La NSA infectó más de 50.000 redes de computadoras en todo el mundo con un software maligno
diseñado para robar información confidencial.
Entre los países blancos están Venezuela, Bolivia, Brasil, Ecuador, Cuba, Colombia y Honduras, entre otros.
Así lo demuestran nuevos documentos proporcionados por el exempleado de la NSA Edward Snowden.
Una presentación de 2012, a la que tuvo acceso el diario holandés ‘NRC’, explica cómo la Agencia de Seguridad Nacional (NSA) recoge información de todo el mundo. Además muestra que el servicio de inteligencia utiliza una ‘Red Informática Explotación’ (CNE, por sus siglas en inglés) en más de 50.000 ordenadores. La CNE se infiltra secretamente en los sistemas informáticos mediante la instalación de software malicioso.
Los ataques son realizados por un departamento especial llamado Tailored Access Operations (TAO) que cuenta con más de un millar de piratas informáticos. Basándose en un informe sobre el presupuesto secreto de los servicios de inteligencia estadounidenses, el ‘Washington Post’ anunció en agosto que la NSA había instalado unos 20.000 “implantes” en 2008 y que estaba llevando a cabo estas operaciones cibernéticas desde 1998.
El software maligno puede ser controlado, activado y desactivado de una forma remota y puede permanecer activo durante años sin ser detectado. Las ‘células durmientes’ digitales pueden ser activadas con la sola pulsación de un botón. Según el ‘Washington Post’, la NSA ha estado llevando a cabo este tipo de operación cibernética desde 1998.
Un ejemplo de este tipo de piratería fue descubierto en septiembre de 2013 por el proveedor de telecomunicaciones Bélgica Belgacom. Hace varios años el servicio de inteligencia británico había instalado este software malicioso en la red de Belgacom para tener acceso a las llamadas y los datos de tráfico de sus clientes. En ese caso, el Reino Unido utilizó una página falsa en Linkedin para atraer a los empleados de la empresa.
La NSA no quiso hacer comentarios acerca de este tema y remitió al Gobierno de los EE.UU. Un portavoz del Gobierno afirma que la divulgación de material secreto es perjudicial para la seguridad nacional.
Este 21 de noviembre los ministros de Defensa de Argentina y Brasil tuvieron una reunión para ponerse de acuerdo sobre el proyecto de defensa cibernética común. Para este proyecto, Brasil busca también el apoyo de otros países en el marco de la ONU y la Unasur.
Por otro lado Brasil seguirá promoviendo su iniciativa sobre la protección del derecho a la privacidad en las redes, presentada junto a Alemania ante la ONU. Tras el escándalo de espionaje por parte de EE.UU., insiste en considerar la violación de la intimidad de los individuos en internet como un crimen de derechos humanos.
Puede ver la lista completa de las ciudades con las redes de computadoras infectadas por la NSA en el siguiente mapa:
RTEl mayor centro de vigilancia de la historia, capaz de interceptar tus llamadas, mails y búsquedas de Google, está a punto de ver la luz en el desierto de Utah. Vigila lo que cuentas.
La pequeña población de Bluffdale (EEUU) ya no solo es noticia por albergar la base de una de las mayores sectas polígamas de América. Los 9.000 integrantes de la iglesia mormona de los Hermanos Apostólicos Unidos han visto mermar su notoriedad frente a la llegada nuevos inquilinos.
Obama: pico de oro, alma de demonio
Los recién llegados no están interesados en descifrar mensajes bíblicos o religiosos. Su objetivo es interceptar, descifrar, analizar y almacenar las imágenes y palabras que se transmitan por todas las redes del planeta.
Una misión que verá la luz en septiembre de 2013, cuando EEUU estrene el Utah Data Center, el mayor centro de espionaje de la historia. Una súper caja negra capaz de almacenar yottabytes de datos, llamadas, emails privados y búsquedas de Google. Una vez construída, será cinco veces más grande que el Capitolio de EEUU.
NSA escanea y almacena millones de emails y agendas
Tus datos, junto a otros trillones de fotos y palabras, serán interceptados por el supercentro que ultima la NSA (National Security Agency o, como muchos apodan, “Never Say Anything”).
