Has elegido la edición de . Verás las noticias de esta portada en el módulo de ediciones locales de la home de elDiario.es.

El espía que inauguró la ciberguerra

Yolanda Quintana

La ciberguerra actual quedó oficialmente inaugurada tras la entrada en acción de Agent.btz, un espía que fue capaz de causar lo que se dio a conocer como “la peor violación de los equipos militares estadounidenses de la historia”. El incidente tuvo tanto impacto que años después así se le sigue recordando en libros especializados y en documentos estratégicos del ejército.

Se cuenta que todo habría empezado cuando alguien dejó tirada una unidad flash USB en el aparcamiento de una instalación de una base militar norteamericana en Oriente Medio en algún momento de 2008.

Conviene aclarar que este “agente” es un programa de software. “Agent.btz”, igual que ocurre en las películas de espías de carne y hueso, ha tenido varias identidades que se le fueron asignando según fue siendo descubierto. Así se le conoce también como Autorun o, en menor medida, Trojan.Minit. También, como muchos agentes “clásicos”, supo transformarse y años después volverá salir a la luz con otras denominaciones.

Cuando Agent.btz fue identificado se supo que era una variante de lo que en argot se denomina “gusano”, un programa malicioso que, a diferencia de los virus, tiene la propiedad de duplicarse a sí mismo. En concreto, del gusano llamado SillyFDC, descubierto en enero de 2007, aunque existían versiones previas de 2005 e incluso anteriores.

Agent.btz tendría capacidad “para examinar datos de los equipos, puertas traseras abiertas, y enviar, a través de esas puertas traseras, documentos e información clasificada”, según informaría más tarde el ejército norteamericano.

La Operación Buckshot Yankee

La Operación Buckshot YankeeLa primera señal de problemas llegó en octubre de 2008.

OPS1 es un edificio cuadrado de baja altura que no llama la atención en el campus de 660 acres de la NSA. En una habitación sin ventanas trabaja un grupo de élite formado por ingenieros, matemáticos y físicos que rastrea la red informática del ejército en busca de problemas. Es el equipo de la Operaciones de Redes Avanzadas de la NSA (OAN) constituido dos años atrás.

Uno de estos jóvenes analistas descubre “una señal misteriosa que emana de las profundidades de la red de ordenadores clasificada de los militares de EE.UU. Al igual que un espía humano, una pieza de software encubierta en el sistema supuestamente seguro estaba tratando de enviar mensajes codificados de nuevo a su creador”, según contaría años después The Washington Post al reconstruir el incidente a partir de fuentes del ejército.

Había comenzado la Operación Buckshot Yankee. El Pentágono iba tardar casi 14 meses en limpiar Agent.btz de sus redes militares.

Los analistas de la NSA (“los mejores guerreros cibernéticos del gobierno”, según los describió el periódico norteamericano de referencia) habían descubierto a Agent.btz en la red SIPRNET (Secret Internet Protocol Router Network) que los departamentos de Defensa y de Estado utilizan para transmitir material clasificado, pero no información sensible.

El SIPRNet o NIPRNet es la versión secreta de Internet que opera el departamento de defensa de Estados Unidos. No era conocida hasta las filtraciones de Wikileaks de los cables diplomáticos que procedían de este canal y sus siglas quedaban reflejadas en los documentos publicados.

Agent.btz también había infectado el sistema de comunicación del Mando Conjunto de Inteligencia global, que lleva la información de alto secreto a los funcionarios de Estados Unidos en todo el mundo, una red clasificada, separada de la Internet pública, que albergaba algunos de los secretos más importantes de los militares, incluyendo los planes de batalla utilizados por los comandantes en Afganistán e Irak.

Los informáticos de la NSA no podían determinar en ese momento quién había creado el programa o por qué, a pesar de que llegarían a sospechar del servicio de inteligencia ruso, y así se iba a dar a entender en las sucesivas informaciones sobre el incidente.

Tampoco podían decir cuánto tiempo había estado allí Agent.btz, pero pronto se deducen los medios sorprendentemente sencillos de transmisión que tenía: Agent.btz se transportaba inadvertidamente en una en una unidad USB cotidiana, lo que le permitió entrar en el sistema secreto y “comenzar a buscar los documentos a robar”, según contaría el ejército. Luego se extendió propagando copias de sí mismo en otras memorias USB.

Los agentes de Operaciones de Redes Avanzadas de la NSA determinaron que la infracción era grave después de días intensos de investigación.

