El mundo invisible de las puertas traseras del software y los cazarrecompensas

Pratap Chatterjee
La Haine

Las revelaciones de Snowden muestran que dispositivos y software son vulnerables a errores de fabricantes, pero más a acuerdos secretos con la NSA.

Imagínense que pueden pasear por una ciudad sin ser vistos, entrando y saliendo a hurtadillas de las casas y oficinas que Vds. decidan visitar en cada momento del día o de la noche. Imagínense que, una vez dentro, pudieran observar cuanto sucede, todo lo que los demás no pueden percibir, desde las combinaciones utilizadas para proteger las cajas fuertes de los bancos a las citas clandestinas de los amantes. Imagínense también que tienen capacidad para registrar silenciosamente las acciones de todos, ya sea en el trabajo o en su tiempo de ocio, sin dejar rastro. Tal omnisciencia podría, desde luego, hacerles ricos, pero lo que quizá sea más importante es que podría hacerles muy poderosos.

Tal escenario, propio de una novela futurista de ciencia ficción, es de hecho casi realidad en estos mismos momentos. Después de todo, la globalización e Internet han conectado todas nuestras vidas en una única y perfecta ciudad virtual donde todo es accesible con un toque de dedo. Guardamos nuestro dinero en cajas fuertes online; dirigimos nuestras conversaciones y a menudo nos trasladamos de un lugar a otro con la ayuda de nuestros dispositivos móviles. Casi todo lo que hacemos en el ámbito digital se graba y vive para siempre en la memoria de un ordenador al que, con el software adecuado y las contraseñas correctas, pueden acceder otros, lo queramos o no.

Ahora –un momento más de imaginación-, ¿qué pasa si cada una de sus transacciones en ese mundo estuviera infiltrada? ¿Qué pasa si el gobierno hubiera pagado a los programadores para que pusieran trampillas y pasajes secretos en las estructuras que están creándose en este nuevo mundo digital para tenernos conectados a todos nosotros todo el tiempo? ¿Qué pasa si resulta que tienen cerrajeros de guardia para ayudar a crear llaves maestras de todas las habitaciones? ¿Y qué pasa si pudieran pagar a cazarrecompensas para que nos acechen y construyan perfiles de nuestras vidas y nuestros secretos para utilizarlos en contra nuestra?

Bien, ya pueden dejar su imaginación en la puerta, porque ese es, en efecto, el audaz nuevo mundo distópico que el gobierno de EEUU está construyendo, según las últimas revelaciones de la mina de documentos publicados por el denunciante de la Agencia de Seguridad Nacional (NSA, por su siglas en inglés) Edward Snowden.

Durante los últimos ocho meses, los periodistas han estado escarbando en esos documentos revelando que el mundo de la vigilancia masiva de la NSA implica una estrecha colaboración con una serie de empresas de las que la mayoría de nosotros no hemos oído hablar nunca, dedicadas a diseñar o probar el software que todos damos por hecho que ayuda a mantener runruneando nuestras vidas digitales.

Estas compañías de software colaboran con el estado de tres amplias maneras: a través de un programa de la Agencia de Seguridad Nacional llamado “Bullrun” [programa de descifrado], mediante el que esa agencia paga a programadores como RSA, una firma de seguridad de software, para que construya “puertas traseras” en nuestros ordenadores; la utilización de “cazarrecompensas”, como Endgame y Vupen, que encuentran fallos explotables en el software existente, como Microsoft Office y nuestros teléfonos inteligentes; y, finalmente, la utilización de agentes de datos, como Millennial Media, que se dedica a recoger datos personales de todo el mundo en Internet, especialmente cuando van a comprar o entran en juegos como ‘Angry Birds’, ‘Farmville’ o ‘Call of Duty’.

