El Gobierno de Navarra no ha encargado, como sí han hecho otros ejecutivos autonómicos, un barrido a los teléfonos móviles de los consejeros, la presidenta y demás altos cargos del Gobierno foral para intentar detectar alguna posible intrusión externa. El vicepresidente primero y portavoz del Gobierno, Javier Remírez, ha señalado que se encuentran en contactos con la Administración General del Estado para “coordinar” actuaciones en caso de que fuera necesario, por tratarse de un “tema sensible”.

Remírez ha descartado cualquier tipo de sospecha de un posible espionaje y ha asegurado que “ningún alto cargo” del Gobierno de Navarra ha denunciado tener indicios de que hayan podido acceder a su dispositivo móvil. El área encargada de la informática y la seguridad del Ejecutivo de María Chivite no ha realizado ninguna actuación al respecto al no haber sospechas de una intromisión en alguno de los teléfonos móviles de los miembros del Ejecutivo.

“Seguimos en conversaciones para coordinar esfuerzos en esta línea, siguiendo los consejos que marquen los expertos”, ha señalado el vicepresidente y portavoz, tras remarcar que “no es cuestión solo de capacidad técnica, que se tiene para hacer ese trabajo, sino también de coordinarse con la Administración General del Estado”.

La carrera cuántica preocupa a la NSA. “El impacto del uso de un ordenador cuántico por parte de un adversario podría ser devastador para los Sistemas de Seguridad Nacional y nuestra nación”, señala un documento de preguntas y respuestas sobre esta tecnología publicado esta semana por la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) de EEUU, la misma que protagonizó un escándalo internacional de primer orden cuando su exanalista Edward Snowden reveló su pacto con las principales multinacionales tecnológicas para espiar a ciudadanos, empresarios y líderes políticos de todo el mundo.

La computación cuántica es uno de los mayores desafíos que están intentando desentrañar ingenieros, matemáticos y físicos en la actualidad. Si los ordenadores tradicionales funcionan a través de bits, pulsos eléctricos u ópticos que representan unos y ceros (encendido y apagado), un ordenador cuántico funcional se basaría en bits cuánticos o cúbits: partículas subatómicas con capacidad de estar en múltiples estados a la vez, por lo que pueden representar un gran número de combinaciones de unos y ceros al mismo tiempo.

Es incluso más complicado de lo que suena. Por eso, buena parte de la comunidad científica opina que el esfuerzo y los miles de millones que están invirtiendo IBM, Google o Microsoft en investigar esta tecnología terminarán cayendo en saco roto. Aún así, la inmensa mayoría asume que merece la pena el intento: mediante los cúbits, los ordenadores cuánticos podrían ser mucho más efectivos que los supercomputadores actuales a la hora de ofrecer múltiples soluciones a la vez para un mismo problema. Esto sería extraordinariamente útil para hacer simulaciones, herramienta básica en muchas investigaciones científicas actuales.

La química, el diseño de materiales o la optimización de procesos podrían ser los primeros campos beneficiados de la computación cuántica. No obstante, a la vez que los países y empresas que investigan esta tecnología han ido consiguiendo hitos necesarios para hacerla viable, ha ido creciendo el miedo a uno de sus potenciales usos. Un ordenador cuántico también sería muy efectivo para resolver problemas criptográficos, la piedra angular de la actual seguridad digital. Podría ser capaz de atacar cualquier sistema y romperlo con fuerza bruta informática.

“Los Sistemas de Seguridad Nacional —sistemas que transportan información militar o de inteligencia clasificada o de otro tipo— utilizan la criptografía como un componente crítico para proteger la confidencialidad, integridad y autenticidad de la información de seguridad nacional”, destaca la NSA. “Sin una mitigación eficaz”, advierte, esos sistemas estarían a merced de cualquier país o grupo cibercriminal con capacidad de emplear la computación cuántica contra ellos.

La NSA no sabe cuándo, ni siquiera si, existirá un ordenador cuántico de tamaño y potencia suficientes para vulnerar la criptografía

La criptografía actual se basa en utilizar las matemáticas como barrera de protección. Un ordenador convencional podría pasarse cientos de años haciendo cálculos para hallar la combinación con la que penetrar este muro lógico. En la práctica, esto hace que un buen cifrado sea impenetrable con los métodos actuales. El riesgo es que los ordenadores cuánticos puedan llevar a cabo esos cálculos mucho más rápido y la criptografía deje de ser una protección fiable.

La agencia de espionaje estadounidense reconoce que “la NSA no sabe cuándo llegará, ni siquiera si llegará a existir un ordenador cuántico de tamaño y potencia suficientes para vulnerar la criptografía”. Los científicos creen que el primer prototipo podría tardar décadas. No obstante, la NSA considera que la sola posibilidad de que la tecnología se haga realidad es una amenaza de primer orden. Si bien las multinacionales americanas han sido relativamente transparentes con sus descubrimientos y han publicado estudios para su análisis por la comunidad científica internacional, países como China, que también investiga el potencial de esta tecnología, se han prodigado mucho menos en los avances de su investigación.

Computación cuántica ofensiva

El documento de la agencia estadounidense trata la computación cuántica desde una perspectiva defensiva. La NSA también es la encargada de desarrollar los protocolos de protección informática de los sistemas de seguridad nacional de EEUU y ya tiene en marcha un plan para una situación “postcuántica”. Asegura que ya está preparada para resistir un potencial ataque basado en cúbits.

Pero la NSA no solo piensa en la computación cuántica como amenaza, sino también como método de ataque. Documentos suministrados por Snowden en 2014 revelaron que la entidad había invertido 80 millones de dólares en un programa para crear “un ordenador cuántico criptológicamente útil” con el que “descifrar la mayoría de los tipos de encriptación”, publicó entonces el Washington Post. No era su único proyecto en este sentido, puesto que el exanalista también facilitó información sobre otro, denominado “Owning the net” (Dominando la red) destinado a apoyar al primero.

Ya entonces varios expertos apuntaron al periódico estadounidense que era muy improbable que la NSA hubiera podido ocultar un avance relevante en la computación cuántica, incluso siendo una organización basada en el secreto. “La ironía de la computación cuántica es que, si puedes imaginar que alguien pueda construir un ordenador cuántico capaz de descifrar el cifrado dentro de unas décadas, entonces tienes que empezar a preocuparte ahora mismo”, advertía uno de ellos.

Este jueves, un tribunal del estado norteamericano de Georgia ha condenado a la activista Reality Winner a cinco años y tres meses de prisión, la pena más alta jamás impuesta en el país por filtrar información clasificada a un medio de comunicación sobre los intentos por parte de Rusia de intentar hackear las elecciones presidenciales de Estados Unidos en 2016, que le valdrían la victoria al actual presidente, Donald Trump.

La acusada en cuestión, que se declaró culpable haciendo caso a sus abogados,; trabajaba como lingüista en las Fuerzas Aéreas hasta que se incorporó a Pluribus International, una contrata gubernamental que ofrece servicios de defensa, inteligencia y seguridad al Departamento de Defensa, el ejército y la Oficina de Inteligencia Federal de los EEUU.

Según el Departamento de Justicia, tenía el más alto nivel de acceso a material clasificado, que aprovechó para enviar documentos a The Intercept, el medio del colaborador de Edward Snowden, Glenn Greenwald. En Twitter solo seguía a 50 perfiles, incluyendo Edward Snowden, WikiLeaks y Anonymous. Se enfrentaba a 20 años de prisión.

La sentencia, dictada por el juez del distrito de Georgia J. Randall, era la que recomendaba la Fiscalía, y supone la mayor pena jamás impuesta por un delito federal relacionado con la filtración de información confidencial. Winner también ha sido condenada a tres años de libertad condicional sin fianza una vez salga de prisió

Las agencias de Inteligencia estadounidenses terminaron por confirmar la injerencia rusa en los comicios. De acuerdo con sus abogados, Winner es “muy buena persona”, al tiempo que han informado a los medios que la joven sufre depresión y bulimia desde que fue detenida.

La vista de este jueves en Georgia ha durado menos de 45 minutos, según ha informado la cadena de televisión estadounidense NBC. Winner ha mantenido un semblante sonriente, con las manos esposadas detrás de la espalda. “Me gustaría disculparme profundamente por mis acciones. Quiero disculparme con mi familia. Nada merece la pena estar lejos de aquellos a los que quiero”, ha declarado la condenada ante el tribunal.

Tras pedir perdón en el Congreso estadounidense, esta semana Mark Zuckerberg se ha disculpado en el Parlamento Europeo.disculpado Aunque el CEO de Facebook abandonó la comparecencia sin responder a las preguntas más delicadas de los eurodiputados (su equipo ha contestado por escrito después), la visita supuso un nuevo esfuerzo por dejar atrás el escándalo de Cambridge Analytica, la desaparecida consultora política que accedió a los datos de al menos 87 millones de los usuarios de la red social de forma fraudulenta.

Hace solo dos meses que Christopher Wylie, exempleado de Cambridge Analytica, destapó la caja de los truenos al revelar a los periódicos The New York Times y The Observer las prácticas de la empresa que trabajó para la campaña presidencial de Trump y la del Brexit.

Este joven experto en predicción de datos fue precisamente quien ideó “la herramienta de guerra psicológica”herramienta para Steve Bannon, exjefe de la estrategia del actual presidente de Estados Unidos, con el fin de influir en los resultados electorales que llevaron a Donald Trump a la Casa Blanca.

La empresa matriz de Cambridge Analytica consiguió los perfiles de Facebook que Wylie deseaba a través de Aleksandr Kogan, investigador de la Universidad de Cambridge. Él fue quién desarrolló la aplicación con la que se obtendría información personal de 270.000 personas y sus amigos en Facebook, si bien, supuestamente, se trataba de un cuestionario científico y los datos se usarían con fines académicos.

La pasividad de Facebook empeoró la situación. Según Wylie, que abandonó la compañía en 2014, los abogados del gigante liderado por Zuckerberg se limitaron a escribirle dos años más tarde diciéndole que los datos habían sido obtenidos ilícitamente y debían ser borrados. Ahora, el filtrador del mayor escándalo de Facebook hasta la fecha dice experimentar una “sensación de arrepentimiento cada día cuando veo a dónde han llevado el mundo”.

Pero Wylie no ha sido el primero que ha decidido dar el paso para destapar los oscuros secretos de la tecnología. Antes que él, muchos otros denunciantes o filtradores (whistleblowers en inglés) desataron otras tormentas.

Snowden, descubriendo la vigilancia de la NSA

“Ellos no son las víctimas. Ellos son cómplices”. Tras conocer las revelaciones de Wylie, Edward Snowden criticaba a Facebook por “vender detalles de la vida privada” de sus usuarios. Dentro unos días se cumplirá un lustro desde que The Guardian y The Washington Post publicaran los primeros artículos sobre los programas de espionaje de la Agencia Nacional de Seguridad (NSA) estadounidense que este extécnico de la CIA dio a conocer filtrando miles de documentos secretos.

Gracias a su labor, se supo que la NSA había recopilado datos de las llamadas de millones de clientes de Verizon y que, a través de un programa llamado PRISM, tenía acceso a los datos de los usuarios de Google, Microsoft, Facebook, Yahoo, Skype o Apple. Es más, posteriormente se desveló que la agencia gubernamental había pagado millones a las grandes empresas tecnológicas en compensación por los gastos vinculados a sus peticiones de espionaje, que incluían acceso a correos electrónicos, vídeos, fotos, llamadas o actividad en las redes sociales.

Poco a poco, los documentos filtrados por Snowden sirvieron para descubrir una enorme red de vigilanciaenorme red de vigilancia orquestada por los Estados Unidos para espiar de forma masiva a ciudadanos y gobernantes de todo el mundo a través de un arsenal de programas.

Snowden aún está pagando el precio de esas revelaciones. Aquel 2013, el analista informático comenzó a filtrar los documentos desde un hotel en Hong Kong. A los pocos días, viajó a Moscú, donde permaneció en la zona de tránsito del aeropuerto durante las siguientes jornadas, en las que pidió asilo a 20 países.

Finalmente, Rusia le concedió asilo temporal durante un año y, después, un permiso de residencia que se le ha prorrogado hasta 2020.se le ha prorrogado hasta 2020 “No puedo volver a casa y estoy muy lejos de mi familia. Pero prefiero renunciar a mi patria que renunciar a mi voz”, aseguraba Snowden en una entrevista concedida a eldiario.es en 2016.

Los escándalos destapados por Wikileaks

El fundador de Wikileaks, Julian Assange, lleva refugiado en la embajada de Ecuador en Londres desde 2012, antes del exilio de Snowden, debido a la divulgación de miles de documentos militares clasificados y comunicaciones diplomáticas estadounidenses filtradas por la exsoldado Chelsea Manning. El año pasado, Wikileaks mostró las herramientas de espionaje de otro organismo dedicado a la seguridad del país norteamericano: la CIA.

Vault 7 es el nombre que pusieron a la serie de más de 8.000 documentos filtrados que reunían el arsenal de la inteligencia estadounidense, en el que se incluía malware para hackear y espiar desde televisores hasta smartphones. Ahora bien, Assange decidió no hacer públicos todos los datos técnicos de los programas maliciosos desde el primer momento: los compartió con Google, Apple o Microsoft para que arreglaran sus agujeros de seguridad. Hace unos meses, lanzaba una nueva serie (Vault 8) en la que se publicó el código fuente de la herramienta Hive, un servidor que la CIA utilizaba para comunicarse con el malware.

Sin embargo, poco se sabía hasta ahora del posible filtrador de Vault 7. The New York Times señaló hace tan solo unos días que el principal sospechoso de la filtración actualmente es Joshua Schulte, un exingeniero de la CIA que además está acusado de posesión de material pornográfico infantil. Según su familia, Schulte es el chivo expiatorio de la agencia por su fracaso a la hora de proteger sus datos.

