La Séptima Bóveda

WikiLeaks ha vuelto a dar la campanada; cuando cumple 10 años de existencia, lo celebra publicando gran parte del arsenal hacker de la CIA. Esta filtración además de técnicamente interesante, pone en su sitio los riesgos reales y actuales que tiene toda nuestra sociedad por el hecho de tenerlo todo basado en una sola tecnología, la informática. Esto me recuerda lo de los huevos y la única cesta.

 

Jorge Dávila Muro
Consultor independiente. Director. Laboratorio de Criptografía. LSIIS. Facultad de Informática. UPM. Esta dirección electrónica esta protegida contra spambots. Es necesario activar Javascript para visualizarla

 

Justo antes de celebrar el día internacional de la mujer de este año, el pasado 7 de marzo WikiLeaks decidió empezar a publicar una serie de filtraciones que prometen ser muy jugosas y que vienen directamente de la bien publicitada 1 Agencia Central de Inteligencia, más conocida por su acrónimo, la CIA. El nombre que ha recibido esta filtración es Vault7 2 y promete ser la mayor publicación de documentos clasificados de esa agencia.

 

Esta filtración cubre el periodo comprendido entre el año 2013 y 2016, y parece ser la consecuencia de la pérdida de control, por parte de la CIA de lo que se cree es la mayor parte de su arsenal de hacking. En él no falta malware de todo tipo, virus, caballos de Troya, vulnerabilidades de día cero utilizadas como armas, los siempre útiles RATs (Remote Access Terminal) y la documentación asociada con esas “herramientas”.

 

La magnitud de la filtración se cifra en varios cientos de miles de líneas de código que, al que las tenga, le confiere gran parte de la capacidad investigadora (hacking) de esa agencia consagrada al espionaje universal.

 

Quizás las empresas empiecen a darse cuenta que con ellas se puede hacer lo mismo que ellas hacen con sus consumidores y, en lógica reacción, empiecen a proteger sus metadatos y a preocuparse de quién accede a ellos. Esto inexorablemente abrirá un (amargo) debate entre las empresas y sus proveedores de nube. Cuando se trataba de datos de los ciudadanos, el sector empresarial no salió de su cómodo silencio, pero ahora que son sus datos de negocio los que empapan nubes controladas por otros, quizás esas silentes empresas empiecen a tomarse en serio lo de determinar (si se puede) cuáles son las fronteras de la propiedad de sus datos.

 

Como ya nos enseñó el acontecimiento Snowden, parece que ese archivo que ha terminado en las manos de WikiLeaks es uno que circulaba de forma no autorizada entre los hackers a sueldo del gobierno de los EEUU y, sobre todo, de sus contratistas. No está claro que lo filtrado sea todo el contenido de ese fichero pero, sin duda es una parte muy significativa.

 

La primera entrega completa la han llamado “Year Zero” y contiene 8.761 documentos originalmente almacenados dentro de una red de seguridad, completamente aislada de Internet, ubicada dentro de todos los perímetros físicos fuertemente protegidos del Centro de Ciberinteligencia que tiene la CIA en Langley, Virgina (USA).

 

Probablemente, WikiLeaks ya tenía ese archivo cuando publicó las órdenes de la CIA para infiltrarse y actuar dentro de las últimas elecciones presidenciales francesas 3 El objetivo era infiltrar espías clásicos, humanos (HUMINT), en los partidos políticos concurrentes a esas elecciones, y ponerlos a todos bajo vigilancia electrónica (SIGINT) durante los siete meses anteriores a las elecciones presidenciales de 2012.

 

La CIA sabía, antes que los franceses, que el partido de Sarkozy no iba a ser reelegido. El objetivo era conseguir los planes estratégicos del partido popular francés, los cismas y alianzas que se dieron dentro de sus “barones”, las reacciones internas del partido ante las estrategias electorales del presidente Sarkozy, las vulnerabilidades de las que ellos mismos eran conscientes respecto a poder mantener el poder, las corrientes internas proclives a realizar cambios ideológicos, y el valor que tenía el propio presidente en la continuación del gobierno por parte del partido popular francés. Se dieron instrucciones específicas muy concretas para conocer todas las conversaciones privadas de Sarkozy en las que hablase de los otros candidatos, así como cuál era su relación con sus asesores de campaña.

 

En realidad lo único que le preocupaba a la CIA eran las políticas encaminadas a la reactivación de la economía francesa 4 y cuales eras su opiniones sobre el crecimiento basado en las exportaciones como se vio en órdenes secretas de “recolección de información” anteriores.

