IEEE. La desinformación rusa y el ciber-terrorismo de falsa bandera: el caso del ciber-califato

Captura del defacement sufrido por el perfil de Twitter de la revista Newsweek

27 jun 2025

IEEE. La desinformación rusa y el ciber-terrorismo de falsa bandera: el caso del ciber-califato

Manuel R. Torres Soriano. Catedrático de Ciencia Política de la Universidad Pablo de Olavide de Sevilla

Introducción

A lo largo del año 2015, un colectivo de hackers que se denominaban así mismos CyberCaliphate por su alineación con el grupo terrorista Estado Islámico (ISIS), acaparó la atención mediática al reivindicar una serie de sabotajes informáticos que iban desde el defacement1 de perfiles en redes sociales de instituciones militares estadounidenses hasta el ciber-ataque contra la infraestructura informática de una importante cadena de televisión francesa. Estos incidentes provocaron una considerable alarma al ser percibidos como una evidencia del creciente peligro del "ciber-terrorismo" de inspiración yihadista. Pasó algún tiempo hasta que la investigación de estos sucesos revelara que los ataques eran en realidad operaciones de falsa bandera orquestadas por los servicios de inteligencia del estado ruso2. El surgimiento y despliegue de actividades de la entidad llamada Ciber-Califato constituye un caso paradigmático de cómo Rusia ha instrumentalizado la amenaza del terrorismo yihadista para impulsar sus operaciones de desinformación contra Occidente. El estudio de este caso es especialmente relevante para mejorar nuestra comprensión de la dinámica que rodea a este tipo de operaciones de falsa bandera dentro de una estrategia más amplia de guerra híbrida.

Las operaciones de falsa bandera en la estrategia rusa de desinformación

Las campañas de desinformación impulsas en la actualidad por la Federación Rusa mantienen una conexión directa con la doctrina desarrollada en tiempos de la Unión Soviética en torno a los objetivos y filosofía que debe inspirar las "medidas activas" desplegadas contra el enemigo occidental3. Estas “medidas” eran operaciones de inteligencia semi-encubiertas o encubiertas destinadas a influir en las decisiones políticas de un adversario. Casi siempre ocultaban o falsificaban la fuente, intentando esconderse tras el anonimato o de una atribución fraudulenta4.

Un elemento clave de esta época fue el empleo de la llamada “propaganda negra", es decir, la información atribuida falsamente a una fuente distinta a la de su verdadero origen. Estas acciones se realizaban a través de canales patrocinados oficialmente, acciones diplomáticas y actividades culturales internacionales. Las medidas activas encubiertas incluían el uso de organizaciones internacionales, emisiones de radio clandestinas y operaciones ejecutadas por agentes de influencia5.

Esta forma de entender el engaño y la provocación como una importante baza para debilitar al enemigo ha sido heredada por el entramado de inteligencia de la actual Rusia6. Después de la Guerra Fría, la inteligencia soviética simplemente cambió de nombre, pero operativamente seguían siendo lo mismo. El gobierno se comprometió formalmente a detener las operaciones de desinformación y disolver el Servicio A del KGB, pero lo reconvirtió en el Departamento MS dentro del SVR (Servicio de Inteligencia Exterior). El FSB (Servicio Federal de Seguridad) también crearía una estructura similar en 19997.

Las agencias rusas han utilizado repetidamente agentes u organizaciones pantallas para hacerse pasar por actores independientes o extremista, con el objetivo fundamental de influir en la opinión pública, sembrar la discordia y socavar la cohesión de sus adversarios. Disfrazar acciones patrocinadas por el Estado como si procedieran de terceros amplifica su impacto y complica enormemente su atribución. Dentro del abanico de posibles candidatos para recibir estas atribuciones falsas ocupa un lugar destacado el terrorismo. Esto permite parasitar los temores occidentales a la violencia yihadista, manipular las narrativas sobre la forma de confrontar esta amenaza y justificar sus propias políticas agresivas. Tanto dentro, como fuera del país, el Kremlin ha utilizado generosamente la etiqueta de "terrorista" para deslegitimar a sus enemigos, una argucia propagandística que se ha repetido en la mayor parte de sus intervenciones militares, desde Chechenia hasta Ucrania.

