La guerra cibernética entre Rusia y Ucrania comenzó mucho antes de que las tropas del Kremlin pusieran sus botas sobre el terreno en febrero de 2022. Sin embargo, con el inicio de las hostilidades del mundo físico salieron a la luz nuevos cibercomandos cuyo objetivo iba más allá de las operaciones militares. “Aparecimos en la esfera pública al comienzo de la Operación Militar Especial de Rusia. Fue entonces cuando unimos fuerzas y decidimos salir de las sombras. No nos interesaba la fama, nos motivaba el deseo de hacer justicia y defender el honor de nuestra Patria, Rusia, en el espacio de la información, que es lo que seguimos haciendo hasta el día de hoy”, dicen desde NoName057(16).

NoName057(16) es el grupo de este tipo más activo contra objetivos españoles. El sector de la ciberseguridad les denomina hacktivistas (hackers activistas) y ellos aseguran que son voluntarios, aunque este es uno de los muchos puntos controvertidos acerca de estos comandos. Realizan ataques de perfil bajo, especialmente de denegación de servicio, que pueden bloquear webs y tumbar servicios digitales. Aunque de impacto limitado, las ofensivas de NoName057(16) traen de cabeza a las fuerzas de seguridad, ya que en estos dos años han logrado derribar páginas oficiales de ministerios, ayuntamientos, diputaciones o medios de comunicación.

La última fue este mismo marzo, en venganza por el compromiso español de apoyar la defensa de Ucrania cuando concluya el proceso de paz. El propio Pedro Sánchez lo reconoció la pasada semana en una visita oficial a Finlandia. “Estamos hablando con Finlandia también de ciberseguridad. Tuvimos la semana pasada un ciberataque que llegaba de Rusia”, reflejó ante su homólogo nórdico. “Nuestra amenaza no es una Rusia que lleve sus tropas por los Pirineos a la península, es una amenaza más híbrida, con ciberataques. Por tanto, lo que tenemos que hacer es no hablar solo de gasto en defensa, sino en seguridad”, insistió a su regreso, encajando la ciberseguridad en el debate sobre aumentar el gasto militar.

A pesar de la creciente preocupación oficial, no existen cifras claras sobre el impacto real de estos ataques en términos económicos o de seguridad nacional. Las autoridades no han publicado estimaciones sobre los costes derivados de las interrupciones de servicios digitales ni sobre los recursos destinados a contrarrestarlos, mientras que la actual Estrategia de Seguridad Nacional, de 2021, hace referencia a las acciones de guerra híbrida pero no a los hacktivistas ni a las consecuencias para la ciberseguridad de la invasión rusa de Ucrania.

La que se lleva a cabo contra estos grupos es una guerra de engaños y juegos de sombras en la que se emplean avanzadas herramientas para anonimizar el rastro digital de los atacantes, que los defensores intentan deshacer. Se lleva a cabo entre especialistas que, en raras ocasiones, se dan cita entre las trincheras para departir. Es lo que ha ocurrido cuando dos de estos grupos de hacktivistas han accedido a entrevistarse con un experto en ciberseguridad español, Rafael López, que ha compartido las trascripciones con elDiario.es.

Un fragmento de la conversación del portavoz de NoName057(16) con el experto en ciberseguridad español Rafael López.

“Que nos llamen como quieran, lo importante es que nos respeten y nos teman. Pero, en serio, nosotros nos consideramos ante todo un virus, el virus de la justicia, por muy patético que suene. Con nuestras acciones, mostramos la verdadera actitud del gobierno europeo hacia sus ciudadanos”, afirman desde NoName057(16) en su conversación con el experto.

Guerra de propaganda

Ambas partes ganan con la conversación. El comando pro-Putin, una forma de impulsar su propaganda sobre Ucrania y sobre las supuestas consecuencias que tiene interponerse en los deseos geoestratégicos del Kremlin. “Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, transmite NoName057(16).

Los defensores, por su parte, les ofrecen una nueva plataforma para que los atacantes digan demasiado o cometan un error que permita capturarlos. El pasado verano la Guardia Civil detuvo a tres personas en Manacor, Huelva y Sevilla por, presuntamente, colaborar con las ofensivas del grupo. “La particularidad de los ciberataques llevados a cabo por NoName057(16) es que son realizados mediante un software desarrollado por el propio grupo, bautizado como 'DDoSia', que es utilizado de forma voluntaria por individuos que apoyan los fines de esta organización hacktivista”, detalló entonces la Guardia Civil.