Al escándalo generado por las revelaciones de Vault 7 se sumó poco después la filtración del grupo de ciberatacantes Shadow Brokers, que también sacó a la luz ciberarmas, en este caso usadas por la NSA. Una de ellas era EternalBlue, que aprovechaba un agujero de seguridad por el que se coló el peligroso ransomware WannaCry qransomwareue el año pasado infectó a ordenadores de todo el mundo.

Wikileaks también ha estado implicado en otras filtraciones de datos de empresas tecnológicas, algunas de ellas bastante controvertidas. En 2015, el portal publicó un buscador que permitía filtrar miles de documentos, correos electrónicos o datos financieros que habían sido sustraídos a Sony por un grupo de ciberdelincuentes que según la inteligencia estadounidense podrían ser norcoreanos.

Los correos robados tuvieron una amplia repercusión: provocaron, por ejemplo, el despido de Amy Pascal,el despido de Amy Pascal la copresidenta de Sony Pictures Entertainment, por intercambiar correos con chistes racistas sobre Barack Obama. Assange defendió que el archivo mostraba “el funcionamiento interno de una poderosa multinacional”, era “de interés periodístico” y estaba “en el centro de un conflicto geopolítico” para justificar su publicación. Sin embargo, desde Sony criticaron que Wikileaks estaba “violando aún más [que con el propio robo] la privacidad de cada persona implicada”.

Poco después, Wikileaks también publicó una base de datos que permitía el fácil acceso a 400 gigabytes de datos sobre Hacking Team. Un ciberdelincuente, Phineas Fisher, perpetró un ataque para conseguir la información de esta compañía de seguridad dedicada a vender herramientas de vigilancia y la filtró en la propia cuenta de Twitter de la empresa. Así, se pudo descubrir que la firma italiana vendía su arsenal a servicios de inteligencia de todo el mundo, entre ellos el CNI español, e incluso a regímenes represores.

El escándalo de acoso sexual en Uber

A veces un solo documento de un denunciante puede ser la mecha que prenda la llama de un escándalo. En febrero del año pasado, la exingeniera de Uber Susan Fowler relató en su blog el acoso sexualrelató en su blog que había sufrido en la startup de transporte colaborativo sin que sus superiores hicieran nada. En el post, explicaba cómo su jefe le había dicho que “estaba buscando mujeres para tener relaciones sexuales” cuando se unió al equipo. En lugar de apoyarla, desde recursos humanos y la alta gerencia decidieron no hacer nada porque probablemente fuera “un inocente error” y porque era la “primera ofensa” del trabajador.

En los meses siguientes, Fowler descubrió que otras mujeres compartían historias similares sobre ese mismo jefe. La discriminación de los gerentes estaba presente en muchas otras situaciones: en una ocasión, decidieron regalar chaquetas de cuero exclusivamente a los hombres porque “no había suficientes mujeres en la organización para justificar el pedido”. Además, un director argumentó que la baja presencia femenina en la compañía se debía a que las mujeres tenían que aprender a “ser mejores ingenieras”.

El post se hizo viral y Travis Kalanick, por entonces CEO de Uber, se vio obligado a iniciar una “investigación urgente” sobre acoso sexual. Un bufete de abogados fue el encargado de llevarla a cabo, investigando las más de 200 denuncias anónimas internas que se formularon. Cuando concluyó, 20 personas fueron despedidas. Además, la denuncia de Fowler se unió a la larga lista de escándalos de la compañía que acabó provocando la dimisión del Kalanick por presiones de los accionistas.dimisión del Kalanick

Sin embargo, esta ingeniera no ha dado por concluida su cruzada. Ahora apoya una propuesta de legislación en California que ponga fin al arbitraje forzado, una práctica usada por las compañías para obligar a sus empleados a firmar acuerdos de confidencialidad y que las disputas se resuelvan en un proceso de arbitraje privado en lugar de ante un juez.

Una denuncia colectiva presentada en ese estado recientemente mostraba, además, que la compañía forzaba a las mujeres que denunciaron ataques sexuales por parte de sus conductores a que las demandas se resolvieran en privado. Presionado por las críticas, el gigante del ridesharing ha anunciado hace unos días la eliminación de los acuerdos de arbitraje forzadoridesharinganunciado hace unos días para empleados, conductores y ocupantes que sufran situaciones de agresión sexual o acoso.

Las condiciones laborales en Amazon

Los empleados del gigante del comercio electrónico también han sido muy críticos con las condiciones laborales de Amazon. Especialmente duro fue un reportaje publicado por The New York Times The New York Timesen 2015 para el que se obtuvieron testimonios, en muchos casos bajo condición de anonimato, de más de un centenar de profesionales que habían pasado por la empresa.

La información describía cómo varios profesionales que sufrieron cáncer u otros problemas personales recibieron un trato inaceptable por parte de la empresa o se narraban las larguísimas jornadas de trabajo y el clima de presión constante, con emails que llegaban pasada la medianoche. El impacto de la investigación hizo que el propio Jeff Bezos, máximo responsable de Amazon, escribiera un correo electrónico a los empleados pidiendo que informaran de ese tipo de incidentes a recursos humanos o incluso a él mismo en lugar de filtrarlos a la prensa.

Desde entonces, las críticas han continuado. La pasada Navidad, un infiltrado comenzó a trabajar en un almacén de Amazon en Staffordshire (Reino Unido) para analizar sus condiciones laborales, y reveló al diario británico The Sun que los empleados orinaban en botellas porque temían perder tiempo en ir al baño, lejos de sus puestos de trabajo. Amazon salió al paso negando la mayor.

Mientras tanto, en España, los empleados han salido a la calle este año para defender sus condiciones laborales. Una mayoría de trabajadores del centro logístico de San Fernando de Henares (Madrid) secundaron las dos jornadas de huelga del pasado mes de marzo por la falta de acuerdo en la negociación de un nuevo convenio colectivo, lo que ha llevado a la aplicación del sectorial, que empeora sus condiciones. Ahora, los trabajadores han convocado nuevos paros parciales para el 1 de junio y varios días de huelga durante la semana de Amazon Prime Day.

Las lesiones de los trabajadores en Tesla

Además de Zuckerberg, otro de los magnates tecnológicos que peor lo está pasando últimamente es Elon Musk. El temor de los analistas de Wall Street ante los malos resultados financieros de Tesla y los problemas de producción del Model 3 están poniendo en aprietos al visionario sudafricano.

A todo ello se suma una reciente investigación llevada a cabo por el Center for Investigative Reporting en la que se asegura que la fábrica de Fremont (California) tiene un elevado número de accidentes laborales no registrados. Es más, los informes internos de la compañía indican que Tesla habría etiquetado accidentes graves (la investigación describe roturas de hueso, esguinces o lesiones por estrés) como incidentes médicos personales o menores.

Cinco exmiembros del equipo de salud y de seguridad aseguran en la investigación, para la que se han recabado testimonios de decenas de empleados y exempleados, que la compañía ha puesto la fabricación de automóviles eléctricos por encima del bienestar de sus trabajadores.

La reacción no se ha hecho esperar. Tesla ha respondido que el artículo responde a un ataque organizado por extremistas radicales y se debe a una campaña de desinformación. Sin embargo, la División de Seguridad y Salud Ocupacional de California ha decidido abrir una investigación a la firma de transporte a raíz de estas revelaciones.

“He visto a gente desmayarse, caerse al suelo como un saco de patatas y romperse la cabeza”, ha explicado Jonathan Galescu, técnico de producción de Tesla, en un artículo publicado recientemente en The Guardian. “Nos mandan a trabajar a su alrededor mientras la persona sigue tirada en el suelo”. Al igual que él, otros trabajadores y exempleados describen largas y extenuantes jornadas de trabajo en la fábrica de automóviles.

Como ellos, son muchos los profesionales que deciden contar desde su propia experiencia el lado más oscuro de los gigantes tecnológicos. Algunos de esos informantes, como Edward Snowden o Christopher Wylie, han destapado con sus revelaciones escándalos relacionados con la privacidad que afectan a ciudadanos de todo el planeta.

----

Las imágenes son propiedad del Parlamento Europeo, Wikimedia Commons (2 y 5), eldiario.es, Cancillería de Ecuador /Flickr, Álvaro Ibañez /Flickr y Heisenberg Media/Flickr.

Todo el que use bitcoin ya es un viejo conocido de la NSA: la Agencia de Seguridad Nacional de los EEUU lleva rastreando a los usuarios que operan con la criptodivisa en el mundo desde el año 2013. Es algo que no hemos sabido hasta hace pocos días, gracias a los documentos clasificados que Edward Snowden, exagente de la agencia de inteligencia estadounidense, ha filtrado a The Intercept.

Snowden puso el mundo patas arriba cuando precisamente ese mismo año, 2013, filtró a The Guardian y al Washington Post uno de los mayores escándalos de espionaje de un gobierno a su población de los últimos tiempos. Mediante el proyecto PRISM, varias grandes compañías de los EEUU como Facebook, Google, Yahoo, AOL o Microsoft, entre otras, espiaron las comunicaciones de millones de ciudadanos en ese país.

Los documentos que el whistleblower (filtrador) ha mandado ahora a The Intercept tienen el típico aspecto de los papeles en los que nunca querrías que estuviera tu nombre. Son cuatro páginas con tachones que corresponden a varios boletines semanales internos de la NSA para las semanas que van del 8 de marzo al 5 de abril de 2013. Allí se repiten dos nombres, MONKEYROCKET y OAKSTAR; y entre uno y otro, un párrafo en el primer boletín que dice lo siguiente: “los analistas han descubierto que un valor en MONKEYROCKET puede ayudar a rastrear a los emisores y receptores de bitcoin”.

Objetivo: el terrorismo (y de paso todo el que use bitcoin)

Como PRISM, la NSA lanzó el programa OAKSTAR en 2013, basado en cientos de alianzas encubiertas con grandes empresas que les permitían “mirar” entre los paquetes de datos de Internet. Según los documentos de la agencia, MONKEYROCKET surgió a partir de este y fue usado sobre todo en Europa, Oriente Medio, Sudamérica y Asia. En la primavera de ese año, MONKEYROCKET será “la única fuente de SIGDEV para los objetivos bitcoin” y la NSA atribuirá a los datos obtenidos a través del software el calificativo de “vigilancia completa”. Ese término lo utiliza la agencia estadounidense para indicar que toda la información recopilada ha sido vista y examinada por sus agentes. Las siglas SIGDEV, según The Intercept, es la abreviatura que usan para referirse a la inteligencia de desarrollo de señales (SIGnals intelligence DEVelopment).

Además, la NSA sugiere en sus documentos internos combinar el uso de ambos programas con XKeyScore, el software principal con el que la agencia recababa información sobre sus ciudadanos. Según Glen Greenwald, uno de los periodistas de The Guardian que desveló el gran caso de espionaje en 2013, “XKeyscore les permite escuchar las llamadas o leer los correos electrónicos de todo lo que la NSA ha almacenado, mirar los historiales de navegación o términos de búsqueda de Google introducidos, y también les avisa de cualquier actividad futura de la persona conectada a ese correo electrónico o dirección IP”.

La agencia de inteligencia estadounidense introdujo MONKEYROCKET de forma camuflada en países como Irán y China desde el verano de 2012. Una “estrategia a largo plazo”, según la NSA, cuyo fin era atraer objetivos “relacionados con el terrorismo, incluyendo a Al-Qaeda”. El software se promocionaba con otros nombres como una herramienta para obtener anonimato en línea, pero no era más que una trampa.

Bitcoin, prioridad número uno

“Bitcoin es la prioridad #1”, continúa la NSA. Se dice que la criptodivisa está descentralizada porque no hay ningún estado que la regule; y es pseudoanónima porque, si bien se puede llegar a rastrear el origen y el destino de las transferencias, es difícil hacerlo. Para conseguir bitcoin, el usuario tiene que “minarlo” extrayéndolo de la blockchain (cadena de bloques) y utilizando la potencia de cómputo de un ordenador. Mientras se escriben estas líneas, un bitcoin equivale a 8.627 dólares, muy lejos del máximo histórico (19.499 dólares) que alcanzó el pasado diciembre.

Todas las transferencias de bitcoin pueden consultarse en la blockchain, pero la NSA fue mucho más allá: recopilaron contraseñas, actividad en Internet y direcciones MAC (un identificador único que cada ordenador utiliza en Internet y que, a diferencia de la dirección IP, constituye una matrícula permanente del dispositivo con el que se navega por la Red).

En otro documento del 29 de marzo del mismo año, los analistas de la NSA se preguntan si deberían rastrear también información sobre las direcciones de Internet que visitan los usuarios de bitcoin, los puertos de sus ordenadores o las marcas de tiempo.

“No podemos permitirlo”

“Las agencias estadounidenses no tienen límites a la hora de vulnerar los derechos de ciudadanos de otros países que usan bitcoin”, explica a eldiario.es Alberto Gómez Toribio, cofundador de NevTrace y CEO de Coinffeine, una casa de cambio de bitcoin. El informático se muestra contundente y asegura que “se están vulnerando los derechos de los usuarios de bitcoin en Europa y este caso debería preocuparnos tanto como el espionaje a nuestros líderes políticos”.

Según puede leerse en los documentos oficiales de la NSA, algunos analistas pretendían que la agencia guardase toda la información relativa a los usuarios de bitcoin en un archivo, “Provider user full.csv”. Los archivos .csv suelen ser tablas para estructurar la información, de forma parecida a un documento .xls (Excel). Aunque The Intercept se ha puesto en contacto con la NSA, la agencia guarda silencio sobre la revelación.