El enmascaramiento de las propias acciones a través de estas atribuciones fraudulentas confiere a las medidas activas un efecto desproporcionado en relación con el reducido coste de llevarlas a cabo. Los operadores rusos son conscientes de que la atribución inicial de autoría suele fijar en la opinión pública un marco de interpretación del que es difícil desprenderse, a pesar de que tiempo después pueda constatarse su falsedad. El proceder ruso se basa en esta ambigüedad, algo que suele funcionar porque los hechos son difíciles de comprobar y la fuente real se mueve en la clandestinidad y por tanto no puede ser contactada para conocer su versión. Por otro lado, los terroristas tampoco tienen incentivos para desmentir estas atribuciones engañosas ya que estas aumentan la imagen de peligrosidad que proyectan frente a su enemigo, y, por tanto, no tendrán ningún interés en desvincularse de las acciones protagonizadas por otros, a menos que estos resulten contraproducentes para la imagen y los objetivos de estos grupos. Hacerse pasar por terroristas yihadistas que operan en el ciberespacio es una manifestación contemporánea de la doctrina soviética de la maskirovka (enmascaramiento y engaño) y de la negación plausible: una forma de atacar a Occidente mientras que se siembra el miedo a un enemigo común (el yihadismo) y no a Rusia. Para cuando se descubra la artimaña, si es que alguna vez sucede, los objetivos de Moscú -ya sea la distracción, la división o simplemente el caos- probablemente se habrán cumplido.

Nacimiento y eclosión del Ciber-Califato

Un ejemplo arquetípico de la instrumentalización de la amenaza yihadista para hacer posible una campaña de desinformación es el caso del llamado Ciber-Califato. Esta denominación se presentó públicamente como una unidad de guerra cibernética afiliada al grupo Estado Islámico. Su debut tuvo lugar el 24 de diciembre de 2014, a través del hackeo de la aplicación móvil del Albuquerque Journal, un pequeño diario estadounidense. El grupo aprovechó su control sobre los contenidos para insertar un mensaje amenazante a sus suscriptores: “mientras que Estados Unidos y sus satélites están bombardeando el Estado Islámico nosotros hemos roto vuestras redes y dispositivos domésticos y lo sabemos todo sobre vosotros8


Imagen 1: Captura del defacement sufrido por el Albuquerque Journal (2014)

Sin embargo, los operadores rusos no fueron los creadores de esta denominación, sino que decidieron apropiarse de una marca que hay existía dentro del ecosistema del hacktivismo yihadista. El impulsor de esta denominación fue el británico de origen pakistaní Junaid Hussain9. Tras una adolescencia participando en el activismo virtual pro-palestino y moverse en la órbita del grupo antisistema Anonymous, terminaría encarcelado unos meses por varios delitos cometidos utilizando técnicas de hacking. Su paso por prisión intensificó la agresividad contra los que consideraba los responsables de un sistema opresivo, el cual se cebaba especialmente contra los musulmanes. En 2014 reaparecería en los territorios dominados por Estado Islámico en Siria. Junaid había decidido sumarse a la causa de este grupo terrorista adoptando un nuevo nombre de guerra: Abu Hussain al-Britani. Este británico puso a disposición del grupo sus conocimientos para formar a otros activistas y apoyar sus actividades propagandísticas. En poco tiempo se convertiría en el operativo más reconocible de los hackers que presumían de trabajar a favor de este grupo terrorista.

La aparición del Ciber-Califato coincidió con un pico de actividad de ISIS y con el aumento de los temores de Occidente tras los ataques terroristas en París (la masacre de Charlie Hebdo había tenido lugar el 7 de enero de 2015). El momento no podía ser más propicio para que las amenazas de este misterioso grupo fuesen tomadas en serio. Durante los primeros meses de 2015, protagonizaría una serie acciones con un considerable impacto mediático, entre ellas debe destacarse:

  1. El defacement de perfiles en redes sociales de instituciones militares estadounidenses: El 12 de enero de 2015, las cuentas de Twitter y YouTube del Mando Central de Estados Unidos fueron secuestradas por este grupo. Los atacantes publicaron eslóganes de ISIS, amenazas e incluso filtraron lo que afirmaron que eran archivos militares. Aunque este tipo de acciones se mueven en la capa más superficial de los ciberataques, y no afectó a ningún sistema sensible, el incidente sugirió que el ISIS tenía un alcance cibernético inesperado. El Pentágono decidió reforzar la seguridad de su presencia en las redes sociales de internet. Poco tiempo después otros objetivos estadounidenses de menor relevanci también sería objeto de estos ataques. Así, por ejemplo, la cuenta de Twitter de la revista Newsweek y otros medios de comunicación estadounidenses también fueron pirateados por Ciber-Califato, el cual insertó amenazas contra la Primera Dama Michelle Obama y su familia10. El FBI asumió la investigación de estos ataques a los que calificó como posibles ciberataques terroristas11.


