En un bloque gris de oficinas de un barrio discreto de Moscú tiene su sede NTC Vulkan. No hay guardias en la entrada, aunque para acceder hay que atravesar varias puertas de seguridad videovigiladas. Según su página web, Vulkan es una empresa privada con 135 empleados que se dedica a la asesoría informática.

Presume de que cuentan entre sus clientes a IBM (la compañía norteamericana asegura que cortó su vinculación en 2020) y Toyota Bank, pero el negocio de consultoría solo es una tapadera. Sus ingenieros son capaces de inutilizar la torre de control de un aeropuerto, provocar el descarrilamiento de trenes o interrumpir el suministro eléctrico de una ciudad.

En realidad, los mejores clientes de Vulkan son las agencias de inteligencia rusas, sobre todo el Servicio Federal de Seguridad (o FSB, el heredero del legendario KGB) y el Directorio del Estado Mayor (GRU). Vulkan viene a ser una subcontrata de la que echa mano el Kremlin para el diseño de ciberarmas y la guerra electrónica. La prueba es que se ha financiado con más de 17.000 transferencias procedentes del aparato estatal, según la investigación de un consorcio de medios de ocho países que ha destapado los lazos entre Vulkan y el impenetrable complejo militar-industrial ruso.

Los investigadores han podido seguir algunas de las más audaces operaciones que han afectado a más de cien países en los últimos años. La mayor parte de los papeles procede de una filtración anónima a las publicaciones alemanas Der Spiegel y Süddeutsche Zeitung. «La gente debe conocer el peligro de que ciertas compañías informáticas (hay sospechas sobre más de cuarenta) colaboren con los servicios secretos», dijo la fuente.

Cinco servicios de inteligencia occidentales han confirmado la autenticidad del millar de documentos secretos filtrados; en total, 5299 páginas de correos electrónicos, planos y memorandos que abarcan el periodo 2016-2021 y que cubren todos los aspectos de la ciberguerra moderna, desde la censura y manipulación de contenidos en redes sociales hasta planes sobre ataques a infraestructuras críticas; entre ellas, una central nuclear en Suiza.

Objetivo: armas ofensivas y entrenamiento

Muchos empleados de Vulkan son licenciados de la Universidad Bauman de Moscú, una institución que mantiene estrechos lazos con el aparato de seguridad ruso. De hecho, el cofundador de Vulkan, Aleksander Irshavsky, está muy bien conectado. Irshavsky creó la empresa en 2010 junto con Anton Markov, su actual director. Ambos pasaron por una academia militar y son exoficiales. Vulkan no solo desarrolla nuevas armas ofensivas, sino que ha creado un programa de entrenamiento propio para adiestrar a los hackers al servicio del Estado. Por ejemplo, en 2017 se produjo un ataque a una refinería en Arabia Saudí que sigue al pie de la letra el programa de formación de Vulkan. Se trata de conseguir un «acceso no autorizado» a redes críticas y de «localizar sus puntos débiles».

Vulkan también ha desarrollado un sistema con el nombre en clave Amezit. Su finalidad: el control de la información en regiones específicas, ya sea en territorios ocupados, como Crimea o el Dombás, o en la propia Rusia, donde el Kremlin aspira a construir un Internet nacional cerrado al exterior, inspirado en el de China. Vulkan trabaja en este proyecto a las órdenes del FSB, el servicio de espionaje más poderoso de Rusia, con 350.000 personas en su plantilla. El propio Putin lo dirigió en los años noventa.

Hoy es su principal herramienta para reprimir a la oposición en el interior del país. Fue un comando del FSB el que intentó asesinar en 2020 al opositor Alekséi Navalni en Siberia: varios agentes depositaron la neurotoxina Novichok en su ropa interior. Otra unidad del FSB introdujo código malicioso en los ordenadores de centrales energéticas y empresas de petróleo y gas de 135 países.

