Llevo una semana monitorizando en el trabajo (a nivel interno, lo siento 🙁 ) el impacto social y económico que se desprende de la que seguramente sea la noticia del año. The Shadow Brokers, un grupo hasta ahora desconocido, ha logrado acceder a algunos archivos de Equation Group, que ya el año pasado revolvía el ciberespacio con una suite de herramientas verdaderamente sofisticadas, y que se le ha relacionado desde entonces con agencias de inteligencia como la NSA.
Este grupo publicaba a mediados de la semana pasada un documento en pastebin (EN/enlace roto) con enlaces a varios archivos supuestamente obtenidos del hackeo a Equation Group, con algunas de las ciberarmas con las que este grupo, y por ende, el gobierno americano, ha estado librando lo que desde hace tiempo consideramos ciberguerra fría.
El 60% de estos archivos están disponibles para su consulta en GitHub (EN/por cierto, eliminado desde hace unas horas, aunque descargable aún por Mega (EN)), y en efecto, parece que se trata de scripts de ciberespionaje y malware con nombres en clave como SECONDATE (EN), un herramienta man in the middle que se hace pasar por el servidor de Facebook, o EXTRABACON (EN), un exploit de un protocolo de comunicación que permitiría al atacante acceder a éstos por SSH o telnet sin necesitar credenciales de acceso.
Hay algunas perlitas, como dos vulnerabilidades en productos Cisco de seguridad, ampliamente utilizados en redes corporativas, que al parecer ya están controladas (EN/siempre y cuando el equipo de IT tenga actualizados sus sistemas…).
Y el 40% (a priori, los más interesantes), están guardados a buen recaudo, en espera de ver quién es capaz de ofrecer la puja más alta en una peculiar “subasta” (EN) en la que todas las pujas, se ganen o no, serán cobradas.
De hecho, el que hayan decidido hacer la campaña de esta manera, y descontando el hecho de que seguramente quien se lleve el gato al agua será una organización que hará el pago “a puerta cerrada”, ha sido motivo de desconfianza desde el principio.
Si lo que buscas es favorecer la participación, lo suyo es que ésta siga el juego habitual de una subasta (solo se cobra al ganador, que será aquel con la puja más alta, incentivando al resto a picarse por ser el mayor postor), lo que sin duda ha impactado en el poco recorrido que ha tenido desde su inicio (hoy en día, 60 pujas y poco más de 1 bitcoin de recaudación global, con prácticamente un par de pujas que superan los 500-800 dólares).
Pero la autenticidad de la filtración ha ido estos últimos días en aumento hasta que prácticamente podemos considerar que es cierta.
Tanto Nicholas Weaver (EN), del Instituto Internacional de Ciencias de la Computación, como Edward Snowden, ex-trabajador de la NSA y por todos conocido como aquel analista que abrió la Caja de Pandora de la monitorización masiva de la agencia estadounidense, dan razones de peso para creerse el asunto.
En especial, por el uso de un hash de 16 caracteres (“ace02468bdf13579″) que la propia NSA identifica en un manual interno (EN) facilitado por Snowden a The Intercept.
Lo que aún es desconocido es el procedimiento por el cual alguien ha conseguido hackear a la NSA, y hay varios frentes abiertos.
De la fuga de información por un operario interno, a la ciberguerra fría
Uno de los supuestos ingenieros dentro de Tailored Access Operations (uno de los departamentos de ofensiva de la NSA) hacía las siguientes revelaciones para The Washington Post (EN):
“Al conocer la estructura de la NSA resulta improbable que alguien pueda hackearla. Algo así es simplemente ridículo. Su sistema es demasiado perfecto, o impenetrable”.
A lo que apuntaba este trabajador es que lo más probable sería que, como ocurrió en su día con Snowden, algún espía o trabajador descontento haya tenido acceso a esa suite de herramientas específicas, y haya conseguido sacarlas de la red mediante alguna estrategia que burlara sus férreos controles de seguridad.
Esta teoría no descarta la que seguramente esté encima de la mesa de la mayoría de gobiernos hoy en día, y que pasaría porque detrás del ataque haya intereses políticos.
En el Business Insider (EN), Dave Aitel, ex investigador de seguridad de la NSA, exponía la situación:
“Al desconocerse la forma en que se produjo la sustracción del material, comenzó a cundir el pánico respecto de otro material que podría estar circulando, especialmente desde una perspectiva de contraespionaje. ¿Cuándo hay que preocuparse, en realidad? ¿Serán reveladas todas mis operaciones? Creo que estas cosas son preocupantes para ellos, debido a que quieren mantener en secreto su trabajo”.
Y es justo aquí a donde quería llegar.
No debería parecernos casualidad que todo esto se produzca poco después de las filtraciones de correos electrónicos del partido demócrata (EN), en plenas elecciones estadounidenses.
Que uno de los grupos de espionaje masivo con mayor financiación y poder de la historia haya sido, de una u otra manera, hackeado, solo apunta a que quien fuera que ha conseguido hacerlo cuenta como mínimo con una serie de recursos semejantes.
Es prácticamente imposible pensar que un par de cibercriminales “de poca monta” hayan conseguido algo así si no hay detrás intereses gubernamentales (ergo, músculo financiero, estratégico y logístico).
Con una izquierda y una derecha extrema cada vez más de la mano (los intereses económicos que unen a Trump con Putin son públicamente conocidos (ES)), con ese sentimiento creciente de falta de un líder fuerte que no le tiemble el pulso, que no tenga miedo de decir y hacer cosas “políticamente incorrectas” (ES) por el bien de la nación, con el aparente triunfo de esas democracias iliberales (ES) de las cuales hablaba justo hoy en el email enviado a los miembros de la Comunidad, deberíamos como mínimo preocuparnos.
No porque en efecto la seguridad de una de las organizaciones más seguras haya sido vulnerada, sino porque quien está detrás quizás tenga una cara todavía más fea.
Y porque en esencia todos estos ataques están tejiendo un nuevo mapa de poder en el que seguramente los mayores perjudicados seremos el grueso de peones.
Un ecosistema de ciberguerra fría que da aún mayores excusas para levantar murallas y panopticones digitales que estén 24/7 vigilando a los ciudadanos. Un estado de control basado en el miedo a males intangibles, invisibles y ubicuos. Un mundo creado artificialmente, del cual hemos hablado largo y tendido estos últimos años, y que temo que sobrepase aquellos límites civiles que hasta ahora parecían infranqueables.
Yo también estoy de acuerdo: incluso proteger a la gente, que es lo que intento, puede ser visto como posible delito.
Es muy difícil marcar el límite entre lo correcto y lo incorrecto. Las agencias de inteligencia tienen el objetivo de proteger a los ciudadanos. Y en su afán de hacerlo, los ponen en riesgo, criminalizándolos por defecto.
Como decía, es un tema muy complejo de afrontar…
No sé si es mi percepcion pero me parece que si bien EUA siempre ha llevado la delantera en hackeo/espionaje/guerra cibernética, en estos años China y Rusia se han puesto a la par y le han dado buenas sorpresas. No creo que los chinos tengan la Tiannhe para predecir el clima.
Como bien sabes, resulta dificil precisar si un ataque se produce realmente desde un punto o desde otro del globo. Europa del Este, Rusia, China y EEUU parecen ser los principales nodos del cibercrimen/espionaje, pero vamos, que lo mismo en algún momento nos llevamos una sorpresa :).