    Imagen 2: Captura del defacement sufrido por el perfil de Twitter de la revista Newsweek

  2. "San Valentín sangriento": El 10 de febrero de 2015, varias esposas de militares estadounidenses recibieron en sus dispositivos personales mensajes amenazantes en nombre del Ciber-Califato: "Lo sabemos todo sobre ti, tu marido y tus hijos... Estamos mucho más cerca de lo que te imaginas"12. Al menos cinco familiares recibieron amenazas de muerte, tiempo que también era hackeada la cuenta en Twitter de un grupo de apoyo a familiares de militares. El efecto fue inmediato: los medios de comunicación realizaron una amplia cobertura sobre la angustia de unas familias amenazadas por los terroristas, y las precauciones adoptadas por algunas de ellas como el cambio temporal de vivienda.
  3. Kill List: En marzo de 2015, una supuesta “División de Hackeo” del Estado Islámico publicó los nombres, fotos y direcciones de 100 militares estadounidenses e instó a sus seguidores en EE.UU. a asesinarlos13. Meses después, la misma denominación difundió un archivo con los datos de unos 1.400 empleados gubernamentales y militares de este país, alentando a los llamados “lobos solitarios” a “actuar y matar” a las personas que aparecían en esta lista14. Aunque los autores de esta acción afirmaban haber obtenido la información hackeando bases de datos militares, gran parte de esos datos provenía de fuentes abiertas o filtraciones previas, no de intrusiones reales en sistemas clasificados.
  4. Ciberataque contra una cadena de televisión: La operación de mayor entidad se desarrolló los días 8 y 9 de abril de 2015 y tuvo como objetivo TV5Monde, una importante cadena de televisión francesa. Alrededor de las diez de la noche, los once canales de este grupo público dejaron de emitir durante más de tres horas15. Simultáneamente, sus páginas web y los perfiles en redes sociales fueron alterados para mostrar el logotipo del Ciber-califato, consistente en la imagen de un combatiente enmascarado y el lema "Je suIs IS" (una adaptación del lema "Je suis Charlie" utilizado por la sociedad francesa para mostrar su rechazo al atentado contra la revista satírica Charlie Hebdo). Los autores publicaron mensajes en los que afirmaban que el ataque era una venganza por las operaciones militares francesas contra el ISIS16. En paralelo, en los perfiles en Facebook y Twitter de esta cadena se publicaron mensajes amenazantes contra las familias de los soldados franceses, así como copias de algunos carnets de identidad y pasaportes de militares galos. Francia, todavía conmocionada por el atentado de hacía tres meses, reaccionó con gran preocupación a un ciber-ataque terrorista sin precedentes. La fiscalía de París abrió una investigación y el ministro del Interior declaró que las pruebas sugerían que el incidente era "un acto terrorista" dirigido contra los medios de comunicación. Los expertos señalaron que, si el ISIS estaba realmente detrás del ataque, esto evidenciaba que la organización había alcanzado unas nuevas y mucho más sofisticadas capacidades cibernéticas. El pirateo no sólo interrumpió la emisión de un medio de primer nivel, sino que también destruyó o inutilizó los sistemas informáticos internos, un golpe demoledor que, según el director de la cadena, "casi destruyó" la empresa17. Francia convocó reuniones de emergencia para evaluar la ciberseguridad de los medios de comunicación nacionales, ante el temor de nuevos ciber-ataques del ISIS.


    Imagen 3: Captura del defacement sufrido por la página web de TV5Monde

Tras la falsa bandera de Estado Islámico

A pesar de las hipótesis iniciales los investigadores fueron encontrando pistas que sugerían una autoría radicalmente distinta. Las primeras dudas surgieron tras el ataque a TV5Monde. Un día después del incidente del 8 de abril, algunos expertos franceses pidieron cautela a la hora de culpar al ISIS. Los investigadores descubrieron que el malware utilizado y la infraestructura informática que había detrás del ataque coincidían con la de conocido grupo de hackers rusos. En concreto, los servidores de mando y control y las configuraciones de dominio se apuntaban hacia los mismos bloques de direcciones IP y nombres utilizados anteriormente por la APT2818, vinculada a la inteligencia militar rusa, y que era una vieja conocida en el mundo de las empresas de ciberseguridad con denominaciones tan diversas como Pawn Storm, Tsar Team, Fancy Bear, Sednit o Sofacy. Se estimaba que este grupo disponía de una considerable cantidad de recursos, lo que le había permitido en el pasado producir una gran cantidad de exploits de día cero19. Los objetivos de la APT28 habían ido cambiando a lo largo de los años en paralelo con el clima político ruso. Entre sus objetivos se hallaban agencias gubernamentales extranjeras, medios de comunicación, ONGs y empresas energéticas. El grupo había acreditado una considerable eficacia a la hora de ofrecer a sus patrocinadores un elevado grado de negación plausible. Así, por ejemplo, en marzo de 2014, un grupo separatista prorruso autodenominado CyberBerkut, supuestamente con base en Ucrania, saltó a la fama por llevar a cabo varios ataques contra el gobierno de Kiev durante la anexión rusa de Crimea. Esta denominación dirigió sus ataques también contra recursos de la OTAN, empresas de defensa estadounidenses y el Bundestag alemán. Aunque el grupo operaba bajo la apariencia de formar parte del colectivo Anonymous, las investigaciones posteriores permitieron acreditar su vinculación con la APT2820.

