Hacks, bots y chantaje: cómo los mercenarios cibernéticos atacan las elecciones

Por OCCRP (Organized Crime and Corruption Reporting Project)

En todo el mundo, oscuros grupos de mercenarios cibernéticos han estado aprovechando la tecnología digital para hackear elecciones, empleando sus artes oscuras para cualquiera que esté dispuesto a pagar una tarifa considerable para revertir la democracia.

Al exponer sus estrategias secretas al mundo por primera vez, un grupo de expertos en desinformación israelí ofreció sus servicios a periodistas que se hacían pasar por clientes potenciales interesados en interrumpir una elección africana.

“Esta es nuestra experiencia… Para dañar la logística de los opositores, para intimidarlos, para crear una atmósfera de que nadie irá a las elecciones”, dijo un miembro del Team Jorge –– como se refiere el grupo secreto –– durante una videollamada de julio de 2022.

En varias llamadas y una reunión en persona, los miembros del equipo, encabezados por un hombre que se hace llamar “Jorge”, describieron los servicios de “inteligencia e influencia” que dijeron implementar para sus clientes. Afirmaron haber trabajado en “33 campañas a nivel presidencial”, 27 de ellas “exitosas”.

Sus tácticas incluyen el hackeo, la falsificación de material de chantaje, la difusión de desinformación, la siembra de inteligencia falsa, la interrupción física de las elecciones y el despliegue de campañas específicas en las redes sociales.

Los reporteros pudieron verificar que se utilizaron algunas de esas tácticas. Team Jorge parece haber adquirido acceso no autorizado a las cuentas de Telegram y Gmail de funcionarios de alto rango, y desplegó campañas de botnet en las redes sociales. La evidencia vista por los reporteros sugiere que el grupo se entrometió en al menos dos elecciones presidenciales.

La tarifa vigente para una campaña presidencial era de 15 millones de euros, informó “Jorge” a los reporteros encubiertos, quienes se hicieron pasar por intermediarios de un posible cliente africano. Por este trabajo a corto plazo, con solo dos meses de sobra, Team Jorge estaba dispuesto a cobrar un mínimo de 6 millones de euros. A los reporteros se les dijo que el dinero podría transferirse fácilmente a través de medios ocultos, tal vez utilizando una organización no gubernamental francesa, un bufete de abogados en Dubai o escuelas islámicas.

“Nos gusta estar detrás de escena, y esto es parte de nuestro poder: que el otro lado no entienda que existimos”, dijo “Jorge”.

El seudónimo, un nombre en español que no coincidía con su acento, era parte de un intento de ocultar su identidad y ubicación. La pantalla del escritorio de la computadora que usó en la presentación saltó entre zonas horarias y mostró una transmisión de una cámara de tráfico en Lituania. Sus números de contacto abarcan todo el mundo: Indonesia, Ucrania, Estados Unidos e Israel.

Los reporteros finalmente descubrieron que su verdadero nombre es Tal Hanan, un experto en contraterrorismo que se describe a sí mismo y que ha sido citado en los medios como especialista en seguridad cibernética.

Hanan negó haber actuado mal, pero no respondió a las preguntas detalladas.

Ir encubierto

La investigación encubierta condujo a una serie de reuniones grabadas que permitieron a los reporteros penetrar aspectos de la industria de la desinformación a sueldo que no se anuncian abiertamente.

En julio y agosto de 2022, los reporteros se hicieron pasar por intermediarios, insinuando a un cliente en Chad. El objetivo: retrasar las elecciones de octubre, quizás indefinidamente, para proteger sus intereses económicos. Aunque las elecciones en Chad se retrasaron dos años, no se vieron influenciadas por la investigación encubierta: los periodistas nunca contrataron ningún servicio y esas conversaciones cesaron en agosto.

En diciembre se llevó a cabo una reunión en persona adicional con el Team Jorge en Israel.

Los periodistas que informaron encubiertos fueron Gur Megiddo (The Marker), Frédéric Métézeau (Radio France) y Omer Benjakob (Haaretz). Estos periodistas formaron parte de la investigación colaborativa llamada Story Killers, que fue coordinada por Forbidden Stories e involucró a más de 100 periodistas de 30 organizaciones de medios, incluido OCCRP. Forbidden Stories es un consorcio internacional de periodistas de investigación que continúa el trabajo de periodistas que han sido asesinados o trabajan bajo amenazas.