Si hace veinte años el periodista escocés Duncan Campbell destapó al mundo la realidad de Echelon–un sistema creado por Estados Unidos, Canadá, Australia, Nueva Zelanda y Reino Unido para rastrear las telecomunicaciones desde satélites, submarinos, torres de captación y otros dispositivos–, ahora es el periodista americano James Bamford el que transforma en ‘hechos’ todos los mitos y teorías conspiracionistas sobre la nula privacidad en la era digital.
Su último libro, The Shadow Factory: The NSA from 9/11 to the Eavesdropping on America, es una extensa y detallada investigación en la que desvela cómo EEUU, tras los cambios legislativos que propiciaron los ataques del 11 de septiembre de 2011, ha logrado erigir un imperio de espionaje nunca antes visto escudándose en la lucha contra el terrorismo.
El centro de Bluffdale no solo accederá a tus datos más personales. Las verdaderas intenciones de este Gran Hermano 2.0, según explicó un oficial de inteligencia al autor, se encuentran en poder descifrar y manejar códigos encriptados de información financiera, acuerdos empresariales, secretos militares y diplomáticos del extranjero, documentos legales o comunicaciones confidenciales.
Nada escapará a la supercomputadora, que accederá a la denominada “web invisible” o “deepnet”, es decir, datos que no están accesibles al público y que transitan por las redes lejos del tránsito de un usuario medio.
Para poder llevarlo a cabo, el Utah Data Center cuenta con un sistema de seguridad de altos vuelos: un programa de 10 millones de dólares de protección antiterrorista (que incluye una valla diseñada para parar un vehículo de 6 toneladas de peso que circule a 80 kilómetros por hora), sofisticados circuitos de cámaras de vigilancia, un sistema de identificación biométrica y un centro de acceso de personal que ha costado nueve millones de dólares para verificar que sólo las personas autorizadas tienen el acceso permitido.
En su interior, más de 90.000 metros cuadrados de superficie, divididos en ocho diferentes áreas: el centro de control de visitantes, administración, data halls (cuatro bloques de dos mil metros cuadrados cada uno en los que habrá cientos y cientos de servidores), backups y tanques de gasolina para poder suministrar energía por lo menos tres días en caso de fallo energético, un bloque de almacenamiento de agua capaz de bombear seis millones de litros de agua al día, una planta de refrigeración que contendrá casi 60.000 toneladas de equipo para evitar el sobrecalentamiento de los servidores, su propia subestación energética y la potente valla de seguridad anteriormente mencionada que rodeará el perímetro del centro.
En unos meses, este centro se convertirá en la “nube” de la red de espionaje del NSA. Bamford asegura que una vez esté operativo, se podrá alimentar de datos recogidos por los satélites de espionaje de la agencia en el extranjero, puestos de escucha y salas secretas de vigilancia en las instalaciones de telecomunicaciones en todo los EE.UU.
La NSA tiene bases repartidas por todo el territorio. En Texas interceptan datos de Latinoámerica, Europa y el Medio Oriente. En Georgia hacen lo propio con comunicaciones de Europa, Medio Orietne y el Norte de África. La base de Colorado está especializada en sátelites geoestacionarios y en Oahu (Hawaii) interceptan comunicaciones de Asia.
El Utah Data Center se encargará de aunar todos estos datos en su servidor para que en la base de la NSA, emplazada en FortMeade (Maryland), los analistas de la agencia elaboren informes y recomendaciones que se enviarán a la Casa Blanca y al Pentágono. Todo un entramado millonario para alzarse con los secretos de las comunicaciones a una escala global.
A pesar de que el libro de Bamford lleva más de tres años en el mercado (y había publicado algunos artículos sobre el espionaje antiterrorista), su investigación no tomó especial relevancia hasta que la revista Wired decidió colocar al Utah Datah Center en su portada del pasado mes de abril.
En EEUU se levantó una fuerte polvareda mediática y hasta el director de la NSA, Keith Alexander (en el siguiente vídeo), tuvo que contestar una serie de preguntas en el Congreso en relación a la investigación del periodista. La agencia, como era de esperar, lo negó todo.
Queda poco menos de un año para que Bluffdale comience a funcionar. Mientras tanto, su construcción y la información que atañe a sus características sigue bajo máximo secreto. Vigila lo que cuentas y escribes, puede que tus llamadas y mails dejen de ser privados y acaben en un servidor del desierto de Utah. Orwell, como todos preveíamos, no iba tan desencaminado.