En el caso de la televisión francesa emergieron otras huellas técnicas que también corroboraban este vínculo. Las muestras de malware recuperadas se correspondían con las herramientas que había utilizado esta APT en otros ataques. Los ciber-forenses señalaron que partes del código malicioso habían sido compiladas en un teclado con caracteres cirílicos y durante horas de trabajo que coincidían con la franja horaria de Moscú. En junio de 2015, las autoridades francesas ya reconocían públicamente que "se inclinaban por la pista de los hackers rusos" en lugar de por la de los yihadistas.

Las indagaciones sobre el dudoso origen de este ataque también provenían de otras acciones anteriores. Los analistas estadounidenses descubrieron que las amenazas de febrero de 2015 a familiares de militares coincidieron en el tiempo con los intentos de los hackers de la APT28 de violar las cuentas de correo electrónico de esas mismas personas. SecureWorks, una empresa de ciberseguridad, había compilado una lista de miles de objetivos de las campañas de phishing21 de este grupo ruso, en esa lista estaban las mismas esposas de militares que recibieron las amenazas de muerte del Ciber-Califato. En otras palabras, los hackers del GRU22 estaban atacando activamente los correos electrónicos de esas mujeres al mismo tiempo que Ciber-Califato las amenazaba en las redes sociales, lo que suponía un solapamiento que no podía ser accidental. Esta y otras coincidencias llevaron a los analistas a concluir "con toda certeza" que la APT28 y el Ciber-Califato eran lo mismo, o al menos estaban estrechamente coordinados.

En 2016, las agencias de inteligencia occidentales se habían formado una opinión consensuada sobre la verdadera naturaleza del Ciber-Califato: una operación de falsa bandera dirigida por la inteligencia rusa. La evaluación de estos servicios mantenía que las capacidades ciber de un grupo como Estado Islámico seguían estando lejos de lo que los operadores rusos habían conseguido contra el canal de televisión francés23.

Estas revelaciones provocaron otra coincidencia significativa: el grupo dejó de reivindicar ninguna otra acción. Esto sugiere que los operadores eliminaron gradualmente la tapadera una vez que esta quedó descubierta. Sin embargo, la intención estratégica detrás de la operación se logró por un tiempo. Los medios de comunicación y la atención pública se fijaron en la ofensiva cibernética fantasma de ISIS, desviando con éxito el escrutinio sobre Rusia. Como reflexionó más tarde una de las esposas amenazadas: "No sólo les hicimos el juego al asustarnos, sino que los medios de comunicación también se lo hicieron... exactamente lo que esperaban"24.

El Kremlin no volvió a emplear de una manera tan directa la estratagema del ciber-terrorismo yihadista, posiblemente porque se perdió el factor sorpresa. Sin embargo, las campañas de desinformación rusas no renunciaron a seguir parasitando la amenaza terrorista. La famosa “granja de trolls” que operaba desde San Petersburgo bajo las directrices del Yevgueni Prigozhin, propietario del Grupo Wagner, siguió difundiendo noticias falsas relacionadas con ISIS, así como mensajes incendiarios islamófobos durante las elecciones estadounidenses de 2016.

Se trataba de una línea de trabajo sostenida en el tiempo por parte de este importante actor en el ecosistema de la desinformación rusa. Los trolls rusos habían difundido noticias falsas de un ataque del Estado Islámico en Luisiana, con una página web falsificada de la cadena de noticias CNN. Otro vídeo falsificado parecía mostrar a un soldado estadounidense disparando a un Corán. Esta desinformación aprovechó la notoriedad del ISIS para inflamar las emociones de la opinión pública. Aunque estas operaciones no implicaban ciberataques reales, sentaron las bases para el enfoque del ciber-terrorismo de falsa bandera. Los operativos rusos pretendían así mantener la tensión y que el terrorismo no desapareciera de los titulares, exacerbando así la ansiedad de una sociedad que en la búsqueda de una solución drástica podría incluso aceptar el acercamiento a la Rusia de Putin.