Hackeando Kenia

Durante una de las presentaciones de Zoom grabadas, Hanan mostró una pantalla con una cuenta de Telegram e hizo click en los contactos y chats personales del asesor político de Kenia, Dennis Itumbi.

La demostración en vivo tuvo lugar a fines de julio de 2022, en un momento crítico de la campaña electoral presidencial de Kenia. Itumbi era el estratega digital de William Ruto, el vicepresidente de la nación de África Oriental en ese momento, quien sería elegido presidente en unas semanas. Los medios locales describen a Itumbi como la “mano derecha” de Ruto.

Hanan demostró que no solo podía leer los chats y archivos personales de Itumbi , incluida una encuesta interna relacionada con las próximas elecciones, sino que incluso podía hacerse pasar por Itumbi enviando mensajes desde su cuenta. Hanan abrió una conversación reciente que Itumbi tuvo con un destacado hombre de negocios de Kenia y envió un mensaje de texto que decía simplemente: “11”.

Este mensaje no tenía sentido, diseñado solo como una demostración de su habilidad para controlar la cuenta. Pero el Equipo Jorge afirmó haber enviado mensajes falsificados a comandantes militares y ministros del gobierno, todo en un intento de influir en los acontecimientos y provocar el caos para un objetivo de alto nivel.

“Por lo general, esperaré a que él lo vea y luego lo eliminaré. ¿Por qué? Porque quiero crear confusión”, dijo Hanan.

En el caso de la demostración de Itumbi , Hanan borró accidentalmente el mensaje de texto solo para el remitente. Esto significó que los reporteros pudieron contactar al empresario que lo recibió y verificar que el mensaje críptico efectivamente había sido enviado.

Comunicaciones eficaces

“Sé que en algunos países creen que Telegram es muy seguro”, dijo Hanan en una demostración de Zoom. “Entonces, aquí, les mostraré qué tan seguro es… Así que éste también es un ministro de algún país, puedo ir [y] puedo verificar todas sus llamadas”.

Hanan también mostró la cuenta de Gmail del ministro de Agricultura de Mozambique, Celso Correia, quien confirmó a los periodistas que la dirección de correo electrónico y el contenido parecen ser suyos. Las carpetas en el Drive de Google del ministro también estuvieron visibles durante la presentación.

Crucial para hackear cuentas de correo electrónico y servicios de mensajería como Telegram es Signaling System 7, un “protocolo” estándar internacional para comunicaciones de teléfonos celulares, que se supone que garantiza que una llamada o un SMS enviado por un usuario se transfiera al número correcto del destinatario previsto. Se introdujo en la década de 1980, en los primeros días de la seguridad y el cifrado digital, por lo que contiene fallas que pueden permitir que terceros se hagan pasar por un usuario específico y reciban sus mensajes y llamadas.

Esto es lo que Hanan afirma que su equipo puede hacer. Le dijo a los reporteros encubiertos que Team Jorge va directamente a un proveedor de servicios de telecomunicaciones en el país en el que están trabajando e instala un dispositivo físico que le permite a su equipo insertar comandos falsos a través de SS7 en el sistema. Esto engaña al operador de telecomunicaciones para que envíe un SMS para autentificar la cuenta objetivo falsificada, lo que permite que el Team Jorge lea los mensajes de su objetivo e incluso envíe mensajes.

Si bien las lagunas son generalmente conocidas y la mayoría de los proveedores de telecomunicaciones han implementado contramedidas, algunos operadores aún ejecutan redes vulnerables.

El alcance total de la intromisión de Team Jorge en las elecciones de Kenia no está claro, pero la desinformación, de ambos lados, empañaron las elecciones pacíficas de agosto de 2022.

Aparecieron videos anónimos en las redes sociales, alegando manipulación de votos dentro de la comisión electoral y acusando a los poderes occidentales de interferir en el voto.

