GCHQ Joint Threat Research Intelligence Group

JTRIG

La unidad de ataque a redes informáticas y operaciones de información del Cuartel General de Comunicaciones del Gobierno — responsable de las operaciones cibernéticas disruptivas y ofensivas descritas en las revelaciones de Snowden de 2014, incluidas las operaciones de identidad en línea, las campañas de engaño y degradación, y la operación conjunta NSA-GCHQ contra el operador belga de telecomunicaciones Belgacom.

0:00 / 0:00

Lectura en audio de este perfil.

Resumen

El Joint Threat Research Intelligence Group (JTRIG) es la unidad de ataque a redes informáticas y operaciones de información del Cuartel General de Comunicaciones del Gobierno (GCHQ). Su misión, según se documenta en las revelaciones de Snowden de 2014, es "denegar, interrumpir, degradar o destruir" — las cuatro "D" de la doctrina de operaciones de información que GCHQ ha trasladado al dominio ciberoperativo. Las operaciones de JTRIG abarcan el ataque a redes informáticas propiamente dicho (intrusión dirigida para degradar o denegar sistemas objetivo), las operaciones de identidad en línea y la gestión de personas, las campañas de engaño e influencia, y las operaciones técnicas de denegación de servicio contra los objetivos cuya interrupción ha autorizado el gobierno del Reino Unido.¹

JTRIG es institucionalmente distinto de las unidades de recolección de inteligencia de señales de GCHQ. Mientras el resto de GCHQ recopila, procesa e informa sobre inteligencia de señales extranjeras, JTRIG opera sobre los objetivos — sus productos son efectos operativos, no informes de inteligencia. La unidad se encuentra dentro de la Operations Mission de GCHQ e informa a través del mando ejecutivo del director de GCHQ. La mayoría de su personal son funcionarios civiles de GCHQ; algunos están en comisión de servicio desde el Ministerio de Defensa y el Servicio de Seguridad (MI5).²

Historia y orígenes

JTRIG se consolidó aproximadamente entre 2003 y 2005 — el año exacto de establecimiento no está documentado con claridad en el registro público — como parte de la respuesta institucional de GCHQ a la expansión post-2001 de los mandatos ciberoperativos aliados. Su carta operativa tomó prestado sustancialmente de la experiencia en tiempos de guerra y de la Guerra Fría de la comunidad británica de inteligencia de señales con la misión de "negación y engaño" de la doctrina psyop, a la que el lenguaje doctrinal de "operaciones basadas en efectos" de la unidad hace referencia explícita en los materiales internos de formación revelados.³

La unidad fue desconocida para el público hasta la publicación en 2014 de diapositivas internas de presentación de GCHQ por Glenn Greenwald y The Intercept, a partir del archivo Snowden. Los principales documentos revelados — la página interna del wiki JTRIG Tools and Techniques, el informe interno Behavioural Science Support for JTRIG's Effects and Online HUMINT Operations, y la sesión doctrinal Full-Spectrum Cyber Effects — establecieron la existencia, la ubicación organizativa, el mandato y la práctica operativa de la unidad. Ninguna declaración del gobierno del Reino Unido confirmó o negó formalmente las tareas operativas reveladas de JTRIG; el registro documental se sostiene sobre los documentos internos publicados y sobre la ausencia de cualquier refutación gubernamental específica.⁴

Huella operativa (documentada)

El archivo Snowden establece una huella operativa documentada que abarca varios programas operativos distintos:

Operación SOCIALIST. Una operación de explotación de redes informáticas de GCHQ contra el operador belga de telecomunicaciones Belgacom (ahora Proximus), llevada a cabo aproximadamente entre 2010 y 2013, utilizando tecnología de explotación desarrollada por la NSA (la técnica Quantum Insert). El propósito de la operación era obtener acceso persistente a la infraestructura internacional de roaming de Belgacom para la recolección posterior de señales contra instituciones de la Unión Europea y objetivos parlamentarios enrutados a través de la infraestructura de Belgacom en Bruselas. La intrusión fue descubierta por la seguridad interna de Belgacom a mediados de 2013 y posteriormente confirmada por el compromiso de respuesta a incidentes del operador con Fox-IT en junio de 2013. La operación es el compromiso ciberofensivo de JTRIG más significativo documentado en el registro público.⁵

Operaciones de personas e identidad en línea. Los materiales revelados de JTRIG describen la construcción, el mantenimiento y el uso operativo de personas en línea falsas a través de las plataformas de redes sociales, foros y chats de mediados de la década de 2010. Los programas específicos documentados incluyen operaciones contra los colectivos Anonymous y LulzSec — los materiales revelados describen operaciones de denegación de servicio contra la infraestructura IRC de Anonymous durante el período 2011–2012 — y contra la infraestructura de servicios ocultos de la red Tor.⁶

