L’atac informàtic que van patir diversos serveis essencials de la Generalitat amb la intenció d’impedir la consulta del 9-N del 2014 va ser perpetrat “des d’una distància no més llunyana de 1.000 quilòmetres”, segons noves dades a les quals ha tingut accés ElNacional.cat. Aquell ciberatac, que pretenia tombar el portal de la consulta participativa, va provocar el col·lapse d’algunes àrees que no tenien res a veure amb aquella jornada electoral, com ara el Servei d’Emergències Mèdiques, la recepta electrònica, serveis de mobilitat o les principals pàgines web de la Generalitat.

Ni xinès, ni rus, ni nord-americà

La setmana passada, El País va publicar que un empresari israelià, Tal Hannan, havia estat el cervell de l'operació i l’endemà El Món a RAC1 va afegir que aquest tipus d’encàrrecs només poden ser satisfets si el client és el govern d’un estat. Que l’autor sigui un empresari d’Israel no vol dir, en absolut, que l’origen físic dels ordinadors des d’on es llança l’atac sigui Israel. En aquell moment la Generalitat no disposava encara de l’actual Agència de Ciberseguretat i, per tant, llavors no va poder investigar formalment l’origen geogràfic del ciberatac.

La versió que l’Estat va donar als mitjans de comunicació és que l’origen del ciberatac era a Rússia, la Xina i els Estats Units, perquè així ho indicaven les adreces IP dels “cibermíssils digitals” que havien impactat contra els sistemes d’informació de la Generalitat de Catalunya. Malgrat no disposar d’aquesta eina per iniciar la investigació, alguns responsables informàtics del Govern van realitzar consultes a hackers experts i gestors de grans infraestructures de telecomunicacions per poder tenir més dades sobre aquest origen del ciberatac. La informació obtinguda es va mantenir en secret fins avui i ElNacional.cat hi ha tingut accés.

Així va ser l'atac del 9-N

L’atac dels dies previs al 9-N va ser un atac tan senzill d’explicar com això: “És com si per col·lapsar la ciutat de Barcelona, concentres als seus accessos una quantitat de cotxes 60.000 vegades superior a un dia normal. La ciutat es col·lapsa i ningú hi pot entrar ni sortir”, expliquen a aquest diari fonts del Govern de la Generalitat de l’època. En termes més tècnics, aquest atac es coneix com un “atac de denegació de servei” (DDoS), és a dir, encarregar a milers d’ordinadors que, simultàniament, s’adrecin a un sol lloc o nombre reduït de llocs. El lloc en qüestió no pot assumir tanta demanda, es col·lapsa i no pot prestar servei a l’usuari normal.

Ara bé, segons ha pogut saber ElNacional.cat, encara que les IP dels ordinadors que van executar l’atac tinguessin matrícula xinesa, russa o nord-americana, el seu lloc de procedència no va ser cap d’aquests territoris “sinó algun punt no més llunyà a Catalunya que 1.000 quilòmetres”. La prova d’aquest origen més proper, i que afegiria arguments per pensar en un encàrrec del govern espanyol, cal trobar-lo en els cables submarins d’informació que connecten digitalment la península Ibèrica amb la resta del món.

El passat mes d’octubre, Catalunya es va connectar a un dels cables submarins d’una de les principals rutes del planeta i el seu punt d’arribada és a prop de les Tres Xemeneies, a Sant Adrià de Besòs. La connexió a aquest cable és fruit d’anys de negociació entre els diferents governs de la Generalitat i les empreses responsables d’aquest tipus d’infraestructures. Les primeres negociacions van ser, precisament, el 2014 sota el govern d’Artur Mas. En plenes converses, l’administració catalana va patir aquest ciberatac i els responsables de la seguretat informàtica de la Generalitat van preguntar a aquestes companyies internacionals si havien vist passar pels seus cables submarins aquell ingent volum de dades els dies anteriors al 9-N.

El tràfic intercontinental no va augmentar

Cal recordar que aquell ciberatac va ser catalogat com un dels 10 incidents de ciberseguretat més importants del món aquell any 2014. El 95% del tràfic intercontinental de dades circula per cables submarins i, per tant, per perpetrar un ciberatac d’aquesta magnitud, la informació necessària hauria d’haver entrat pels cables que connecten la península Ibèrica amb els continents americà i asiàtic. Doncs bé, ni rastre. “Ni un sol bit” va entrar pels grans cables submarins intercontinentals que arriben a Bilbao, Lisboa, Cadis o Marsella. Per tant, si el ciberatac no va entrar des de fora de la Península, “és força evident” que es va executar amb infraestructura des d’un punt comprès a l’interior d’aquests quatre punts i “havent falsificat prèviament les IPs (les matrícules) per fer creure que venien de molt lluny i així desviar l’atenció”.

p95AN la connexi internacional de fibra ptica en funcionament el 2014 (3) (1)
Ports d'arribada de fibra òptica el 9-N del 2014 / Mapa: Laura Cercós

Per acabar de certificar l’autoria del ciberatac, els mateixos responsables informàtics de la Generalitat recomanen canviar l’àmbit d’investigació: “Igual que a The Wire amb la policia i la droga, serà més fàcil seguir el rastre de la factura que va emetre Tal Hannan". Clar que, "és possible que no hi hagi cap NIF perquè qui ho ha pagat, en el fons, és molt reservat".