“Es muy simple: el objetivo principal es detener la financiación del neonazismo ucraniano. Cada euro o dólar que no se gaste en la guerra puede salvar muchas vidas”, alegan los miembros del grupo en su entrevista con López. “Por supuesto, podemos entrar en casi cualquier lugar si queremos. Le damos un papel importante al trabajo analítico: seleccionamos cuidadosamente los objetivos de los ataques y los escenarios de impacto en el enemigo para causar el máximo daño”, presumen.

“En cuanto a los líderes de Europa... Bueno, es un grupo de personas perdidas que no entienden con quién o con qué están tratando. Si creen que están seguros, tenemos que decepcionarlos: no, no es así. Estamos en todas partes. Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso. No nos importa quién decidió jugar con fuego; siempre defenderemos a los nuestros y destruiremos todo lo que se interponga en nuestro camino. ¿Quieres probar suerte? Bueno, buena suerte. La necesitarás”, continúan durante la entrevista.

Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer cuantos más adeptos, mejor

Rafael López — experto en ciberseguridad

Este tipo de declaraciones no pillan por sorpresa a sus adversarios. “Tienen un ego enorme y con cada ataque satisfactorio se van retroalimentando, algo muy común entre los activistas”, dice López sobre sus interlocutores. “Tienen un montón de afiliados y mucha gente que les está diciendo constantemente que son buenísimos. Están atacando a la OTAN y la OTAN les teme, están saliendo en prensa, te nombran las fuentes de inteligencia. Ellos saben que hay grupos de trabajo creados con la misión de intentar cazarlos”.

Fue el propio grupo el que empezó a seguir al experto en redes sociales a raíz de que este explicara sus actividades en los medios, lo cual este aprovechó para iniciar la comunicación. “Ellos siempre intentan mantener un perfil muy alto, enseñando las plumas como un pavo real para atraer a cuantos más adeptos. Ellos basan su fuerza en sus conocimientos, pero también en tener muchos voluntarios que les ayudan, incluso dentro de los países donde actúan”.

A la caza de voluntarios

Los ataques de denegación de servicio como los que practica NoName057(16) se basan en sobrecargar un sistema, como un servidor o una red, con un exceso de tráfico o solicitudes de datos falsas, haciendo que deje de funcionar correctamente o se cuelgue. Los atacantes avanzados usan múltiples dispositivos para lanzar el ataque simultáneamente, dificultando su detección y defensa. Para eso, los activistas necesitan voluntarios que sumen sus dispositivos a la ofensiva, como presuntamente hacían los tres detenidos en julio en España.

“Los grupos de cibercrimen de corte activista, y más aún los de corte prorruso, buscan sobre todo publicidad, nombre, reputación. De ahí el discurso de que ellos son los mejores, que van en serio, que no tienen ningún tipo de freno y que pueden hacer lo que les dé la gana”, contextualiza Ainoa Guillén, especialista en Inteligencia de amenazas cibernéticas. “¿Qué quieren conseguir? Pues básicamente reclutar nuevos perfiles, porque ellos siempre están intentando reclutar gente que se sume a sus filas”.

En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros

NoName057(16)

Durante su entrevista con López, el grupo pro-Putin no deja pasar la oportunidad de presumir del éxito de sus campañas de reclutamiento. “Vemos que en Europa hay muchas personas valientes y reflexivas que se unen a nosotros, y esto nos motiva aún más y nos da esperanza en la restauración de un mundo justo. En nuestra lucha contra Occidente, cada persona que se pone de nuestro lado en las barricadas es importante para nosotros”, afirman.

“En cuanto al número de nuestras ciberfuerzas, responderemos con una cita favorita del poeta clásico ruso Alexander Blok: Millones están con vosotros. Nosotros tenemos oscuridad, y oscuridad, y oscuridad. ¡Intentad luchar contra nosotros!”, contestan al ser preguntados al respecto por el especialista español.

