Quién es la presunta filtradora. Se llama Reality Leigh Winner, tiene 25 años y era lingüista en las Fuerzas Aéreas hasta el pasado mes de febrero, cuando se incorporó a Pluribus International, una contrata gubernamental que ofrece servicios de defensa, inteligencia y seguridad al Departamento de Defensa, el ejército y la Oficina de Inteligencia Federal de los EEUU. Winner trabajaba en un edificio del gobierno en Georgia.
Según el Departamento de Justicia, tenía el más alto nivel de acceso a material clasificado, que aprovechó para enviar documentos a The Intercept, el medio del colaborador de Edward Snowden, Glenn Greenwald. El FBI la arrestó el lunes por la mañana en su casa de Atlanta. En Twitter solo sigue a 50 perfiles, incluyendo Edward Snowden, WikiLeaks y Anonymous. Se enfrenta a 20 años de prisión.
Qué dicen los documentos. Según el informe publicado por The Intercept unas horas antes del arresto, se trata de un informe de la NSA sobre tres campañas de infiltración llevadas a cabo por el Servicio de Inteligencia Militar de las Fuerzas Armadas de la Federación Rusa (GRU). Como indica el artículo, el documento contradice las declaraciones de Vladimir Putin del pasado enero, cuando aseguró que “no había intervenido en las elecciones estadounidenses y no tenían intención de hacerlo”.
Según un informe que las agencias de Inteligencia estadounidenses, todavía bajo la administración Obama, presentaron el pasado enero, el Kremlin habría puesto en marcha una brutal máquina de propaganda contra el proceso democrático en general y la candidata Hillary Clinton en concreto, sin llegar a determinar si dicha campaña había tenido un impacto sobre los resultados. Pero el Departamento de Seguridad Nacional aseguró también que “los métodos observados en los agentes Rusos no incluyen manipulación de voto”.
Los documentos filtrados por Winner dicen que agentes del GRU se introdujeron con éxito en VR Systems, una empresa de Florida cuyas tecnologías y equipos de voto electrónico fueron utilizados en al menos 8 estados en las elecciones de 2016. Las máquinas de VR Systems son las que mantienen y verifican los censos electorales y su diseño incluye conexión a Internet y acceso por Bluetooth. El troyano ideal.
¿Cómo lo hicieron exactamente?
Con el procedimiento estándar: una campaña de phishing para conseguir credenciales y, con esas credenciales, hacer otra campaña personalizada contra los objetivos concretos para infiltrarse en el sistema y poder manipularlo desde dentro. En este caso, siempre según el propio informe de la NSA filtrado por Winner, el objetivo inicial del GRU era entrar en los equipos del gobierno local e infectar todo el sistema. Para hacerlo, necesitaban un buen disfraz. Por ejemplo, el de un manager de VR Systems.
En agosto de 2016, tres meses antes de las elecciones, los hackers rusos mandaron la típica campaña de phishing en forma de correos de Google a siete empleados de VR Systems, previamente identificados como “víctimas potenciales”. El correo advertía de un cambio en la cuenta de Google y requería entrar en la página e introducir usuario y contraseña. Tres de las siete víctimas no llegaron a ver el mensaje porque lo gestionó su filtro de spam. De las otras cinco, al menos una picó el anzuelo.
En una empresa o administración suele bastar con una credencial para tener acceso a todo; intranet, servidor de correo, nube. Además, todo el mundo suele usar la misma contraseña para todo, y que las corporativas suelen seguir un patrón sencillo, elegido al azar por el administrador de sistemas y repetido hasta la extenuación. Una puede ser la clave para adivinar el resto. Por ejemplo: dtrump434, hclinton434, esnowden323.
Una vez tienes acceso al correo de un empleado, puedes escribir correos personales usando su cuenta a personas muy concretas, o crear cuentas nuevas usando tu acceso a la empresa para añadir detalles que te den credibilidad. Esto se llama spear-phishing (pesca con arpón) y fue lo que hicieron dos meses más tarde.
Los rusos mandaron correos a 122 personas relacionadas con distintas oficinas de administración local con documentos de Microsoft Word conseguidos con la primera operación. Naturalmente, estaban infectados con un troyano escrito para PowerShell, la consola del sistema. Al abrirlo, el troyano ejecuta unos comandos para descargar todo tipo de software malicioso desde un servidor remoto, creando una efectiva puerta trasera en el sistema.
Los documentos infectados eran instrucciones de VR Systems para manejar los equipos. Las víctimas eran agentes “involucrados en la gestión del sistema de registro de votos”. A diferencia del ransomware que paralicó miles de empresas hace unas semanas, el malware instalado actúa de manera silenciosa, moviendo información por canales cifrados. Su trabajo es colonizar el sistema para poder manipularlo sin que nadie se de cuenta, y ofrecer una caja negra infranqueable si alguien detecta la intromisión.
¿Significa esto que las elecciones de los EEUU fueron realmente hackeadas?
Como ya vimos el pasado año, hackear unas elecciones donde se usa el voto electrónico es más fácil de lo que parece. Lamentablemente, hacer una auditoría para determinar si han sido hackeadas es mucho más difícil. Los documentos filtrados solo incluyen las conclusiones de la NSA, pero no contienen los datos en crudo de la investigación. Pero estos documentos demuestran que la Agencia de Inteligencia exterior rusa tuvo la oportunidad y puso los medios para hacerlo. Debería ser prueba suficiente para exigir una investigación.
Cómo saben que ha sido ella.
Lamentablemente fue muy fácil. The Intercept compartió los documentos con la NSA para obtener su punto de vista antes de la publicación. Es un procedimiento estándar en periodismo intentar conseguir comentarios de todas las partes. Según el agente del FBI que escribió el informe, la documentación parecía haber sido doblada con la intención de ser sacada a hurtadillas de un recinto vigilado. La NSA siguió el rastro de los documentos en sus propias fotocopiadoras hasta encontrar a las seis personas que los habían reproducido. Una breve auditoría reveló que Reality Winner fue la única que contactó con The Intercept.