 

La entrega “Year Zero” incluye el objetivo y la dirección que va a tomar el programa secreto de hacking de la CIA, su arsenal de malware y docenas de vulnerabilidades zero day convertidas en armas contra una amplia panoplia de productos de compañías americanas y europeas, como son los teléfonos iPhone, Android o los Windows Phone, e incluso las “Televisiones Inteligentes” de Samsung TVs.

 

La CIA, con mucho más presupuesto que la propia NSA

 

Desde 2001 la CIA ha conseguido mucho más presupuesto que la propia NSA y lo ha gastado en 1) montar su nefasta flota de drones dedicados al asesinato, no tan selectivo como dicen, que tanto gustó al Presidente Obama, y 2) en poner en pie un propio y privado ejército secreto de ámbito mundial formado por hordas de hackers. Además, consiguió librarse de tener que rendir cuentas de sus acciones a la NSA y conseguir su misma “expertise”, con lo que la tensión entre agencias estaba servida.

 

Lo único ventajoso de esta situación para todos los demás es la tradicional rivalidad burocrática y presupuestaria que hay entre las dieciséis distintas agencias de inteligencia de la administración norteamericana. Quizás esa tensión ayude a que los ciudadanos del mundo, americanos incluidos, nos enteremos, de vez en cuando, de lo que esos miles de billones americanos de dólares están haciendo con nuestras vidas privadas y nuestra realidad económica.

 

La razón que parece haber dado la fuente de estas filtraciones a WikiLeaks incluye cuestiones políticas que según ella deben ser debatidas urgentemente en público. En concreto, el hecho de que las capacidades actuales de hacking de la CIA exceden en mucho su cometido (la NSA estaría de acuerdo) y la necesaria supervisión pública y efectiva de sus actividades concretas. La fuente quiere iniciar un debate público acerca de la seguridad que debe haber en la creación, uso, proliferación y control democrático de las denominadas ciberarmas.

 

Olvidos de Wikileaks

 

Por su parte, y para no verse salpicada por acusaciones de “cómplice necesario” en lo que pueda pasar ahora, WikiLeaks dice haber revisado con cuidado todos los elementos contenidos en su entrega “Año Cero” de modo que aun dando valiosa documentación sobre las actividades de la CIA, evitan distribuir ciberarmas “armadas” hasta que surja un consenso sobre cómo tales armas pueden ser analizadas, desmanteladas y hechas públicas

 

Aquí Wikileaks y muchos otros se olvidan de las sustanciales diferencias que hay entre el armamento convencional y el cibernético. El primero está hecho de materiales cuya fabricación u obtención es difícil para la inmensa mayoría de los ciudadanos del mundo y muy fácilmente controlable por unos pocos. Sin embargo, las ciberarmas son líneas de código que detonan un explosivo que ya está contenido y distribuido en todos los elementos, en todos los rincones de la infraestructura IT del planeta.

 

Una “ciberarma” la puede escribir casi cualquiera (todo depende del dinero que pongas encima de la mesa) y sólo tiene que detonar los efectos que terminaran teniendo los errores contenidos en el software y el hardware que utilizamos para prácticamente todo.

 

Otra de las cosas que WikiLeaks no se ha atrevido a hacer es poner en riesgo el status quo de la misma agencia norteamericana, y por ello ha decidido anonimizar o eliminar cualquier información en su entrega que permita identificar qué es lo que la CIA está haciendo en concreto. Esa autocensura nos priva de decenas de miles de objetivos de la CIA en máquinas de Latinoamérica, Europa y los propios EEUU. Aquí no estamos hablando de espías, confidentes, colaboradores, a fin de cuentas personas, cuya vida se pone en claro peligro cuando su identidad es desvelada, aquí estamos hablando de máquinas, de APTs que vigilan nuestras vidas y economías al servicio de los poderosos. En este caso, no queda justificada la autocensura de WikiLeaks, a menos que ésta sea simplemente la manifestación de su miedo a los poderosos o de su rendida connivencia con el hecho de que la CIA nos espíe a todos para el beneficio de muy pocos.

 

Sea como sea, su vanidad lleva a WikiLeaks a destacar que con esta primera entrega, ya han publicado más documentos que los publicados en los primeros tres años de las filtraciones de Snowden respecto a la NSA.