Financiación externa

“Cada uno de nosotros tiene su propio capital y queremos gastar parte de estos fondos en algo real y contribuir a la historia. Muchos de nosotros trabajamos en empleos bastante ordinarios. Te puedes encontrar de todo en nuestras filas, desde un profesor hasta un trabajador de carga. Porque para nosotros, todos son importantes”, aseguran desde NoName057(16) sobre sus integrantes y su financiación. Los expertos lo ponen en duda: “Dependen del GRU, que es el servicio de inteligencia ruso”, recuerda López.

Otra de las razones que impiden a los especialistas confiar en la imagen activista que ellos proclaman es que grupos como NoName07(16) retribuyen a los voluntarios con criptomonedas cuando participan en sus acciones. “No es creíble”, coincide Guillén. “Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen. O incluso algo legal... Lo que está claro es que no puede salir de su bolsillo. Echa cuentas: si retribuyen con 50 o 100 dólares a los voluntarios, participan decenas en cada acción y lanzan operaciones casi todos los días...”.

No es creíble que no tengan financiación externa. Si no reciben fondos directamente del Estado ruso, pueden financiarse con actividades de cibercrimen

Ainoa Guillén — especialista en Inteligencia de amenazas

También está el dominio de las herramientas de anonimización de la que hacen gala sus miembros, lo que no concuerda con integrantes con empleos “ordinarios”. “Ellos se especializan en una rama llamada Opsec, que es la seguridad operativa. Es el que se basa en ocultar su rastro y mantener el anonimato. Hay grupos de que incluso fundaron academias propias donde enseñaban sus técnicas y, como docente, he de decir que tenían programas incluso mejores que los nuestros”, refleja la especialista.

Pese a todo, la del activismo es una de las narrativas clave de estos grupos. También de Z-Pentest, otro de los más activos en España en los últimos tiempos, que también han sido recientemente entrevistados por López: “Cada vez que escuchamos algo sobre que estamos patrocinados por algún gobierno, nos reímos tanto que nos sale el café por la nariz. ¡No dependemos del presupuesto de ningún país!”.

Ciberataques contra infraestructuras críticas

Z-Pentest reivindicó los ataques de principios de marzo contra la Casa Real, La Moncloa, el Departamento de Seguridad Nacional, la propia Policía Nacional y varios ministerios. Se cree que el grupo es de origen serbio, pero también es un arma más de la diplomacia ciber del Kremlin. “Siempre estamos del lado de Rusia, no hace falta adivinarlo”, dicen en su entrevista con López: “Cualquiera que se oponga a los rusos está firmando un billete de ida sin regreso”.

Z-Pentest ha hecho ataques de denegación de servicio como los de NoName057(16), pero también ha mostrado capacidades de tener un impacto mucho mayor. En colaboración con otros grupos, Z-Pentest accedió a sistemas que gestionan bombas de petróleo y tanques de almacenamiento en Texas, demostrando su capacidad para manipular funciones críticas en infraestructuras industriales.

Un fragmento de la conversación del portavoz de Z-Pentest con el experto en ciberseguridad español Rafael López.

Durante su conversación con el experto español, su portavoz presume de poder hackear incluso sistemas de la industria militar. “Sí, por supuesto que los hay”, contestan cuando López pregunta si ya han comprometido plataformas de armas: “Pero no lo anunciamos a los cuatro vientos, a diferencia de aquellos que declaran abiertamente su seguridad y luego se preguntan por qué todo de repente salió mal. Guardamos silencio porque el silencio es nuestra mejor arma. Entramos por cualquier hueco, ya sea una vulnerabilidad en el sistema, un eslabón débil en la seguridad o simplemente una contraseña estúpida. Mientras alguien cree que todo está bajo control, nosotros ya estamos dentro, estudiando, analizando, esperando”.

“El mejor momento para atacar es cuando la víctima está convencida de que nadie la tocará. Y cuando ese momento llega… Bueno, el espectáculo comienza”, añaden.

No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario

Z-Pentest

La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EEUU reflejó en un informe de 2024 cómo los hacktivistas prorrusos habían fijado su punto de mira en los sistemas de tecnología operativa a pequeña escala tanto en Norteamérica como en Europa, “especialmente en los sectores de agua y aguas residuales, presas, energía y alimentos y agricultura”. “Tratan de poner en peligro los sistemas de control industrial modulares y expuestos a Internet a través de sus componentes de software, como las interfaces hombre-máquina, aprovechando el software de acceso remoto y las contraseñas predeterminadas”, alertó la Agencia.

