Qué sabemos hasta ahora y qué no sobre el supuesto hackeo de China a las grandes tecnológicas de EEUU
La historia que este jueves publicó el Bloomberg Businessweek puede ser una bomba o un farol. Nadie lo sabe, solo Jordan Robertson y Michael Riley, los periodistas que firman la pieza. En plena guerra comercial entre China y EEUU, el artículo viene a echar más leña al fuego en unas relaciones deterioradas, ya de por sí. Ayer, al cierre del SMCI (el mercado donde cotizan las empresas de componentes electrónicos en EEUU), las acciones de Supermicro caían un 41%.
Si han llegado tarde a la historia, es la siguiente: una división del Ejército Popular de Liberación chino sobornó, según Bloomberg, a varios directivos de las plantas de fabricación de Supermicro en el país asiático. La empresa, estadounidense, se dedica a la producción de materiales electrónicos (placas base sobre todo) y tiene subcontratas por todo el mundo, China incluida. Cuatro plantas de fabricación de Supermicro allí habrían instalado unos minúsculos microchips de vigilancia en las placas madre que luego van a parar a los servidores de Amazon, Apple y hasta 30 grandes tecnológicas estadounidenses más.
Unas horas después de publicar la historia original, la prestigiosa publicación estadounidense lanzó otro artículo. También sin revelar fuentes, Bloomberg asegura que la web de Supermicro dedicada a proveer actualizaciones de software críticas para sus componentes llevaba desde 2015 hackeada por los espías chinos. En ese periodo, Facebook y otro cliente más de la empresa descargaron actualizaciones para las tarjetas de red de sus placas base e instalaron, sin querer, el código maligno. “Nos enteramos en 2015 de la manipulación del software de Supermicro gracias a nuestros socios en la industria, a través de nuestros programas de intercambio de información”, explica, teóricamente, Facebook a la publicación. Este malware no habría hecho otra cosa sino complementar y aumentar la capacidad de los microchips-espía que llevaban las placas madre.
La otra cuestión que desliza el reportaje es que Apple también sabía de la existencia de ese código maligno en la web de Supermicro. Casualidad o no, la compañía de Tim Cook cortó relaciones comerciales con la empresa a mediados de 2016, poco después de encontrar malware en un servidor. Sin embargo, en la contestación que los de Cupertino dan al Businessweek tras publicar el primer reportaje, aseguran que “no descubrimos ninguna vulnerabilidad inusual en los servidores que compramos de Supermicro cuando actualizamos el firmware y el software, de acuerdo con nuestros procedimientos estándar”. Apple publicó después un comunicado, que puede leerse en su página web, donde niegan todo.
Luces y sombras del Businessweek
“Todo lo que he leído cuestiona o niega la información de Bloomberg”, explica a eldiario.es Yolanda Quintana, periodista, cofundadora de la Plataforma en Defensa de la Libertad de Información (PDLI) y autora de Ciberguerra (Catarata, 2016). “Yo pondría el acento precisamente en el problema que representa para la gestión de la seguridad”, continúa. Como apunta Quintana, la mayor parte de las publicaciones especializadas en Internet dudan sobre la veracidad de la historia.
En primer lugar, el artículo cita hasta a 17 fuentes anónimas. Sabemos que están relacionadas con el Gobierno de los EEUU, la CIA, el Departamento de Defensa, Apple, Amazon y el resto de empresas supuestamente afectadas por el hackeo. Por un lado, que sean anonimizadas es entendible, ya que si realmente están compartiendo información confidencial pueden enfrentarse a penas de cárcel o a demandas millonarias por parte del gobierno o de sus compañías. Pero a la vez, todo eso resta credibilidad a la historia.
Las rotundas negativas por parte de las empresas tecnológicas no favorecen al reportaje. Pero tenemos precedentes similares que luego resultaron ser ciertos: el más cercano data del año 2013, cuando el exanalista de la NSA Edward Snowden destapó el proyecto PRISM y todas las grandes tecnológicas negaron al principio y asumieron después. Quintana abunda en esto: “Existe una falta de credibilidad de las fuentes con capacidad de desmentirlo, como los servicios de inteligencia y las empresas tecnológicas tras todo lo que conocemos de su complicidad y participación en prácticas análogas”, dice refiriéndose a los papeles de Snowden.
El GCHQ británico ha sido el último en dudar de la historia: “No hay razones para dudar de los comunicados de Apple y Amazon”, dicen. Pero no olvidemos que ellos fueron, junto a EEUU, los principales colaboradores del programa masivo de cibervigilancia.
Directo al corazón de la cadena de montaje
Varios expertos en seguridad informática entrevistados por The Verge consideran que la historia, de ser verdad, nos mostraría un hackeo “modo-dios” que “no solo sería difícil de detectar, sino que también se trataría de algo capaz de sortear hasta las más sofisticadas medidas de seguridad de software”. Antes que China, la NSA estadounidense ya usó herramientas de localización en routers y otros dispositivos electrónicos que luego iban a parar al propio país asiático.
“Hay precedentes de sabotajes documentados por parte de servicios de ciberespionaje a dispositivos informáticos que demuestran que ese camino ya está abierto”, continúa Quintana. Precisamente por esto, en febrero de este año el Gobierno de los EEUU aconsejaba a su población no comprar móviles de las marcas Huawei y ZTE. El pasado agosto, Donald Trump firmó una orden para prohibir a todo el gobierno usar teléfonos de esas compañías.
Una investigación de The Atlantic en 2013 puso de manifiesto que China fabrica el 90% de los ordenadores del mercado. Si la historia de Bloomberg es cierta, es una bomba: no hay precedentes que hablen de un hackeo similar. Golpea directamente al corazón de la cadena de montaje. “Esto nos vuelve a demostrar una máxima que deberíamos recordar a los servicios de inteligencia de todo el mundo embarcados en operaciones de ciberguerra: la gente que vive en casas de cristal, no debería dedicarse a tirar piedras”, concluye Quintana.