La vinculación entre el FSB y Vulkan es tal que sus ingenieros acuden a la sede del FSB en la plaza moscovita de Lubianka para informar de sus gestiones. El hecho de que esta agencia de espionaje trabaje con empresas privadas a pesar de contar con sus propios departamentos especializados no es infrecuente. El confidente Edward Snowden tampoco trabajaba directamente para la NSA, la Agencia de Seguridad Nacional de Estados Unidos. A veces es más ágil externalizar trabajos a proveedores con experiencia. En mayo de 2020, un equipo de Vulkan visitó a otro de sus clientes vips: la inteligencia militar rusa (GRU).

El lugar de encuentro era Kimchi, una ciudad industrial a las afueras de Moscú. La cita tuvo lugar en un edificio acristalado de 20 plantas a orillas del Moscova. Los servicios de seguridad occidentales lo conocen bien. De hecho, figura en el escrito de acusación de la Fiscalía estadounidense contra la injerencia rusa en las elecciones presidenciales de 2016. El nombre oficial de esa sección es Unidad 74455, aunque es más conocida por su nombre en clave: Sandworm ('Gusano de Arena'). La forman los cibersoldados más célebres del mundo. Su nuevo jefe, según la revista Wired, es un hacker legendario, Yevgueni Serebriakov.

Solo hay dos fotos conocidas de él: la de su pasaporte diplomático y otra en la que se le ve confraternizando con una deportista rusa en los Juegos de Río en 2018. La guerra de la información tiene muchos frentes, y el deporte es uno más. Hace unos años fue detenido en Holanda cuando preparaba un ataque a la Organización para la Prohibición de las Armas Químicas. La Policía holandesa lo sorprendió con las manos en la masa y lo expulsó del país. Pero la carrera de Serebriakov no se vio afectada por este fiasco. Los analistas explican que en Moscú se valora más la demostración de fuerza y determinación que el propio éxito de una operación.

Gusano de Arena está detrás de los primeros apagones del mundo provocados por ciberataques y de la infección del virus informático NotPetya, el más devastador de la historia, que se extendió por todo el mundo, encriptando archivos y dejando inservibles los ordenadores de cientos de empresas e instituciones, y causando daños por valor de 10.000 millones de euros.

Los cibersoldados rusos no solo actúan contra el exterior. Rusia se ha convertido en un Estado controlado por los servicios secretos. Los siloviki, exoficiales del antiguo KGB y otras agencias de seguridad, son la nueva aristocracia del régimen. Vulkan no es ajena a las actividades de control de sus conciudadanos. Sus ingenieros han desarrollado un programa que monitorea las redes sociales y permite identificar a los que escriben mensajes críticos contra Putin. No todos los informáticos de Vulkan lo ven bien.

Un exempleado cuenta que, cuando supo que la empresa creaba instrumentos de represión contra sus propios compatriotas, decidió huir del país. «Los fundadores me daban un poco de miedo. Pero el trabajo era divertido. El día a día era como el de cualquier start-up y el sueldo estaba por encima de la media. La empresa incluso organizaba excursiones de pesca para fomentar el espíritu de equipo o actividades como conducir blindados en un campo de maniobras», recuerda.

Una pista lleva hasta Dublín, corazón tecnológico europeo

Pero lo más inquietante es ver cómo estos ingenieros rusos, excelentes en su oficio, consiguen fácilmente trabajo en multinacionales como Siemens, Trivago, Booking… Una pista conduce a Dublín (Irlanda), el corazón de la industria tecnológica europea gracias a su política de beneficios fiscales. En el barrio de las embajadas viven también muchos ejecutivos de Google, IBM o Meta. El consorcio periodístico localizó allí al ruso Serguéi N., empleado de Amazon Web Services (AWS), una filial del gigante de las compras on-line que es uno de los principales proveedores de servicios en la nube.

Serguéi N. es ingeniero sénior en AWS, pero antes fue jefe de desarrollo en Vulkan. Allí trabajó en el proyecto Scan-V, un sistema que facilita la planificación automática de ataques informáticos. ¿Qué hace un especialista ruso en ciberguerra trabajando en una compañía que alberga buena parte de los servicios informáticos de decenas de multinacionales y por el que circula gran parte del tráfico en Internet? No hay respuesta a esta pregunta, pero sí una incómoda constatación: los riesgos asociados a Vulkan pueden seguir vigentes durante muchos años.