80 000 cuentas, 8 combatientes. Los demás — extras para intimidar. Así funcionan los "ejércitos" de hackers

80 000 cuentas, 8 combatientes. Los demás — extras para intimidar. Así funcionan los "ejércitos" de hackers

Las operaciones ofensivas recaen en una diminuta élite — y su escasez es crítica.

image

Los especialistas en operaciones ofensivas en el ciberespacio son ingenieros y analistas encargados de diseñar y aplicar técnicas de infiltración en redes ajenas: buscan vulnerabilidades, desarrollan y adaptan exploits, configuran infraestructura de acceso, ejecutan ataques dirigidos y mantienen la persistencia en los sistemas del adversario. Estos equipos son esenciales tanto para organismos estatales como para grupos no gubernamentales, que los utilizan para inteligencia, sabotaje, robo de datos y preparación técnica para campañas más amplias. Las exigencias de formación son considerablemente más altas que en tareas defensivas: se requiere dominio metódico de mecanismos de bajo nivel, comprensión profunda de protocolos, arquitectura de sistemas y técnicas actuales de detección.

Incluso con el crecimiento de las comunidades globales de ciberseguridad y la aparición de programas de formación estructurados en algunos países, el número de profesionales realmente capacitados sigue siendo bajo. La doctrina militar china lo advirtió mucho antes: informes clave subrayaban que en el ciberespacio no funciona la lógica del “ejército masivo”, y que las operaciones complejas solo pueden ser ejecutadas por un grupo reducido y altamente calificado.

La historia de las agrupaciones chinas de hackers "rojos" de finales de los 90 y principios de los 2000 ilustra bien la brecha entre el gran público y los verdaderos operadores. Plataformas como Green Army, Honker Union of China o China Eagle Union mostraban estadísticas impresionantes de registro —miles o decenas de miles de cuentas—, pero la actividad operativa recaía en equipos compactos, mientras que la mayoría de los usuarios se limitaban a participar en foros o leer contenidos.

En casi todos los casos se observaba una división en dos capas. El núcleo coordinaba las acciones, se ocupaba de la parte técnica y organizativa, mientras que el "círculo externo" participaba principalmente en debates y seguía las noticias. Algunos colectivos marcaban esta frontera en el propio sitio (con miembros oficiales diferenciados del público general), en otros se distinguía entre "miembros principales" y "voluntarios". Dentro del equipo clave, las funciones no se limitaban al hacking: se necesitaban administradores de recursos, editores, traductores, gestores de relaciones y personas encargadas de finanzas y logística.

Los datos disponibles en archivos y publicaciones revelan proporciones significativas. En Green Army, con unas tres mil cuentas registradas entre 1997 y 2000, el núcleo activo constaba de unos cuarenta miembros. En Honker Union se mencionaban con frecuencia 80 000 cuentas, pero fuentes independientes hablaban de unas pocas figuras clave, con estimaciones que oscilaban entre cinco o seis y un puñado de personas que realmente llevaban el peso técnico y organizativo. En China Eagle Union, a inicios de 2005, se hablaba de unos cincuenta integrantes centrales frente a más de 113 000 registros acumulados hacia mediados de 2007.

Colectivos de menor escala presentaban la misma estructura. En octubre de 2004, 0x557 mencionaba once nombres "nucleares"; según fotos publicadas en 2018, el equipo podría haber llegado a veinte personas, sin que se identificara un foro como espacio independiente. NCHP contaba diez miembros clave en 2005. XFocus señalaba entre 2004 y 2012 hasta dieciocho "elementos esenciales", y hablaba de 50 000 cuentas hacia septiembre de 2012. EvilOctal mantenía un núcleo de treinta y un integrantes en 2010, con 9562 registros desde principios de 2007. En el caso de Ph4nt0m Security Team, entre 2004 y 2009, el núcleo variaba entre 11 y 20 personas, y el pico de audiencia externa llegó en octubre de 2006 con unos 6900 usuarios. Si se suman las estimaciones de los ocho grupos analizados, se obtiene un total aproximado de 200 personas que, en esencia, sostenían todo el trabajo práctico.

El bajo umbral de entrada para el público general explica el desequilibrio. En muchos casos bastaba con un e-mail, sin verificación de identidad ni evaluación de habilidades. La gente llegaba por curiosidad o con fines autodidactas, y una gran parte se mantenía pasiva. Los debates eran moderados por curadores técnicamente competentes, quienes marcaban la pauta y filtraban contenidos. Sin embargo, es difícil evaluar el aporte real del "círculo externo" por señales abiertas: la actividad era intermitente y muchos solo leían.

El nivel de preparación también variaba ampliamente. Publicaciones de mediados de los 2000 señalaban que los kits de herramientas accesibles facilitaban el inicio para novatos: aparecían usuarios que no comprendían los fundamentos de red y simplemente ejecutaban scripts ya hechos. Análisis de la época hablaban abiertamente del predominio de actividades superficiales: spam, ataques rudimentarios y explotación de técnicas obsoletas. Aun así, las cifras mediáticas creaban una imagen inflada del alcance real.

Formar parte del núcleo operativo requería un nivel completamente distinto. En algunos lugares existían solicitudes formales con requisitos de portafolio; en otros, funcionaba un sistema tácito de recomendaciones. Incluso dentro del equipo principal, no todos se dedicaban al "hacking": algunos mantenían los sitios, otros traducían textos, redactaban artículos o coordinaban eventos. Aun así, los técnicos eran la parte más influyente, ya que sin sus herramientas y métodos, las operaciones resultaban imposibles.

La escasez de profesionales competentes no se explicaba solo por la falta de talento. Estas comunidades carecían de programas estables de formación de cuadros y de métodos objetivos de evaluación: los recursos limitaban tanto el mentorazgo como la verificación de habilidades, por lo que se confiaba más en trabajos públicos y contactos personales. Los líderes admitían en comunicados abiertos la falta de "manos" en el bloque técnico; en algunos casos, toda la operación técnica recaía literalmente en un par de personas. En otro ejemplo conocido, el líder mencionaba una horquilla de 30 a 50 personas como "núcleo real", y señalaba que no había tiempo ni recursos para comprobar sistemáticamente la competencia de todos los registrados.

La conclusión es simple y se confirma claramente con los datos de archivo: un gran número de cuentas registradas en estas plataformas no significa que exista un número equivalente de personas capaces de ejecutar operaciones ofensivas complejas —desde el desarrollo y adaptación de exploits hasta el establecimiento de infraestructura, la infiltración encubierta y el mantenimiento del acceso. El trabajo práctico recaía en pequeños equipos bien cohesionados con un alto nivel de preparación, y aunque se intentara montar una “línea de producción” formativa, la cúspide de la pirámide crecía muy lentamente. Eran estas personas las que definían el verdadero poder de los grupos, no el contador de usuarios en la portada del foro.

¿Estás cansado de que Internet sepa todo sobre ti?

¡Únete a nosotros y hazte invisible!