En las últimas semanas ha sido noticia en todos los periódicos el hackeo masivo a EE.UU. Todo empieza cuando un empleado de la empresa estadounidense de ciberseguridad FireEye investiga, tras recibir el típico mensaje de “tus claves se han utilizado en una localización encubierta”, y lo hace en contra de lo habitual. En ese momento, poco podía imaginar que detrás de algo tan frecuentemente inofensivo se escondía una de las operaciones de ciberespionaje a mayor escala, y de mayor calado, contra Estados Unidos hasta la fecha. Una acción, calificada por algunos como “brillante”, que ha permitido, al parecer, a “una potencia extranjera” revisar los correos y las actividades diarias de miles de trabajadores de varias agencias gubernamentales y de gigantes tecnológicos, como Microsoft. Y todo, pasando totalmente inadvertidos durante meses. Hasta los mismos griegos que derrotaron a los troyanos con su mítico caballo se habrían quitado el sombrero ante tal acción.
Quizá la de una especie de caballo de Troya cibernético sea la mejor analogía para entender cómo ha podido tener lugar un hackeo masivo, sin duda, de los de mayor envergadura y duración en el tiempo reconocidos hasta el momento por una administración estadounidense.
Mediante la utilización de una herramienta, un programa necesario para operar, pero a la vez tan común y confiable como las actualizaciones que tan a menudo nos recomiendan las empresas informáticas, los ciberdelincuentes consiguieron entrar en la fortaleza inexpugnable de las diferentes agencias gubernamentales de Estados Unidos, aunque no solo en ellas, sino también en miles de firmas y entidades privadas. Como si de un moderno caballo de Troya se tratara, introdujeron el malware en una fuente fiable y en una acción, la de actualizar, tan frecuente que nadie repara en ella ni, por supuesto, desconfía, logrando así su objetivo y durante un largo período de tiempo.
De ahí que siga vigente, más de 2000 años después, la advertencia de Laocoonte a los troyanos (antes de ser devorado por dos enormes serpientes, junto a sus hijos). Primero, no hay que fiarse del enemigo, ni cuando huye, se retira o parezca que lo hace. Segundo, no hay que dar por buenas, ni por descontadas, determinadas acciones solo porque parecen inofensivas, se hacen sin pensar, de forma mecánica, y, en principio, su procedencia hasta un determinado momento había sido fiable.
Este artículo pretende responder a varias preguntas sencillas y, no obstante, esenciales para tratar de arrojar algo de luz sobre este hackeo, al menos, hasta donde se sabe a día de hoy, porque aún se está investigando al respecto: quién le ha hecho qué a quién, cómo, cuándo y por qué.
El Qué
¿Pensáis que se han alejado los enemigos y os parece que puede estar exento de fraude regalo alguno de los dánaos (griegos)? (…) ¡Troyanos, no creáis en el caballo! Sea de él lo que fuere, temo a los griegos hasta cuando traen regalos.
Virgilio, La Eneida, Libro II, pág. 48, EDAF
Según relata la investigadora y escritora Sue Halpern en la revista estadounidense The New Yorker[1], el pasado 8 de diciembre de 2020 la compañía de ciberseguridad FireEye afirma haber descubierto “numerosos accesos ilegales de alto valor”, afirma que sus defensas han sido superadas y que sus propias herramientas para hackear (utilizadas para encontrar las vulnerabilidades de sus clientes) han sido robadas. Es decir, señala Halpern, “una empresa cuyo objetivo es mantener a salvo a sus clientes se muestra como incapaz de defenderse a sí misma”.
Pero, unos días después, queda claro que FireEye no es el único objetivo de una acción que va mucho más allá. El malware ha infectado los ordenadores de agencias gubernamentales y empresas privadas relacionadas con el desarrollo de la mayoría de las tecnologías digitales de la información, observando su quehacer diario durante meses. Es más, Microsoft asegura que han accedido a una de las tecnologías más guardadas y mejor protegidas de una empresa: su código fuente de software, (aunque sin entrar en sus servicios de producción o en los datos de los usuarios y sin haber encontrado prueba alguna de que se hubieran usado sus sistemas para atacar a otros)[2].
¿Se trata de un ciberataque o de una operación de ciberespionaje? La selección del término es más importante de lo que podría parecer en un principio, reflexiona Halpern, porque un ataque requiere respuesta. Sin embargo, el espionaje entre estados entra dentro de la “actividad normal” y no tiene porqué implicar necesariamente un casus belli. La operación hostil puede haber comprometido ordenadores, haberse infiltrado en sistemas y haber utilizado su software como un arma. No obstante, en este caso, parece haber consenso en que se trata de un acto de espionaje, un robo de secretos para obtener datos, conocimiento, nombres, procesos (inteligencia), pero sin cruzar la línea roja del ataque.
Esto es así porque, a día de hoy, en el ciberespacio no hay reglas de enfrentamiento, ya que realmente no conviene a ninguna de las partes que así sea. Esto es aplicable, por supuesto, a los propios estadounidenses ya que, de este modo, podían utilizar sus capacidades ciber contra otros con libertad, sin cortapisas[3].
Lo que sí parece claro en las primeras semanas de 2021 es que se va a tardar tiempo en averiguar cuántas puertas traseras hay aún abiertas, si todavía queda algún malware que pueda ser reactivado en el futuro, qué ha sido visto y cuántos secretos se han robado, esto entre otras cosas.
Algo que también cabría preguntarse es cómo se va a gestionar semejante volumen de datos e información a la que han tenido acceso los autores. Es decir, hay que disponer de una gran capacidad y recursos, técnicos y humanos (con gran conocimiento de un inglés técnico y del funcionamiento interno de la administración estadounidense, por ejemplo), para poder elaborar “inteligencia” (algo relevante que realmente sirva para algo) de toda esa cantidad de información. Y no solo eso, sino, además, hacerlo en un corto periodo de tiempo, antes de que esos datos se queden obsoletos, máxime tras descubrirse la operación.
Be the first to comment