Cinco hombres chinos procesados por robar miles de correos electrónicos y documentos de compañías estadounidenses tenían apodos típicos de los piratas informáticos. Pero una cosa los hacía distintos: tenían un empleo habitual en el que fichaban tarjeta.
Conocidos por nombres como UglyGorilla, WinXYHappy y KandyGoo, trabajaban de 8 a 18 con dos horas de descanso para almorzar, según un informe emitido por la compañía de seguridad online FireEye Inc. Los integrantes del equipo de Shanghái, que rara vez trabajaban los fines de semana, actuaban más como empleados públicos que como el estereotipo de personas solitarias en un sótano que trabajan el día entero.
Durante unos ocho años, el grupo hackeó a compañías estadounidenses como Alcoa Inc., United States Steel Corp. y Westinghouse Electric Co. para robar "comunicaciones internas sensibles", afirma el Departamento de Justicia.
Los piratas informáticos, todos oficiales de la Unidad 61398 del Tercer Departamento del Ejército de Liberación Popular Chino, se conectaban en horarios chinos habituales, rara vez hacían horas extra y casi nunca trabajaban pasada la medianoche, según la investigación de FireEye. "Lo tratan como un negocio, no es algo que traten como un hobby", dijo telefónicamente Bryce Boland, director de tecnología de FireEye para Asia-Pacífico. "Están haciendo lo que consideran su trabajo".
El Departamento de Justicia acusó a Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu y Gu Chunhui de espionaje económico ligado a la piratería informática de compañías estadounidenses de energía nuclear, metales y energía solar.
Picos de conexión
Los cargos del procesamiento, sobre el cual se levantó el secreto del sumario el 19 de mayo, son los primeros que se presentan contra un actor estatal por ese tipo de piratería, dijo el procurador general de los Estados Unidos Eric Holder en una declaración. El gobierno chino rechazó los cargos tachándolos de "absurdos".
Mandiant, un proveedor de ciberseguridad que adquirió FireEye en enero, rastreó las conexiones de los miembros de la Unidad 61398 hasta servidores remotos que usaban para hackear redes. La investigación mostró un pico de conexiones a las ocho de la mañana y nuevamente a las 14, cuando los trabajadores chinos terminan su horario de almuerzo. Alrededor del 75 por ciento de las conexiones se producían entre las ocho y el mediodía o entre las 14 y las 18, dijo FireEye en un blog. Aproximadamente el 98 por ciento de las conexiones tenían lugar en días de semana y el 1.2 por ciento ocurría en el período entre medianoche y las siete de la mañana hora de China, señaló FireEye.
Mandiant identificó por primera vez a un grupo de hackers chinos al que llamó APT1 en febrero del año pasado, diciendo que había atacado como mínimo a 141 compañías de todo el mundo desde 2006. Los datos de la empresa coinciden con los del Departamento de Justicia.
"Estos conjuntos de datos muestran que APT1 opera en China durante el horario laboral chino normal o que APT1 intencionalmente hace grandes esfuerzos para simular que lo hace", dijo FireEye.