El espionaje electrónico es un tema inagotable, que deja pequeña toda intriga novelesca o cinematográfica conocida. En los últimos meses, una hemorragia de filtraciones ha echado por tierra la imagen de omipotencia de la National Security Agency (NSA). Esta vez la causa no es un chivatazo como el de Edward Snowden en 2013 sino la fechoría de un grupo de hackers que se hace llamar Shadow Brokers. Costosas operaciones de inteligencia han tenido que suspenderse porque las herramientas de espionaje en que se apoyan están disponibles en el mercado. Una consecuencia es que la moral de los empleados de la agencia está hundida por las sospechas de que los culpables están dentro de su estructura.
El nombre de Shadow Brokers apareció allá por agosto de 2016: un grupo organizado de hackers se había apoderado de un arsenal de ´ciberarmas´ de la NSA y, con enorme descaro, anunciaba que las vendería a quien quisiera comprarlas. Fue el origen de una incertidumbre que no se hizo realidad hasta abril, cuando algunas de esas ´ciberarmas`´ aparecieron para descarga gratuita. Una compañía de seguridad suiza se tomó el trabajo de contabilizar los equipos que se infectaban con uno de esos exploits, de nombre DoublePulsar: el 21 de abril, eran 106.000 máquinas en todo el mundo, seis días después ya eran 429.000.
Ahí no se paró el desafío. Shadow Brokers se atrevió a proponer un servicio de suscripción mensual, prometiendo entregar una vez al mes nuevo código sustraído a la NSA. Lo más sangrante del caso es que tras 15 meses de investigación, la contrainteligencia estadounidense aún no ha averiguado de dónde procede la filtración ni mucho menos quién está tras ella. Tres empleados de la agencia han sido arrestados, pero el miedo a los topos sigue vivo.
Cunde dentro de la NSA la impresión de que el daño excede el que pudo causar Edward Snowden con su defección del 2013. El antiguo analista en fuga se limitó a revelar documentos en PowerPoint y otros archivos descriptivos del modo de trabajar de la agencia, pero ni una sola línea de código. Esta vez sí: las filtraciones contienen programas y kits de desarrollo. lo que significa que para obtenerlos habrá sido necesario acceder a los servidores más confidenciales.
A Snowden, refugiado en Moscú, se le atribuye un comentario según el cual el hackeo de Shadow Brokers es en realidad una maniobra contra Rusia. O sea que – según la estrambótica hipótesis – sería más diplomacia que inteligencia, con el retorcido objetivo de evitar sanciones por haber (supuestamente) saboteado los ordenadores del partido Demócrata. Haría falta reunir a John Le Carré, Dan Brown y Tom Clancy para escribir un guión semejante.
Al final, con razón o sin ella, la sombra de Rusia es ineludible en estos tiempos. Ya se trate de noticias falsas y uso de publicidad, financiada por (presuntos) agentes de Vladimir Putin durante la campaña electoral del año pasado, o de acusaciones contra Kaspersky Lab, por (presunta) connivencia con el Kremlin, se está reconsttruyendo un ambiente que el mundo no vivía desde la disolución de la Unión Soviética.
La gravedad de las filtraciones va más allá de la integridad de la NSA. No hay dudas de que sus ´ciberarmas` son el resultado de desarrollos de gran complejidad técnica; desde que Shadow Brokers las puso en circulación, se ha producido una serie de ataques graves como WannaCry, Petya y otros no tan notorios pero muy intrusivos. Hospitales, escuelas, comisarías y empresas de todo el mundo están a merced de los atacantes, y muchas de estas entidades ni siquiera lo saben. La sensación de que infraestructuras críticas pueden estar amenazadas no es paranoia: si los pueden robar los secretos de la central de espionaje americana, ¿qué no podrían hacer contra una compañía eléctrica, por mencionar un ejemplo no demasiado terrorífico.
A estas alturas, hay vídeos en YouTube que enseñan cómo atacar sistemas usando esas herramientas clandestinas: Metasploit sirve, en teoría, para automatizar un ataque con un clic. La cuestión que se plantea es: si el ciberespionaje de la primera potencia occidental no puede protegerse a sí mismo, ¿cómo podría proteger a los ciudadanos?
Esta situación ha alentado la búsqueda desesperada de culpables. En la sede de la NSA en Maryland, muchos empleados han tenido que pasar la prueba del polígrafo, algunos han sido suspendidos preventivamente y a otros les han retirado el pasaporte. El organismo ha crecido tanto en pocos años que la plantilla se ha vuelto difícil de controlar, por no hablar de las contratas a consultoras externas. Algunos veteranos han soplado a la prensa que la causa puede estar en que se ha puesto el foco en las armas ofensivas en lugar de la inteligencia más convencional. Se ha comentado que a la mesa de Barack Obama llegó el año pasado una propuesta de destitución del almirante Michael S. Rogers, director de la NSA, que el presidente consideró contraproducente; Rogers sigue en su puesto con la administración Trump.
El caso es que los acontecimientos tienen práctcamente paralizada a la NSA, por una razón comprensible: si sus armas han caído en manos de enemigos, la agencia deja de ser eficaz para cumplir la misión encomendada y todos sus procedimientos tienen que ser revisados. Algunos de sus especialistas están abandonando su empleo porque en el sector privado encuentran trabajos mejor remunerados. Sobre ellos, y sobre los que se han quedado, sobrevuela una sombra de complicidad.
La idea de que detrás de Shadow Brokers hay una operación rusa está muy asentada en la comunidad estadounidense de ciberseguridad. Firmas como Symantec o FireEye han detectado la huella de Moscú en ciertos ataques, pero ciertas cosas no se cuentan o sólo se cuentan a quien tiene el estómago para digerirlas. Al mismo tiempo, Kaspersky Lab seguía buscando malware de la NSA guiada por palabras clave en los archivos publicados por Snowden. Así fue como la empresa descubrió un colectivo al que se refirió como Equation Group, que infectaba el firmware de discos duros de distintos fabricantes.
Pues bien, Equation Group resultó ser un trasunto de TAO (Tailored Access Operations) un grupo de élite dentro de la NSA que habría generado los códigos sustraídos por Shadow Brokers. El catálogo que ha salido a la luz incluye kits de desarrollo, lo que avalaría la convicción de que el origen de la filtración es interno.
Como extraño colofón (provisional) a este episodio. los hackers en cuestión han publicado mensajes de apoyo – también entendibles como advertencia subliminal – a Donald Trump. En ellos, el grupo exalta la ideología ultra y el aislacionismo que Trumpo proclamó en la campaña y que aplica ahora como presidente. Propaganda aparte, no cabe duda de que las filtraciones han inoculado el veneno de la suspicacia en el ciberespionaje de Estados Unidos. Las desgracias no vienen solas.
[informe de Pablo G. Bejerano]