“Como director de compañías que operan con bitcoin, la noticia me preocupa mucho. Significa que nuestros clientes tienen menos derechos o son discriminados por usar una tecnología, y no podemos permitirlo”, concluye el especialista en bitcoin. En ningún lado, los documentos de la NSA filtrados por Snowden especifican si el programa de vigilancia ha terminado o sigue activo.

Los cuarteles generales de la NSA se encuentran en Fort Meade, Maryland (EEUU) y son conocidos como 'El Fuerte'. Unas 18.000 personas trabajan allí cada día, divididas por comandos según su grado de acceso a la información y unidad en la que operen. No todos los empleados conocen todo ni todos los que allí trabajan saben, necesariamente, a quién espía su Gobierno.

Pero lo que sí saben los agentes es que no pueden llevarse el trabajo a casa. Es una de las primeras normas que la NSA les inculca nada más entrar a trabajar allí. La agencia de espionaje no lo dice a la ligera: hasta ahora, sabíamos que tres personas (Edward Snowden, Harold Martin y Reality Winner) habían sacado material confidencial de la agencia al exterior. Este viernes, The Wall Street Journal cuenta que ya son cuatro los que quebrantaron las normas.

No ha trascendido el nombre del misterioso empleado de la NSA; tan solo que es un ciudadano estadounidense nacido en Vietnam y que el incidente ocurrió en 2015, aunque la agencia no lo supo hasta la primavera del año pasado. Al acceder al ordenador del agente, los hackers rusos consiguieron información relativa a los métodos de hackeo de redes por parte de la NSA, el código que utiliza en esos ataques y cómo se defiende frente a las ciberamenazas extranjeras, según las fuentes consultadas por el WSJ.

Kaspersky, 'non grata' en EEUU

Cuenta el diario estadounidense que el analista de la NSA se llevó el material confidencial a casa y lo descargó en su ordenador personal. Allí tenía instalado el popular antivirus Kasperksy, un software creado por un programador ruso que a finales de los 80 se graduó en informática e ingeniería matemática en el actual Instituto de Criptografía y Telecomunicaciones de Moscú. Cuando Eugene Kaspersky consiguió su título, en 1987, aún se denominaba Escuela Superior de la KGB.

La firma de ciberseguridad Kaspersky tiene unos 400 millones de usuarios en todo el mundo y ha sido acusada varias veces por los medios estadounidenses de tener fuertes lazos con los hackers rusos, cosa que ellos niegan. “La compañía nunca ha ayudado ni ayudará a ningún gobierno del mundo con sus esfuerzos en ciberespionaje”, ha dicho su fundador en Twitter. También califica de “historia sensacionalista” el artículo del WSJ.

En septiembre, el Gobierno de los EEUU prohibió a todas las agencias y departamentos usar el antivirus Kaspersky y les dio un plazo de 90 días para desinstalarlo. Los oficiales determinaron que “ciberactores maliciosos” podrían usar el software antivirus para obtener acceso a los archivos contenidos en los ordenadores.

Podría tener sentido, ya que en Rusia, el Servicio Federal de Supervisión de las Telecomunicaciones, Tecnologías de la Información y Medios de Comunicación (también conocido como Roskomnadzor) vigila y supervisa, entre otros, a las empresas de telecomunicaciones. Según esto, explican fuentes consultadas por el Washington Post que, al encontrarse en Moscú los servidores de Kaspersky, habría sido muy fácil para el Gobierno ruso interceptar las comunicaciones.

Un antivirus funciona escaneando el equipo en busca de código maligno que compara con los registros que alberga en su base de datos. Los expertos consultados por el diario neoyorquino aseguran que así como el software busca, también almacena la información existente en el ordenador del usuario. De alguna forma, al buscar en el equipo amenazas, el antivirus habría detectado como sospechosas varias de las herramientas que descargó el agente de la NSA en su ordenador y habría dado el aviso a los hackers rusos. Todo esto según fuentes de la investigación consultadas por el diario estadounidense.

Las otras fugas de información de la NSA

No es la primera vez que se produce una fuga de datos en la NSA, aunque algunas han sido filtraciones y otras han sido robos. En los últimos cinco años, la agencia ha visto hasta cuatro veces cómo se escapaba información confidencial de 'El Fuerte'. Primero fue Edward Snowden, cuando en 2013 contó a The Guardian y The Washington Post que la agencia espiaba a ciudadanos de todo el mundo a través de PRISM, con la ayuda de las grandes empresas tecnológicas estadounidenses.

En 2016, se destapó que Harold Martin había filtrado desde 2012 información al grupo de hackers The Shadow Brokers, los mismos que pusieron más tarde a la venta en la Deep web varias herramientas de hackeo pertenecientes a la NSA. Esos programas han sido reutilizados más tarde por otros hackers cuyas consecuencias hemos sentido en forma de ciberataques mundiales: WannaCry y NotPetya.

Y a principios de junio, Reality Winner fue detenida por filtrar varios documentos a The Intercept, entre ellos un informe sobre la manipulación del sistema de registro de voto por parte de la inteligencia rusa justo antes de las elecciones estadounidenses. La identificaron por la marca invisible que dejan las impresoras en la documentación.

Se da la curiosa circunstancia de que ninguno de ellos trabajaba directamente para la NSA: Snowden y Martin lo hacían para la subcontrata Booz Allen, Winner para Pluribus Internacional y el misterioso último hombre lo hacía para Tailored Access Operations, “la división de élite de hacking de la NSA”, según el Washington Post. Este diario cuenta, a diferencia de la fuente original (TWSJ) que el empleado fue despedido en el 2015.

De momento, la senadora demócrata Jeanne Shaheen, que mantiene una posición bastante anti-Kaspersky (llegando incluso a pedir que se prohíba su venta en EEUU), ya le ha pedido a Donald Trump que desclasifique todos los informes que tenga sobre incidentes relacionados con el antivirus. “Es un despropósito para el público y para nuestra seguridad nacional seguir reteniendo esta información”, ha dicho.

Quién es la presunta filtradora. Se llama Reality Leigh Winner, tiene 25 años y era lingüista en las Fuerzas Aéreas hasta el pasado mes de febrero, cuando se incorporó a Pluribus International, una contrata gubernamental que ofrece servicios de defensa, inteligencia y seguridad al Departamento de Defensa, el ejército y la Oficina de Inteligencia Federal de los EEUU. Winner trabajaba en un edificio del gobierno en Georgia.

Según el Departamento de Justicia, tenía el más alto nivel de acceso a material clasificado, que aprovechó para enviar documentos a The Intercept, el medio del colaborador de Edward Snowden, Glenn Greenwald. El FBI la arrestó el lunes por la mañana en su casa de Atlanta. En Twitter solo sigue a 50 perfiles, incluyendo Edward Snowden, WikiLeaks y Anonymous. Se enfrenta a 20 años de prisión.

Qué dicen los documentos. Según el informe publicado por The Intercept unas horas antes del arresto, se trata de un informe de la NSA sobre tres campañas de infiltración llevadas a cabo por el Servicio de Inteligencia Militar de las Fuerzas Armadas de la Federación Rusa (GRU). Como indica el artículo, el documento contradice las declaraciones de Vladimir Putin del pasado enero, cuando aseguró que “no había intervenido en las elecciones estadounidenses y no tenían intención de hacerlo”.

Según un informe que las agencias de Inteligencia estadounidenses, todavía bajo la administración Obama, presentaron el pasado enero, el Kremlin habría puesto en marcha una brutal máquina de propaganda contra el proceso democrático en general y la candidata Hillary Clinton en concreto, sin llegar a determinar si dicha campaña había tenido un impacto sobre los resultados. Pero el Departamento de Seguridad Nacional aseguró también que “los métodos observados en los agentes Rusos no incluyen manipulación de voto”.

Los documentos filtrados por Winner dicen que agentes del GRU se introdujeron con éxito en VR Systems, una empresa de Florida cuyas tecnologías y equipos de voto electrónico fueron utilizados en al menos 8 estados en las elecciones de 2016. Las máquinas de VR Systems son las que mantienen y verifican los censos electorales y su diseño incluye conexión a Internet y acceso por Bluetooth. El troyano ideal.

¿Cómo lo hicieron exactamente?

Con el procedimiento estándar: una campaña de phishing para conseguir credenciales y, con esas credenciales, hacer otra campaña personalizada contra los objetivos concretos para infiltrarse en el sistema y poder manipularlo desde dentro. En este caso, siempre según el propio informe de la NSA filtrado por Winner, el objetivo inicial del GRU era entrar en los equipos del gobierno local e infectar todo el sistema. Para hacerlo, necesitaban un buen disfraz. Por ejemplo, el de un manager de VR Systems.

En agosto de 2016, tres meses antes de las elecciones, los hackers rusos mandaron la típica campaña de phishing en forma de correos de Google a siete empleados de VR Systems, previamente identificados como “víctimas potenciales”. El correo advertía de un cambio en la cuenta de Google y requería entrar en la página e introducir usuario y contraseña. Tres de las siete víctimas no llegaron a ver el mensaje porque lo gestionó su filtro de spam. De las otras cinco, al menos una picó el anzuelo.

En una empresa o administración suele bastar con una credencial para tener acceso a todo; intranet, servidor de correo, nube. Además, todo el mundo suele usar la misma contraseña para todo, y que las corporativas suelen seguir un patrón sencillo, elegido al azar por el administrador de sistemas y repetido hasta la extenuación. Una puede ser la clave para adivinar el resto. Por ejemplo: dtrump434, hclinton434, esnowden323.

Una vez tienes acceso al correo de un empleado, puedes escribir correos personales usando su cuenta a personas muy concretas, o crear cuentas nuevas usando tu acceso a la empresa para añadir detalles que te den credibilidad. Esto se llama spear-phishing (pesca con arpón) y fue lo que hicieron dos meses más tarde.

Los rusos mandaron correos a 122 personas relacionadas con distintas oficinas de administración local con documentos de Microsoft Word conseguidos con la primera operación. Naturalmente, estaban infectados con un troyano escrito para PowerShell, la consola del sistema. Al abrirlo, el troyano ejecuta unos comandos para descargar todo tipo de software malicioso desde un servidor remoto, creando una efectiva puerta trasera en el sistema.

Los documentos infectados eran instrucciones de VR Systems para manejar los equipos. Las víctimas eran agentes “involucrados en la gestión del sistema de registro de votos”. A diferencia del ransomware que paralicó miles de empresas hace unas semanas, el malware instalado actúa de manera silenciosa, moviendo información por canales cifrados. Su trabajo es colonizar el sistema para poder manipularlo sin que nadie se de cuenta, y ofrecer una caja negra infranqueable si alguien detecta la intromisión.

¿Significa esto que las elecciones de los EEUU fueron realmente hackeadas?

Como ya vimos el pasado año, hackear unas elecciones donde se usa el voto electrónico es más fácil de lo que parece. Lamentablemente, hacer una auditoría para determinar si han sido hackeadas es mucho más difícil. Los documentos filtrados solo incluyen las conclusiones de la NSA, pero no contienen los datos en crudo de la investigación. Pero estos documentos demuestran que la Agencia de Inteligencia exterior rusa tuvo la oportunidad y puso los medios para hacerlo. Debería ser prueba suficiente para exigir una investigación.

Cómo saben que ha sido ella.

Lamentablemente fue muy fácil. The Intercept compartió los documentos con la NSA para obtener su punto de vista antes de la publicación. Es un procedimiento estándar en periodismo intentar conseguir comentarios de todas las partes. Según el agente del FBI que escribió el informe, la documentación parecía haber sido doblada con la intención de ser sacada a hurtadillas de un recinto vigilado. La NSA siguió el rastro de los documentos en sus propias fotocopiadoras hasta encontrar a las seis personas que los habían reproducido. Una breve auditoría reveló que Reality Winner fue la única que contactó con The Intercept.

La historia de The Shadow Brokers es breve pero intensa. Oímos hablar del grupo de hackers por primera vez en agosto del año pasado, cuando pusieron a la venta en la Deep web un paquete de herramientas sustraído -decían- a la mismísima NSA. Desde entonces, han sido varios los intentos que ha hecho el grupo para vender el pack. Primero una subasta, luego le pusieron precio fijo y más tarde lo rebajaron. Hasta que el martes abrieron una nueva línea de negocio que será algo así como una newsletter de descargas.

El servicio de suscripción empieza el uno de junio y costará 100 monedas ZCash al mes. Esta criptomoneda se parece al bitcoin porque también utiliza la blockchain y se caracteriza por ofrecer total privacidad tanto para el emisor del pago como para el receptor. Aparte de ser descentralizada y código abierto, también protege el importe de la transacción, que permanece en secreto.

The Shadow Brokers asegura que ni siquiera saben qué datos estarán incluidos en la primera entrega. El pago (al cambio, unos 21.000 dólares) habrá que hacerlo entre el 1 y el 30 de junio y una vez aceptado, el grupo de hackers se compromete a enviar unas credenciales para descargar el pack entre el 1 y el 17 de julio. En el pasado, el grupo ya subastó o vendió paquetes que contenían diversos exploits, virus, softwares de fuerza bruta, RATs y otro tipo de herramientas similares a WannaCry, el ransomware que protagonizó hace apenas tres semanas uno de los mayores ataques informáticos de la historia. Teóricamente, esto es lo que entraría en la newsletter de julio:

Cuando en agosto del año pasado The Shadow Brokers subastó un primer pack de herramientas de la NSA, nadie les tomó muy en serio. Por eso la mejor oferta que recibieron fue de 2 bitcoin (ahora 4.101 euros. Por aquel entonces, 1.675 euros), una cantidad irrisoria en relación al contenido del paquete. Después pidieron 10.000 bitcoin y luego lo rebajaron hasta 1.000. Su reputación ha aumentado enormemente en los últimos meses, sobre todo, gracias a WannaCry.

