Captura de pantalla del sitio web de doxeo HKLeaks.

Un análisis de tecnología forense del grupo de investigación Citizen Lab, con sede en Toronto, descubre que HKLeaks, conocido sitio web de doxeo (publicación de información personal en redes) lanzada en 2019 para atacar a activistas y periodistas de Hong Kong, probablemente tiene el respaldo del Gobierno de China continental o sus representantes.

HKLeaks, registrada bajo 25 dominios diferentes que incluyen hkleaks [.] org, [.] ru y[.] pk, se lanzó en agosto de 2019, y desde entonces tiene una base de datos personales (que incluye números de documentos de identidad, fotos de rostros, direcciones de casa y números de teléfono) de alrededor de 2800 políticos, activistas, profesores y periodistas de Hong Kong.

A pesar de que el sitio web viola las leyes de privacidad, las autoridades policiales de Hong Kong no hicieron comentarios cuando la prensa les preguntó si lo investigarían o tomarían medidas para prohibir el sitio web.

De acuerdo con los registros del archivo de internet Wayback Machine, la página seguía operativa el 10 de junio de 2023, si bien actualmente no se encuentra en línea.

El informe forense, «HKLeaks: Uso de técnicas de acoso en línea encubiertas y abiertas para reprimir las protestas de Hong Kong de 2019«, de Alberto Fittarelli y Lokman Tsui, fue publicado el 13 de julio de 2023 por Citizen Lab, y muestra pruebas circunstanciales que sugieren que quienes dirigían la campaña tenían vínculos con China continental.

La guerra del doxeo de 2019

El informe explica que el sitio web de HKLeaks surgió como reacción a la exposición de identidad de miembros de policías que hicieron algunos manifestantes. Supuestamente, estos policías habrían cometido abusos sin control en varios incidentes de represión violenta durante las protestas de 2019. Al principio, los datos personales de los policías se difundieron principalmente a través de la aplicación de mensajería Telegram y en LIGHK, red social parecida a Reddit. Después, se documentó en el sitio web «HKChronicles [.] com«, página bloqueada en Hong Kong desde enero de 2021. La Policía de Hong Kong comentó después que tenían la autoridad para exigir a los proveedores de servicios de internet locales que tomaran medidas contra estas plataformas digitales que ponían en peligro la seguridad nacional.

En el otro frente de la guerra de doxeo estaba HKleaks, que afirmaba ser creación espontánea de internautas anónimos frustrados por las manifestaciones. El objetivo de la investigación forense de Citizen Lab era averiguar la naturaleza de la campaña de HKLeaks. Alberto Fittarelli resumía sus hallazgos en un hilo de Twitter.

El primer dato es que no fue orgánico, lo que significa que no fue publicada de forma espontánea por ciudadanos corrientes como afirmaban.

First off: it was NOT organic. The operators went to extreme lengths to avoid attribution. They seamlessly adapted to the protesters’ countermeasures, and to potential legal pressure. And were consistent with other fake grassroots campaigns disrupted by social media companies. pic.twitter.com/7pAxXNWi3F

— Alberto Fittarelli (@albefittarelli) July 13, 2023

Evaluación 1_ fue inorgánico:
Pensado para que no se pueda dar atribución
Persistente
Similar a otras campañas de base falsas
————
En primer lugar, NO fue orgánico. Los que la operaban hicieron todo lo posible para evitar la atribución de propiedad. Se adaptaron a la perfección a las contramedidas de los manifestantes y a la posible presión legal. Fueron congruentes con otras campañas con orígenes falsos alteradas por empresas de redes sociales.

Seguridad operativa «a prueba de balas»

Según el análisis técnico, la campaña tenía una seguridad operativa «a prueba de balas» diseñada para evitar atribución. Usaba al menos 25 dominios web, reflejaba contenido idéntico. La mayoría de los 25 dominios de HKLeaks se registraron a través de una empresa con sede en Rusia, DDoS-Guard, conocida por ofrecer protección a partes perniciosas; además, la mayoría se había registrado con protección de privacidad y otras empleaban nombres falsos y correos electrónicos anónimos.

Además, la campaña fue constante. A las 25 páginas espejo, se añadían 24 canales de Telegram, entre otras redes sociales, y su base de datos se mantuvo activa durante casi dos años, de agosto de 2019 a mayo de 2021.

Las tácticas de la campaña de HKLeaks y el estilo lingüístico eran similares a otras campañas de base falsas, como Hongkongmob[.]com, sitio web contra manifestantes que muestra violencia de los manifestantes, con lo que justificaba la represión. Ambas páginas se publicaron en nombre de ciudadanos anónimos frustrados por la violencia de las manifestaciones. El lenguaje empleado en su texto promocional es similar en ambos casos y los difundieron usuarios de redes sociales falsos.

Otra de las razones es que la campaña estuvo ligada a las autoridades de la China continental:

We also found signals pointing to them having ties to mainland China. For example, JS code using Mandarin (but *not* in the Taiwanese version) instead of English or Cantonese, as HK developers would normally do. pic.twitter.com/Q6TcJdYGxP

— Alberto Fittarelli (@albefittarelli) July 13, 2023

Evaluación 2: vínculos probables con China continental
Código de Java en pinyin hanyu
Lanzamiento coincide con el retiro de la identidad de twitter
Promovido por medios sociales del Gobierno chino
———
También encontramos señales que apuntaban a que tenían relaciones con China continental; por ejemplo, el código JS en mandarín (pero «no» en la versión de Taiwán) en lugar de inglés o cantonés, como hacen normalmente los programadores de Hong Kong.