Por supuesto, que eso es sólo el comienzo cuando se trata de enumerar las vías por las que el gobierno está intentando observarnos a todos. Por ejemplo, el FBI utiliza hackers para irrumpir en los ordenadores personales y conectar cámaras y micrófonos, mientras la NSA recoge al por mayor registros de celulares e intenta cosechar todos los datos que viajan por los cables de fibra óptica. En diciembre de 2013, el investigador y pirata informático Jacob Appelbaum reveló que la NSA ha construido también un hardware, con nombres como Bulldozer, Cottonmouth, Firewalk, Howlermonkey y Godsurge, que puede insertarse en los ordenadores para transmitir datos a los espías estadounidenses incluso cuando Vds. no están conectados a Internet.

“Actualmente, la NSA está llevando a cabo una invasión total e instantánea de la privacidad con un esfuerzo muy limitado”, declaró a ‘The New York Times’ Paul Kocher, el principal científico de Cryptography Research, Inc., que se dedica a diseñar sistemas de seguridad. “Esta es la edad de oro del espionaje”.

Construyendo puertas traseras

En la década de los noventa del siglo pasado, la administración Clinton promovió una pieza especial de hardware diseñada por la NSA que ésta quería instalar en ordenadores y dispositivos de telecomunicaciones. Llamado Chip Clipper, se intentaba que ayudara a codificar datos para protegerlos de accesos no autorizados pero con una variante: que transmitía también una señal de “Campo de Acceso a los Cuerpos de Seguridad” con una clave que el gobierno podría utilizar si quería acceder a los mismos datos.

Los activistas e incluso las compañías de software lucharon contra el Chip Clipper en una serie de escaramuzas políticas conocidas como las Criptoguerras. Una de las compañías más activa en esa lucha fue RSA de California. Llegó incluso a imprimir carteles con un llamamiento a “Hundir el Clipper”. En 1995, la propuesta era ya una causa perdida, derrotada con la ayuda de tan improbables aliados como el presentador Rush Limbaugh y los Senadores John Ashcroft y John Kerry.

Pero la NSA demostró ser mucho más tenaz de lo que imaginaban sus oponentes. Nunca renunció a la idea de empotrar claves secretas de descifrado dentro del hardware de los ordenadores, algo en lo que Snowden ha hecho hincapié (con documentos que lo prueban).

Una década después de las Criptoguerras, RSA había cambiado de bando. Según un artículo de investigación de Joseph Menn, de ‘Reuters’, al parecer aceptaron diez millones de dólares de la NSA a cambio de empotrar una fórmula matemática, diseñada por la NSA, denominada Dual Elliptic Curve Deterministic Ramdom Bit Generador [Doble Curva Elíptica], dentro de sus productos de software Bsafe, como método de cifrado por defecto.

La Doble Curva Elíptica tiene un “fallo” que permite que se pueda piratear, como admite incluso RSA. Por desgracia para el resto de nosotros, Bsafe se instala en una serie de productos de ordenadores personales populares y la mayor parte de la gente no tiene medios para poder desconectarlo.

Según los documentos de Snowden, el acuerdo a que llegó RSA fue tan sólo una de las diversas concertaciones alcanzadas bajo el programa Bullrun de la NSA, que ha costado a los contribuyentes más de 800 millones de dólares hasta la fecha y que abrió cada usuario de ordenador y móvil por todo el mundo a los ojos fisgones del Estado de vigilancia.

“La naturaleza profundamente perniciosa de esta campaña –que socava los valores nacionales y sabotea el hardware y el software-, así como el alcance de la manifiesta cooperación por parte del sector privado, son ambos impactantes”, escribieron Dan Auerbach y Kurt Opsahl de la Electronic Frontier Foundation, un grupo activista que tiene su sede en San Francisco y que se ha dedicado a luchar contra la vigilancia del gobierno. “Las puertas traseras acaban básicamente con la seguridad de todos, no sólo de los chicos malos”.

