La carrera armamentista digital: Como la NSA lee encima de los hombros de otras agencias

Artículo original en SPIEGEL por Jacob Appelbaum, Aaron Gibson, Claudio Guarnieri, Andy Müller-Maguhn, Laura Poitras, Marcel Rosenbach, Leif Ryge, Hilmar Schmundt y Michael Sontheimer

El sistema TUTELAGE ilustrado en esta presentación es una herramienta utilizada por la NSA en la identificación de los ciberataques extranjeros.

El sistema TUTELAGE ilustrado en esta presentación es una herramienta utilizada por la NSA en la identificación de los ciberataques extranjeros.

Además de proporcionar una visión de la propia capacidad de los EE.UU. para llevar a cabo ataques digitales, los archivos de Snowden también revelan las capacidades de otros países. El equipo transgresión tiene acceso a años de trabajo de campo y experiencias preliminares a su disposición, incluyendo bases de datos en el que se catalogan malware y ataques a la red de otros países.

Los documentos Snowden muestran que la NSA y sus socios de los Cinco Ojos han puesto a numerosos ataques de red llevados a cabo por otros países a su propio uso en los últimos años. Un documento de 2009 establece que las competencias deldepartamento son “descubrir, comprender (y) evaluar” los ataques extranjeros. En otro documento se lee: “Robar sus herramientas, actividades, técnicas, objetivos y botines.”

En 2009, una unidad de la NSA se dio cuenta de una violación de datos que afectaba a los trabajadores en el Departamento de Defensa de Estados Unidos. El departamento rastreó una dirección IP en Asia, que funcionaba como el centro de mando para el ataque. Al final de su trabajo de detective, los estadounidenses tuvieron éxito no sólo en localizar el punto de origen del ataque en China, sino también en explotar la información de inteligencia de otros ataques chinos – incluidos los datos que habían sido robados de las Naciones Unidas. Posteriormente, los trabajadores de la NSA en Fort Meade siguieron leyendo por encima de sus hombros cuando los chinos recolectaban a escondidas más datos internos de la ONU. “La NSA es capaz de aprovechar colección SIGINT china”, decía un informe sobre los éxitos del 2011. SIGINT es la abreviatura de inteligencia de señales.

La práctica de dejar que otros servicios de inteligencia hagan el trabajo sucio y después recolectar sus resultados es tan exitosa que la NSA tiene incluso un nombre para ella: “Fourth Party Collection” (recolección por cuarta persona). Y todos los países que no forman parte de la alianza de los Cinco Ojos son considerados posibles objetivos para el uso de esta técnica “no tradicional” – incluso Alemania.

‘Difícil de rastrear, difícil de localizar’

Los documentos de Snowden muestran que, gracias a la recolección por cuarta persona, la NSA ha tenido éxito en detectar numerosos incidentes de espionaje de datos durante los últimos 10 años, con muchos ataques originados en China y Rusia. También permitió a la la Oficina de Operaciones de Acceso Personalizado (Tailored Access Operations, TAO) rastrear la dirección IP del servidor de control usado por China y, desde ahí, detectar a las personas responsables dentro del Ejército Popular de Liberación. No fue fácil, señalaron los espías de la NSA. Los chinos aparentemente habían usado cambios de direcciones IP, por lo que fue ‘Difícil de rastrear, difícil de localizar’ Al final, sin embargo, dice el documento, tuvieron éxito en la explotación de un router central.

El documento sugiere que las cosas se pusieron más difíciles cuando la NSA trató de virar la tortilla e ir tras al atacante. Sólo después de una extensa “vadea a través de datos sin interés” lograron finalmente infiltrarse en el ordenador de un oficial militar chino de alto rango y acceder a información sobre sus objetivos en el gobierno de Estados Unidos y en otros gobiernos de todo el mundo. También pudieron acceder a código fuente de malware chino.