Z-Pentest es además uno de los grupos que ha subido el tono del discurso sobre las consecuencias para la población civil de sus ataques. “No buscamos dañar a los civiles. Pero si la situación requiere decisiones difíciles, haremos lo que sea necesario. Y nos da igual quién se queje ante la ONU, publique mensajes indignados o grabe apelaciones emocionales después. No nos preocupamos por las consecuencias. Las consecuencias deberían temernos a nosotros”, dicen en su entrevista con López.

“Son grupos peligrosos”, confirma el experto. “Son grupos que están muy radicalizados, que hay que tenerlos muy en cuenta en el panorama actual de ciberguerra que existe porque su radicalización, la especialización y la profesionalización que tienen a la hora de atacar y de reclutar los hacen un enemigo muy importante”, concluye.

Millones y millones de impactos publicitarios con anuncios fraudulentos que suplantan a medios de comunicación, manipulan la imagen de personas conocidas sin su permiso y difunden estafas. Es un tipo de timo que existe desde hace años pero que se ha descontrolado en los últimos meses en las grandes redes sociales pese a las reiteradas denuncias de los usuarios y los numerosos avisos en los medios.

El paciente cero de esta plaga sin precedentes en la publicidad online fue X, anteriormente conocida como Twitter. Todo comenzó con el abandono de la plataforma por parte de los principales anunciantes, cansados del histrionismo de Elon Musk, su falta de control contra el discurso del odio o el trato dado a sus empleados despedidos. El magnate intentó suplir esos ingresos eliminando los filtros para poner publicidad en la plataforma.

El movimiento provocó que X se llenara de todo tipo de anuncios trampa, que se han perpetuado en la plataforma desde entonces. El formato más utilizado es utilizar imágenes de famosos dando supuestas entrevistas en medios de comunicación reconocidos. En ellas se asegura que el personaje célebre en cuestión ha recomendado una inversión financiera a los espectadores. Tanto las declaraciones como las páginas de los medios que se utilizan en el timo están falsificadas.

Las caras conocidas a las que los ciberestafadores recurren como gancho van cambiando. Desde el pasado otoño dos de los más afectados son Antonio Resines y David Broncano, que vieron como anuncios trampa difundiendo un contenido sobre ellos en una página que suplantaba a El País se reproducían millones de veces en X. En diciembre el actor y el presentador alertaron en un programa de La Resistencia sobre lo que estaba pasando.

“Son anuncios que dicen que yo he convencido a Broncano y la gente de La Resistencia a que invierta en unos productos, que son claramente fraudulentos, con los cuales puedes ganar una cantidad de dinero impresionante”, explicaba Resines. Actor y presentador, respetando el tono cómico del formato, avisaron de era “una campaña a gran escala”.

“Esto es una estafa, es un fraude, con lo cual va a tener consecuencias penales”, adelantó Resines, que anunció una demanda contra los autores: “Públicamente decimos que no tenemos nada que ver con esta historia, que no tenemos ninguna relación con nada de lo que aparece por ahí y que no vamos pidiendo dinero a la gente para que invierta en ningún sitio”.

Pese al llamamiento de dos de las caras más reconocidas del espectro mediático nacional, la situación en estos meses no solo no ha mejorado sino que ha empeorado. Los anuncios que utilizan a famosos para promocionar estafas se han extendido a Instagram, Facebook y YouTube.

Miles de anuncios fraudulentos en Instagram y Facebook

Los ciberestafadores han dado la bienvenida al 2024 desatando una ingente campaña de anuncios trampa en Instagram y Facebook. La víctima escogida en este caso ha sido Carlos Sobera, de quién se han publicado más de 1.100 anuncios en lo que va de enero. Cualquier usuario puede comprobarlo en la Biblioteca de anuncios de Meta, el portal donde Meta recoge la publicidad pagada que se muestra en sus plataformas.