Los cazarrecompensas

Por un precio de ganga de 5.000 dólares, los hacker ponen en venta un fallo de software en Adobe Acrobat que les permite controlar el ordenador de cualquier víctima incauta que se descargue un documento suyo. En el otro extremo de la gama de precios, Engame Systems de Atlanta, Georgia, ofrece a la venta un paquete llamado Maui por 2,5 millones de dólares que puede atacar objetivos por todo el mundo a partir de los fallos descubiertos en el software del ordenador que Vds. utilizan. Por ejemplo, hace algunos años, Endgame puso a la venta objetivos en Rusia, incluyendo una refinería de petróleo en Achinsk, el Banco de la Reserva Nacional y la planta de energía nuclear de Novovoronezh. (Anonymus, la red online de hackers activistas, dio a conocer la lista.)

Aunque esos “productos”, conocidos en los círculos de hackers como “zero day exploits” [ataques de día cero], pueden sonar como promociones de ventas propias de estafadores que cualquier gobierno querría poner tras las rejas, los hackers y las compañías que se dedican a descubrir fallos en el software popular son en realidad cortejados asiduamente por las agencias de espionaje como la NSA, que pretende utilizarlos en la ciberguerra contra potenciales enemigos.

Tomemos Vupen, una compañía francesa que ofrece un catálogo de vulnerabilidades informáticas mundiales, regularmente actualizado, por una suscripción anual de 100.000 dólares. Si ves algo que te gusta, pagas un extra para conseguir los detalles que te permitan piratearlo. Un folleto de Vupen, publicado por WikiLeaks en 2011, aseguraba a sus potenciales clientes que la compañía tiene como objetivo “ofrecer códigos exclusivos de ataque para vulnerabilidades no divulgadas”, a fin de “atacar y conseguir acceder, de forma encubierta, a sistemas informáticos remotos”.

En un evento patrocinado por Google en Vancouver en 2012, los hackers de Vupen demostraron que podían introducirse en un ordenador a través del navegador de Google Crome. Pero se negaron a informar de los detalles a la compañía, burlándose públicamente de Google. “No compartiríamos esto con Google ni por un millón de dólares”, se jactó Chaouki Bekrar, de Vupen, en la revista Forbes. “No queremos darles ningún conocimiento que pueda ayudarles a reparar este ataque u otros similares. Queremos guardar esto para nuestros clientes”.

Además de Endgame y Vupen, otros actores en este campo incluyen a Exodus Intelligence en Texas, Netragard en Massachussetts y ReVuln en Malta.

¿Su mejor cliente? La NSA, que gastó al menos 25 millones de dólares en 2013 en comprar docenas de esos “ataques”. En diciembre, Appelbaum y sus colegas informaron en ‘Der Spiegel’ que el equipo de la Agencia se jactó de su capacidad para penetrar cualquier ordenador dotado de Windows en el momento en que la máquina envía mensajes a Microsoft. Así, por ejemplo, cuando su ordenador se bloquea y amablemente se ofrece a informar del problema a la compañía, si cliquean que sí podrían abrir su ordenador al ataque.

El gobierno federal está acusado ya de haber utilizado esos ataques (incluyendo uno en Microsoft Windows); el más famoso fue cuando desplegaron el virus Stuxnet para destruir las centrifugadoras nucleares de Irán.

“Esta es la militarización de Internet”, dijo Appelbaum en el Congreso sobre el Caos Informático celebrado en Hamburgo. “Esta estrategia está socavando Internet en un esfuerzo directo para hacerlo inseguro. Estamos bajo una especie de ley marcial”.

Cosechando nuestros datos

Entre los documentos de Snowden había un informe de 2012 de veinte páginas de la Oficina Central de Comunicaciones del Gobierno –la equivalente británica de la NSA- en el que aparece una compañía con sede en Baltimore, Millennial Media.

Según la agencia de espionaje, Millennial Media puede proporcionar perfiles “intrusivos” de usuarios de aplicaciones de teléfonos inteligentes y juegos. ‘The New York Times’ ha señalado que la compañía ofrece datos, por ejemplo, de si las personas son solteras, casadas, divorciadas, comprometidas o “promiscuas”, así como su orientación sexual (“heterosexual, gay, bisexual y ‘no se sabe’”).