Documentos de la NSA sobre acceso de cuarta persona (en inglés)

Pero también hubieron operaciones chinas exitosas. Los documentos de Snowden incluyen una evaluación interna de la NSA de hace algunos años sobre los daños causados. El informe indica que sólo el Departamento de Defensa de Estados Unidos ha registrado más de 30.000 incidentes conocidos; más de 1.600 ordenadores conectados a su red habían sido hackeados. Sorprendentemente se listan altos costos para la evaluación de daños y la reparación de la red: más de $100 millones.

Entre los datos sobre “tecnologías militares sensibles” golpeadas en el ataque estaban los horarios de reabastecimiento aéreo de combustible, el sistema de planificación de logística militar, sistemas de navegación de misiles pertenecientes a la Armada, información sobre submarinos nucleares, la defensa antimisiles y otros proyectos de defensa ultrasecretos.

El deseo de conocer todo no es, por supuesto, una aflicción sufrida únicamente por los chinos, estadounidenses, rusos y británicos. Hace años, los agentes estadounidenses descubrieron una operación de piratería informática originaria de Irán en una operación de vigilancia que fue denominada como Voyeur. Una ola de ataques diferentes, conocidos como Snowglobe, parece tener su origen en Francia.

Transformando defensas en ataques

La búsqueda de los ciberataques extranjeros desde hace mucho tiempo se ha automatizado en gran medida por la NSA y sus socios de los Cinco Ojos. El sistema Tutelage puede identificar incursiones y asegurarse de que no alcancen sus objetivos.
Los ejemplos que se dan en los documentos de Snowden no se limitan a ataques procedentes de China. También se menciona la relativamente primitiva Low Orbit Ion Cannon (LOIC). El nombre hace referencia al malware utilizado por el movimiento de protesta Anonymous para deshabilitar páginas web. En ese caso, señala un documento, Tutelage fue capaz de reconocer y bloquear las direcciones IP que se utilizan para llevar a cabo el ataque de negación de servicio.

La NSA también es capaz de transformar sus defensas en un ataque propio. El método se describe como “ingeniería inversa, cambiar la finalidad del software” e implica botnets, que comprende a veces millones de ordenadores que pertenecen a los usuarios normales en los que el software se ha instalado de forma encubierta. De este modo, se pueden controlar de forma remota como parte de un “ejército zombi” para paralizar empresas o para extorsionarlas. Si los hosts infectados parecen ubicarse dentro los Estados Unidos, la información pertinente se remitirá a la Oficina de Asistencia a Víctimas del FBI. Sin embargo, un host infectado con un bot explotable podría ser secuestrado mediante un ataque Quantumbot y redirigido a la NSA. Este programa es identificado en los documentos de la NSA como Defiantwarrior y se dice que proporciona ventajas tales como “análisis general de puntos de ventaja en redes” y “uso y desechamiento de CNA (ataques de red informática por sus siglas en inglés) y nodos no imputables”. Este sistema deja a las computadoras de las personas vulnerables y encubiertamente los utiliza para operaciones de red que pueden ser rastreados a una víctima inocente. En lugar de proporcionar protección a los usuarios particulares de Internet, Quantumbot los usa como escudos humanos a fin de ocultar sus propios ataques.

Documentos de la NSA sobre toma de control con botnets (en inglés)

Los especialistas de la NSA en el Centro de Operaciones Remotas (ROC) tienen toda una gama de llaves maestras digitales y palancas que permiten el acceso incluso a las redes informáticas mejor protegidas. Ellos dan a sus herramientas nombres que suenan agresivos, como si estuvieran operando una tienda de aplicaciones para ciberdelincuentes: La herramienta de implante “Hammerchant” permite la grabación de llamadas telefónicas a través de Internet (VoIP). Foxacid permite a los agentes agregar continuamente funciones a pequeños programas de malware, incluso después de que han sido instalados en los equipos de destino. El logo del proyecto es un zorro que grita mientras se disuelve en ácido. La NSA se ha negado a comentar sobre los detalles operativos, pero insiste en que no ha violado la ley.

Pero sin importar que tan bien desarrolladas sean las armas digitales de guerra, hay una paradoja al acecho cuando se trata de allanar y espiar redes de terceros: ¿Cómo pueden los servicios de inteligencia estar seguros de que no se convertirán en víctimas de sus propios métodos y de que no serán infiltrados, por ejemplo, por hackers privados, criminales u otros servicios de inteligencia?