Operaciones de influencia informadas por las ciencias del comportamiento. El informe revelado Behavioural Science Support — producido por un subequipo de JTRIG con formación académica en psicología — establece que el programa de operaciones de influencia de la unidad se basaba en psicología social operativa, literatura sobre cambio de actitudes y metodología de la economía conductual. Los objetivos operativos revelados en esta categoría incluyeron la movilización política en Estados objetivo no identificados y, de forma controvertida, la interrupción en línea de comunidades activistas que el gobierno del Reino Unido había identificado como objetivos — la línea entre las operaciones cibernéticas contra servicios de inteligencia extranjeros hostiles y las operaciones de influencia contra comunidades activistas nacionales no estaba claramente trazada en los materiales internos revelados.⁷

Atribución y estado

JTRIG es una de las pocas unidades institucionales en la literatura sobre unidades cibernéticas de élite cuya identidad institucional no ha sido enmascarada mediante ninguna designación APT de la industria de inteligencia de amenazas. Sus productos operativos no han aparecido generalmente en el seguimiento de actores de amenazas de la comunidad de investigación en seguridad — la unidad parece no haber dejado el tipo de firma recurrente de herramientas e infraestructura que impulsa el trabajo de atribución de clústeres APT. La identidad institucional se establece directamente a través del archivo Snowden en lugar de a través de atribución externa.⁸

Véase también

Cuartel General de Comunicaciones del Gobierno (GCHQ) — servicio matriz
Revelaciones de Snowden — la principal base documental
NSA TAO — proporcionó la tecnología de explotación Quantum Insert utilizada en la Operación SOCIALIST
Psyop — la categoría doctrinal más amplia a la que pertenecen las operaciones de influencia de JTRIG
Designación APT — y la razón estructural por la que JTRIG no tiene designación APT

Fuentes y lecturas adicionales

Glenn Greenwald, How Covert Agents Infiltrate the Internet to Manipulate, Deceive, and Destroy Reputations, The Intercept (24 de febrero de 2014) — el artículo fundacional sobre las revelaciones de JTRIG. La declaración de misión "denegar, interrumpir, degradar, destruir" proviene del material interno de sesión informativa de JTRIG revelado.
Organigrama interno de JTRIG publicado en el archivo Snowden; Glenn Greenwald, No Place to Hide: Edward Snowden, the NSA, and the U.S. Surveillance State (Metropolitan, 2014).
Materiales internos de formación de JTRIG y el informe Behavioural Science Support, ambos publicados a través del archivo Snowden; Thomas Rid, Active Measures: The Secret History of Disinformation and Political Warfare (Farrar, Straus and Giroux, 2020), capítulo 14, sobre la continuación contemporánea de la era cibernética de la doctrina de operaciones de influencia de la Guerra Fría.
Greenwald, op. cit., cobertura de The Intercept (a partir de febrero de 2014); cobertura de Der Spiegel sobre las operaciones conjuntas de GCHQ (17 de enero de 2015); análisis académico posterior de los materiales revelados en Surveillance & Society e Intelligence and National Security.
Ryan Gallagher, Operation Socialist: The Inside Story of How British Spies Hacked Belgium's Largest Telco, The Intercept (13 de diciembre de 2014); materiales de respuesta a incidentes de Fox-IT (parcialmente publicados); expediente de investigación de la fiscalía federal belga (parcialmente publicado a través de procedimientos posteriores de libertad de información).
Mark Schone, Richard Esposito, Matthew Cole y Glenn Greenwald, Exclusive: Snowden Docs Show UK Spies Attacked Anonymous, Hackers, NBC News (4 de febrero de 2014); cobertura de Greenwald en The Intercept sobre las operaciones en línea de JTRIG.
El informe interno Behavioural Science Support for JTRIG's Effects and Online HUMINT Operations, publicado por Greenwald, op. cit., The Intercept (24 de febrero de 2014). Análisis académico posterior en Surveillance & Society e Intelligence and National Security; comentarios de Bruce Schneier y otros sobre la metodología de investigación operativa revelada.
Discusión de fondo sobre la asimetría — que JTRIG no tiene un clúster de designación APT a pesar de operar en el espacio de los efectos cibernéticos — en estudios de la industria, incluidos los informes anuales Mandiant M-Trends (a partir de 2015) y la literatura académica sobre la postura cibernética de los servicios de inteligencia occidentales.