“El paquete de exploits a 21.000 dólares no entiendo muy bien a qué responde. Al final, lo que está claro es que tampoco tienen ninguna motivación económica”, explica Vicente Díaz, analista senior de Kaspersky. “El dinero que piden es ridículo si tenemos en cuenta que el año pasado estaban pidiendo casi 8 millones”. Se refiere a octubre del año pasado, cuando The Shadow Brokers volvió a revender el pack por 10.000 bitcoin, que al cambio, por aquel entonces, eran 7,8 millones de dólares. Hoy, la misma cantidad de la criptomoneda equivale a 20 millones y medio de dólares.

Ganando credibilidad de poco en poco

En otras ocasiones, el grupo de hackers ha ido soltando herramientas por separado, poniéndolas precio entre 1 y 100 bitcoin. En diciembre del año pasado consiguieron credibilidad suficiente por parte de muchas firmas de ciberseguridad cuando demostraron vía ZeroNet (una plataforma de hosting basada en la blockchain) que tenían en su poder todos y cada uno de los exploits de la NSA que anunciaban.

En abril volvieron a poner un pack a la venta en el que estaba incluido Eternal Blue, el exploit donde se incluía WannaCry. Casi dos meses después lo vuelven a intentar, pero esta vez en forma de suscripción: “Ahora parece que quieren cambiar un poco la narrativa de la historia. Nosotros lo seguimos con interés, a ver cómo se desarrollan los acontecimientos, pero Kaspersky no va a pujar por comprar nada”, explica el analista de la firma rusa.

La empresa de ciberseguridad Check Point se muestra en la misma línea que Kaspersky: “Nosotros no es que estemos asustados, pero estamos atentos ante lo que puede suceder. Si alguien publica esas vulnerabilidades o paga, aparte de que esté dando alas a ese grupo, el problema es que se puedan utilizar para ataques similares a WannaCry o incluso más dañinos”, dice Eusebio Nieva, director técnico de la firma.

Un precio ridículo

Las dos empresas de ciberseguridad coinciden en que la intención del grupo de hackers no es monetaria, sino publicitaria. “Quieren participar en un escándalo y tienen unos intereses más propagandísticos que otra cosa a partir de la atribución de las herramientas”, explica Díaz. “Esto está siendo más espectacular que otra cosa. Un creador de malware de verdad, si tuviera en su poder todas esas vulnerabilidades, lo que estaría haciendo continuamente es lanzando campañas con variaciones del Crypto Locker, de WannaCry, etcétera. Y a medida que le parcheasen uno, sacaría otro para tener una ventaja competitiva sobre los fabricantes de seguridad”, continúa Nieva.

Y es que, según el analista de Kaspersky, “el precio es ridículo”. Díaz explica a eldiario.es que una vulnerabilidad de Windows remota “cuesta más de 21.000 dólares. Incluso se la puedes vender al fabricante”. Desde Kasperksy aseguran que exploits de este tipo, como WannaCry, [se venden] a partir de 90.000 dólares“.

Nieva, por su parte considera que el pack podría comprarlo cualquier empresa dedicada a la fabricación de malware. “Hay industrias completas que proporcionan las herramientas, los sitios para infectar, el software y tú lo único que tienes que hacer es encargarte de lanzar esa infección. De los que infectes y paguen, el 60% del dinero va para ti y el 40% para ellos. Es una industria”, asegura.

Dos semanas después de la primera publicación de los papeles de Snowden, Barack Obama dijo a la prensa que el programa de espionaje doméstico masivo de la NSA había “impedido al menos 50 amenazas terroristas”. Del espionaje no doméstico no dijo nada porque espiar a ciudadanos no estadounidenses es el trabajo de la Agencia de Seguridad Nacional. Keith Alexander, director de la Agencia, dijo que no habían sido 50 sino 54. Dick Cheney, vicepresidente de George W. Bush en el 11S, dijo que Snowden era un traidor a la patria y que si hubieran tenido el programa de espionaje masivo entonces, el ataque a las Torres Gemelas no habría tenido lugar.

En los próximos días volveremos a oír que la vigilancia masiva sin control judicial es la solución al terrorismo. Que merece la pena renunciar a nuestros derechos fundamentales –o a los derechos de nuestros vecinos– para evitar la muerte de niños en el concierto masivo de una estrella del pop. No importa que esa tesis haya demostrado ser falsa. Porque, entre los atentados del 11 de septiembre y el atentado del Manchester Arena ha habido mucha, mucha, mucha más vigilancia. Y, sin embargo, no ha habido menos terrorismo. De hecho, ha habido más.

El 11S y los perros de la vigilancia masiva

La relación entre el nuevo estado de vigilancia y el 11S es evidente. Un mes después del atentado, la Cámara y el Senado estadounidenses soltaban a los perros de la vigilancia masiva con una ley llamada USA Patriot Act. Esta táctica de aprovechar un shock post-traumático para imponer medidas antidemocráticas o anticonstitucionales sobre una sociedad civil no les era desconocida. Es la misma que describió Naomi Klein en su clásico La doctrina del shock. Desde entonces, a cada ataque terrorista le ha sucedido una reforma de ley.

Fue lo que hizo Cameron después de los atentados de París, y lo que hará mañana Theresa May. La primera ministra británica y líder del partido conservador ya dijo en medio de un discurso sorprendentemente bello y sereno que “mantendrá su resolución de impedir semejantes ataques en el futuro, cargar contra y derrotar la ideología que a menudo inspira esta violencia”.

May era ministra del Interior cuando the Guardian empezó a publicar los papeles de Snowden. Era la responsable directa de las tres agencias de Inteligencia del Reino Unido, incluyendo el GCHQ que Snowden calificó como “peor que la NSA”. También fue responsable de la Ley de Seguridad y Antiterrorismo que entró en vigor en Gran Bretaña en julio de 2015. Con esta ley, el Gobierno británico reclutó a las autoridades locales, prisiones, servicios sociales, hospitales, colegios y universidades públicos para su campaña de vigilancia para prevenir la radicalización islamista en la sociedad británica. La ley ha demostrado ser incompatible con el principio de no discriminación por religión o creencias que incluye no vigilar, no detener, no perseguir, no censar de manera discriminatoria y no golpear, vejar o matar a otros por sus creencias o religión.

La ideología que inspira esa violencia

La población musulmana en Gran Bretaña es la tercera más grande de la UE después de Francia y Alemania, pero sólo constituye un 5,3% de la población. Sin embargo, uno de cada cinco presos en las cárceles británicas es musulmán. En la última década, los colegios privados musulmanes han sufrido un acoso permanente por parte de la administración. El informe de las inspecciones argumenta que “la educación espiritual, moral, social y cultural de los estudiantes está poco desarrollada, particularmente su comprensión de los valores británicos fundamentales de democracia, el estado de derecho, la libertad individual y la tolerancia y respeto mutuos”. Que podría ser verdad, solo que su celo no se refleja en los numerosos colegios cristianos donde aún se enseña creacionismo en la clase de ciencias. Muchos de los cuales son públicos, o reciben ayuda estatal.

Es en este clima no es extraño que el personal de una guardería en Luton intente mandar a un niño de cuatro años a un programa de des-radicalización islamista. Si fuera verdad que los adolescentes musulmanes corren a alistarse a ISIS con la esperanza de perder su vida para acabar con la nuestra, la ideología que inspira esa violencia no es la fe musulmana, es la discriminación.

Todos los ataques terroristas que NO detuvo la vigilancia

En 2009, Umar Farouk Abdulmutallab pudo haber volado un Airbus A330-300 camino de Detroit con 278 pasajeros, ocho azafatas, y tres pilotos dentro porque las agencias de inteligencia “no supieron conectar, procesar y comprender los datos” que tenían sobre él. Cuatro años más tarde, Tamerlan Tsarnaev pudo atentar en la Maratón de Boston porque el Departamento de Seguridad Nacional, el FBI, la NCC y la NSA volvieron a tener problemas de comunicación. Gracias a Umar no hemos vuelto a subir con líquidos en un avión, pero las agencias de inteligencia no aprendieron nada.

Omar Mateen fue vigilado por el FBI durante casi un año, antes de asesinar a 49 personas y herir a otras 53 con un fusil de asalto en una discoteca de Orlando en junio de 2016. Hasta tenía licencia. Cherif Kouachi cumplió condena por terrorismo antes de matar a 17 personas en la sede de Charlie Hebdo en París. En un primer momento se culpó a las herramientas de cifrado, con la clara intención de prohibirlas, pero pronto se demostró que los terroristas habían usado “teléfonos tontos” para sus operaciones. Las células de terrorismo saben operar fuera de la red de comunicaciones más vigilada del mundo. Nosotros no.

El dato que ofrecieron Barack Obama, Keith Alexander y Dick Cheney para justificar las prácticas anticonstitucionales de la NSA resultó no ser cierto. El único caso en el que la vigilancia masiva podría haber detenido una masacre fue la detención en San Diego de un hombre que envió 8.500 dólares a Al-Shabbaab en Somalia, el Movimiento de Jóvenes Muyahidines. Que son responsables del atentado de la Copa Mundial de Fútbol de 2010 en Uganda, el tiroteo masivo en el centro comercial Westgate de Kenia, y el ataque yihadista en la Universidad de Garissa.

El jefe de la CIA tuvo que recular, diciendo que los programas de inteligencia habían “contribuido a su comprensión” y ayudado a facilitar la disrupción de conspiraciones terroristas“. Lo cierto es que los programas de espionaje masivo no han detectado y detenido ningún ataque terrorista importante. Pero sus herramientas ya están en manos de criminales. Cuando mañana nos pidan que renunciemos a nuestra privacidad para estar más seguros, recordemos que la vigilancia no ha detenido a ningún terrorista sino que les ha regalado las armas para atentar más y mejor.

Desde el pasado viernes 12 de mayo de 2017, un ransomware llamado WanaCrypt0r 2.0 o WannaCry ha infectado cientos de miles de ordenadores en más de 70 países, incluyendo los hospitales públicos del Reino Unido, el ministerio del interior ruso, la red ferroviaria alemana, la empresa de mensajería FedEx y Telefónica. Su táctica es cifrar los archivos del disco duro y pedir un rescate de 300$ para su liberación. Del ataque, sabemos lo que sabemos; y el formidable David Sarabia se lo ha ido contando en eldiario.es. Pero también hemos aprendido cosas. Aquí van siete.

1. El malware más peligroso del mundo no lo diseñan terroristas ni criminales, lo diseña el gobierno de los Estados Unidos. WannaCry, el malware que sigue expandiendose por el planeta, fue diseñado por la Agencia de Seguridad Nacional estadounidense, que depende del Departamento de Defensa y que, en estos momentos, está bajo las ordenes de Donald Trump. Y, después de crearlo, ni siquiera la agencia más poderosa, preparada y subvencionada del mundo occidental es capaz de mantenerlo bajo llave.

Dejando de lado su origen, la existencia misma de ese código es una amenaza para todos. Por eso existe una ley que obliga a las agencias de inteligencia a advertir a las empresas como Microsoft acerca del software que han agujereado. Porque, una vez creado el código, la única solución posible es hacerlo obsoleto. Tratar de contener un código que vale millones de dólares en una organización donde trabajan cientos de miles de personas es como tratar de contener agua con las manos. Da igual lo grandes que las tengas.

2. La solución no fue descubierta por la Agencia Nacional de Seguridad estadounidense, sino por un aficionado al surf y a la ciberseguridad de 22 años que vive con sus padres en la costa británica. Aparentemente, la NSA esta tan centrada en diseñar herramientas de ataque que no tiene tiempo de preparar un plan de contingencia cuando se escapan de su laboratorio. Hoy domingo, WannaCry se sigue propagando pero mucho más despacio. Y varios analistas han descubierto variantes del malware sin el recurso que ha encontrado el británico para detener su marcha. A ver qué pasa el lunes.

3. Mucha gente va a morir por este tipo de ataques. Las infraestructuras más importantes para la mayor parte de la sociedad no son las más protegidas. El ejemplo evidente han sido los hospitales del Reino Unido que no han podido consultar historiales ni hacer radiografías desde ayer. Pruebas que son “críticas para atender las urgencias”, como han repetido los médicos en los medios de comunicación. El NSH ha sido muy castigado por los recortes y la actualización de sus redes, equipos y archivos no ha sido una prioridad. Su desesperación contrasta con la soberbia de Amber Rudd, ministra del Interior, declarando en la BBC que “los pacientes habían sufrido incomodidades pero nadie había tenido acceso a su historial”.

No se rían porque nuestro ministro del Interior, Juan Ignacio Zoido, ha hecho exactamente lo mismo. Celebremos que han aprendido que la privacidad de los pacientes es un derecho importante y que regalar sus historiales a Google a cambio de una App no está del todo bien. Ojalá aprendan sin necesidad de ejemplos que la falta de información y de máquinas en la sala de urgencias es una incomodidad mortal.

Y recemos para que otras infraestructuras críticas como centrales eléctricas, depósitos de agua, o de armamento nuclear estén mejor protegidas. Y que no haya tanques, bombarderos y submarinos cargados con Windows. Y que muchos se pregunten si de verdad quieren conducir coches conectados a Internet, o vivir con el Internet de las Cosas hackeables.

4. Las empresas prefieren pagar que contarlo. El Instituto Nacional de Ciberseguridad (INCIBE) dice que el número de “secuestros” y ataques ha aumentado en 45% solo en el primer trimestre de 2017. Si parecen pocos es porque estos son los que denuncian, que son pocos. Informes del sector dicen que en 2016 aumentó en un 752% y que supuso 1.000 millones de dólares en pérdidas económicas para las empresas de todo el mundo. Las grandes empresas pagan y callan porque prefieren perder dinero que perder reputación.