El efecto corrosivo de una campaña de desinformación

Más allá del efecto inmediato que pueden persiguen sus impulsores, las campañas de desinformación despliegan su verdadero rostro en el medio y largo plazo. Esto es especialmente acusado cuando estas campañas utilizan como coartada un fenómeno tan sensible como el de la amenaza terrorista. La instrumentalización del yihadismo en esta campaña de desinformación generó una serie de efectos perniciosos:

  1. Conmoción y distracción: Cuando la opinión pública tuvo conocimiento de que el yihadismo había hecho caer las emisiones de una cadena de televisión, reaccionó de manera comprensible con ansiedad e indignación. El hackeo de TV5Monde se produjo en medio de un ambiente ya tenso, lo que incrementó la conmoción de una población que creía que había sido golpeada nuevamente por el terrorismo. En Estados Unidos, las amenazas personalizadas a las esposas de los soldados crearon la sensación de que nadie estaba a salvo del alcance de ISIS, incluso en la aparente seguridad del frente doméstico. Al mantener la amenaza del islamismo violento en los titulares, los operadores rusos se aseguraron de que el público occidental permaneciera en vilo y se mostrase mucho más proclive a una retórica divisiva que alimentaba el sentimiento antiinmigración o el apoyo hacia medidas de seguridad draconianas. El error de atribución también contribuyó a una asignación ineficiente de la atención y los recursos, centrándose en respuestas antiterroristas para contener una capacidad de la que los terroristas carecían, en vez de desplegar ese esfuerzo para contrarrestar la agresión rusa.
  2. Erosión de la confianza: Las operaciones de falsa bandera también generan efectos nocivos contra sus destinatarios incluso una vez que ha sido descubiertas y denunciadas. La desinformación genera una especie de doble golpe a la confianza pública: primero se inflama el miedo a los terroristas y luego, cuando se descubre la verdad, se socava la confianza en los autores de esas informaciones iniciales. Las falsas alarmas, cuando se reiteran en el tiempo, generaran confusión y cinismo, contribuyendo al objetivo más amplio del Kremlin de erosionar la credibilidad de los medios de comunicación y las instituciones.
  3. Contaminación del proceso analítico: La campaña de desinformación introdujo una información errónea que dificultó la correcta evaluación de la amenaza que representaba el empleo del ciberespacio con fines ofensivos por parte de actores no estatales. La acción rusa se desplegó en un momento donde se estaba gestando una vibrante comunidad virtual dedicada al hacktivismo en apoyo a Estado Islámico. La emergencia de este tipo de actores suponía un considerable desafío analítico en la medida en que existían muchas incertidumbres acerca de la naturaleza de las distintas denominaciones, la relación que mantenían entre ellas y los posibles vínculos con organizaciones formales como Estado Islámico25. Tampoco existían certezas sobre su nivel de competencia técnica para protagonizar ciberataques de cierta entidad. La operación de falsa bandera contribuyó a enmarañar este problema sembrando más confusión sobre en qué medida los movimientos que se estaba produciendo en este ecosistema virtual con la creación de nuevas denominaciones, escisiones y fusiones, obedecía a razones genuinas o había sido también participado por operadores de la inteligencia rusa. Esta incertidumbre continua hasta el día de hoy, sin que resulte posible diseccionar con exactitud hasta donde llegó la participación rusa en la oleada de hacktivismo yihadista que se produjo durante años 2015 y 201626.
  4. Sobrerreacción política: La acción contra TV5Monde llevó a funcionarios del gobierno francés a convocar reuniones urgentes con directivos de medios de comunicación para abordar la ciberseguridad de estas empresas. El ciberataque fue interpretado como una constatación de la vulnerabilidad de las infraestructuras críticas del país, lo que aceleró las inversiones en la ciberdefensa de ámbitos que hasta ahora no se habían sentido especialmente concernidos, como era el caso de los medios de comunicación y las instituciones culturales. Las políticas antiterroristas también se vieron influidas: se desviaron recursos para investigar y reforzar la respuesta contra lo que se pensaba que era el comienzo de una ciber-ofensiva del ISIS. En Estados Unidos, el temor a que esta organización pudiera escalar sus ciber-ataques aumentó la presión sobre los responsables políticos para que respondieran con contundencia a esta amenaza en el dominio cibernético. En febrero de 2015, la Administración Obama anunció la creación del Centro de Integración de Inteligencia sobre Ciberamenazas (CTIIC, por sus siglas en inglés), una nueva entidad destinada a mejorar la coordinación y el análisis de inteligencia sobre amenazas cibernéticas extranjeras que afectan a los intereses nacionales. Más significativo resultó aún la implicación del Cibercomando del Ejército de Estados Unidos y la Agencia de Seguridad Nacional (NSA) en la lucha contra Estado Islámico en el ciberespacio. La necesidad percibida de desplegar todos los recursos disponibles fue suficiente para que la Casa Blanca decidiese a romper el tabú que rodeaba hasta ese momento el uso de ciberarmas por parte de las fuerzas armadas27. Esto marcó el inicio de un enfoque informativo más abierto que, no solo reconocía formalmente la existencia de recursos cibernéticos con fines ofensivos, sino que también contaba con la ayuda de los medios de comunicación para divulgar detalles internos de estas operaciones. Si bien estas medidas no eran perjudiciales per se, su justificación se basaba en una mentira. Mientras tanto, el verdadero responsable -Rusia- no tuvo que enfrentarse a una reacción política inmediata. La falsa atribución a ISIS benefició indirectamente a la política exterior de Rusia: la opinión pública occidental, enfurecida por los ciberataques del ISIS, incrementó su apoyo a las campañas militares contra este grupo, incluida la cruenta intervención militar de Rusia en Siria bajo la aparente bandera de la lucha contra el ISIS28.