Muchos de ellos manipulan la imagen del presentador para mostrar heridas en su cara o sin pelo, en un intento de llamar la atención de los usuarios. “Un día triste para España. Decimos adiós a Carlos Sobera”, rezan varios de ellos.

elDiario.es ha podido comprobar que buena parte de estos anuncios trampa en las plataformas de Meta suplantan a medios de comunicación, especialmente El Mundo y RTVE. Algunos llevan a páginas que difunden productos financieros como los denunciados por Resines, mientras que otros enlazan supuestas webs de venta de productos.

También hay anuncios que llevan a las portadas reales de esos dos medio. Sin embargo, lo hacen sin sentido: anuncios que suplantan a RTVE enlazan la portada de El Mundo y viceversa, quizá en una modificación posterior de los ciberestafadores para evitar el control de Meta. Este medio ha preguntado a la compañía por esta práctica, pero la respuesta de sus portavoces no ha ofrecido ninguna explicación sobre ella.

Este tipo de publicidad viola varias normas publicitarias de la corporación de redes. “Los anuncios no pueden promocionar productos y servicios financieros que se suelan asociar a prácticas promocionales engañosas o falsas”, reza una de ellas, aunque sus términos sobre “prácticas empresariales inaceptables” y “contenido engañoso” también deberían haber evitado su publicación, así como “aspecto y salud personal” (que en teoría prohíbe manipulaciones como las de Sobera).

En la Biblioteca de anuncios de Meta puede apreciarse que un porcentaje de ellos ha sido retirado por no cumplir las reglas. Estos se muestran con la imagen sustituida por un triángulo rojo. Sin embargo, los retirados son minoría. Así se ve también en un repaso sobre los anuncios publicados sobre David Broncano, de los que la plataforma almacena más de 5.300.

El presentador de La Resistencia sufre esta práctica indirectamente, como entrevistador de la persona que supuestamente ha promocionado productos financieros, ya sea el propio Sobera, la presentadora Lorena Castell o la actriz Esther Expósito. Pero también en primera persona, en anuncios trampa que le muestran siendo detenido. “No sabía que la cámara seguía grabando. ¿Será el final de su carrera?”, se pregunta uno de los fraudes promocionados a través de Meta.

El contagio a YouTube

Meta activó su Biblioteca de anuncios como parte de la batería de medidas lanzadas tras el escándalo alrededor de Cambridge Analytica. Google, propietaria de YouTube, cuenta también con un “Centro de Transparencia Publicitaria” para sus anuncios, pero no funciona igual que el de Meta e impide fiscalizar los fraudes desde fuera. El motivo es que las búsquedas han de hacerse seleccionando el anunciante que se quiere consultar, con lo que es imposible rastrear suplantaciones. Si se busca “El Mundo”, por ejemplo, la herramienta devuelve los anuncios que ha publicado el periódico real.

Esto provoca que no se pueda llegar a conocer el impacto real de la plaga en YouTube, donde muchos usuarios han denunciado su presencia en otras redes sociales. Personas que han tenido constancia de ella han enviado también varios ejemplos a este medio.

Por los datos que ha podido recopilar elDiario.es, en YouTube la campaña de fraudes actual parece centrada en Penélope Cruz, con la periodista Emma García como presentadora. “La entrevista se interrumpió, pero ya era demasiado tarde. ¿Penélope Cruz es una psicópata?”, dice uno de los anuncios, suplantando a El Mundo. “¿Qué ha pasado en esta entrevista? ¿Conducirán sus palabras al colapso de un banco?”, se pregunta otro, que simula ser una noticia de El País.

Este tipo de anuncios también viola las normas publicitarias de Google. En concreto, la compañía considera que un motivo de retirada de un anuncio “tiene contenido engañoso o es una estafa (ofertas o declaraciones falsas, robo de identidad, suplantación de identidad [phishing], ciberanzuelo, información incorrecta sobre precios)”.

La respuesta de las plataformas

elDiario.es se ha puesto en contacto con Meta, Google y X para incluir su postura y preguntar aspectos concretos sobre esta situación y cómo es posible que mientras las tres compañías invierten miles de millones en inteligencia artificial, sus sistemas sigan aceptando el dinero de ciberestafadores para publicar anuncios fraudulentos que cualquier revisor humano podría detectar.

