. Para empezar, solo una pequeña fracción de los norcoreanos tiene acceso a sistemas conectados a Internet, dice Martyn Williams, investigador del Proyecto 38 Norte del grupo de expertos Stimson Center. La gran mayoría de los residentes están confinados a la intranet del país. Williams dice que las docenas de sitios que P4x ha eliminado repetidamente se utilizan en gran medida para propaganda y otras funciones dirigidas a una audiencia internacional.
P4x dice que su piratería hasta ahora se ha centrado en probar y sondear para encontrar vulnerabilidades. Ahora tiene la intención de intentar piratear los sistemas de Corea del Norte para robar información y compartirla con expertos. Al mismo tiempo, espera reclutar a más hacktivistas para su causa con un sitio web oscuro que lanzó hace unos días llamado FUNK Project, es decir, «FU North Korea».
“Este es un proyecto para mantener la honestidad de Corea del Norte”, se lee en el sitio del Proyecto FUNK. “Puedes marcar la diferencia como una sola persona. El objetivo es realizar ataques proporcionales y recopilar información para evitar que NK piratee el mundo occidental”.
P4x dice que sus esfuerzos hacktivistas están destinados a enviar un mensaje no solo al gobierno de Corea del Norte, sino también al suyo propio. Sus ataques cibernéticos a las redes de Corea del Norte son, dice, en parte un intento de llamar la atención sobre lo que él ve como una falta de respuesta del gobierno a los ataques de Corea del Norte contra individuos estadounidenses. “Si nadie me va a ayudar, me ayudaré a mí mismo”, dice.
P4x recuerda cuando fue atacado por espías de Corea del Norte. A fines de enero de 2021, abrió un archivo que le envió un compañero hacker. Solo 24 horas después, vio una publicación en el blog del Grupo de análisis de amenazas de Google que advertía que los piratas informáticos de Corea del Norte estaban apuntando a los investigadores de seguridad. Efectivamente, cuando P4x analizó el archivo que le habían enviado, vio que contenía un backdoor. P4x había abierto el archivo en una máquina virtual, poniéndolo digitalmente en cuarentena del resto de su sistema. Sin embargo, se sorprendió y consternó al darse cuenta de que Corea del Norte lo había atacado personalmente.
P4x dice que más tarde el FBI se puso en contacto con él, pero que nunca se le ofreció ninguna ayuda real para evaluar el daño causado por el ataque o para protegerlo. Tampoco existió ninguna consecuencia para los hackers que lo atacaron. Comenzó a sentirse, como él lo expresó, «realmente no hay nadie de nuestro lado».
Cuando WIRED le preguntó al FBI sobre su respuesta a los ataques de Corea del Norte contra los investigadores de seguridad de EE.UU. , se lee en el comunicado del FBI. “El FBI se compromete a perseguir a los actores y países maliciosos detrás de los ataques cibernéticos, y no tolerará el robo de propiedad intelectual ni la intimidación”.
Después de su experiencia como objetivo del ciberespionaje patrocinado por el estado, P4x pasó gran parte del año siguiente en otros proyectos. Pero después de que había pasado un año, aún sin declaraciones públicas o privadas del gobierno federal sobre el ataque a los investigadores de seguridad y ninguna oferta de apoyo de ninguna agencia de EE. UU., P4x dice que decidió que era hora de hacer su propia declaración tanto a los norcoreanos y gobiernos estadounidenses.
Dave Aitel, un ex pirata informático de la NSA y fundador de la empresa de seguridad Immunity, fue objeto de la misma campaña de espionaje. Pero se pregunta si P4x ha adoptado un enfoque productivo para vengarse, dado que en realidad puede estar interfiriendo en el camino de los esfuerzos de inteligencia más sigilosos que apuntan a las mismas computadoras de Corea del Norte.
“No me gustaría interrumpir los esfuerzos de inteligencia occidentales reales que ya están en marcha en esas máquinas, suponiendo que haya algo de valor allí”, dice Aitel.
Sin embargo, Aitel está de acuerdo en que ha faltado la respuesta del gobierno a la campaña de Corea del Norte. Dice que nunca recibió ningún contacto de una agencia gubernamental y culpa de ese silencio específicamente a los la Agencia de Seguridad de Infraestructura y Ciberseguridad. “Esta es una de las pelotas más grandes que CISA, en particular, ha dejado caer”, dice Aitel. “Estados Unidos es bueno para proteger al gobierno, está bien para proteger a las corporaciones, pero no protege a las personas”. Señala que muchos de los investigadores de seguridad objetivo probablemente tenían acceso significativo a vulnerabilidades de software, redes empresariales y el código de herramientas ampliamente utilizadas. Eso podría resultar, dice, en «el próximo SolarWinds».
P4x tiene claro que su trabajo tiene como objetivo principal enviar un mensaje al régimen de Kim, al que describe como quien lleva a cabo «abusos insensatos de los derechos humanos y un control total sobre su población». Si bien reconoce que sus ataques probablemente violan las leyes de piratería y fraude informático de EE. UU., argumenta que no ha hecho nada éticamente incorrecto. “Mi conciencia está tranquila”, dice.