Justo antes de las elecciones, tres venezolanos empleados por la empresa que proporcionó el equipo de votación a la comisión electoral fueron detenidos en el aeropuerto de Nairobi, supuestamente con materiales electorales sospechosos. A pesar de que, según los informes, la policía de Kenia liberó a los hombres al día siguiente, la historia viral se convirtió en un tema de acalorado debate durante todo el período electoral, formando la base de las teorías de conspiración que afirman que la votación fue manipulada.

“Esta fue probablemente la campaña más sucia de nuestra historia y hemos tenido nuestra parte de campañas sucias en Kenia”, dijo John Githongo , un periodista y defensor de la transparencia que apoyó a la oposición y presentó una declaración jurada en nombre de un denunciante que alegó fraude electoral. (OCCRP trabaja con su organización de noticias The Elephant).

“Lo que está claro es que hay una serie de lavadores de reputación, las llamadas empresas de seguridad comercial y política, que son cada vez más contratadas para involucrarse en nuestras elecciones. A menudo, tienes un equipo de ‘artes oscuras’ que tiene presencia en varios países y tiene un impacto negativo en nuestra democracia”.

Desde que Ruto fue elegido, sus opositores han presentado numerosas denuncias ante los tribunales por irregularidades electorales.

Una denuncia anónima provino de Githongo, quien afirmó que Itumbi, el estratega atacado por Team Jorge, orquestó una campaña de manipulación de boletas. En la denuncia también se nombró a Davis Chirchir, quien era el jefe de personal de Ruto cuando Hanan mostró su cuenta aparentemente hackeada. Pero el denunciante y las pruebas que proporcionó han sido desacreditados.

Al final, la Corte Suprema de Kenia rechazó no sólo las denuncias del denunciante, sino todas las demás peticiones, y en septiembre confirmó los resultados de las elecciones.

Luego, en enero, apareció un nuevo sitio web de denunciantes que pretendía tener nuevas pruebas de fraude. Pero esto también tuvo las características de una campaña de desinformación.

Los expertos en seguridad digital no pudieron identificar quién creó el nuevo sitio web. Y era imposible saber el origen de los documentos publicados allí (resultados de encuestas que habían sido alterados para mostrar un supuesto fraude) porque los metadatos habían sido borrados de ellos.

Sin embargo, meses antes se habían enviado documentos que parecían casi idénticos a los periodistas, alegando que demostraban que las elecciones de Kenia habían sido robadas. Esos documentos contenían metadatos que revelaban al autor: Henry Mien, director general de la consultora Risk África Innovatis. Mien es aliado del líder opositor Raila Odinga, según dos fuentes de su campaña. También ha apoyado abiertamente a Odinga y ha compartido denuncias de fraude anónimas en las redes sociales.

Aunque los analistas dijeron que los documentos eran sospechosos, la oposición en Kenia los ha utilizado como justificación para convocar protestas. A los pocos días de la publicación de los documentos en línea, el candidato derrotado Odinga realizó un mitin político en Nairobi, donde calificó a la administración de Ruto de “ilegítima”. Exigió la renuncia de la administración de cinco meses y declaró que “la resistencia comienza hoy”.

Dennis Itumbi , Davis Chirchir , Raila Odinga y Henry Mien no respondieron a las solicitudes de comentarios.

Relaciones turbias

Si bien Hanan les dijo a los periodistas que estaba trabajando en una “elección africana” y les mostró evidencia de que fue en Kenia, no está claro quién lo contrató. La participación de Team Jorge se produce después de años de desinformación específica en la política de Kenia, lo que hace que sea especialmente difícil rastrear un evento o conspiración en particular hasta un perpetrador específico.

Los informes encubiertos revelaron que la desacreditada firma de consultoría política Cambridge Analytica había trabajado para ayudar a elegir al expresidente Uhuru Kenyatta en 2013 y 2017. Ese último año, los correos electrónicos filtrados muestran que Hanan ofreció sus servicios en Kenia a la empresa matriz de Cambridge Analytica, SCL Group. La oferta inicial fue rechazada por su precio, aunque la conversación parece haber continuado.