Conclusiones

Aunque ha transcurrido más de una década de este episodio, la campaña de desinformación “Ciber-Califato” sigue siendo relevante porque nos proporciona algunas claves sobre el comportamiento del régimen ruso y de cómo podemos mejorar nuestra respuesta ante este tipo de acciones hostiles.

El despliegue de la falsa bandera del ciber-terrorismo tuvo la intención de desviar la atención de las propias actividades de Rusia en Ucrania a lo largo de 2014 y reforzar su narrativa de lucha contra el "terrorismo" en Siria, incluyendo el uso indiscriminado de la violencia contra todo tipo de opositores al régimen de Basar Al-Assad. El precedente del Ciber-Califato debe ser entendido como un ensayo general de tácticas que hoy día se han convertido en una manifestación habitual de la guerra híbrida. La combinación de ciberataques, desinformación y manipulación de amenazas terroristas falsas anticipa el tipo de conflictos asimétricos que protagonizarán los próximos años. El Kremlin sigue anclado en esta doble necesidad: desviar la atención internacional frente a sus transgresiones del orden internacional y legitimar su acción exterior, lo que nos debería llevar a contemplar la posibilidad de una campaña similar pueda reeditarse.

Una lección fundamental es que el éxito de este tipo de operaciones de desinformación se sustenta en la verosimilitud de la amenaza que parasitan. El lapso entre el ataque y una correcta identificación resulta crítico. La atribución de los ciberataques es intrínsecamente difícil, y cuando un Estado intenta activamente trasferir su responsabilidad a un tercero, el reto se agrava. Durante ese tiempo, la narrativa inicial, aunque falsa, puede consolidarse en la opinión pública, haciendo posible que se adopten decisiones basadas en premisas erróneas. Las operaciones de falsa bandera pueden ser muy eficaces a corto plazo ya que corregir unos hechos adulterados es un proceso lento. Una vez establecida una narrativa que culpa a los terroristas, volver a atribuir la culpa a un actor estatal implica explicaciones técnicas que pueden no captar la atención del público de forma tan dramática. Prueba de ello es que una década después todavía es posible encontrar informes profesionales, artículos periodísticos y presentaciones en el ámbito de la ciber-seguridad que siguen empleando de manera inconsciente el material elaborado por esta APT rusa como si se tratase de contenido yihadista.

Las agencias de seguridad deben invertir no sólo en capacidades técnicas de atribución, sino también en estrategias de comunicación pública que gestionen la incertidumbre de forma transparente y eficaz, evitando caer en las trampas tendidas por los desinformadores. Los promotores de estas campañas intentarán obstruir el proceso de atribución para que los investigadores malgasten sus recursos limitados persiguiendo pistas falsas o cometan errores transfiriendo la culpabilidad a otros actores. Para ello los gobiernos deben actualizar sus estrategias antiterroristas para reconocer que los regímenes autocráticos no tienen problema en instrumentalizar la amenaza terrorista. Esto implica una coordinación más estrecha entre los organismos que luchan contra esta violencia y los que rastrean las operaciones cibernéticas patrocinadas por los estados. Cuando se produce un incidente cibernético con una aparente identidad terrorista, los mecanismos de intercambio de información entre ambos sectores de la seguridad pública deberían estar lo suficientemente engrasados como para hacer posible una evaluación inmediata de la situación sin tener que improvisar mecanismos de coordinación entre dos mundos que no pueden permitirse el lujo de estar desconectados entre sí.

Manuel R. Torres Soriano
Catedrático de Ciencia Política de la Universidad Pablo de Olavide de Sevilla

Las ideas contenidas en estos artículos son responsabilidad de sus autores, sin que reflejen necesariamente el pensamiento del CESEDEN o del Ministerio de Defensa.