Es por eso que el viernes por la mañana, las oficinas de comunicación de casi todas las empresas afectadas negaban haber sido víctimas del ataque, y solo cuando se supo que la escala era internacional empezaron a reconocerse víctimas. Puro egoísmo irresponsable, porque alimentan el mercado de los secuestros e impiden la alarma necesaria para mejorar nuestra resistencia. De momento, los secuestradores han recibido 30.000 dólares, una cantidad ridícula comparada con la escala de la operación.

5. Las redes centralizadas y el software monopolista y privativo son una mala combinación de factores. El Centro Criptológico Nacional (CCN) ha confirmado que el malware se propaga por sistemas operativos Windows (desde el 7 hasta el 10, pasando por Vista, XP, RT y Server 2008, 2012 y 2016) y por todas las unidades de red a las que están conectados. Esas redes centralizadas llenas de ordenadores con el mismo sistema operativo son la clase de monocultivo que promueve y acelera las infecciones, hongos y plagas, el entorno perfecto para su propagación. Una mayor diversidad de sistemas operativos sería un entorno más sano y más difícil de arrasar.

Sobre todo cuando la empresa responsable puede dejar de actualizar y parchear su producto para obligar a los usuarios a comprar la siguiente generación de licencias. Han tenido que parar hospitales para que Microsoft publicara un parche de emergencia para tapar un agujero que ya conocían. El parche, como las vacunas, solo es útil si se aplica antes de la infección.

6. No hace falta ser un servicio de inteligencia para lanzar un cyberataque a nivel mundial. La herramienta era sofisticada; la ejecución, no tanto. Esto significa dos cosas y las dos son malas. La primera es que cualquier cartel de mamporreros con mil bitcoins para comprar malware de la NSA –o del Mossad o de 3PLA, la NSA china– puede lanzar un ataque capaz de poner en jaque redes de comunicación, bancos y hospitales, sin llegar a controlar la herramienta ni entender el daño no intencionado que puede llegar a producir. Pero también que una organización de verdaderos expertos con intención de hacer daño habría llegado mucho más lejos.

7. Volverá a pasar. Será pronto, y también será peor. Hay quien piensa que este ataque ha sido solo un ensayo, un ejercicio de prueba y error antes de un ataque más serio. El misterioso héroe anónimo que ha conseguido contener su expansión también advierte que “los criminales tocarán el código y empezarán otra vez”. El mundo del malware es darwiniano, pero evoluciona a mucha más velocidad.

Solo el FBI y la CIA saben el número exacto de micrófonos, videocámaras y transistores que instalaron durante 1972 por orden de Richard Nixon. Al final, el Caso Watergate le estalló en la cara al entonces presidente estadounidense, lo que precipitó su dimisión. Dos años más tarde sería perdonado por Gerald Ford, pero desde aquel escándalo nadie recuerda un caso como el de Daniel Ellsberg en 1972 o, tiempo después, el que reveló en 2013 Edward Snowden.

Cambiaban los actores pero no los actos: la Agencia Nacional de Seguridad (NSA), con la connivencia de las grandes empresas tecnológicas de EEUU, lo sabía todo de casi todos los ciudadanos estadounidenses. Aún hoy, un lustro después, la agencia lo sigue sabiendo: solo en 2016 la NSA recopiló en torno a 151 millones de metadatos correspondientes a llamadas de teléfono. Hasta junio de 2015 le amparaba la Patriot Act, una ley que George W. Bush promulgó después del 11-S y que otorgaba plenos poderes a la NSA para recopilar y almacenar los datos. Pero hace dos veranos la situación cambió con la derogación de esta y la entrada en vigor de la USA Freedom Act. O eso pensábamos todos.

Hace menos de una semana, la NSA reconoció que a veces violaba los límites en cuestiones de vigilancia y aseguraba que eliminaría del programa todo lo relacionado con la recolección de emails y SMS sin autorización. Hasta ahora, la agencia del gobierno podía espiar conversaciones entre dos ciudadanos estadounidenses que estuvieran hablando sobre uno no estadounidense, entre dos ciudadanos no estadounidenses y entre un nacional y un extranjero. Con el cambio en la ley, la NSA ya no podrá seguir practicando el primer caso. Algunos expertos sostuvieron que esta práctica entraba en conflicto con la Cuarta Enmienda de la Constitución, que tiene que ver con la privacidad. Algo irónico si tenemos en cuenta que, durante 2004, la NSA espió a toda la ciudad de Nueva York usando el Hover Hammer, un gran dirigible blindado.

La Freedom Act vino para limitar el poder de la agencia y reducir la cantidad de datos que esta podía recopilar, tanto por sus propios medios como a través de otras agencias de inteligencia aliadas. También obligó al Director Nacional de Inteligencia, Dan Coats, a publicar una vez al año un informe de transparencia. Esta vez, el documento anuncia que la NSA tiene en su poder 151 millones de registros telefónicos, a pesar de que contaba con instrucciones del servicio secreto de vigilancia para espiar a solo 42 sospechosos de terrorismo durante el año pasado.

¿Qué hay en los registros?

Esos 150 millones de registros telefónicos están compuestos, en su mayoría, de metadatos relacionados con el día, la hora, la duración y los números de teléfonos del emisor y del receptor. Eso sí: no incluyen el contenido de las conversaciones. Con la Freedom Act también se prohibió la grabación “a gran escala” de registros telefónicos, aunque la NSA lleva acumulando esas grabaciones desde el 11 de septiembre de 2001.

Este método de vigilancia se encuentra recogido dentro de la Foreign Intelligence Surveillance Act de 1978 (la conocida como ley FISA), que ha sufrido numerosas modificaciones a lo largo del tiempo. Aunque la ley fue mutilada a raíz de las revelaciones de Snowden, algunos sectores del Congreso quieren alargar la vida de la Sección 702, que dejará de estar en vigor a finales de este año. El apartado permite a la NSA espiar y guardar información de ciudadanos no estadounidenses en cualquier país del mundo sin autorización judicial.

Reuters recoge que, para algunos oficiales de la NSA, los 151 millones de registros telefónicos son un dato minúsculo comparado con las toneladas de información que se recolectaban antes de que Snowden sacase a la luz las prácticas de la agencia. Esos mismos oficiales también intentan quitar hierro al asunto, diciendo que los números de teléfono pueden estar repetidos, que en realidad podrían ser menos de 151 millones y que no cuentan con un desglose de los números de teléfono uno por uno.

Además, el informe señala que 1.934 “estadounidenses” han sido “desenmascarados” durante el año 2016 respondiendo a criterios específicos de la NSA. Los oficiales lo presentan como un gran paso en aras de las privacidad, que la Freedom Act funciona; ya que en 2015 fueron 2.232 los ciudadanos de EEUU espiados a propósito: “El informe de este año continúa la trayectoria hacia una mayor transparencia, proporcionando estadísticas adicionales más allá de lo que requiere la ley”, concluye el documento.

La Casa Blanca tenía un precio. Con lo que le gustan a Trump sus cacharros, para entrar en el despacho oval ha tenido que renunciar a sus dos favoritos. Primero, su adorado avión Trump 757, que ha sido sustituido por el Air Force One, a pesar de sus esfuerzos por rechazarlo bajo la extraordinaria premisa de que el suyo era más grande (no lo es). Segundo, ha cambiado su Samsung Galaxy por otro móvil “endurecido”, un dispositivo de marca misteriosa aprobado por el Ministerio de Defensa que no permite sacar fotos, hacer llamadas o mandar tuits.

El momento no podría ser más desafortunado. El mismo día que llegaba a la Casa Blanca, durante el cambio de titular de la reseteada cuenta @POTUS, un estrafalario error de Twitter obligaba a más de medio millón de personas a seguir sus tuits sin querer. Lamentablemente, no pudo aprovechar la oportunidad desde el móvil presidencial. Su teléfono oficial es un dispositivo cifrado y blindado por los servicios de inteligencia cuyo número sólo conocen una docena de personas. Y cuyas habilidades no superan las de un zapatófono de la TIA.

Del Obamaberry al Obamadroid

¿Cómo lo sabemos? Porque Obama lo contó. El 44º presidente de los EEUU tuvo ocasión de llorar a su querido Blackberry 8830 World Edition y quejarse amargamente de la falta de funciones del que le dieron las fuerzas de seguridad. El “Obamadroid”, como lo bautizaron los medios, era de hecho un Samsung Galaxy S4, una versión blindada del que tenía Trump. Hace tres días, Edward Snowden decía que BlackBerry será borrado de las páginas de la historia y que le está bien empleado por haberse vendido al espionaje. El Obamaberry se fue para no volver más.

De hecho, hace solo medio año el S4 era el único dispositivo aprobado por DISA (Defense Information Systems Agency), gracias a su plataforma especial KNOX de seguridad. También era el primer dispositivo comercial con permiso para conectarse a SIPRNet, la red secreta e interna que usa el Departamento de Defensa. Con todo, Obama comparaba este gadget digno de Batman con algo un poco más prosaico: “¿Sabes esos móviles de juguete que tienen los niños de tres años? -le dijo a Jimmy Fallon-. Pues eso es lo que me han dado a mí”.

Como explicaba Sean Gallagher en ArsTechnica, “el Galaxy DMCC-S sacrifica algunas funcionalidades por motivos de seguridad”. No tiene cámara, no tiene sistema de mensajería, no tiene player de audio o de vídeo ni mucho menos Spotify. Tampoco tiene aplicaciones comerciales, solo las que están en la lista del Ministerio.  El de Obama tampoco puede hacer llamadas y todas las que recibe están filtradas desde Defensa. Su teléfono sólo sirve para mandar y recibir correos cifrados de un número muy pequeño de gente. No tiene sensores ni bluetooth. Eso sí, tiene un sistema de autentificación biométrico para que solo el presidente tenga acceso.

El modelo de Trump es aún desconocido, pero el presidente ya ha dicho que piensa seguir usando su Android Trump, al menos para tuitear. Como ha ocurrido con el 757, es poco probable que le dejen.

Por el momento, @realDonaldTrump continúa estando activo, pero hay que tener en cuenta que quería meter a su rival en la cárcel por instalar en su casa un servidor privado de correo personal para comunicaciones oficiales. Los agentes encargados de vigilarle tendrán que instalarse esta interesante aplicación que avisa cuando Trump tuitea para controlar su impacto en la bolsa.

Todo aquello de lo que Edward Snowden hablaba y que él mismo usó ya está disponible en la Red. Ni si quiera está en la Deep Web: las herramientas que la NSA usaba se pueden encontrar en ZeroNet, un servicio irrastreable para alojar páginas web que funciona con una red de pares basada en tecnología blockchain. Hay software por 1 o 10 bitcoin, pero el pack completo cuesta 1.000 bitcoins, unos 825.000 dólares.

Se lo “debemos” a Shadow Brokers, un grupo de hackers que ha hackeado a Equation Group, otra agrupación de hackers que, según los expertos, mantiene fuertes vínculos con la NSA. Cuando Shadow Brokers se hizo con la información en agosto de este año intentó subastar el pack, pero finalmente lo terminó retirando ya que el máximo que conseguían eran 2 bitcoins (1.625 dólares), una cantidad irrisoria para ellos.

En octubre volvieron a la carga y cambiaron de estrategia. En vez de subastar las herramientas de la NSA las pusieron a la venta por un precio fijo en otro sitio web. Pidieron 10.000 bitcoins, algo así como 7,8 millones de dólares. Para ello animaron a la gente a que contribuyera a través de crowdfunding, pero ni con esas. Nadie estuvo dispuesto a pagar la elevada suma.

Un pack completito: de exploits a software espía

exploitssoftwareHa sido Medium quien ha dado la primera pista: Shadow Brokers volvían a la carga esta semana vendiendo el pack completo por 1.000 bitcoins. Además de herramientas de hackeo y recolección de datos, exploits, software de fuerza bruta y RATs (otro tipo de software de espionaje que permite controlar el dispositivo a distancia y encender la webcam o el micrófono del ordenador, entre otras cosas), también hay información sobre vulnerabilidades en páginas web y programas.

Uno de los archivos, incluso, está firmado con una clave PGP que solicita una firma digital. Explica Motherboard que para comprarlo es necesario ponerse en contacto con un miembro del grupo a través del correo y pagar en bitcoins en la dirección que especifique. Una vez hecho el pago, según el portal, el hacker enviará la clave original para descifrar el archivo.

Las herramientas pertenecen, además, a un gran número de máquinas y componentes de marcas como CISCO, TOPSEC, WatchGuard, Fortinet o Juniper Networks, por lo que están asociadas directamente a equipos que habitualmente utiliza la NSA. También, y a modo de certificado de calidad, los hackers incluyen un archivo de texto en el que explican de dónde han sacado la información, con las IPs de los equipos a los que robaron.

Shadow Brokers quiere montar un servidor en ZeroNet, una página que sirve para alojar sitios web de manera anónima y vender ahí el pack de herramientas, aunque también se pueden comprar por separado con precios que van desde 1 hasta 100 bitcoins. Las direcciones IP de las que dicen los hackers haber obtenido la información pertenecen en su totalidad a Equation Group, otro grupo que según la firma de seguridad Kaspersky son “Los dioses del espionaje”.

Los hackers que hackearon a los hackers

“Es el grupo más avanzado que hemos visto jamás”, asegura la firma de seguridad. Pero no son infranqueables: Shadow Brokers los hackeó en agosto y se llevó unos 300 megas de información. Lo hicieron entrando en sus servidores de Linux y Sun Solaris y publicando la lista de lo que habían atacado.