Pero Team Jorge pareció involucrarse en la campaña 2022 de Odinga. Por ley, Kenyatta no podía buscar otro mandato en las elecciones de agosto de 2022, por lo que unió fuerzas con su antiguo rival Odinga para tratar de vencer a Ruto, el candidato al que Hanan se dirigió durante su demostración.

Los correos electrónicos filtrados también muestran que Cambridge Analytica había trabajado con Hanan en el pasado.

Y en 2018, Brittany Kaiser, exdirectora de desarrollo de programas en SCL, les dijo a los parlamentarios británicos que investigaban el escándalo de intromisión electoral de Cambridge Analytica que había presentado al expresidente nigeriano y cliente de SCL, Goodluck Jonathan, a consultores israelíes. Estos consultores habían recopilado información de inteligencia para los gobiernos, dijo, y brindado servicios que SCL no ofrecía oficialmente.

Kaiser, quien más tarde denunció las controvertidas tácticas de Cambridge Analytica, dijo que no tenía ningún papel en la toma de decisiones en SCL, que los consultores no estaban encargados de “realizar actividades ilegales” y negó cualquier sugerencia de que ella había tolerado o “incurrido” en cualquier ilegalidad.

Kenyatta no respondió a una solicitud de comentarios.

Emma Briant , experta en guerra de la información y Cambridge Analytica, dice que las empresas de esta industria “regularmente se lanzan trabajo entre sí” por negación y cobertura legal.

Cambridge Analytica fue una de las 65 empresas identificadas por el Proyecto de Propaganda Computacional de la Universidad de Oxford que han ofrecido abiertamente a los gobiernos sus servicios para influir en las elecciones. Pero hay muchos otros, como Team Jorge, que prefieren permanecer en las sombras.

Los tratos que hacen están “intencionalmente ofuscados y las relaciones son bastante secretas”, dijo Samantha Bradshaw, profesora asistente de la Universidad Americana en Washington, DC, que participó en esa investigación.

Caja de herramientas tecnológicas

Team Jorge dijo que dos tercios de las campañas presidenciales en las que se han entrometido fueron en África, pero su material promocional también incluye países de Europa, América Latina, el sudeste asiático y el Caribe.

El hermano de Hanan, Zohar, dijo en una reunión en diciembre que solo hay tres trabajos que Team Jorge no aceptaría: nada en Israel (“No queremos cagar donde estamos durmiendo”); ninguna política a nivel de partido estadounidense (afirman haber rechazado una invitación para ayudar a elegir al expresidente estadounidense Donald Trump); y “nada contra el señor Putin”.

Durante las demostraciones a los reporteros encubiertos, Tal Hanan estaba ansioso por mostrar las herramientas tecnológicas que su equipo implementa para ayudar a los clientes.

Mostró un artículo con titulares de Nigeria que describía los ataques a las líneas telefónicas de la oposición, como parte de su video de ventas “Team Jorge Presents: Intelligence on Demand”. Estos ataques saturan la red telefónica.

“Queremos silenciar a algunas personas, queremos que algunas personas tengan problemas de comunicación”, dijo durante una llamada en la que se refirió al día de las elecciones como el “día D”. “Así que tenemos la capacidad el Día D para desactivar cientos de teléfonos… un jefe de policía específico o miembros del ejército que no están a nuestro favor. Todos los teléfonos dejarán de funcionar”.

Y Hanan afirmó haber usado una táctica similar contra las redes informáticas.

“Podemos eliminar sitios web, cualquier cosa con IP, servidores. Si tienen sus propios servidores, aplicaciones, a veces dos, tres agencias de noticias, podemos sacarlos”, se jactó.

Las capacidades que Hanan describió se asemejan a la “denegación de servicio distribuida” o ataques DDOS. Estos ataques generalmente involucran abrumar los sistemas de un objetivo al inundarlos con solicitudes, obligándolos a producir una respuesta de “denegación de servicio” a solicitudes legítimas.

Mostró titulares sobre tal ataque durante el referéndum de 2014 en catalán. Los investigadores españoles le dijeron a OCCRP que no tenían evidencia de la participación de Hanan, pero dijeron que era plausible.

La caja de herramientas tecnológicas de Team Jorge también incluye “una plataforma de influencia” llamada Advanced Impact Media Solutions, o AIMS, que Hanan afirma haber vendido a los servicios de inteligencia de más de 10 países.