1Se denomina defacement a la alteración no autorizada de una página web o perfil en redes sociales de internet, normalmente mediante el reemplazo de su contenido original por mensajes, imágenes o propaganda del atacante, con el objetivo de generar impacto visual y demostrar vulnerabilidades de seguridad.
2AP NEWS. Russian hackers posed as IS to threaten military wives. 10 de febrero de 2015. Disponible en: https://apnews.com/article/mi-state-wire-or-state-wire-russia-co-state-wire-north-america-4d174e45ef5843a0ba82e804f080988f (consultado 25/04/2025); SCHINDLER, John R. False Flags: The Kremlin’s Hidden Cyber Hand. Observer, 18 de junio de 2016. Disponible en: https://observer.com/2016/06/false-flags-the-kremlins-hidden-cyber-hand/ (consultado 25/04/2025).
3JONES, Seth G. Russia’s Shadow War Against the West. Center for Strategic and International Studies (CSIS), 18 de marzo de 2025. Disponible en: https://www.csis.org/analysis/russias-shadow-war-against-west (consultado 25/04/2025).
4RID, Thomas. Disinformation: A Primer in Russian Active Measures and Influence Campaigns. Testimonio ante el Comité Selecto de Inteligencia del Senado de los Estados Unidos, 30 de marzo de 2017. Disponible en: https://www.intelligence.senate.gov/sites/default/files/documents/os-trid-033017.pdf (consultado el 30 de abril de 2025).
5SHULTZ, Richard H. y GODSON, Roy. Dezinformatsia: Active Measures in Soviet Strategy. Washington: Pergamon-Brassey’s, 1984.
6COLOM-PIELLA, Guillem. Anatomía de la desinformación rusa. Historia y Comunicación Social, vol. 25, núm. 2, 2020, pp. 473–480. Disponible en: https://doi.org/10.5209/hics.63373 (consultado el 30 de abril de 2025).
7MARÍN GUTIÉRREZ, Francisco. ¿Comprendemos la desinformación?: Rusia y la evolución de las medidas activas. bie3: Boletín IEEE (Instituto Español de Estudios Estratégicos), núm. 26, 2022, pp. 753–773. Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=9050412 (consultado el 30 de abril de 2025).
8MALONE, Patrick. Hoax or cyberattack? ABQ Journal’s mobile app hacked. The Santa Fe New Mexican, 24 de diciembre de 2014. Disponible en: https://www.santafenewmexican.com/news/local_news/hoax-or-cyberattack-abq-journal-s-mobile-app-hacked/article_32f895fa-79e4-5b13-9f6e-a43a4d2bc8da.html (consultado el 30 de abril de 2025).
9TORRES SORIANO, Manuel R. El hacktivismo como estrategia de comunicación: de Anonymous al Cibercalifato. Cuadernos de Estrategia, núm. 188, 2017, pp. 127–148. Disponible en: https://dialnet.unirioja.es/servlet/articulo?codigo=6518649 (consultado el 30 de abril de 2025).
10SKY NEWS US TEAM. Islamic State Hackers Threaten Obama Family. Sky News, 10 de febrero de 2015. Disponible en: https://news.sky.com/story/islamic-state-hackers-threaten-obama-family-10371913 (consultado 25/04/2025).
11NEWSWEEK STAFF. Newsweek Twitter Account Hacked by Group Claiming ISIS Affiliation. Newsweek, 10 de febrero de 2015. Disponible en: https://www.newsweek.com/newsweek-twitter-account-hacked-isis-affiliated-group-305897 (consultado 25/04/2025).
12AP NEWS. Russian hackers posed as IS to threaten military wives. 10 de febrero de 2015. Disponible en: https://apnews.com/article/mi-state-wire-or-state-wire-russia-co-state-wire-north-america-4d174e45ef5843a0ba82e804f080988f (consultado 25/04/2025)
13COSTA-ROBERTS, Daniel. ISIS publishes online hit list of US service members. PBS NewsHour, 22 de marzo de 2015. Disponible en: https://www.pbs.org/newshour/world/isis-publishes-online-hit-list-us-service-members (consultado el 30 de abril de 2025).
14SAFI, Michael. Isis 'hacking division' releases details of 1,400 Americans and urges attacks. The Guardian, 13 de agosto de 2015. Disponible en: https://www.theguardian.com/world/2015/aug/13/isis-hacking-division-releases-details-of-1400-americans-and-urges-attacks (consultado el 30 de abril de 2025).
15CHRISAFIS, Angelique y GIBBS, Samuel. French media groups to hold emergency meeting after Isis cyber-attack. The Guardian, 9 de abril de 2015. Disponible en: https://www.theguardian.com/world/2015/apr/09/french-tv-network-tv5monde-hijacked-by-pro-isis-hackers (consultado 25/04/2025).
