Project Nightmare y el Año Nuevo chino: cómo tres analistas desmantelaron el ejército hacker más secreto
La historia de un equipo secreto en una oficina alquilada y la primera acusación pública contra todo un Estado.
En 2013 la entonces desconocida Mandiant publicó un informe que lo cambió todo. Vinculó directamente al grupo chino de hackers APT-1 con la unidad militar del Ejército Popular de Liberación de China — Unit 61398. Fue la primera acusación pública en la historia que atribuyó a un Estado el espionaje cibernético económico, respaldada no solo por direcciones IP, dominios e infraestructura, sino también por nombres reales de personas. Ese documento mostró por primera vez que detrás de los ataques no había servicios secretos abstractos, sino personas concretas con teléfonos, geolocalización, cuentas e incluso sus puestos favoritos de fideos.
El autor principal e impulsor de ese informe fue Visi Stark — entonces un miembro corriente del equipo y ahora cofundador de Vertex Project. Anteriormente trabajó para la comunidad de inteligencia de Estados Unidos, investigando vulnerabilidades y creando herramientas para operaciones ofensivas de la NSA y la CIA. Junto con dos colegas desarrolló la plataforma Nucleus — una herramienta para unir señales cibernéticas dispersas en una imagen coherente. Fue con esa herramienta que los invitaron a Mandiant. Pero oficialmente nadie sabía quiénes eran: trabajaban en una oficina alquilada con un rótulo falso, no conectada a la infraestructura principal de la empresa.
Al recopilar datos de investigaciones y al observar la actividad china, el equipo pronto dio con Unit 61398. Registraron terabytes de archivos robados que transitaban por proxies comprometidos: flujos enteros de archivos RAR con documentación industrial y científica. En casos aislados lograron incluso descifrar estos archivos, porque se conocían las contraseñas o los comandos con que se habían creado. Quedó claro que la magnitud del robo superaba todo lo conocido hasta entonces.
Mandiant, al igual que los servicios de inteligencia, conocía esa actividad, pero prefería guardar silencio para no revelar los métodos de vigilancia. Stark y sus colegas decidieron que era hora de hablar. Idearon un plan, que luego se denominó Project Nightmare, para revelar públicamente la estructura de la operación china, sus rostros, su infraestructura y sus métodos.
Al principio la dirección de la empresa se opuso: la publicación habría roto investigaciones en curso y podría dañar la reputación. Pero cuando quedó claro que la infraestructura de APT-1 iba a ser revelada por organismos oficiales, el proyecto recibió luz verde. El equipo publicó el informe para el Año Nuevo chino — en respuesta a la habitual actividad de los hackers chinos durante las vacaciones navideñas.
El resultado fue más poderoso de lo esperado. APT-1 desapareció como fuerza independiente: sus personas e instrumentos fueron redistribuidos a unidades menos «visibles». El enfoque de la ciberinteligencia en el sector cambió: las empresas empezaron a incluir más indicadores técnicos, a nombrar con más frecuencia a personas y a convertir los informes en investigaciones completas. Mientras tanto, Mandiant pasó a ser percibida no como un contratista, sino como un actor político.
Más tarde, en un briefing interinstitucional cerrado, representantes de servicios de inteligencia de distintos países agradecieron personalmente a los autores del informe. Lo calificaron como la contribución más precisa e importante en la lucha contra el espionaje cibernético. Y Stark respondió entonces: «Nuestro objetivo no era atrapar a todos. Simplemente queríamos que ellos también tuvieran su propia burocracia».
Las huellas digitales son tu debilidad, y los hackers lo saben