Históricamente, la unidad militar 29155 del GRU ruso (VCh 29155, 161st Specialist Training Center) ha estado involucrada en medidas activas como subversión, asesinatos o sabotaje. Recordemos que las medidas activas soviéticas o rusas hacen referencia a operaciones encubiertas con el objetivo de influenciar la política o la opinión pública de terceros países. Estas medidas incluyen desde actividades en el ciberespacio hasta “wet stuff” (una mala traducción sería “cosas que manchan las manos”: asesinatos, chantajes, sabotajes…). Entre otras operaciones famosas de esta unidad destacan el sabotaje de un depósito de armas en República Checa (2014), un golpe de estado en Montenegro (2016) o el intento de envenenamiento de los Skripal en Salisbury (2018).
A pesar de que la unidad 29155 era conocida por los analistas, su existencia saltó a medios generalistas cuando se acusó a esta unidad de ser la causante del “Síndrome de la Habana”. Este síndrome se identificó entre diplomáticos y personal de inteligencia estadounidense y canadiense destinado en Cuba, en 2016, y sus síntomas se replicaron en otras partes del mundo. Estos síntomas incluyen problemas visuales, vértigo o dificultades cognitivas que se manifiestan, según los afectados, tras haber escuchado sonidos extraños. Desde que se descubrió el síndrome de La Habana, su origen ha sido controvertido. Diferentes estudios lo han asociado a actividades de la inteligencia rusa relacionadas con armamento de nueva generación, desde armas acústicas a energía dirigida.
En 2023, cinco agencias de inteligencia estadounidense publicaron sus conclusiones tras una investigación sobre el origen y la naturaleza del síndrome de La Habana. Estas conclusiones decían que era “muy poco probable” que los síntomas fueran causados por sonidos o microondas, o que un actor hostil estuviera involucrado como causante del síndrome. El informe concluía que el síndrome de La Habana era una mezcla de problemas de salud previos, factores ambientales y reacciones al estrés de las personas con síntomas. Sin embargo, un año después de que se publicara el informe de la inteligencia estadounidense, en abril de 2024, una investigación periodística concluyó que el síndrome fue causado mediante armas acústicas, en una operación de la unidad 29155 del GRU ruso.
Ni la comunidad de inteligencia ni la comunidad científica ha alcanzado un consenso sobre las causas del síndrome de La Habana. La implicación de la unidad 29155 es, al menos, discutible. No obstante, la relación de esta unidad con otras operaciones en el ámbito físico parece fuera de toda duda.
Pero además de estas operaciones físicas por las que conocíamos a la unidad 29155, esta unidad del GRU ha sido recientemente identificada como un actor relevante en el ciberespacio que ejecuta operaciones de explotación, pero particularmente, de ataque a infraestructuras críticas de miembros de la OTAN, de países europeos, de América Latina y de Asia central. La unidad 29155 es probablemente el grupo APT Ember Bear, y viene realizando operaciones en el ciberespacio desde 2020. En 2022 esta unidad desplegó el malware destructivo WhisperGate en víctimas ucranianas (es importante destacar que las operaciones disruptivas en el ciberespacio están alineadas con los objetivos históricos y las capacidades de sabotaje físico de la unidad 29155.
Hace aproximadamente un mes, la justicia estadounidense identificó a la unidad 29155 como un actor hostil en el ciberespacio ligado al GRU, pero independiente de las unidades 26165 y 74455. Adicionalmente, la acusación detallaba la colaboración de personas ajenas al GRU, como ciberdelincuentes, en las operaciones del servicio. Incluso el FBI ha publicado un cartel de los “más buscados” con los miembros identificados de la unidad 29155, como se muestra en la imagen y como hizo en el pasado con miembros de las unidades 26165 y 74455.
Frente a los análisis de las unidades militares 26165 y 74455, el caso de la unidad 29155 es especialmente relevantes por tres motivos principales. El primero de ellos es el “nacimiento” de una nueva unidad involucrada en operaciones en el ciberespacio. No el descubrimiento (probablemente, más unidades del GRU aparte de la 26165 y la 74455 tengan capacidades ciber), sino el nacimiento: una unidad históricamente ligada a operaciones físicas se dota de capacidades en el ámbito ciber en 2020, con un pequeño grupo de oficiales jóvenes reclutados posiblemente en competiciones CTF y asociándose con grupos delincuenciales. ¿Por qué? Probablemente, esto refleja la competitividad de la inteligencia rusa, no sólo entre diferentes servicios sino entre unidades dentro de cada uno de ellos. ¿Se coordina la unidad 29155 con otras unidades “ciber”, como la 26165 o la 74455? ¿Son unidades militares independientes? De momento, no se sabe.
El segundo punto destacable de la unidad 29155 es que ejecuta medidas activas tanto en el ámbito físico como en el ámbito ciber, poniendo de manifiesto la postura rusa de la Confrontación de Información. Históricamente la unidad 29155 ha sido una unidad operativa ligada a medidas activas en el plano físico, particularmente “wet stuff”. Ahora se ha descubierto, presuntamente, la expansión de sus capacidades al ciberespacio, en operaciones de explotación pero, particularmente, de ataque -sabotaje-. Desde septiembre de 2024 es posible confirmar que el GRU está difuminando la línea entre tácticas físicas y cibernéticas en su aproximación a la guerra híbrida, como marca la doctrina militar rusa en un plano teórico.
El último de los puntos relevantes a los que hacíamos referencia es la cooperación con el servicio de actores ajenos al GRU. La acusación estadounidense identifica tanto a agentes del servicio como a un civil, Amin Timovich STIGAL. STIGAL es un cibercriminal ruso que ya había sido identificado previamente por la justicia estadounidense, que lo acusaba de “conspiración para cometer intrusiones informáticas”. La reciente acusación contra miembros de la unidad 29155 argumenta que STIGAL apoyó las actividades de la unidad provisionando infraestructura para dichas actividades. El uso de personal ajeno al servicio proporciona un nuevo ejemplo de la complejidad del ecosistema de inteligencia ruso y la colaboración entre entidades (tema que ya tratamos hace años en este mismo blog). La unidad 29155 ha colaborado con terceros en la ejecución de medidas activas físicas: algunos de los ejemplos más conocidos son las presuntas relaciones con el grupo Wagner. Ahora, parece confirmarse que esta colaboración se extiende al ámbito cibernético.
Seguramente más unidades militares y capacidades del GRU en el ciberespacio acabarán viendo la luz a medio plazo. El campo de batalla ciber es cada vez más interesante.
La entrada GRU: unidad militar 29155 aparece primero en Security Art Work.