¿Cómo consigue Millennial Media estos datos? De forma sencilla. Resulta que recoge los datos de algunos de los fabricantes de videojuegos más populares del mundo. Eso incluye a Activision en California, que hace ‘Call of Duty’, un juego bélico militar que ha vendido más de 100 millones de copias; Rovio de Finlandia, que ha regalado 1,7 millones de copias de un juego denominado ‘Angry Birds’, que permite a los usuarios disparar pájaros desde una catapulta a unos cerdos reidores; y Zynga –también de California-, que fabrica ‘Farmville’, un juego agrícola con alrededor de 240 millones de usuarios mensuales activos.

Es decir, estamos hablando de un porcentaje importante del mundo conectado que, sin saberlo, entrega sus datos personales, incluyendo su ubicación e intereses de búsqueda, cuando se descargan aplicaciones “gratuitas” después de aceptar un acuerdo de licencia que legalmente permite al fabricante capturar y revender su información personal. Muy poca gente se molesta en leer la letra pequeña o pensar dos veces en la finalidad real del acuerdo.

Las aplicaciones se pagan solas a través de un nuevo modelo de negocio denominado “puja en tiempo real”, en la que anunciantes como Target y Walmart les envían cupones y ofertas especiales para cualquier sucursal de su almacén que les caiga más próxima. Hacen esto analizando los datos personales que les han enviado aplicaciones “gratuitas” para descubrir dónde se encuentran y qué es lo que más puede interesarles. Cuando, por ejemplo, entran en un centro comercial, su móvil transmite su ubicación y en una milésima de segundo un agente de datos establece una subasta virtual para vender sus datos al postor más alto. Esta rica y detallada corriente de datos permite a los anunciantes adaptar sus anuncios a cada cliente individual. Como resultado, a partir de sus historias personales, dos personas que caminen de la mano por una calle pueden recibir anuncios muy diferentes, incluso aunque vivan en la misma casa.

Esto tiene también un valor inmenso para cualquier organización que pueda emparejar los datos de un dispositivo con un nombre e identidad reales, como en el caso del gobierno federal. Efectivamente, el ‘Guardian’ ha hecho hincapié en un documento de la NSA de 2010, en el que la agencia alardea de “recoger casi todos los detalles clave de la vida de un usuario: incluyendo país de origen, localización actual (a través de la geolocalización), edad, género, código postal, estado civil… ingresos, etnia, orientación sexual, nivel de educación y número de hijos”.

Negando lo evidente

Cada vez está más claro que el mundo online es, tanto para las formas de vigilancia del gobierno como para los vendedores de las empresas corporativas, un nuevo Salvaje Oeste donde todo vale. Esto es especialmente verdad cuando se trata de espiarles y recoger todas las versiones imaginables de sus “datos”.

Las compañías de software, por su parte, han negado estar ayudando a la NSA y han reaccionado con ira ante las revelaciones de Snowden. “Lo más importante para nosotros es la confianza de nuestros fans y nos tomamos muy en serio el tema de la privacidad”, comentaba Mikael Hed, director ejecutivo de Rovio Entertainment, en un comunicado público. “Ni colaboramos ni nos confabulamos ni compartimos los datos con ninguna agencia de espionaje del mundo”.

RSA ha intentado negar que existan fallos en sus productos. “No hemos participado nunca en ningún contrato ni nos hemos comprometido con ningún proyecto con la intención de debilitar nuestros productos, o introducir potenciales “puertas traseras” en ellos para uso de nadie”, dijo la compañía en un comunicado publicado en su página de Internet. “Negamos categóricamente esa acusación”. (Sin embargo, RSA ha empezado recientemente a aconsejar a sus clientes que dejen de utilizar el algoritmo Doble Curva Elíptica.)

Otros vendedores como Edgame y Millennial Media han mantenido un estoico silencio. Vupen es una de las pocas que alardea de su capacidad para descubrir las vulnerabilidades del software.