Cómo espía la NSA a los usuarios de Tor
Guillermo Julián Genbeta
The Guardian sigue con las filtraciones de la NSA , y la última se refiere a Tor. Este software permite navegar de forma anónima por Internet y acceder a servidores web ocultos, todo con tráfico cifrado y enrutado de tal forma que es muy difícil detectar la procedencia original.
Tor está basado en la técnica del enrutado cebolla o por capas. A grandes rasgos, lo que hace el cliente es enviar un paquete a un nodo de la red, este lo envía a un segundo nodo, el segundo a un tercero… y así siguiendo una ruta más o menos aleatoria hasta que sale de la red Tor, llega a Internet y la respuesta vuelve al cliente original. Todo ello con cifrado a cada paso: tenéis una explicación más completa de cómo funciona Tor aquí mismo, en Genbeta.
La NSA y el GCHQ han utilizado ataques conocidos junto con su poder e influencia para atacar y “desanonimizar” a usuarios de Tor. Sin embargo, no lo han conseguido con el 100% de usuarios ni han logrado atacar a usuarios específicos: por el contrario, lo que hacen es “poner trampas” y ver quién cae. Tampoco han roto la seguridad y cifrado de Tor, los ataques se dirigen más bien a otros programas que use el objetivo para “colarse” en su ordenador.
Lo que la NSA ha hecho con Tor se puede dividir en dos partes: por una, análisis para detectar a los usuarios y por otra ataques para comprometer sus ordenadores y poder espiarles sin problemas de forma continuada.
Análisis: desde usuarios “tontos” hasta revelación cookies La NSA quiere saber quién está haciendo qué en Internet en todo momento, y Tor se lo pone difícil. Todas las técnicas de análisis están enfocadas a saber quién está detrás de cada petición de Tor, para o bien añadir esos datos a sus registros o bien efectuar más ataques sobre el objetivo posteriormente.
La primera parte consiste en distinguir si una petición a una página web viene de la red Tor o de un usuario normal.
No es un paso difícil:
Tor deja muchas huellas que hace que su detección sea sencilla.
Por ejemplo, TorButton no desvela el número de compilación de Firefox que estás usando. Lo hace por motivos de privacidad, y porque no pasa nada si se detecta una petición Tor: lo que de verdad importa es que no se pueda distinguir entre varios usuarios Tor.
Lo siguiente que hay que hacer es saber quién hay detrás, y la NSA ha desarrollado varias técnicas de análisis.
En las presentación filtrada por The Guardian, la que más me ha llamado la atención es Dumb users ( EPICFAIL ), o en castellano “Usuarios idiotas (fallo épico)”. La idea es sencilla: fijarnos en fallos de los usuarios que revelen su identidad. Por ejemplo, pongamos que un usuario, Bob, escribe normalmente en un foro bajo el seudónimobob8819. Más tarde, empieza a usar Tor para visitar otras páginas. La NSA no sabe quién es el que está haciendo esas visitas, hasta que de repente Bob escribe en su foro habitual bajo su seudónimo de siempre usando Tor. Con esa información, Bob ha desvelado su identidad y ha permitido a la NSA vincular esas visitas desconocidas de Tor con otras visitas de las que ya conocía el origen.
En resumen, lo que hace la NSA es vincular el tráfico de un usuario Tor a otro tráfico normal (que sabemos de dónde viene) mirando qué partes comunes hay entre los dos. Aquí, las partes comunes eran nombres de usuario y correos. El siguiente nivel es usar las cookies.
La idea es aprovechar cookies que “sobrevivan” a la navegación con Tor, por ejemplo si se usa mal el navegador con Tor y no se borran al pasar a la navegación normal (no anónima). Según la presentación, las cookies de DoubleClick (red de anuncios) serían una buena forma para identificar usuarios Tor.
Por último, la NSA también podría estudiar la fecha, hora y lugar de conexión de un objetivo y después buscar conexiones a Tor con los mismos parámetros. Sin embargo, es difícil seleccionar los candidatos y los programas que están en marcha no son muy eficaces.
Estudiar la red Tor para descubrir a los usuarios originales El otro tipo de técnicas de análisis se basan en estudiar la red Tor. La primera es sencilla de entender: la reconstrucción de circuitos.