Para controlar sus programas maliciosos, el Centro de Operaciones Remotas permanece conectados a ellos a través de su propia red sombra, a través del cual viajan las grabaciones telefónicas de alta sensibilidad, los programas de malware y las contraseñas.

El incentivo para entrar en esta red es enorme. Cualquier colección de llaves de VPN, contraseñas y puertas traseras es obviamente de un valor muy alto. Los que poseen este tipo de contraseñas y claves teóricamente podría saquear cuentas bancarias, frustrar despliegues militares, clonar aviones de combate y cerrar centrales eléctricas. Eso significa nada menos que “el dominio de la red global”.

Pero el mundo de la inteligencia es esquizofrénico. El trabajo de la NSA es defender la Internet, y mismo tiempo explotar sus agujeros de seguridad. Es a la vez policía y ladrón, en consonancia con el lema al que se adhieren los espías en todas partes: “revelar sus secretos, proteger los nuestros.”

Como resultado, algunos servidores hackeados son como un autobús durante la hora pico, con gente constantemente yendo y viniendo. La diferencia, sin embargo, es que el dueño del servidor no tiene ni idea de que alguien está allí. Y las presuntas autoridades se mantienen al margen y no hacen nada.

‘Mulas involuntarias de datos’

Es absurdo: Mientras están ocupados espiando, los espías son espiados por otros espías. En respuesta, rutinariamente tratan de cubrir sus huellas o de dejas huellas falsas en su lugar. En términos técnicos, el Centro de Operaciones Remotas (ROC) establece pistas falsas de la siguiente manera: Después de infiltrar computadoras de terceros, el proceso de exfiltración puede comenzar – el acto de exportar los datos que se han recogido. Pero el botín no se entrega directamente a la dirección IP del ROC. Más bien, se dirige a un denominado Blanco Chivo Expiatorio (Scapegoat Target). Esto significa que la información robada podría terminar en los servidores de otra persona, haciendo que se vea como si fuera la responsable.

Antes de que los datos terminen en el Blanco Chivo Expiatorio, por supuesto, la NSA los intercepta y copia utilizando su infraestructura de vigilancia masiva y lo envía al ROC. Pero este tipo de tácticas de encubrimiento aumentan el riesgo de una escalada1 controlada o incontrolada entre las agencias involucradas.

No son sólo las computadoras, por supuesto, las que pueden ser sistemáticamente infiltradas, espiadas o mal empleadas como parte de una botnet. Los teléfonos móviles también pueden ser utilizados para robar información del empleador del propietario. La víctima involuntaria, cuyo teléfono ha sido infectado con un programa espía, contrabandea la información fuera de la oficina. La información se recupera de forma remota conforme la víctima se dirige a casa después del trabajo. Los espías digitales han adoptado incluso el argot de los traficantes de drogas para referirse a estos cómplices incautos. Se les llama “mulas involuntarias de datos”.

Los agentes de la NSA no están preocupados por ser capturados. Eso es en parte porque trabajan para una agencia tan poderosa, pero también porque no dejan detrás de ninguna prueba que se sostenga en la corte. Y si no hay evidencia de mala conducta, no puede haber ninguna sanción legal, ni control parlamentario de las agencias de inteligencia ni ningún acuerdo internacional. Hasta el momento, se sabe muy poco acerca de los riesgos y efectos secundarios inherentes a estas nuevas armas D y no hay casi ninguna regulación gubernamental.

Edward Snowden ha revelado cómo las agencias de inteligencia de todo el mundo, lideradas por la NSA, están haciendo todo lo posible para garantizar un vacío legal en Internet. En una reciente entrevista con la cadena pública PBS de Estados Unidos, el denunciante expresó su preocupación de que “la defensa es cada vez menos una prioridad respecto al delito.”

Snowden encuentra eso preocupante. “Lo que tenemos que hacer”, dijo, “es crear nuevas normas internacionales de conducta.”

 < 1 | 2

1 En informática, se refiere al incremento de privilegios o control sobre un sistema dado.