 

Los constructores de herramientas

 

Las herramientas de hacking de la CIA las construye el EDG (Engineering Development Group) dentro del CCI (Center for Cyber Intelligence), ubicado en el DDI 5 (Directorate for Digital Innovation) de la agencia. La misión del mencionado departamento es el desarrollo, evaluación y la prestación de apoyo operacional con todas las puertas traseras, exploits, caballos de troya, virus y cualquier otro tipo de malware que utiliza la CIA en todo el mundo.

 

Una de las cibercriaturas que esta filtración ha traído a la luz y que más ha impresionado a los medios de comunicación es la denominada “Weeping Angel” 6 o “Ángel lloroso” 7, desarrollado por los ocho miembros de la Embedded Devices Branch 8 (EDB) de la CIA, y que infecta las smart TVs de Samsung y las transforma en un micrófono secreto; es decir, en un clásico “spy bug” 9 en terminología de la Guerra Fría.

 

La idea es poner a la televisión en un aparente estado de apagado y convencer a su propietario de que se trata de un objeto inerte y, sin embargo, lo que hace es grabar todo sonido que llegue a sus micrófonos. Esa información es posteriormente enviada a un discreto servidor de la CIA oculto en Internet. Este ataque a las televisiones inteligentes de Samsung ha sido un desarrollo conjunto con el MI5 de Reino Unido 10.

 

Ya en octubre de 2014 la CIA empezó a considerar la posibilidad de infectar los sistemas de control utilizados en los coches y camiones modernos. Aunque no se especifica cuál es exactamente su interés, es fácil imaginar cómo podría estar relacionado con programas de eliminación física del contrario utilizando cosas tan habituales, tan normales como lo son los accidentes de tráfico. Lo que sí es seguro es que éste es el albor del espionaje internacional en la vaticinada Internet de las Cosas (IoT).

 

Ataques y hacks remotos contra los smartphones

 

Como todo el mundo puede entender, uno de los departamentos de la CIA cuya existencia ha aflorado se llama Mobile Devices Branch (MDB) y es el encargado de desarrollar ataques y hacks remotos contra los smartphones más habituales. El objetivo de ello son los datos de geolocalización, el registro de audio y la intercepción de los mensajes de texto, así como poder activar el micrófono y la cámara que hay en todos ellos.

 

Dado el precio que tienen y lo elitista de los iPhones, la CIA tiene una unidad específica para producir malware que infecte, controle y extraiga datos de los iPhones y otros productos de la compañía Apple corriendo el sistema operativo iOS, como es el caso de los iPads. Muchas de las vulnerabilidades de día cero han sido obtenidas de la GCHQ británica, NSA, FBI o incluso comprados a empresas especializadas en ciberarmas. El interés de la CIA y cualquier otra agencia de inteligencia por los sistemas que corren iOS están en su popularidad entre las élites sociales, diplomáticas y empresariales.

 

También tiene una unidad centrada en los sistemas con el sistema operativo Android que es el utilizado por el 85 % de los smartphones. En los documentos filtrados se indica que la CIA en 2016 disponía de 24 vulnerabilidades zero-day “weaponized” para Android que ha desarrollado ella misma o que ha conseguido en las fuentes habituales.

 

Estas herramientas permiten saltarse el cifrado de aplicaciones de mensajería instantánea como WhatsApp, Signal, Telegram, así como de cualquier otra ya que al conquistar el terminal, lo que se consigue es acceder a la información que interesa antes de que sea cifrada o inmediatamente después de que sea descifrada.

 

Penetrar redes de alta seguridad no conectadas a Internet

 

Algunos de los ataques electrónicos desvelados están diseñados para actuar desde una posición próxima al objetivo. Estas herramientas son las necesarias para penetrar redes de alta seguridad que no están conectadas a Internet, como son las bases de datos de las Policías. En estos casos el agente tiene que infiltrarse físicamente en el centro de trabajo y utilizar USBs conteniendo el malware de la CIA desarrollado con este propósito. El sistema de ataque que la CIA ha llamado “Fine Dining” 11 contiene 24 aplicaciones espía de todos los colores y sabores. En todos los casos el agente parece estar ejecutando sólo un programa para ver videos (VLC), viendo una presentación de transparencias (Prezi), jugando un juego (Breakout2, 2048) o incluso escaneando su sistema a la caza de virus y malware (Kaspersky, McAfee, Sophos).

 

De esta historia se pueden aprender varias cosas como es el hecho de que el factor humano sigue siendo importante para que la transparencia gubernamental y social pueda llegar a ser.