Y la NSA ha emitido un comunicado estilo gubernamental que ni confirma ni niega las revelaciones. “Las comunicaciones de las personas que no son objetivos válidos para la inteligencia exterior no son de interés de la Agencia de Seguridad Nacional”, dijo al ‘Guardian’ una portavoz de la NSA. “No son ciertas las insinuaciones de que la recogida de inteligencia exterior de la NSA se centra en los teléfonos inteligentes o en las comunicaciones de las redes sociales diarias de los estadounidenses”.

Sin embargo, la NSA no ha negado la existencia de su Office of Tailored Access Operations (TAO), que ‘Der Spiegel’ describes como “un escuadrón de fontaneros de alta tecnología al que puede llamarse cuando el acceso normal a un objetivo está atascado”.

Los documentos de Snowden indican que TAO dispone de una serie de sofisticadas herramientas a su disposición –que la NSA denomina “Teoría Cuántica”-, compuesta por puertas traseras y dispositivos de escucha telefónica que permiten a sus ingenieros de software infiltrar software espía en un determinado ordenador. Un ejemplo potente y difícil de detectar de lo anterior es la capacidad de TAO para recibir avisos cuando el ordenador de un objetivo visita determinadas páginas de Internet, como LinkdIn, redirigiéndolo a un servidor de la NSA llamado “Foxacid”, donde la agencia puede descargar software espía en una fracción de segundo.

¿Cómo podemos salir del jardín vallado?

La verdad simple del asunto es que la mayor parte de los individuos son objetivos fáciles tanto para el gobierno como para las corporaciones. Tanto si pagan productos de software como Pages y Office de fabricantes bien conocidos, como Apple y Microsoft, como si hacen descargas gratuitas de empresas de videojuegos, como Activision, Rovio y Zynga, para utilizarlas en dispositivos móviles “respetables”, como Blackberries y iPhones.

Esos fabricantes guardan celosamente el código fuente del software que proporcionan diciendo que necesitan tener el control de calidad. Algunos llegan incluso más lejos aún con lo que se conoce como en enfoque del “jardín vallado”, permitiendo sólo los programas aprobados previamente en sus dispositivos. iTunes de Apple, Kindle de Amazon y Wii de Nintendo son algunos ejemplos de esto.

Pero, como han ayudado a aclarar las revelaciones de Snowden, esos dispositivos y software son vulnerables tanto ante los errores de los fabricantes, que abren puertas traseras a explotar en sus productos, como [aún más] a los acuerdos secretos con la NSA. Así pues, en un mundo donde cada vez hay menos privacidad, donde nada es simplemente tuyo, ¿qué puede hacer un usuario de Internet? Para empezar, hay una alternativa a la mayoría de los programas de software importantes para procesamiento de textos, hojas de cálculo y diseño gráfico: el uso de software abierto y gratuito, como Linux y Open Office, donde el código subyacente está disponible para que el pirateo y los fallos puedan detectarse y examinarse. (Piense en ello de esta forma; si la NSA llega a un acuerdo con Apple para copiarlo todo en su iPhone, no va a saberlo nunca. Si compró un teléfono de código abierto –que no es fácil de conseguir-, ese tipo de cosas se vería rápidamente). También puede utilizar buscadores cifrados, como Tor, o motores de búsqueda como Duck Duck Go, que no almacenan sus datos.

A continuación, si tiene y utiliza un dispositivo móvil regularmente, hágase Vd. mismo el favor de apagarlo tantas veces como se lo permitan la configuración de la ubicación y las opciones de intercambio de datos. Y lo último, pero no por ello menos importante, no juegue a Farmville, salga a la calle y haga cosas reales. En cuanto a Angry Birds y Call of Duty, honestamente, en vez de dispararle a los cerdos y a la gente, podría ser hora de pensar en encontrar mejores modos de entretenerse. ¿Desempolvar quizá un pincel? ¿O unirse a un grupo activista como la Electronic Frontier Foundation y luchar contra el Gran Hermano.

Fuente: La Haine