Ninguna ha respondido a esas cuestiones. X no ha contestado al requerimiento en absoluto, como ha hecho desde que Musk compró la compañía y despidió a todo su equipo de comunicación. Meta ha enviado información “de contexto”, “publicable sin atribuir a un portavoz o entrecomillar”. Google también ha enviado este tipo de información, a la que añade el siguiente comunicado de un portavoz:

“Proteger a las personas usuarias es nuestra principal prioridad y tenemos políticas publicitarias estrictas que rigen los tipos de anuncios y anunciantes que permitimos en nuestras plataformas. Seguimos invirtiendo importantes recursos para detener a los malos actores y estamos constantemente evaluando y actualizando nuestras políticas y mejorando nuestra tecnología. Continuaremos trabajando duro para mantener seguras a las personas usuarias”.

La información de contexto enviada por Meta y Google resume sus políticas para con los anuncios y la retirada de estos. Meta asegura que ha eliminado 413 millones de contenidos de spam de Facebook, de los cuales el 98,2% se eliminaron antes de ser denunciados por los usuarios. Google cita que en 2022 eliminó 198 millones de anuncios por infringir su política de servicios financieros. 

Consecuencias legales

“El principio legal con las redes sociales es que deben retirar contenidos ilegales que sube los usuarios cuando tienen conocimiento efectivo de ellos”, dice Borja Adsuara, abogado especializado en el entorno digital: “Pero es que en este caso ellos están cobrando por promocionar esos contenidos, por convertirlos en publicidad, por lo que su deber de vigilancia tiene que ser mucho mayor”.

El jurista expone que las plataformas “son parte esencial de la comunicación que hace posible que esta estafa llegue a los usuarios” y recuerda con lo que ocurrió con la legislación del copyright como un paralelismo de esta situación. “En el Código Penal se incluyó también a las páginas que incluían enlaces a webs donde se podían descargar contenidos protegidos, porque se entendió que eran parte necesaria en la comisión del delito de piratería”, resume.

Sobre las demandas de Resines u otras personas que ven utilizada su imagen para lanzar estas estafas, Adsuara reconoce que tienen pocos visos de llegar hasta los culpables. “Los estafadores suelen hacerlo desde países a los que no llega la acción de la justicia española”, lamenta.

No obstante, para el especialista eso se convierte en una razón más para aumentar la responsabilidad de las plataformas: “¿Qué hace usted aceptando publicidad y recibiendo dinero de gente a la que si comete una infracción, no se puede perseguir? Ante la duda, solo publicidad legal”.

Los anales de Internet esconden innumerables historias sobre lo que ocurre cuando la occidentalizada gestión de los dominios web se cruza con algunos países del Sur Global. Lo más habitual, como en el caso de Tuvalu –una isla polinesia que gestiona el dominio .tv– o Anguila –la isla caribeña que gestiona el .ai tan codiciado por las empresas de inteligencia artificial– es que esa pequeña pieza de la digitalización, que personaliza las direcciones de las páginas web, se convierta en una mina de oro para estas comunidades.

Pero un dominio de éxito también puede mostrar otra cara. La del peor “colonialismo digital”, advierten en Tokelau. Este archipiélago del Océano Pacífico, habitado por unas 1.500 personas, tiene asignado el dominio .tk. La guarida preferida por el cibercrimen internacional desde el siglo pasado.

Tokelau ha sido la peor pesadilla de las fuerzas de seguridad y de millones de usuarios durante años. “Ver un dominio .tk es prácticamente lo mismo que ver un dominio .ru, que es el de Rusia. Sabes que lo que hay por detrás, sea lo que sea, no va a ser bueno”, avisa Rafa López, experto en ciberseguridad de Perception Point. “Se utiliza sobre todo para lanzar estafas masivas”.

Tokelau está formado por tres atolones que suman una superficie total de 12 kilómetros cuadrados. Sin embargo, su extensión digital sería inabarcable en una sola vida. “Ahora mismo tiene registrados más de 19 millones de dominios. Es el segundo en la lista mundial, solo por detrás de .com”, detalla López. Los dominios .es, por ejemplo, suman poco más de dos millones.

Cómo este remoto archipiélago logró convertirse en una megalópolis digital se entiende con una de las premisas básicas de la red: registrar dominios .tk es gratis. Cómo pasó a estar gobernada por el sindicato del phishing se explica con otra: para tener una web .tk solo se necesita un nombre y no hace falta que sea real.