La campaña fue promocionada en redes sociales de China continental, incluida la televisión central estatal de China y otras autoridades gubernamentales locales.

El Javascript del sitio web contenía pinyin del chino continental en lugar de inglés o la romanización del cantonés.

El lanzamiento de HKLeaks fue poco después de que Twitter eliminara una operación de información patrocinada por el Estado chino que involucraba 900 cuentas contra las manifestaciones de Hong Kong. El primer dominio de HKLeaks se registró el 16 de agosto de 2019, tres semanas después de la eliminación masiva de cuentas de Twitter.

La red Blue Ribbon

La tercera razón de la evaluación es que la operación de doxeo formaba parte integral de una red de operaciones de información, Blue Ribbon Network, contra los activistas de Hong Kong:

Then, we confirmed that the operation was part of something bigger. A whole interconnected network, with overt and covert efforts, using different modi operandi to attack the movement.

Yes: that included issuing bounties… pic.twitter.com/Ldga9vjEZp

— Alberto Fittarelli (@albefittarelli) July 13, 2023

Evaluación 3: parte de una campaña coordinada
Tres formas de operar:
Doxeo
Recompensas
Audiencias en inglés
Además de sitios web del Gobierno chino
————
Luego, confirmamos que la operación formaba parte de algo mayor. Toda una red interconectada, con iniciativas abiertas y encubiertas, con varias formas de atacar al movimiento.

Blue Ribbon Network aparece en un directorio de enlaces en el sitio web contra las protestas Hongkongmob [.] com que enumera una serie de activos digitales. La red consiste en tres ramas, una de las cuales está conectada a los sitios web de informes en línea de seguridad nacional de China continental (12 339.gov.cn y 12 337.gov.cn) y al organismo chino de coordinación en línea de patriotas Di Ba. La segunda rama muestra una campaña dirigida al público internacional y angloparlante, aparentemente «denunciando la multitud violenta» de manifestantes. La rama final está constituída por dos campañas, Citizen Lab denomina a una «las recompensas» y la otra es la campaña de doxeo de HKLeaks. La campaña de «las recompensas» opera desde el sitio web web de hongkongmob y está respaldada por el 803 Fund, directamente vinculado con el expresidente ejecutivo de Hong Kong, CY Leung.  Las redes de las recompensas y la campaña de doxeo emplean la misma retórica política y resuena una con otra.

La investigación también comparaba los tiempos de actividad de Blue Ribbon Network y las páginas de HKLeaks y medios, y descubrió que compartieron una vida útil similar: la mayoría empezó a funcionar en agosto de 2019 y operó a toda máquina entre septiembre y octubre de 2019 durante la rápida escalada de las manifestaciones callejeras hasta conflictos violentos y enfrentamientos con ocasión de los 70 años de fundación de la República Popular China. Entre octubre de 2019 y enero de 2020, HKLeaks y Blue Ribbon Network ampliaron sus campañas y diversificaron sus tácticas. A partir de enero de 2020, muchos se volvieron inactivos o han dejado de funcionar.

Con la evaluación final de los recursos  de campaña, Alberto Fittarelli concluyó que la campaña de doxeo fue «casi con toda seguridad» una operación artificial de Pekín o sus representantes.

In conclusion: #HKLEAKS was almost certainly an artificial op run by a government, or its proxies.

It was aligned with Beijing’s interests.

And it highlights how easy it could be for any gov to attack dissent through doxxing, all while fearing little repercussions. pic.twitter.com/qGQJiOoRen

— Alberto Fittarelli (@albefittarelli) July 13, 2023

Finalmente, y como lo informaron varias personas objetivo antes, HKLEAKS tenía acceso a recursos inconsistentes con los de un movimiento de base. Como, por ejemplo, las imágenes o la ortografía solo están disponibles en los documentos enviados a las autoridades de Hong Kong o China.
Evaluación 4: Una campaña con muchos recursos
Tenía acceso a información privilegiada sobre las personas a quienes atacaba
Alto volumen de producción y conservación de contenido
Diseño profesional
———-
En conclusión, seguramente HKLeaks fue una operación artificial dirigida por un Gobierno o sus representantes.
Estaba alineada con los intereses de Pekín.
Y destaca lo fácil que puede ser para cualquier Gobierno atacar a la disidencia con doxeo, todo mientras teme pequeñas repercusiones.

Sitio web de doxeo de Hong Kong que ataca a periodistas y activistas sigue en línea a pesar de que se alertó a las autoridades.

De acuerdo con el ahora cerrado Apple Daily News, las fotos de al menos dos personas publicadas en el sitio web se enviaron al Servicio de Viajes de China, agente de China continental, para procesar la «tarjeta de regreso a casa», tarjeta de identidad para múltiples entradas a China continental.

Además, HKLeaks tenía los recursos para hacer y mantener la producción de contenido y mantenimiento regular de sus sitios web y redes sociales a lo largo de su periodo de cuatro años.

Junto a los datos de unos 2 800 personas, recogió comentarios políticos sobre China continental y otros países, además de un archivo de supuestas «atrocidades» cometidas por los manifestantes, así como calumnias contra el movimiento de protesta.