El software AIMS está diseñado para crear avatares convincentes para campañas en redes sociales. Los avatares, o bots, usan fotos robadas de personas reales, operan en cualquier plataforma de redes sociales y pueden conectarse a cuentas de Amazon y Bitcoin que funcionen. También parecen tener una presencia en línea desde hace mucho tiempo, incluidas cuentas de Gmail y comentarios trillados en videos de YouTube de celebridades, para dar a los investigadores la impresión de que son personas reales.

“Imitamos el comportamiento humano”, dijo Hanan a los reporteros encubiertos.

La mayoría de las cuentas en línea requieren verificación de número de teléfono y dirección de correo electrónico para evitar bots como los implementados por AIMS. Pero hay sitios web creados específicamente para permitir servicios únicos de verificación de SMS, por 50 centavos o menos. Muchas cuentas, como Gmail y WhatsApp, se pueden registrar con números de teléfono “verificados”. Team Jorge parece estar usando un servicio llamado SMSpva.com para verificar números de teléfono. SMSpva.com no respondió a una solicitud de comentarios.

AIMS también se basa en proxies residenciales que redirigen el tráfico de Internet de los bots a los hogares de las personas para que parezca auténtico a fin de evitar la detección y el cierre por parte de plataformas de redes sociales como Twitter y Facebook. Esto dificulta que las plataformas de redes sociales identifiquen una campaña de desinformación coordinada.

El análisis de los socios informadores Le Monde y The Guardian identificó grupos de avatares, incluidos los que se ven en las presentaciones de lanzamiento de Hanan, que parecen haber sido utilizados para campañas coordinadas de Twitter. Los reporteros encontraron más de 1700 cuentas de Twitter conectadas a 21 campañas relacionadas con AIMS, cuyas redes habían producido decenas de miles de tuits.

En la reunión en persona de diciembre con reporteros encubiertos, el equipo Jorge mostró una nueva capacidad de AIMS: herramientas de inteligencia artificial para generar noticias falsas utilizando palabras clave, tono y tema específicos.

“Un operador puede tener como 300 perfiles”, dijo Zohar Hanan durante la demostración. “Entonces, dentro de dos horas, todo el país hablará el mensaje, la narrativa que quiero”.

Actividades de avatares

Se descubrió que una campaña de avatar vista en una computadora de Team Jorge durante el intento de venta promovió las actividades de Alexander Zingman, un hombre de negocios cercano al autoritario presidente bielorruso Aleksandr Lukashenko.

En marzo de 2021, Zingman fue arrestado en la República Democrática del Congo por presunto tráfico de armas, pero luego fue liberado. En octubre de ese año, OCCRP reveló cómo Zingman y otro cómplice del presidente de Bielorrusia utilizaron empresas ficticias para ocultar un lucrativo acuerdo de extracción de oro con la empresa minera estatal de Zimbabue.

El año anterior, los avatares de AIMS promovieron historias favorables sobre Zingman y su negocio en una campaña concertada y automatizada. Algunos se utilizaron para apuntar a su rival Vitaly Fishman. Los periodistas identificaron 35 avatares más vinculados al Team Jorge a través de una demanda por difamación estadounidense que ganó Fishman.

De Zingman dijo que su cliente nunca ha trabajado con empresas que se dedican a campañas de desinformación y, de hecho, él mismo ha sido víctima de tal esquema.

En otros lugares, se utilizaron cuentas que se parecen mucho a los bots AIMS para promover historias sospechosas que acusan a Burgess Yachts de prestar servicios a oligarcas sancionados con vínculos con el presidente ruso Vladimir Putin. Las llamadas cuentas de “títeres de calcetines”, avatares en las redes sociales, parecen haber estado detrás de los hilos de Reddit que promueven la misma narrativa. Y un video que afirma mostrar una protesta en Mónaco contra Burgess Yachts parece haber sido en realidad una protesta escenificada filmada en Londres y utiliza imágenes en bucle.