16REUTERS. France probes Russian lead in TV5Monde hacking: sources. Reuters, 10 de junio de 2015. Disponible en: https://www.reuters.com/article/world/france-probes-russian-lead-in-tv5monde-hacking-sources-idUSKBN0OQ2GG (consultado 25/04/2025).
17PAGANINI, Pierluigi. The France TV5Monde was almost destroyed by the Russian APT28 group. Security Affairs, 11 de octubre de 2016. Disponible en: https://securityaffairs.com/52133/hacking/tv5monde-cyber-attack.html (consultado 25/04/2025).
18Las siglas APT provienen de la expresión en inglés: Advanced Persistent Threat. Se trata de un término que designa tanto una modalidad de ataque cibernético caracterizada por su sofisticación técnica, persistencia en el tiempo y orientación a objetivos específicos, como también a los grupos organizados —habitualmente vinculados a agencias estatales— que desarrollan y ejecutan este tipo de operaciones. Estos grupos suelen mantener estructuras operativas estables, recursos significativos y una agenda a largo plazo.
19Se conocer por ellas a las vulnerabilidades de software ignoradas por el fabricante en el momento de su descubrimiento y que, por tanto, carecen de un parche de seguridad disponible. Los actores maliciosos pueden explotarlas antes de que sean detectadas y corregidas, lo que las convierte en herramientas especialmente valiosas para llevar a cabo un ciberataque contra objetivos bien protegidos.
20BARTHOLOMEW, Brian y GUERRERO-SAADE, Juan Andrés. Wave Your False Flags! Deception Tactics Muddying Attribution in Targeted Attacks. Virus Bulletin Conference, octubre de 2016. Disponible en: https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2017/10/20114955/Bartholomew-GuerreroSaade-VB2016.pdf (consultado el 30 de abril de 2025).
21Técnica de ingeniería social que consiste en engañar a una persona para que revele información confidencial —como contraseñas, datos bancarios o credenciales de acceso— mediante correos electrónicos, mensajes o sitios web falsificados que simulan ser entidades legítimas.
22Agencia de inteligencia militar de la Federación Rusa, responsable de operaciones de espionaje, guerra electrónica y ciber-operaciones ofensivas.
23DER SPIEGEL. "Islamischer Staat"-Cyberattacken als Werk russischer Hacker enttarnt. Der Spiegel, 18 de junio de 2016. Disponible en: https://www.spiegel.de/netzwelt/netzpolitik/islamischer-staat-cyberattacken-als-werk-russischer-hacker-enttarnt-a-1098249.html (consultado 25/04/2025).
24AP NEWS. Russian hackers posed as IS to threaten military wives. 10 de febrero de 2015. Disponible en: https://apnews.com/article/mi-state-wire-or-state-wire-russia-co-state-wire-north-america-4d174e45ef5843a0ba82e804f080988f (consultado 25/04/2025).
25Bernard, R. (2017). These are not the terrorist groups you’re looking for: an assessment of the cyber capabilities of Islamic State. Journal of Cyber Policy, 2(2), 255–265. https://doi.org/10.1080/23738871.2017.1334805
26ALKHOURI, Laith; KASSIRER, Alex y NIXON, Allison. Hacking for ISIS: The Emergent Cyber Threat Landscape. Flashpoint, 2016. Disponible en: https://www.flashpoint.io/resources/thank-you-hacking-for-isis/ (consultado el 30 de abril de 2025).
27TORRES-SORIANO, Manuel R. The Role of Honeypots and Sabotage in State-Based Operations Against Online Jihadism, 2001–2020. Terrorism and Political Violence, 2022. Disponible en: https://doi.org/10.1080/09546553.2022.2050221 (consultado el 30 de abril de 2025).
28COHEN, Raphael S., BEAUCHAMP-MUSTAFAGA, Nathan, CHERAVITCH, Joe, DEMUS, Alyssa, HAROLD, Scott W., HORNUNG, Jeffrey W., JUN, Jenny, SCHWILLE, Michael, TREYGER, Elina y VEST, Nathan. Combating Foreign Disinformation on Social Media: Study Overview and Conclusions. RAND Corporation, RR-4373/1-AF, 2021. Disponible en: https://www.rand.org/pubs/research_reports/RR4373z1.html (consultado 25/04/2025).

    • La desinformación rusa y el ciber-terrorismo de falsa bandera: el caso del ciber-califato

      Descargar

    • Russian Disinformation and False Flag Cyber Terrorism: The Case of the CyberCaliphate

      Descargar