La visita de Bush a la NSA

La visita de Bush a la NSAMientras esto ocurre en el mundo virtual, en el real el presidente saliente George Bush está realizando una de las visitas que marcan la habitual ronda de despedidas de un mandato.

En ese ese momento ya se da por prácticamente segura la victoria de Obama sobre el candidato republicano, McCain, en las elecciones que van a tener lugar en menos de dos semanas. En el último mes, las encuestas han confirmado el despegue de Obama y las de esos días muestran una diferencia de hasta trece puntos a favor del gobernador de Illinois.

Este 24 de octubre Bush se ha desplazado a la sede de la todopoderosa Agencia estatal de Inteligencia (NSA), 33 km al noreste de Washington D.C. El complejo, es conocido como “El fuerte”, debido su ubicación, en Fort Meade, Maryland y a las extraordinarias medidas de seguridad que tienen las instalaciones. El recinto tiene su propia salida a la carretera Baltimore-Washington, señalizada como “sólo para empleados de la NSA”.

La agencia, durante muchos años desconocida para el gran público, va a saltar años más tarde a primera línea de la actualidad al conocerse sus prácticas de espionaje masivo gracias a los documentos desvelados por Edward Snowden. Entre otras operaciones secretas, se pudo ver cómo en sus talleres se alteraban de manera clandestina equipos informáticos para introducirles dispositivos o programas de rastreo.

A las 12:30 Bush hace una declaración institucional, de protocolo, ante los medios que se han desplazado para cubrir la visita. Le acompañan el vicepresidente Dick Cheney, el teniente general Keith B. Alexander, director de la NSA, y el director de Inteligencia Nacional, Mike McConnell.

En su intervención no hace ninguna referencia al incidente que se está gestionando a unos metros de donde se encuentra. Sin embargo, ese preciso día, cuando el responsable de la protección los sistemas informáticos de la NSA, Richard C. Schaeffer Jr., se encontraba participando en la reunión informativa con el presidente, un ayudante le habría entregado una nota advirtiéndole de la violación.

A las 4:30 p.m. Schaeffer entró en la oficina del general Keith Alexander, director de la NSA. “Tenemos un problema”, dijo.

Esa noche, los funcionarios de la NSA informaron a los niveles más altos del gobierno de EE.UU., el jefe del Estado Mayor Conjunto de Estados Unidos, el subsecretario de Defensa y altos líderes del Congreso, contándoles el incidente causado por Agent.btz.

Trabajando durante toda de la noche, los agentes de Operaciones buscaban una posible solución.

Después de varias pruebas, la derrota de la amenaza pasó por neutralizar Agent.btz de cualquier parte de las redes gubernamentales en las que se había extendido, un largo proceso que implicó el aislamiento de equipos individuales desconectándolos de la red, su limpieza y el formateo de discos duros.

Un actor clave en esta tarea habría sido la denominada Oficina de Operaciones de acceso a medida (TAO) de la NSA, los hackers (o crackers, según se mire) del espionaje norteamericano. Son la unidad militar de ofensiva cibernética. La TAO es una unidad activa desde la década de los 90. Sus agentes, entre otras actividades, identifican, monitorizan y se infiltran en los sistemas informáticos utilizados por entidades extranjeras.

Estos especialistas “exploraron” fuera de las redes de los militares para buscar Agent.btz y habrían identificaron nuevas variantes del malware, “ayudando a los defensores de la red para neutralizarlos antes de que infectan las computadoras militares”, según contaron años después.

Cuando la TAO entró en acción en el caso de Agente.btz en la NSA se debatió “si usar herramientas ofensivas para neutralizar el malware en redes no militares, incluyendo los de otros países”. Una tensión que siempre va a estar presente en la “ciberguerra”: la línea que separa el ataque de la defensa y el riesgo de militarización de ámbitos civiles, como las infraestructuras críticas (suministro eléctrico, comunicaciones…).

Aparentemente, en aquel momento se rechazó esa opción porque “Agent.btz parecía ser un acto de espionaje, no un ataque directo, y no justificaba una respuesta tan agresiva”.

Al tiempo que se trabajaba en neutralizar Agent.btz de los ordenadores del gobierno, se elevó el nivel de amenaza a la seguridad de los militares: Unas semanas más tarde, en noviembre, se emitió una orden de prohibición del uso de memorias USB en cualquier equipo del Departamento de Defensa en todo el mundo.

