El ataque informático que sufrieron varios servicios esenciales de la Generalitat con la intención de impedir la consulta del 9-N de 2014 fue perpetrado "desde una distancia no más lejana de 1.000 kilómetros", según nuevos datos a los que ha tenido acceso ElNacional.cat. Aquel ciberataque, que pretendía tumbar el portal de la consulta participativa, provocó el colapso de algunas áreas que no tenían nada que ver con aquella jornada electoral, como el Servei d’Emergències Mèdiques, la receta electrónica, servicios de movilidad o las principales páginas web de la Generalitat.

Ni chino, ni ruso, ni norteamericano

La semana pasada, El País publicó que un empresario israelí, Tal Hannan, había sido el cerebro de la operación y al día siguiente El Món a RAC1 añadió que este tipo de encargos solo pueden ser satisfechos si el cliente es el gobierno de un estado. Que el autor sea un empresario de Israel no quiere decir, en absoluto, que el origen físico de los ordenadores desde donde se tira el ataque sea Israel. En aquel momento, la Generalitat no disponía todavía de la actual Agència de Ciberseguretat y, por lo tanto, entonces no pudo investigar formalmente el origen geográfico del ciberataque.

La versión que el Estado dio a los medios de comunicación es que el origen del ciberataque estaba en Rusia, China y los Estados Unidos, porque así lo indicaban las direcciones IP de los "cibermisiles digitales" que habían impactado contra los sistemas de información de la Generalitat de Catalunya. A pesar de no disponer de esta herramienta para iniciar la investigación, algunos responsables informáticos del Govern realizaron consultas a hackers expertos y gestores de grandes infraestructuras de telecomunicaciones para poder tener más datos sobre este origen del ciberataque. La información obtenida se mantuvo en secreto hasta hoy y ElNacional.cat ha tenido acceso.

Así fue el ataque del 9-N

El ataque de los días previos al 9-N fue un ataque sencillo de explicar: "Es como si para colapsar la ciudad de Barcelona, concentras en sus accesos una cantidad de coches 60.000 veces superior a un día normal. La ciudad se colapsa y nadie puede entrar ni salir", explican a este diario fuentes del Govern de la Generalitat de la época. En términos más técnicos, este ataque se conoce como un "ataque de denegación de servicio" (DDoS), es decir, encargar a miles de ordenadores que, simultáneamente, se dirijan a un solo sitio o número reducido de sitios. El sitio en cuestión no puede asumir tanta demanda, se colapsa y no puede prestar servicio al usuario normal.

Ahora bien, según ha podido saber ElNacional.cat, aunque las IP de los ordenadores que ejecutaron el ataque tuvieran matrícula china, rusa o norteamericana, su procedencia no fue ninguno de estos territorios "sino algún punto no más lejano a Catalunya que 1.000 kilómetros". La prueba de este origen más próximo, y que añadiría argumentos para pensar en un encargo del gobierno español, hay que encontrarlo en los cables submarinos de información que conectan digitalmente la península Ibérica con el resto del mundo.

El pasado mes de octubre, Catalunya se conectó a uno de los cables submarinos de una de las principales rutas del planeta y su punto de llegada está cerca de las Tres Xemeneies, en Sant Adrià de Besòs. La conexión a este cable es fruto de años de negociación entre los diferentes gobiernos de la Generalitat y las empresas responsables de este tipo de infraestructuras. Las primeras negociaciones fueron, precisamente, en 2014 bajo el gobierno de Artur Mas. En plenas conversaciones, la administración catalana sufrió este ciberataque y los responsables de la seguridad informática de la Generalitat preguntaron a estas compañías internacionales si habían visto pasar por sus cables submarinos aquel ingente volumen de datos los días anteriores al 9-N.

El tráfico intercontinental no aumentó

Hay que recordar que aquel ciberataque fue catalogado como uno de los 10 incidentes de ciberseguridad más importantes del mundo aquel año 2014. El 95% del tráfico intercontinental de datos circula por cables submarinos y, por lo tanto, para perpetrar un ciberataque de esta magnitud, la información necesaria tendría que haber entrado por los cables que conectan la península Ibérica con los continentes americano y asiático. Pues bien, ni rastro. "Ni un solo bit" entró a través de los grandes cables submarinos intercontinentales que llegan a Bilbao, Lisboa, Cádiz o Marsella. Por lo tanto, si el ciberataque no entró desde fuera la Península, "es bastante evidente" que se ejecutó con infraestructura desde un punto comprendido en el interior de estos cuatro puntos y "habiendo falsificado previamente las IPs (las matrículas) para hacer creer que venían de muy lejos y así desviar la atención".

 

Puertos de llegada de fibra óptica el 9-N de 2014 / Mapa: Laura Cercós

Para acabar de certificar la autoría del ciberataque, los mismos responsables informáticos de la Generalitat recomiendan cambiar el ámbito de investigación: "Igual que en The Wire con la policía y la droga, será más fácil seguir el rastro de la factura que emitió Tal Hannan". Claro que, "es posible que no haya ningún NIF porque quien lo ha pagado, en el fondo, es muy reservado".