En octubre de este año, el Washington Post informaba que Hal Martin, un exagente de la NSA, estaba detrás del hackeo. Fue condenado a 20 años de cárcel, aunque después de la noticia, Shadow Brokers siguió publicando mensajes y hackeando Internet. Quién sabe si en esta tercera intentona conseguirán dar salida a las herramientas de la NSA. Por lo pronto, Matt Suiche, un experto en ciberseguridad de la firma Comae Technologies, decía en octubre que aunque no había probado los exploits, tenían “pinta de ser legítimos”.

Pasa inadvertida para la mayoría, pero es una pieza esencial de la internet que conocemos. Cada vez que pagamos con tarjeta en una tienda virtual, estamos utilizando el invento de Martin Hellman y Whitfield Diffie, dos investigadores que sentaron las bases de buena parte de los protocolos de seguridad que se utilizan en la Red. Cada día, su sistema protege cientos de millones de euros en transacciones financieras y todo tipo de comunicaciones digitales.

En su día, los investigadores tuvieron que enfrentarse a la Agencia de Seguridad Nacional (NSA) tras dar a conocer su idea. Cuatro décadas después, se les considera los padres de la criptografía moderna y su trabajo ha obtenido el reconocimiento global que se merece: este año han sido galardonados con el prestigioso premio Turing, el equivalente al Nobel de informática.

Antes de que Hellman y Diffie inventaran el protocolo que lleva sus nombres, la única forma de comunicarse a través de internet con garantías de confidencialidad era que el emisor y el receptor intercambiaran —por otra vía— una clave para cifrar y descifrar el contenido. La fórmula que ellos idearon, conocida como criptografía de clave pública, permite que dos personas se manden información cifrada sin necesidad de ponerse en contacto previamente para establecer una contraseña.

En los años 70, el conocimiento sobre cómo cifrar y descifrar información era dominio del Gobierno en los Estados Unidos. Aunque el hallazgo de estos investigadores era potencialmente revolucionario, las autoridades se aferraron al argumento de que podía ser aprovechado por criminales o países enemigos para evadir la lupa de los servicios de inteligencia. Se abría entonces un debate que ha perdurado hasta nuestros días, con defensores de la privacidad en un bando y detractores del cifrado en el otro, amparándose en la seguridad nacional para justificar que las conversaciones puedan ser espiadas.

“Pensé que había un problema técnico y que, como tecnólogos, debíamos intentar arreglarlo”, cuenta Hellman a HojaDeRouter.com. “Luego descubrí que me había metido en una batalla política con la NSA”.

La aventura comenzó para el investigador cuando la Oficina Nacional de Normas (actual Instituto Nacional de Estándares y Tecnología) dio a conocer su elección para el estándar de algoritmo de cifrado, el Data Encryption Standard (DES). El sistema, que pronto aceptarían multitud de empresas (bancos incluidos), nació con polémica porque su longitud de la clave era muy corta y presentaba graves vulnerabilidades. Hellman, junto a un grupo de investigadores de la Universidad de Stanford, donde es profesor de ingeniería eléctrica, propuso a la agencia mejorar el sistema, pero esta se negó. “La NSA necesitaba un algoritmo que no pudiera romperse, pero también pudimos ver que lo querían lo suficientemente débil para que ellos pudieran romperlo”, explica.

Aquel intento fracasó, pero sirvió de impulso a Hellman para seguir investigando. En 1976, junto a Diffie, entonces estudiante de doctorado, publicó 'New Directions on Cryptography', el artículo que revolucionó la criptografía y despertó los recelos de las autoridades.

“Algunos de mis compañeros me decían que ponía a mi mujer en peligro al hacer esto, y no se referían solo a la NSA, sino a otros servicios de inteligencia probablemente incluyendo a los soviéticos. Otros me dijeron que eso era un locura y no tenía que preocuparme”, relata Hellman. “Yo no estaba muy preocupado, mi mayor inquietud era legal”.

Los autores podrían ser procesados bajo las leyes que prohíben el tráfico de armas, la comunicación de secretos atómicos y la divulgación de información clasificada. Bajo la ley de Control de las Exportaciones de Armas de 1976, se podía llegar a equiparar los algoritmos criptográficos con armamento. “No pensamos que estábamos infringiendo la ley. De hecho, nunca fuimos procesados”, explica.

Para Hellman, el sector privado requería una mayor protección, problema que la agencia estadounidense estaba relegando a un segundo plano. Ya en esa época, el investigador era capaz de anticipar la necesidad de proteger la comunicación en internet que pronto tendrían las empresas, sobre todo los comercios, expuestos a ataques y espionaje.

“¿Iba a retroceder porque la NSA pensara que sabía lo que era mejor para la nación? Decidí que no”, recuerda. El ingeniero vio que la falta de un cifrado robusto y simple supondría una amenaza para la naciente economía digital, pues era inviable que una empresa acordara de antemano una clave con cada uno de sus clientes. Por el contrario, el protocolo de Hellman y Diffie permitía una comunicación segura y mucho más rápida.

En lugar de remitir, la tensión fue en aumento cuando Hellman anunció un simposio en la Universidad de Cornell. A la NSA no le gustó que un grupo de universitarios debatiera tan abiertamente sobre criptografía. Temía que hacer públicos los secretos de esta técnica frenase las operaciones de inteligencia.

Ante las posibles consecuencias legales, la universidad de Stanford decidió proteger a Hellman. Si era procesado, cubriría los gastos del juicio. Eso sí, en caso de que fuera declarado culpable, él tendría que pagar la multa o, lógicamente, cumplir la pena de cárcel. “Un proceso judicial puede arruinar tu vida financieramente”, nos cuenta el ingeniero. “Así que me alegró muchísimo cuando Stanford acordó defenderme”.

“La NSA estaba preocupada por si las cosas salían mucho peor de lo que luego fue”, señala el investigador. “En los siguientes años, hablé con gente de la agencia y me dijeron que estaban muy preocupados de que pudieran arruinar sus operaciones. A decir verdad, eso no pasó”, recuerda.

Desterrando la idea de la seguridad nacional

La obra de David Kahn, un historiador y periodista que ha dedicado gran parte de su vida a escribir sobre criptografía, despertó en Hellman el interés por este arte. Más adelante, cuando el ingeniero trabajó en el centro de investigación Watson de IBM, tuvo la oportunidad de conocer al criptógrafo Horst Feistel, cuyas discusiones avivaron su entusiasmo por la materia.

Aún así, tardó algún tiempo en dedicarse por completo al cifrado. Mientras tanto, la agencia de espionaje contaba con un presupuesto enorme y acceso a investigaciones clasificadas. Por eso muchos de los compañeros de Hellman consideraban una locura intentar competir con el trabajo de la NSA. Él, sin embargo, lo tenía muy claro: “El crédito va al primero que publica, no al primero que lo descubre y guarda el secreto”.

De hecho, la atribución de su invento está teñida de polémica. Años después de que el cifrado de Hellman y Diffie se diera a conocer, criptógrafos de la agencia de seguridad británica GCHQ afirmaron haber inventado el mismo algoritmo en 1969. Un miembro de este servicio de inteligencia, James Ellis, podría haber diseñado el sistema años antes, pero debido a la confidencialidad de su profesión lo mantuvo oculto.

Con el tiempo, la relación entre Hellman y la NSA fue mejorando. “Tengo que reconocer el mérito del almirante Inman”, afirma el investigador. Durante gran parte del conflicto, este hombre estuvo al frente de la NSA. El ingeniero nos cuenta cómo, en contra de la opinión de los demás directivos de la agencia, Inman le hizo una visita en la Universidad de Stanford, en 1978, para tratar de averiguar por qué un grupo de investigadores había armado tanto revuelo.

“Él no veía el daño en hablar y creo que eso es muy importante, tener una perspectiva abierta”, comenta. De hecho, como recoge la revista de Stanford en un artículo de hace un par de años, Inman está ahora tan preocupado por la protección de los sistemas no gubernamentales como Hellman en los años 70.

Ahora Hellman tiene 71 años y una de las lecciones más importantes que ha aprendido a lo largo de su carrera es 'get curious, not furious' (sé curioso, no furioso). Un 'leitmotiv' que repite en sus conferencias y que saca a relucir en su último libro, escrito junto a su esposa, Dorothie Hellman.

El ingeniero dedica la mitad del medio millón de dólares que recibió junto al premio Turing a “promover los esfuerzos para construir un mundo más sostenible y pacífico, que ha sido mi gran interés en los últimos 36 años”. Más allá de los tecnicismos de la materia, el investigador asegura que el gran reto de la criptografía es político: faltan entendimiento y progreso. “La clave de la seguridad global es reconocer que la seguridad nacional no tiene sentido”, sentencia.

----------------------------

Las imágenes de este artículo son propiedad de Martin Hellman, Dan Spisak, Wikimedia, SplitShare y Central Intelligence Agency

¿Qué es la encriptación?

La encriptación (o cifrado) es una manera eficaz de evitar que acceda a nuestros mensajes de texto, correos electrónicos, llamadas telefónicas y videochats ninguna persona que no queramos que los vea. Cuando se usa encriptación, quien intercepta las comunicaciones por Internet sólo consigue ver una larga cadena de caracteres aleatorios.

¿Qué es la encriptación de extremo a extremo?

Si las comunicaciones están encriptadas, se necesita una clave secreta para descifrar el texto. Con otras formas de encriptación, es muy frecuente que esta clave esté en manos de la empresa que proporciona los servicios de correo electrónico o alojamiento de sitios web, entre otros. Pero, con la encriptación de extremo a extremo, tú eres la única persona que posee la clave, no la empresa, y esa clave no abandona nunca tu dispositivo, de manera que tus comunicaciones con quienes te relacionas son privadas en todo momento. Por tanto, la encriptación de extremo a extremo ofrece una sólida protección de la intimidad.

¿Qué otras formas de encriptación podrían adoptarse?

Las aplicaciones que no ofrecen encriptación de extremo a extremo normalmente ofrecen “encriptación de transporte”, es decir, que protege los datos mientras tus mensajes viajan por Internet. Sin embargo, los datos son descifrados al llegar al servidor de la empresa que proporciona el servicio, porque es la empresa quien conoce la clave de cifrado. Eso significa que los gobiernos pueden obligar a la empresa a entregar información personal.

¿Por qué es importante la encriptación de extremo a extremo?

La encriptación de extremo a extremo es importante porque protege tus datos personales incluso cuando viajan a través de los servidores de la empresa. Significa que la empresa no puede descifrar tus mensajes ni ver el contenido. Hace poco salió a la luz que Yahoo había permitido a miembros de los servicios de inteligencia estadounidenses revisar cientos de millones de cuentas de YahooMail. Esto también sería fácil que pasara con la mensajería instantánea, si los mensajes no están encriptados de extremo a extremo.

¿Quién puede ver mis mensajes si no están encriptados?

En vista de que una parte cada vez mayor de nuestras comunicaciones tiene lugar por Internet, los gobiernos y otras autoridades mundiales están recurriendo de manera progresiva a la interceptación de mensajes en línea para vigilar nuestras actividades. Por otra parte, nuestras comunicaciones están expuestas a la acción de piratas informáticos y ciberdelincuentes, que pueden usar nuestros datos personales para cometer fraude bancario, blanqueo de dinero o robo de identidad.

¿Cuáles son las mejores y peores empresas?

Hemos clasificado 11 de las empresas más populares que ofrecen aplicaciones de mensajería para móviles en función de sus políticas y prácticas. (Nota: no evaluamos el grado de seguridad de la aplicación.) Sólo tres ofrecen la encriptación de extremo a extremo por defecto en todas sus aplicaciones.

De las 11 empresas, Facebook, propietaria de Facebook Messenger y WhatsApp, es la que obtiene mayor puntuación por usar la encriptación en respuesta a las amenazas para los derechos humanos, y la más transparente respecto a las medidas que adopta; no obstante, incluso Facebook todavía debe mejorar muchas cosas. La empresa china Tencent se clasificó como la empresa que menos medidas ha adoptado para proteger la intimidad de los mensajes, seguida de Blackberry y Snapchat. La aplicación gratuita Signal está considerada por numerosos expertos en seguridad informática como el modelo de referencia en términos de seguridad.

¿Qué dicen los gobiernos sobre la encriptación?

La encriptación protege nuestra información en línea, pero algunos gobiernos no quieren que la usemos. En 2015, el entonces primer ministro británico David Cameron preguntó: “¿Queremos permitir un medio de comunicación entre las personas que no se puede leer?” Países como Pakistán, India, Turquía y China ya han promulgado leyes que limitan el acceso y el uso de la encriptación. Pero los expertos en seguridad señalan que, si los gobiernos presionan con éxito a las empresas para que incluyan “puertas traseras” en sus aplicaciones, éstas podrían ser igualmente utilizadas por otros gobiernos, hackers y delincuentes informáticos.

¿Qué dicen las empresas sobre la encriptación?

Muchas de las empresas evaluadas han adoptado una firme postura pública en apoyo de la privacidad y la seguridad, y han defendido su uso de herramientas de encriptación ante las presiones de los gobiernos. Pero incluso las empresas que han puntuado más alto todavía deben mejorar algunos aspectos, y ser más transparentes con sus usuarios y con el público en general sobre el uso que hacen de la encriptación. En algunos países, las empresas están legalmente obligadas a aceptar los requerimientos del gobierno para acceder a datos de usuarios.

¿La encriptación no ayuda a delincuentes y terroristas?

Es muy importante rebatir el mito que intentan crear los gobiernos de que reducir el nivel de seguridad de nuestra información en línea nos mantendrá a salvo. Al contrario. Si contribuyes a debilitar nuestra seguridad en Internet, nos expones a todos al robo de información.