No está claro quién está detrás de la campaña, pero algunas de las cuentas de bots vinculadas a los avatares de AIMS promovieron artículos entusiastas sobre Julia Stewart, directora de la compañía de yates rival, Imperial Yachts. De hecho, Imperial Yachts fue sancionado por EE. UU. en junio por brindar servicios al círculo íntimo de Putin.

Un representante legal de Imperial Yachts dijo que la compañía “nunca había participado…en ninguna red o campaña de desinformación en línea” y actúa “en pleno cumplimiento de las leyes y regulaciones aplicables”.

Desenmascarando a Team Jorge

Las identidades de Team Jorge son casi tan misteriosas como sus tácticas. Pero los reporteros lograron reunir algunos antecedentes sobre los miembros del grupo clandestino. Parte de esto se alinea con las afirmaciones que Team Jorge hizo sobre los miembros del equipo en llamadas con periodistas.

“Algunos de nosotros somos ex altos funcionarios de información”, dijo Mashy Meidan, que pasó por “Max”. “Algunos de nosotros somos antiguos expertos en guerra e información financiera. Algunos de nosotros trabajamos con especialistas en guerra psicológica”.

Múltiples fuentes de seguridad israelíes, que hablaron con TheMarker bajo condición de anonimato, confirmaron que Meidan ha trabajado con el servicio de seguridad interna de Israel, Shabak . Dijeron que otro miembro del equipo, Shuki Friedman, también había trabajado con Shabak . Friedman no respondió a una solicitud de comentarios.

Yaakov Tzedek es un emprendedor digital que figura como cofundador de la empresa inmobiliaria israelí Proptech Investments. Ishay Shechter es un “director de estrategia” en Goren Amir, una destacada firma de cabildeo israelí que ha trabajado con clientes internacionales como Visa, Uber e IKEA.

A pesar de aparecer en la llamada de Zoom con reporteros encubiertos, Meidan y Shechter dijeron por separado que nunca habían trabajado con Team Jorge o Tal Hanan.

El hermano de Tal Hanan, Zohar, quien fue presentado como el CEO de la compañía, “Nick”, es identificado públicamente como un experto en polígrafo que trabajó con una compañía israelí llamada Sensority LTD, que ahora está en liquidación. Otra empresa, Pangea IT, compró la tecnología de Sensority , que detecta estrés psicológico en un sujeto. Zohar dijo que había “trabajado toda mi vida de acuerdo con la ley”, pero no respondió a preguntas específicas.

Tal Hanan sirvió en las fuerzas especiales israelíes como experto en explosivos, según una biografía en línea. Figura como director ejecutivo de al menos dos empresas israelíes, Tal Sol Energy y Demoman International Ltd., una empresa de inteligencia incluida en un registro de empresas de defensa en el sitio web del Ministerio de Defensa de Israel.

Hanan indicó que había orquestado operaciones de cabildeo en EE. UU. a pesar de no registrarse como “agente extranjero”, como exige la ley. Dijo que trabajó a través de consultores y empresas que ya están registradas, y dijo a los periodistas que recientemente había creado una empresa de relaciones públicas llamada Axiomatics para promover a Team Jorge con “grupos de presión existentes”.

En los años posteriores a los atentados de septiembre de 2001 en el World Trade Center de Nueva York, Hanan se posicionó como un experto en lucha contra el terrorismo. Afirma haber capacitado a organismos encargados de hacer cumplir la ley, incluidas las agencias federales de EE. UU., según una página archivada de su ahora desaparecido sitio web suicide-terrorism.com. En 2010, The Jerusalem Post citó a Hanan como experto en seguridad cibernética y comentó sobre las capacidades de hackeo.

Durante llamadas con reporteros encubiertos, Team Jorge profundizó en la tecnología que dicen que el grupo usa para influir en las elecciones. Agregaron que tienen seis oficinas y emplean al menos a 100 personas, enfatizando que se nutren de los antecedentes de colegas con experiencia en los servicios de inteligencia. Esto lleva las actividades de Team Jorge mucho más allá del ámbito de las estrategias de relaciones públicas que comúnmente se implementan en las elecciones.

“Esto es trabajo de inteligencia más que nada. No es trabajo de relaciones públicas. Es trabajo de inteligencia”, enfatizó Hanan.