“Por eso se le llama el paraíso del cibercrimen”, dice el experto en seguridad: “Primero por ser gratis, ya que lanzar campañas de ataque masivas, suplantaciones, etc. no cuesta nada. Y segundo porque se puede hacer de manera completamente anónima. No te hace falta irte a la dark web para anonimizarlo todo. Para terminar, como hay una empresa de por medio que es la que hace todos los registros, estás protegido de cualquier requerimiento internacional”.

Esa empresa es Freenom, que gestionó el registro de dominios .tk hasta 2023, cuando todo explotó. Una demanda de Meta (propietaria de Facebook, WhatsApp e Instagram) paró la actividad de la compañía, que no estaba registrada en Tokelau. Los tokelauenos dicen que no supieron nada de sus actividades hasta que fue demasiado tarde. Ahora pelean para recuperar el .tk.

El vaquero de las redes holandés

Además de a Freenom, la demanda de Meta apunta a dos personas. Una es Joost Zuurbier, el empresario de Ámsterdam que los tokelauanos señalan como el causante de todo en una reciente investigación publicada en Technonoly Review, la revista del Instituto Tecnológico de Massachusets (MIT), la primera que consigue aportar su versión de la historia.

Tokelau es un territorio dependiente de Nueva Zelanda, que dista 3.500 kilómetros y financia muchos de sus servicios básicos. Posee una de las economías más pequeñas del mundo. “Sin embargo, tiene sus propias instituciones políticas, sistema judicial, servicios públicos (incluidas telecomunicaciones y transporte marítimo) y pleno control de su presupuesto”, explica el Ministerio de Exteriores neozelandés.

“Tokelau tiene una estructura política única”, continúa el organismo: “El cargo de Ulu-o-Tokelau, Jefe Titular del Gobierno, rota anualmente entre el líder (Faipule) de cada atolón. El Fono General (órgano legislativo nacional) se reúne tres veces al año y está compuesto por representantes elegidos de cada atolón”.

Ante ellos se presentó en el año 2001 Joost Zuurbier. Quería usar el recién asignado dominio .tk a Tokelau por parte del Icann (la Corporación de Internet para la Asignación de Nombres y Números, una organización sin fines de lucro estadounidense) para proponerles una idea de negocio.

El empresario holandés quería ofrecer la posibilidad de registrar páginas web de manera gratuita. Pensaba que después de los correos electrónicos, el siguiente paso sería que cada persona tuviera su portal en la world wide web. Faltaban años para que Mark Zuckerberg creara Facebook, pero Zuurbier ya pensaba que había dinero en la posibilidad de ofrecer a los usuarios un espacio digital propio a cambio de insertar publicidad en ellos. El dominio .tk le parecía el ideal.

A los representantes de Tokelau, a donde la radio había llegado en 1970 y el teléfono en 1997, no les sonó mal. Ni siquiera sabían que el Icann les había concedido un dominio. “Descubrimos el .tk”, recuerda en la Technology Review Aukusitino Vitale, que en aquel momento era director general de Teletok, el único operador de telecomunicaciones del archipiélago. Zuurbier “pagaría a Tokelau una determinada cantidad de dinero para que Tokelau le permitiría utilizar el dominio”, continúa.

Hubo acuerdo. Una parte de lo que pasó después se incorporó al lado más oscuro de Internet. La otra salió a la luz ahora. “Él proporcionó todo el equipo, conectó los tres atolones y luego también puso algunos fondos que yo solía compartir con la comunidad”, dice Vitale. Aparecieron los cibercafés gratuitos en Tokelau, impulsados con el dinero del .tk.

“Fuimos a ciegas”

“Escuchamos el éxito que tuvo .tk. Éramos más grandes que China”, recuerda el ex director general de Teletok. “Nos sorprendió, pero no sabíamos lo que significaba para Tokelau. Lo que fue más significativo en ese momento fue que estábamos recibiendo dinero para ayudar a las aldeas. Entonces no sabíamos nada del otro lado”, asegura: “Fuimos a ciegas. No sabíamos que sería tan popular”.

Un ciclón de estafas, suplantaciones de identidad y cibercrimen se levantaba alrededor del paradisíaco Tokelau mientras sus habitantes vivían ajenos a él. Pero esa situación tenía fecha de caducidad. Ocurrió 10 años después, cuando el Gobierno de Nueva Zelanda dio un toque a los responsables del archipiélago respecto al .tk, que ya tenía un millón de páginas registradas.