Los gobiernos intentan parar el uso de encriptación principalmente porque es una barrera para que puedan vigilar de manera indiscriminada todos nuestros datos personales. Pero muchos expertos en seguridad te dirán que agrandar el pajar no ayudará a encontrar la “aguja” del terrorismo. Aunque los gobiernos prohíban cierta clase de encriptación en las aplicaciones para consumidores, con ello no impedirán que los delincuentes usen tecnología de encriptación, ampliamente difundida y gratuita; la medida sólo servirá para debilitar la seguridad de todas las personas que sí acatan la ley.

Más aún, la encriptación no impide a las autoridades llevar a cabo una vigilancia selectiva de objetivos específicos. Los gobiernos tienen una diversidad de medios a su disposición para hacerlo, como el análisis de metadatos y la información de posición.

William Binney perdió su pierna izquierda hace unos años a causa de una diabetes. Pero este hecho no le ha impedido desplazarse por todo el mundo explicando lo que él considera la auténtica metástasis de la democracia: el ciberespionaje. Binney, matemático experto en sistemas de criptografía, analista y descifrado de códigos, trabajó durante 36 años para la National Security Agency (NSA) del Gobierno de Estados Unidos. Era un alto funcionario del sistema de inteligencia más potente del mundo. Hasta octubre de 2011, cuando rechazó su cargo.

Tras los atentados del 11S, Binney se percató que algo estaba cambiando en la NSA: el target ya no importaba para la acumulación de datos. No se vigilaba de forma específica; se vigilaba a todo el mundo. No fue el primer revés que el matemático y su equipo recibieron: en los años 90 lideró el desarrollo de ThinThread, un sistema de análisis de datos para la inteligencia estadounidense que –según Binney– no requería violar la ley y la privacidad de millones de ciudadanos inocentes.

Binney seguirá su ronda de denuncia pública del uso indebido de las herramientas de análisis –las mismas que él ayudó a crear– en el marco del festival The Influencers, en Barcelona. “Cómo no, hablaré sobre cómo nos espían. Y sobre las alternativas. Gracias, Edward”, dice Binney, en referencia a Edward Snowden, y sin perder una sonrisa que el Gobierno norteamericano querría haber borrado hace años. Uno de los whistleblower (revelador de secretos políticos) más importantes de los últimos años aconseja: mejor dejarse en casa el móvil que el bastón. En su caso, por razones obvias. Aunque –advierte– da igual si se padece de cojera o no: llevamos el peligro en los bolsillos.

Trabajó durante 36 años como funcionario de inteligencia de alto rango de la NSA.

Sí, y en 2001 lo dejé. ¿Fue difícil? Para mí, fue muy simple. Antes del 11S, como servicio de inteligencia, buscábamos a terroristas, grupos de personas que desarrollaban actividades criminales. O que podían cometer delitos potenciales. Operaciones específicas. Tras el 11S empezamos a rastrear a los 280 millones de personas de EEUU. ¿Todos sus datos nos importaban? Esa deriva empezó en octubre, para mí, fue la evidencia de que lo que hacíamos como servicio de inteligencia ya no era lo que se supone que debe hacer un servicio de inteligencia.

Se justificó esa vigilancia interna en el potencial peligro de las casas, las pequeñas células.

Sí, y todo mentira. Buscábamos información de todos los individuos. Como NSA debíamos proteger a todo el mundo, y lo que hacíamos era monitorizar a todo el mundo. Dentro de ese mundo libre en el vivimos, claro; apaga y vámonos. Hacíamos lo que había hecho antes la KGB. Olvidamos los principios de EEUU en los últimos 270 años. Aquello fue una violación de los primeros cuatro, seis o siete apartados de la Constitución. Una violación de nuestra ideas fundacionales. No podía pertenecer a aquello.

¿Cómo entendió el Gobierno en 2001 que la información ordinaria sería tan importante?

Fuimos algo avanzados al resto del mundo. Como diez años. [Ríe] Pero no nos engañemos, el Gobierno empezó a ver el valor de los datos a principios de los años noventa, o antes. Teníamos sistemas poderosos ya en 1995. Y en 1998 ya podíamos acceder a la mayoría de la información del mundo.

Hace unos años algunas voces, que parecían más relacionadas con las teorías de la conspiración que con el rigor, clamaban: nos vigilan. ¿Era aquello ciencia ficción?

Mírate A Good American [documental sobre el propio William Binney y su trabajo en la NSA] y verás cómo de real es. A EEUU no le ha importado a cuánta gente involucrara todo esto, se trataba de monitorizar todo el mundo. Y en EEUU somos buenos con la tecnología, por desgracia.

Usted empezó a sospechar de las intenciones del Gobierno cuando le tumbaron su sistema de discriminación masiva de datos en los noventa, el ThinThread.

Fuimos pioneros en hacer un transvase entre el uso de datos del mundo analógico al digital. Buscar a grupos de gente, objetivos concretos. Ya en ese momento era obvio que no podíamos rastrear todo el mundo, ni todo Internet: las falsas alarmas te superan si intentas eso. Es como si haces una búsqueda al azar en Google: ves las diez primeras páginas, pero no el centenar que te muestra el navegador. ¿Qué probabilidad de encontrar algo interesante hay en esa acción? ThinTread afinaba la mirada. Se fijaba en comunidades, en ciertos patrones de búsqueda: el comportamiento de la gente.

Pero había mucho dinero en juego para las compañías de software, y el gobierno eligió otra herramienta: Trailblazer.software

Costaba 3.200 millones. Por lo que todas las compañías esperaban, atentas. Todas alrededor. Estábamos hablando de contratos de millones por año... Y así fue, y así sigue siendo. Eso me lleva a que la idea que la necesidad de violar la privacidad por cuestiones de seguridad es una mentira desde el principio. Todos los ataques terroristas del mundo han sido cometidos desde 2001 por personas registradas. Pero, ¿qué pasa cuando creas un sistema de datos tan masivo que ni siquiera tienes tiempo de interpretarlo?

¿Que no sirve de mucho?

Eso es: somos muy buenos acumulando información e indexándola pero no entendemos lo que nos dice. Los datos no son inteligentes; una vez entendamos eso, podremos crear servicios de inteligencia eficientes. No podemos ver venir un altercado, un asesinato, un acto terrorista si no podemos interpretar. Conclusión: el exceso de datos, acaba matando gente igualmente. No previenes nada. La ecuación no funciona: todo es dinero.

¿Podrá aplicarse el sistema ThinThread en algún otro lado?

Estamos en conversaciones con el Gobierno austriaco, británico, belga, alemán... Básicamente estamos intentando compartir cómo funciona el sistema, y ellos ya verán si lo adaptan. Yo lo único que hago es compartirlo.

Viene de Berlín, de hecho.

Ellos están intentando revertir el proceso norteamericano. Porque esta deriva del mal uso de los datos por parte de las administraciones está haciendo metástasis: el ciberespionaje de los gobiernos está destrozando las democracias. El proceso de perversión de la democracia empezó en Estados Unidos, pues sólo unos pocos sabían esto política. Porque no es sólo la cuestión del espionaje, es también a la gente que involucras para guardar tu secreto: Parlamento, Administración, Policía... Todos han callado. La corrupción total. Eso es lo que los servicios de inteligencia han conseguido. Cuando casas a la policía con los servicios de inteligencia, obtienes una Gestapo.

Usted se marchó de la NSA durante el Gobierno de George W. Bush, ¿qué hay de la Administración de Barack Obama?

Nada ha cambiado con él. Igual es peor incluso. Se está exponiendo la verdad, y él sigue callado. Y si tú haces eso, no puedes ser un auténtico garante de la democracia. Y luego EEUU se jacta de ser el Gobierno más transparente del mundo... [Suelta una ruidosa carcajada] Necesitamos meter a gente en la cárcel. El día que alguno de estos responsables vaya a la cárcel, y pague por ello, todo cambiará.

Parece estar pasando al revés. Usted conoce bien el caso de Edward Snowden, incluso hay quien asegura que gracias a su trabajo hemos podido descifrar parte de los datos que Snowden consiguió.Edward Snowden

Él ha hecho un trabajo público, para el mundo. Gracias a él, tenemos una documentación con la que nunca soñábamos.

¿Qué ha hecho usted para esquivar a su propio Gobierno?

Yo no tendré problemas: tengo mil pruebas contra ellos. Si vienen a por mí, lo expondré todo. Que vengan, igual será una buena manera de dar un paso al frente.

Apunta hacia los gobiernos locales como posible atenuante en materia de privacidad. En Barcelona se ha creado una comisión en el Ayuntamiento que pretende proteger, al menos, lo público: remunicipalizar la información.comisión en el Ayuntamiento que pretende proteger, al menos, lo público: remunicipalizar la información.

¡Guau, eso debe ser algo único!

¿Lo dice con sorna?

Necesitamos proteger el contenido de nuestras comunidades e intentar proteger las comunicaciones. Y eso es difícil de hacer, a no ser que los gobiernos locales tengan un sistema propio de encriptación o algo parecido. Porque si 10.000 gobiernos lo hacen con sistemas únicos, complicaran mucho la misión a quien quiera espiar. Eso crearía una complejidad interesante.

¿El código libre solucionaría algo?

No realmente.

¿Sí lo haría trabajar con diferentes empresas de software?software

Siempre está bien entregar el dinero a otros, y no siempre a las mismas compañías. Es cierto que necesitamos alternativas a las grandes corporaciones.

¿Cuánto tiempo tendrá que pasar para que todo el mundo luche por sus derechos de privacidad? Todo el mundo usa Facebook o...

[Interrumpe] Yo no.

¿Telefonía móvil, correo electrónico?

Bien, eso sí. Pero eso es todo. Aunque lo preocupante es Facebook, sin duda: hay 1.500 millones de personas alimentando sus redes a diario. Trabajando para ellos. Y sin cobrar. Nos pueden manipular a su antojo: la gente trabaja para ello. Y yo no trabajo gratis, amigo. Mandaremos a la mierda el sistema de toda esa gente si nos vamos con nuestro dinero a otro lado: dejemos de invertir en Facebook, y Facebook se verá obligada a cambiar su política de datos. Votamos con lo que decimos, pero también con nuestro dinero: modificar las constituciones es muy complicado pero llevar nuestro dinero a otros lugares, no.

Yahoo reconoció hace algunas semanas que les habían hackeado. La falla de seguridad se produjo en 2014, pero no lo hemos sabido hasta hace poco. Según la compañía, el ataque fue perpetrado por “un actor respaldado por un estado” y dejó al descubierto 500 millones de cuentas. Esta semana también se ha destapado que la NSA y el FBI pidieron en mayo de 2015 a la compañía que preside Marissa Mayer que desarrollase un software para buscar en los correos de sus usuarios información específica.

500 millones de cuentas son muchas cuentas. The Telegraph publica una infografía para ponernos en contexto, comparando esta brecha de seguridad con otras anteriores acaecidas en otras compañías como AOL, Ashley Madison, Dropbox o MySpace. Y en todos los casos gana Yahoo.

A perro flaco todo son pulgas. Con la turbulenta situación en la que se encuentra la compañía (primero las pérdidas por 4.400 millones de euros, después los rumores de compra por Verizon, hasta que se hicieron efectivos), no es raro que muchos de sus más de 1.000 millones de usuarios en todo el mundo hayan decidido pasarse a otros servidores de correo. Así que, ¿cómo hacerlo?

En primer lugar es necesario saber si nuestra cuenta de correo ha sido hackeada. Para eso está Have I been pwned, una web que nos muestra si nuestros datos han sido comprometidos o se están vendiendo en algún lugar de la deepweb. Si estamos entre los afectados, lo segundo que deberíamos hacer es borrar la cuenta, no sin antes guardar todos nuestros correos, fotos de Flickr (propiedad de Yahoo) y los contactos.

Fotografías

Empecemos por las fotos. Hay varias maneras: desechando la opción de descargarlas una a una, se puede seleccionar la opción de Carrete Fotográfico. Permite seleccionar todas de golpe y después descargarlas en nuestra computadora como un archivo .zip.

Pero si contamos con cientos o incluso miles de fotos, lo más fácil es utilizar un programa específico de descarga, como JDownloader, Flickr Downloader o Downloadair.

Correo, contactos y calendario

Al igual que las fotos se pueden descargar una a una, los correos también pueden enviarse de a uno a otra dirección. Si tenemos la cuenta desde hace años, es probable que almacenemos una buena cantidad de ellos, así que lo mejor es conectar nuestro nuevo proveedor de correo mediante un servidor IMAP o POP.

Un servidor IMAP se diferencia de un servidor POP en que el primero permite acceder remotamente al correo y el segundo, aunque también, no guarda las modificaciones que hagamos en el servidor. De esta forma, si respondemos un correo en el servidor POP, esa respuesta no aparecerá al acceder desde Yahoo Mail. En ambos casos, Yahoo cuenta con un asistente para ayudarnos a configurar ambos servidores.

Además, tendremos que guardar nuestra lista de contactos. Se puede hacer utilizando la siguiente ruta: Click en el icono Contactos -> Acciones -> Exportar.

Yahoo nos da la opción de guardar la lista en dos formatos diferentes: .csv (compatible con la mayoría de proveedores de correo) y .vcf (en formato vCard, más específico y utilizado por programadores).

Para exportar el calendario hay que seguir el mismo procedimiento que para los contactos, solo que pinchando en el icono de Calendario.