 

No es probable que nadie haya pagado a las fuentes de Vault7 para que entreguen a WikiLeaks lo que está publicando, por lo que sabemos que hay personas concretas que han creído que es mejor que sepamos lo que estas revelaciones confirman.

 

Con estas noticias también podemos comprobar que el tinglado informático sobre el que nos hemos tirado en plancha es de todo, menos seguro. Alguno de los procedimientos de hacking que se describen para la exfiltración de información en forma de imágenes 12 es insultantemente burdo, y si la CIA lo tiene en su arsenal es porque funciona.

 

Algunos funcionarios de la administración norteamericana dicen que WikiLeaks está actuando como cadena de transmisión de la inteligencia rusa, pero eso ya no debe ser tan malo vistas las buenas relaciones de Trump con Putin. Lo que sí es seguro es que esta misma filtración podría (y debería) darse de fuentes centradas en los casos Rusia, Reino Unido, Australia, Canadá, Francia y, por qué no, también en el caso de Alemania, que invierte grandes sumas en “Ciber” y no necesariamente todas tienen que ser en “defensa”.

 

Ya lo dijo Mikko Hyppönen 13 en la Rooted CON 14, 15 de este año, “Si alguien me hubiera dicho hace 25 años que los gobiernos ejecutarían malware, no lo hubiera creído.” Pues aquí los tenemos; los estados han perdido la vergüenza y la honorabilidad (si es que la hubo) de otras guerras, y ahora se baten en el mismo lodo que ladrones, extorsionadores, mafias, y todo ello en la más absoluta opacidad, oscuridad y descontrol.

 

Perdidas las fronteras y ya sin soberanías que se mantengan, las puertas traseras y la explotación de debilidades personales y técnicas en todo a nuestro alrededor podrán sumir al mundo en un nuevo y distinto caos. ¿Cómo debemos tomarnos estas revelaciones? ¿Es esto un progreso?

 

Esta nueva filtración de WikiLeaks me recuerda aquella parábola talmúdica conocida como la de “Los cuatro rabinos”. En ella una noche cuatro rabinos recibieron la visita de un ángel que los despierta y los transportó a la Séptima Bóveda del Séptimo Cielo y allí contemplaron la Sagrada Rueda de Ezequiel y tuvieron la máxima revelación. En el regreso, uno de los rabinos perdió el juicio y vagó echando espumarajos por la boca hasta el fin de sus días. El segundo rabino era extremadamente cínico y no le dio importancia a la experiencia y la olvidó. El tercer rabino estaba totalmente obsesionado y no paraba de hablar de ello hasta que se extravió y terminó traicionando su fe. El cuarto rabino tomó papel y una caña, y se puso a escribir una canción tras otra sobre su hija aún en la cuna y las estrellas del cielo; de esta manera vivió su vida mejor que antes.

 

 

1 Ver https://www.cia.gov/index.html
2 Ver https://wikileaks.org/ciav7p1/
3 Ver https://wikileaks.org/cia-franceelections- 2012/
4 Ver https://wikileaks.org/nsa-france/
5 Ver https://wikileaks.org/ciav7p1/files/org-chart.png
6 Ver https://en.wikipedia.org/wiki/Weeping_Angel
7 Al parecer esto es una prueba de que sus desarrolladores son fans de la serie británica Doctor Who, en la que los Weeping Angels son villanos que sólo se mueven cuando nadie los mira y que se vuelven de piedra cuando alguien los mira directamente. Su primera aparición fue en el episodio titulado “Blink” en 2007.
8 Ver https://wikileaks.org/ciav7p1/cms/space_753667.html
9 Ver http://www.ukspygear.com/categories/Spy-Bugs/
10 Ver http://www.dailymail.co.uk/news/article-4290926/British-spies-linked-CIAWikiLeaks- reveals.html
11 Ver https://wikileaks.org/ciav7p1/cms/page_20251107.html
12 Ver https://wikileaks.org/ciav7p1/cms/page_13763247.html
13 Ver https://en.wikipedia.org/wiki/Mikko_Hyppönen
14 Ver https://www.rootedcon.com/rooted2017/ponencias-rooted2017#mikko_hypponen
15 Ver http://www.eldiario.es/hojaderouter/seguridad/Mikko_Hypponnen-ciberguerraciberarmas- internet_0_619438376.html

 

 

Documento en PDF

first
  
last
 
 
start
stop

Este sitio utiliza cookies propias y de terceros para facilitar la navegación.
Si continúa navegando consideramos que acepta su uso. Política de cookies