De entre las agencias de tres letras estadounidenses (CIA, FBI, NHS, ATF, NRO, etc) quizá sea la NSA la más misteriosa y por tanto temida. La National Security Agency (Agencia de Seguridad Nacional) era tan secreta que se negaba hasta su propia existencia (su apodo era No Such Agency, no existe esa agencia). Su trabajo es la inteligencia de comunicaciones, un campo que ha explotado con la Red, convirtiéndola en el arquetipo de servicio secreto omnipotente y desconocido cuyo control y actividades jamás están del todo claras.
En la última semana, la todopoderosa NSA ha sufrido la segunda mayor humillación de su historia tras el caso Snowden, cuando unos supuestos hackers publicaron una serie de herramientas de penetración informática que al parecer son de su propiedad, y que dejan al descubierto sus tácticas y ponen en duda su seguridad operativa.
Sobre los responsables de la filtración y su significado hay división de opiniones: hay quien acusa a sus homólogos rusos y quien cree que se trata de un 'segundo Snowden', una fuente interna. Las consecuencias en uno y otro caso serán muy diferentes.
1. El archivo
Todo empezó el lunes 15 de agosto con la publicación en un Tumblr ahora inactivo de unas frases en inglés macarrónico y dos ficheros para descargar. El texto anunciaba más o menos lo siguiente:
Junto al texto había dos ficheros descargables y encriptados. El Tumblr estaba firmado por un grupo hasta ahora desconocido llamado Shadow Broker (literalmente “intermediario en la sombra”, el nombre de un personaje del videojuego Mass Effect 2). El grupo proporcionaba la contraseña para descodificar uno de los ficheros y anunciaba que subastaría la contraseña del otro. En concreto, que daría acceso abierto si le pagaban un millón de bitcoins (al cambio actual, casi 600 millones de dólares).
El fichero descodificado resultó contener el código fuente de una serie de programas destinados a explotar vulnerabilidades presentes en ordenadores conectados a Internet, para proporcionar acceso a un atacante sobrepasando cortafuegos y otros sistemas de seguridad. Es como una caja de herramientas para ‘crackers’ y los programas son bastante sofisticados; casi todos tienen fechas anteriores a junio de 2013. Algunos emplean vulnerabilidades en sistemas operativos y programas de Internet que no eran públicos entonces (e incluso ahora).
Todos son potentes, y llevan nombres como ELIGIBLEBACHELOR, EXTRABACON, EGREGIOUSBLUNDER o EPICBANANA. Estos nombres y el apodo Equation Group apuntan en una clara dirección: uno de los equipos más sofisticados y poderosos de hackers al servicio de la NSA.
2. Los sospechosos
En efecto, los nombres son similares a los que aparecen en los documentos internos sobre programas de la NSA publicados por el grupo de periodistas que cooperan con Edward Snowden. Para los investigadores del sector, Equation Group es uno de los actores persistentes más sofisticados y agresivos, y se piensa que está relacionado con armas cibernéticas como Stuxnet, diseñado para atacar al programa iraní de enriquecimiento de uranio, por lo que se le relaciona con la NSA.
De hecho, The Intercept ha publicado indicios concretos en el código filtrado por “Shadow Broker” que están también en un manual interno de la NSA procedente de los ficheros de Snowden que no se había hecho público aún. Esto parece confirmar que en efecto, se trata de armas cibernéticas de la NSA. El propio Snowden así lo cree. La pregunta es qué hay en el otro fichero, aún cerrado, como para pedir tanto dinero a cambio.
3. Las consecuencias
Las consecuencias de la publicación del primer archivo no se han hecho esperar: los operadores de sistemas y programadores de la NSA han dedicado todas las horas de la semana a localizar las vulnerabilidades y parchearlas lo más rápidamente posible. Algunas de ellas ya estaban resueltas; otras no son tan peligrosas, o sirven tan sólo para ataques muy limitados.
Pero la sofisticación general de los programas filtrados preocupa. No sólo porque los métodos o el código puedan ser reutilizados por crackers malévolos, sino porque los indicios sirvan como huella dactilar para identificar la fuente de ataques pasados. Esto podría causar tensiones, si se demuestra que los servicios estadounidenses están detrás de intrusiones anteriores a según qué países, quizá incluso amigos.
Pero donde la cosa se pone más complicada es en el tema de la responsabilidad de la filtración, porque sin duda la NSA querrá responder a sus atacantes y, dependiendo de quién haya sido, las consecuencias pueden ser muy diferentes.
Snowden no ha dudado en relacionar los ficheros filtrados con su propia huida, justo en junio de 2013, lo que para él sugiere que la agencia debió abandonar sus servidores de ataque como medida de precaución ante sus filtraciones. Las herramientas habrían podido quedar así a merced de otros, quizá de los servicios de inteligencia rusos. Según Snowden, este tipo de esgrima es habitual entre los rivales del ciberespacio.
Lo que no es normal es hacer públicas las victorias, si este fuera el caso. Esta filtración sucede inmediatamente después de la filtración de correos del Comité Nacional Demócrata, que se achaca a los rusos. Snowden cree que podría tratarse de un disparo de advertencia, una forma de avisar de los riesgos de la excesiva transparencia. Algo así como 'si vosotros publicáis nuestras miserias, nosotros publicaremos las vuestras'... lo cual podría escalar en una batalla de trapos sucios y creciente tensión difícil de contener para los gobiernos implicados.
4. Un segundo Snowden
La alternativa es que los ficheros no provengan de un servidor de ataque externo, sino de la propia red interna de la NSA, y algunos indicios técnicos así parecen apuntarlo. En este caso no se trataría de una intrusión, sino de una filtración desde dentro; un ‘segundo Snowden’ empleado de la agencia haciendo pública información interna.
Es lo que opina James Bamford, periodista especializado que lleva décadas investigando a la NSA y autor de los primeros libros sobre su estructura y funcionamiento. Según su análisis político y técnico todo apunta a la existencia de un segundo filtrador que está sacando a la luz datos como antes lo hiciera Snowden, aunque sus intenciones y alcance son todavía desconocidos.
Todo dependerá de la posible publicación del contenido del segundo fichero, de si revela más datos sobre los autores de la filtración. De confirmarse que es obra de los rusos, se reforzarían las voces dentro de los EE UU que ya hablaban de posibles represalias o de al menos reforzar las defensas en el ámbito virtual, y calentaría una ciberguerra de baja intensidad que de momento se ha mantenido relativamente fría.
Con otro Snowden, la reputación de eficiencia de la NSA quedaría aún más perjudicada y sus métodos de actuación más al descubierto. Lo que el incidente demuestra de una vez por todas es que nadie, ni siquiera los más sofisticados actores en el ámbito de la vigilancia electrónica en Internet, está a salvo. Es el momento de que todos, incluida la NSA, nos tomemos la seguridad de la información un poco más en serio.