Se pusieron en contacto con Zuurbier, quien intentó agasajarlos invitándolos a Ámsterdam con todos los gastos pagados para que visitaran la sede de la empresa. Después los llevó a un partido de Samoa en la Copa Mundial de Rugby. Pero poco después de ese viaje, empezó a retrasarse en los pagos a Tokelau y las quejas por el .tk se intensificaron.

Aunque la posibilidad de primar el anonimato por encima de todo y tener una web propia resonaba muy bien en el primer Internet, la práctica fue quedando aparcada con la aparición de las redes sociales y la necesidad de identificar a los responsables de los actos delictivos de la red. “Al final quien no quiere dar sus datos quiere hacer algo que no debe”, opina Rafa López.

TeleTok se puso en contacto con Zuurbier para intentar que cambiara la gestión de los .tk y limpiara el nombre de Tokelau. El holandés dijo que lo haría, pero nunca ocurrió. elDiario.es se puso en contacto con Joost Zuurbier y con Freenom, pero ni la empresa ni su fundador contestaron a los requerimientos.

Colonizando dominios web

En el archipiélago la situación se enquistó. Sus responsables temían que si rompía a las malas el pacto con Zuurbier, este retirara toda la infraestructura digital que conectaba el archipiélago con el mundo.

Mientras, el empresario colonizó otros dominios web. Se hizo con la gestión del .ga de Gabón, el .ml de Mali, el .gq de Guinea Ecuatorial y el .cf de República Centroafricana. En todos aplicó la misma política que en el .tk.

Todo siguió igual hasta marzo de 2023, cuando Meta llevó a Freenom y Zuurbier ante los tribunales. “Los demandados registraron, traficaron y utilizaron más de 5.000 nombres de dominio que son idénticos o confusamente similares a las marcas de los demandantes”, acusa la corporación, que cita ejemplos como “faceb00k.ga, fb-lnstagram.cf, facebook-applogin.ga, instagrams-help.cf, instaqram.ml, chat-whatsaap.gq, chat-whatsaap-com.tk”.

“Los cinco dominios a los que Freenom presta sus servicios son los elegidos por los ciberdelincuentes porque Freenom ofrece servicios gratuitos de registro de nombres de dominio y protege la identidad de sus clientes, incluso después de que se les presenten pruebas de que los nombres de dominio se están utilizando para fines ilegales”, dice la demanda de Meta.

La actividad de Freenom parece haber cesado tras la demanda. No existe información oficial de cuánto paga (o pagaba) a Tokelau. Teletok no informa de ello en sus cuentas ni sus representantes lo aclaran en la revista del MIT, aunque dicen que “no nos da mucho dinero. El .tk no fue nada para nuestros ingresos”. Zuurbier dice en su Linkedin que su aportación representaba el 10% del PIB de Tokelau.

Para los tokelauanos, lo importante es recuperar la gestión del .tk, algo que consideran clave para consumar la descolonización de Nueva Zelanda, cuyo Gobierno se comprometió a organizar un referéndum antes de 2025. “No lo tendrán fácil”, opina López, de Perception Point.

“La gente de Tokelau está intentando, para limpiar su nombre, recuperar el control del dominio y que los ciberdelincuentes no puedan usarlo anónimamente. Pero como es un dominio de segundo nivel, que no están tan estandarizados ni protegidos como nacionales como el .es por ejemplo, se considera que la empresa lo compró y ya está. La gente de Tokelau no puede recuperarlo y los ciberdelincuentes lo saben”, sigue el experto.

A la espera de saber qué ocurre con Freenom y la demanda de Meta, López recuerda que situaciones como las de Tokelau se podrían evitar. “Se podría solucionar si hubiese intención tanto de las operadoras como de los gobiernos de perseguir y sancionar este tipo de acciones de las empresas que amparan a los ciberdelincuentes. Si no sacan tarjeta les permiten seguir jugando”, recuerda.

“La Unión Europea tendría que poder vetar que empresas como Freenom actuaran así desde su territorio. A veces será como poner puertas al campo, pero cuantas más puertas pongamos más difícil lo tendrán”.

CDC