La prohibición generó la reacción de los agentes en el campo, que dependían de las unidades para descargar las imágenes combate o compartir informes posteriores a la acción.

Esta orden fue, precisamente, la primera noticia en un medio de comunicación sobre el incidente del que entonces nada se sabía y que ha sido reconstruido a partir de versiones muy posteriores.

La exclusiva la lanza el blog de seguridad de la revista Wired “Danger Room”, el 19 noviembre de 2008. Obama ya era presidente electo.

El mandato de prohibición fue firmado por el comandante del Mando Estratégico de EE.UU., según un correo electrónico interno del Ejército. Se aplicaba tanto a las redes secretas SIPR como a las no clasificadas NIPR. La suspensión, que incluía todo, desde discos duros externos a “disquetes”, debía aplicarse “inmediatamente”.

Unos días después, el 28 de noviembre, “Los Angeles Times” amplía la información, dando a conocer se había comunicado a Bush (entonces ya presidente en funciones) la existencia “del ataque” a causa de su gravedad:

“Altos mandos militares tomaron la medida excepcional de informar al presidente Bush esta semana sobre un ataque electrónico grave y generalizado en las computadoras del Departamento de Defensa que puede tener su origen en Rusia”, dijeron.

La NSA y los militares investigaron durante meses cómo se produjo la infección. Se recuperaron miles de unidades de memoria flash, muchas de los cuales estaban infectadas.

La tasa de nuevas infecciones remitió finalmente a principios de 2009 y la prohibición de las memorias USB se levantó parcialmente meses después.

El 23 de junio de 2009 se produce la primera consecuencia de alcance del caso “Agente.btz”: El secretario de Defensa, Robert Gates, ordena la creación de una nuevo “Mando Cibernético de los Estados Unidos”.

Hasta ahora existía un Cibermando provisional vinculado a las Fuerzas Aéreas con el teniente general William T. Lord al frente. El proceso para la creación del mismo se inició en 2005 cuando la Fuerza Aérea modificó la declaración de su misión al ampliar al ciberespacio sus dominios tradicionales: el aire y el espacio. Entró en funcionamiento en 2007, pero la fecha de su constitución se fue demorando hasta octubre de 2008. En esa fecha, coincidiendo con el caso de Agent.btz, en lugar de eso, la Fuerza Aérea pone el proyecto en suspenso, para “hacer una nueva evaluación” sobre la manera correcta de abordar el establecimiento de un Mando Cibernético.

Con la orden del secretario de defensa, Robert Gates, una cosa estaba bastante clara: la NSA estaría al frente de este comando emergente. Gates recomendaba que el director de la NSA, el teniente general Keith Alexander, también se convirtiese en el jefe de la nueva fuerza de la red, consiguiendo así su cuarta estrella, y sugería que el comando estableciera su sede en Fuerte Meade, Maryland, donde se ubica la NSA.

El Cibermando debería estar operativo en octubre de 2010.

Justo un mes antes de esa fecha sale a la luz lo que sería la primera versión detallada del incidente de Agent.btz.

Se trata de un artículo que el subsecretario de Defensa norteamericano William J. Lynn III escribe en el número de septiembre de “Foreing Affairs”confirmando oficialmente lo que denomina “la peor intrusión que hayan sufrido nunca los ordenadores militares nunca.

En su artículo, Lynn narra los pormenores del ataque y se refiere por primera vez a la USB abandonada en un parking y “puesta allí por una agencia de inteligencia extranjera”. Distintos medios, como The New York Times se hacen eco de la publicación de estas revelaciones.

La versión de Lynn es la historia oficial del caso Agent.btz y, como tal, se sigue contando.

Un gran catalizador

Sin embargo, las autoridades reconocieron años más tarde que no había pruebas de cómo surgió Agent.btz ni si tuvo éxito en la comunicación con un ordenador principal o en poner documentos secretos en poder del enemigo.

Gran parte de la energía se ha dedicó a tratar de encontrar el “paciente cero”. “Resultó ser demasiado complicado”, admitieron después. “Nunca pudimos determinar ‘esa es la unidad de disco USB'”, dijeron los militares al Washington Post.

Nunca se informó si Agent.btz había llegado a “robar” algún tipo de información o documento ni cuál o cuáles habrían sido. Tampoco si había sido creado para esta misión específica. Su funcionamiento (entrar en un sistema y ponerse “en contacto” con su fuente original) no difiere a lo que cualquier “botnet malware” (virus que convierte el ordenador en un robot) hace una vez que ha infectado un sistema, como advertía la experta en seguridad informática de Wired Zim Ketter.