So long, Yahoo

So long, YahooDespués de hacer todo lo anterior, ya estamos listos para borrar la cuenta. Todos los servicios asociados como Flickr, Sports, Messenger, Groups o News se eliminarán, así como nuestros datos personales. Yahoo tiene una web específica para borrar la cuenta. Una vez ahí tan solo hay que seguir los pasos: introducir nuestro correo y contraseña por última vez, leer la información sobre lo que nos perderemos, rellenar el código CAPTCHA y aceptar que nuestra cuenta pase a mejor vida.

Aun así, nuestro dominio @yahoo.com tardará 90 días en borrarse de la base de datos de Yahoo. Pero más vale tarde que nunca.

Yahoo Inc elaboró en secreto el año pasado un software para buscar en los correos que recibían sus usuarios información específica. Los criterios sobre los que buscar eran suministrados por la NSA estadounidense. Lo contaba la agencia de noticias Reuters hace escasas horas.

La compañía cumplió con una petición secreta de los EEUU y revisó cientos de millones de cuentas de Yahoo Mail a nombre de la NSA o el FBI, según tres ex empleados y una cuarta persona sobre los hechos. En 2013, Edward Snowden reveló que varias IT estadounidenses recopilaron información de sus usuarios que luego enviaron al gobierno estadounidense en lo que se denominó como proyecto PRISM.

Varios expertos en seguridad cuentan a Reuters que es la primera vez que se conoce que una compañía estadounidense de Internet accede a una solicitud de una agencia de espionaje y revisa todos los mensajes recibidos por los usuarios.

Lo sabían desde mayo de 2015

La NSA obligó a Yahoo a realizar barridos a gran escala del contenido de los correos. Eso podría significar una frase en un correo electrónico o un archivo adjunto, dijeron las fuentes, que solicitaron no ser identificadas. Reuters cuenta que no ha podido determinar qué datos ha entregado Yahoo a Obama, ni siquiera si entregó alguno. Tampoco si los responsables de inteligencia contactaron a otros proveedores de correo electrónico además de Yahoo por este tipo de solicitud.

Las fuentes consultadas por The Guardian aseguran que Yahoo tenía conocimiento de este hecho desde mayo de 2015. Por aquel entonces, ya se había producido el hackeo de lo más de 500 millones de cuentas de correo, que tuvo lugar a finales del 2014.

Según dos de los ex empleados, la decisión de la presidenta ejecutiva de Yahoo, Marissa Mayer, de obedecer la orden de la NSA irritó a algunos ejecutivos y llevó en junio del 2015 a Alex Stamos, por aquel entonces jefe de seguridad de la empresa, a abandonar su puesto. Stamos ahora trabaja en Facebook Inc.

“Yahoo es una compañía respetuosa de la ley y cumple con las leyes de EEUU”, dijo la empresa en un breve comunicado en respuesta a las preguntas de Reuters sobre la petición de las autoridades. Yahoo rehusó realizar más comentarios.

Es un informe de 60 páginas que sacaría los colores a cualquiera. Ha sido filtrado al medio alemán Netzpolitik.org y en él se detalla cómo el Bundesnachrichtendiest (BND), el equivalente alemán a la NSA, se ha saltado la ley hasta en 18 ocasiones para espiar a sus propios ciudadanos. El documento filtrado tiene fecha de julio del año pasado y lo firman varios agentes de la inteligencia alemana en Bad Aibling, a 650 kilómetros de Berlín.

Fue justamente esa localidad del sureste alemán a la que Edward Snowden señaló con el dedo en 2013: el exagente de la NSA contó en sus famosos papeles que la BND funcionaba como una subsede de la inteligencia estadounidense, dato que confirmó el diario alemán Der Spiegel en abril del año pasado. El pequeño pueblecito había servido como centro de operaciones para espiar a multitud de políticos europeos y grandes empresas.

El informe de Bad Aibling es top secret, al igual que el análisis legal que ha llevado a cabo la nueva Comisaria para la Protección de Datos alemán, Andrea Voßhoff. Netzpolitik había solicitado leer el informe, pero su petición fue denegada. Al final, una fuente anónima se lo envió.

XKeyscore, el juguete americano

Voßhoff dice en su informe que la BND cometió hasta 18 infracciones de la ley de protección de datos alemana y formula hasta 12 denuncias contra la agencia. Según la Comisaria para la Protección de Datos, la BND también creó siete bases de datos sin autorización. Utilizaron la misma herramienta de software que la NSA llevaba usando hasta 2013 para espiar a sus ciudadanos: XKeyscore, conocida popularmente como “el Google de la NSA”.

Según Die Zeit, el gobierno de Barack Obama y Angela Merkel firmaron un acuerdo en abril de 2013 para proporcionar el software al Bundesamtes für Verfassungsschutz (BfV), algo así como la agencia de seguridad alemana, a cambio de datos de sus ciudadanos. El informe filtrado ahora refleja que XKeyscore fue instalado en, al menos, una de las siete bases de datos.

El “Google de la NSA” permite los barridos de información a gran escala utilizando palabras clave, escaneando “todos los metadatos y los datos contenidos en el tráfico de Internet y guardando los deseados (emails, chats, información de las redes sociales, así como datos privados, como mensajes en foros, etc.)”, según el informe de Bad Aibling. Fue así como la NSA escuchó masiva e indiscriminadamente a millones de ciudadanos estadounidenses durante años. En 2008, hasta 500 servidores utilizaban este software para recopilar datos.

XKeyscore recopiló en Alemania “un gran número de datos personales de personas inocentes”. Hasta tal punto que “el BND no es capaz de precisarlo”, continúa el informe. La comisaria asegura que “el ratio era de 1:15”. O lo que es lo mismo, por cada persona sospechosa, la agencia de espionaje alemán guardaba los datos personales de 15 inocentes.

Enviar 14 millones de datos al día

Para colmo, los datos eran también compartidos con la agencia de espionaje estadounidense: “El contenido y los metadatos recopilados por XKeyscore son transferidos a la NSA, a lo que le sigue un proceso automático de limpieza de la información protegida por la ley G-10”, explica Voßhoff  en el informe. La G-10 es la ley que regula los poderes de vigilancia de las agencias de inteligencia alemanas.

La comisaria se queja de que la BND restringió su actuación en numerosas ocasiones, impidiéndole actuar para frenar las ilegalidades de un programa de vigilancia que llegó a transferir hasta 14 millones de datos al día.

Cuando la base de datos administrada por XKeyscore se llenó, el BND creó otra más grande, VERAS-6, que almacenó millones de metadatos de todas las comunicaciones que entraban o salían del país durante tres meses. “Todas las personas que tengan conexión con un sospechoso e incluso si sus metadatos son almacenados por una causa geográfica son indirectamente relevantes para el BND”, explica Voßhoff.

El informe concluye de forma aséptica que “el BND tiene que respetar la ley”, por lo que pide que todas las bases de datos sean borradas “de forma inmediata” y que la información contenida en ellas no pueda volver a utilizarse nunca más. De momento, solo sabemos que el año pasado se aumentó el presupuesto de la BND en 300 millones de euros y que en junio de este año el gobierno aumentó los poderes de la agencia y legalizó todas las prácticas llevadas a cabo. Se espera que las nuevas disposiciones entren en vigor a principios del año que viene.

De entre las agencias de tres letras estadounidenses (CIA, FBI, NHS, ATF, NRO, etc) quizá sea la NSA la más misteriosa y por tanto temida. La National Security Agency (Agencia de Seguridad Nacional) era tan secreta que se negaba hasta su propia existencia (su apodo era No Such Agency, no existe esa agencia). Su trabajo es la inteligencia de comunicaciones, un campo que ha explotado con la Red, convirtiéndola en el arquetipo de servicio secreto omnipotente y desconocido cuyo control y actividades jamás están del todo claras.

En la última semana, la todopoderosa NSA ha sufrido la segunda mayor humillación de su historia tras el caso Snowden, cuando unos supuestos hackers publicaron una serie de herramientas de penetración informática que al parecer son de su propiedad, y que dejan al descubierto sus tácticas y ponen en duda su seguridad operativa.

Sobre los responsables de la filtración y su significado hay división de opiniones: hay quien acusa a sus homólogos rusos y quien cree que se trata de un 'segundo Snowden', una fuente interna. Las consecuencias en uno y otro caso serán muy diferentes.

1. El archivo

Todo empezó el lunes 15 de agosto con la publicación en un Tumblr ahora inactivo de unas frases en inglés macarrónico y dos ficheros para descargar. El texto anunciaba más o menos lo siguiente:

Junto al texto había dos ficheros descargables y encriptados. El Tumblr estaba firmado por un grupo hasta ahora desconocido llamado Shadow Broker (literalmente “intermediario en la sombra”, el nombre de un personaje del videojuego Mass Effect 2). El grupo proporcionaba la contraseña para descodificar uno de los ficheros y anunciaba que subastaría la contraseña del otro. En concreto, que daría acceso abierto si le pagaban un millón de bitcoins (al cambio actual, casi 600 millones de dólares).

El fichero descodificado resultó contener el código fuente de una serie de programas destinados a explotar vulnerabilidades presentes en ordenadores conectados a Internet, para proporcionar acceso a un atacante sobrepasando cortafuegos y otros sistemas de seguridad. Es como una caja de herramientas para ‘crackers’ y los programas son bastante sofisticados; casi todos tienen fechas anteriores a junio de 2013. Algunos emplean vulnerabilidades en sistemas operativos y programas de Internet que no eran públicos entonces (e incluso ahora).

Todos son potentes, y llevan nombres como ELIGIBLEBACHELOR, EXTRABACON, EGREGIOUSBLUNDER o EPICBANANA. Estos nombres y el apodo Equation Group apuntan en una clara dirección: uno de los equipos más sofisticados y poderosos de hackers al servicio de la NSA.

2. Los sospechosos

En efecto, los nombres son similares a los que aparecen en los documentos internos sobre programas de la NSA publicados por el grupo de periodistas que cooperan con Edward Snowden. Para los investigadores del sector, Equation Group es uno de los actores persistentes más sofisticados y agresivos, y se piensa que está relacionado con armas cibernéticas como Stuxnet, diseñado para atacar al programa iraní de enriquecimiento de uranio, por lo que se le relaciona con la NSA.

De hecho, The Intercept ha publicado indicios concretos en el código filtrado por “Shadow Broker” que están también en un manual interno de la NSA procedente de los ficheros de Snowden que no se había hecho público aún. Esto parece confirmar que en efecto, se trata de armas cibernéticas de la NSA. El propio Snowden así lo cree. La pregunta es qué hay en el otro fichero, aún cerrado, como para pedir tanto dinero a cambio.

3. Las consecuencias

Las consecuencias de la publicación del primer archivo no se han hecho esperar: los operadores de sistemas y programadores de la NSA han dedicado todas las horas de la semana a localizar las vulnerabilidades y parchearlas lo más rápidamente posible. Algunas de ellas ya estaban resueltas; otras no son tan peligrosas, o sirven tan sólo para ataques muy limitados.

Pero la sofisticación general de los programas filtrados preocupa. No sólo porque los métodos o el código puedan ser reutilizados por crackers malévolos, sino porque los indicios sirvan como huella dactilar para identificar la fuente de ataques pasados. Esto podría causar tensiones, si se demuestra que los servicios estadounidenses están detrás de intrusiones anteriores a según qué países, quizá incluso amigos.

Pero donde la cosa se pone más complicada es en el tema de la responsabilidad de la filtración, porque sin duda la NSA querrá responder a sus atacantes y, dependiendo de quién haya sido, las consecuencias pueden ser muy diferentes.

Snowden no ha dudado en relacionar los ficheros filtrados con su propia huida, justo en junio de 2013, lo que para él sugiere que la agencia debió abandonar sus servidores de ataque como medida de precaución ante sus filtraciones. Las herramientas habrían podido quedar así a merced de otros, quizá de los servicios de inteligencia rusos. Según Snowden, este tipo de esgrima es habitual entre los rivales del ciberespacio.

Lo que no es normal es hacer públicas las victorias, si este fuera el caso. Esta filtración sucede inmediatamente después de la filtración de correos del Comité Nacional Demócrata, que se achaca a los rusos. Snowden cree que podría tratarse de un disparo de advertencia, una forma de avisar de los riesgos de la excesiva transparencia. Algo así como 'si vosotros publicáis nuestras miserias, nosotros publicaremos las vuestras'... lo cual podría escalar en una batalla de trapos sucios y creciente tensión difícil de contener para los gobiernos implicados.

4. Un segundo Snowden

La alternativa es que los ficheros no provengan de un servidor de ataque externo, sino de la propia red interna de la NSA, y algunos indicios técnicos así parecen apuntarlo. En este caso no se trataría de una intrusión, sino de una filtración desde dentro; un ‘segundo Snowden’ empleado de la agencia haciendo pública información interna.

Es lo que opina James Bamford, periodista especializado que lleva décadas investigando a la NSA y autor de los primeros libros sobre su estructura y funcionamiento. Según su análisis político y técnico todo apunta a la existencia de un segundo filtrador que está sacando a la luz datos como antes lo hiciera Snowden, aunque sus intenciones y alcance son todavía desconocidos.

Todo dependerá de la posible publicación del contenido del segundo fichero, de si revela más datos sobre los autores de la filtración. De confirmarse que es obra de los rusos, se reforzarían las voces dentro de los EE UU que ya hablaban de posibles represalias o de al menos reforzar las defensas en el ámbito virtual, y calentaría una ciberguerra de baja intensidad que de momento se ha mantenido relativamente fría.

Con otro Snowden, la reputación de eficiencia de la NSA quedaría aún más perjudicada y sus métodos de actuación más al descubierto. Lo que el incidente demuestra de una vez por todas es que nadie, ni siquiera los más sofisticados actores en el ámbito de la vigilancia electrónica en Internet, está a salvo. Es el momento de que todos, incluida la NSA, nos tomemos la seguridad de la información un poco más en serio.