Tampoco el origen de la infección, por más que haya prosperado en la memoria colectiva la historia del pen drive, parece -como es lógico, por otra parte- claro. El propio Washington Post en su historia de 2011 reproduce declaraciones de fuentes militares que admiten que un escenario más probable habría sido que un soldado americano, funcionario o contratista en Afganistán - donde se produjeron el mayor número de infecciones - fueran a un cibercafé, utilizan una unidad de disco USB en un ordenador infectado y luego lo insertan en la unidad de una máquina clasificada.

“Sabíamos con bastante seguridad que el mecanismo había sido alguien que hace algo que no debería hacer en contraposición a alguien que había sido capaz de entrar en la red”, dijo al Post un ex funcionario.

La revista The Wired se refirió al incidente como “leyenda urbana”.

Pero, a pesar de las inconsistencias, el caso de Agent.btz tal como fue reconstruyéndose posteriormente, con filtraciones muy medidas, un eslogan inmejorable (“el peor ataque a las redes informáticas militares de Estados Unidos”) y una buena historia bien contada (“todo comenzó con una memoria UBS tirada en el aparcamiento de una base militar…”, dice la entrada de la Wikipedia del incidente que aún puede leerse hoy) iba a tener grandes consecuencias.

Fue nada menos que el origen del primer Mando militar Cibernético del mundo y, algo nada trivial, que recayese sobre el director de los servicios de inteligencia, Keith Alexander, al frente de la NSA desde 2005.

Aunque en 2008 cuando ocurre este episodio no es conocido, Alexander va a saltar a las portadas de todo el mundo años después, en junio de 2013, por ser el responsable de la NSA cuando sale a la luz el caso Snowden y el inspirador de la estrategia de espionaje “atrápalotodo” denunciada por el joven ex analista.

Se le atribuye la frase: “En lugar de buscar una aguja en un pajar, recojamos el pajar completo”, en referencia a la capacidad de la Agencia de recopilar todo tipo de información de las comunicaciones electrónicas de cualquier persona.

En marzo de 2014 Alexander dejará la NSA a consecuencia de las filtraciones de Snowden. Ya fuera del ejército montará una consultora sobre seguridad informática que ofrece sus servicios a bancos y otras empresas sensibles por un millón de dólares al mes.

“Él es el único hombre en la tierra que puede promover un problema en virtud de sus competencias en Inteligencia [espionaje] y luego promover una solución en virtud de su capacidad militar”, dijo de él un ex oficial.

La Operación Buckshot Yankee reforzó el argumento a favor de la creación de Comando Cibernético, y, según Washington Post, le dio Alexander la palanca para presionar en el caso, y defender ante los demás que el nuevo comando debía ser capaz de utilizar las capacidades de la NSA para obtener inteligencia extranjera para defender los sistemas de los militares.

“Fue un gran catalizador”, dijo el propio Alexander al Post.

La nueva organización, iba a contar con una plantilla de 750 personas y un presupuesto de 155 millones de dólares. Comenzó a operar el 31 de octubre de 2010, con Alexander a la cabeza.

Su emblema contiene un anillo interior dorado con una extraña secuencia de números y letras: 9ec4c12949a4f31474f299058ce2b22a. Resultó ser un resumen de la misión que iba a llevar a cabo después de pasarle por un algoritmo de cifrado:

“USCYBERCOM planea, coordina, integra, sincroniza y lleva a cabo actividades de: dirección de las operaciones y defensa de las redes específicas de información del Departamento de Defensa; y se prepara para, cuando así se le indique, llevar a cabo operaciones militares de amplio espectro en el ciberespacio a fin de garantizar las acciones en todos los dominios [Tierra/Mar/Aire/Espacio], y la libertad de acción de Estados Unidos y sus aliados en el ciberespacio y negar lo mismo a nuestros adversarios”

Obama, además, recién llegado a la presidencia, también va a impulsar las acciones que la Admistración Bush había iniciado en este terreno, lo que no se llegaría saber hasta años después. Entre ellas, la operación “Juegos Olímpicos” que supondrá el desarrollo de la primera arma cibernética, con enormes consecuencias.

Arrancaba, oficialmente, la ciberguerra.

Misión cumplida.

Etiquetas
stats