Si la NSA controla todos los nodos de un circuito, podría vigilar por dónde va el paquete, desde que lo envía el usuario original hasta que sale a Internet. Sin embargo, controlan un número muy bajo de nodos, de tal forma que la probabilidad de que un paquete visite sólo los nodos de la NSA es ínfima, lo que hace la reconstrucción de circuitos casi imposible.
También existe el análisis de tiempos, que es igualmente simple. Por ejemplo, pueden detectar que cuando un paquete entra a la red Tor, sale otro a los 300 milisegundos en otra parte del mundo hacia el ordenador de nuestro amigo Bob. Si se repite mucho ese patrón de latencia, es muy posible que ese tráfico de Tor esté originado por Bob.
Exploits, ataques directos contra usuarios: FoxAcid
Una vez que la NSA ha detectado quién está detrás de un cierto tráfico Tor, pasa a atacarle para ganar acceso a su ordenador y poder espiarle continuamente.
Los ataques se ejecutan de varias formas. Muchas veces, se atacan vulnerabilidades en Firefox (el navegador usado por Tor Browser Bundle). Por ejemplo, EgotisticalGiraffe aprovechaba un fallo en la gestión que Firefox hacía de la librería EX4. También se cree que podrían haber explotado unavulnerabilidad en Javascript. Tampoco era fácil de hacer, ya que muchas veces los usuarios de Tor desactivan Flash y JavaScript y por lo tanto exponen menos vulnerabilidades.
Los encargados de explotar estas vulnerabilidades (entre otras muchas) son los servidores FoxAcid. Estos servidores tienen un nombre de dominio normal, son públicos y no parecen tener relación con la NSA . Cuando los visitas no son más que otra página web más, normal y corriente.
Esos servidores responden sólo a URL s especiales, llamadas etiquetas FoxAcid. Cuando un navegador visita una URL especial, el servidor infecta el navegador y después el ordenador entero para poder controlarlo.
Esa URL , además de decir a FoxAcid que hay que atacar al visitante, también contiene unaidentificación que permite al servidor saber a quién está atacando, qué relevancia tiene, si es un objetivo prioritario… ¿De qué le sirve saberlo?
Como imaginaréis, no es una buena idea que el usuario pueda detectar que está siendo atacado. Por eso, en función de su importancia, FoxAcid utiliza unas u otras vulnerabilidades.
Por ejemplo, para un objetivo muy importante explota las vulnerabilidades más potentes y difíciles de detectar y menos usadas, para garantizar que el ataque tendría éxito. Si, por el contrario, el objetivo no es tan importante, usarían vulnerabilidades más conocidas para evitar ser detectados y también para no desvelar su “artillería pesada”.
La identificación también sirve al grupo TAO (Tailored Access Operations) a especificar los planes de ataque para cada objetivo.
Una vez infectado el objetivo, se ejecutan varios “programas” en su ordenador. Entre ellos, los más básicos recogen información y configuraciones del ordenador para transmitirlos a la NSA y permitir así a un analista infectar todavía más el ordenador y llevar a cabo otro tipo de tareas.
¿Cómo llevar al usuario a FoxAcid? Quantum No hemos explicado cómo conseguía la NSA que los usuarios visitasen los servidores de FoxAcid. Usaban técnicas como el phishing, o modificando páginas web visitadas por sus objetivos (por ejemplo, un foro de venta de armas); incluso a pesar de que eso podría infectar a cualquier usuario de Tor, entre los que hay informantes de EEUU o personal de su ejército. Sin embargo, lo más importante es el programa Quantum.
Quantum responde más rápido que el servidor legítimo para que el objetivo reciba las respuestas deseadas.
Los servidores Quantum llevaban a cabo ataques man-in-the-middle, o de “hombre en el medio”. El método de ejecutarlos es bastante burdo. Cuando un usuario hace una petición a un servidor, Quantum lo detecta y responde al usuario antes de que le llegue la respuesta del servidor legítimo. Tal y como están diseñados los protocolos de red, el ordenador del usuario se quedará con la respuesta de Quantum y descarta la del servidor legítimo por haber llegado más tarde.
Para que estos ataques tengan éxito, la NSA se aprovecha de su poder y acuerdos con las telecos. Los servidores Quantum están en puntos centrales de la red de Internet, de tal forma que serán mucho más rápidos que cualquier otro servidor.
Con Quantum, la NSA puede modificar la respuesta que recibe el usuario y hacer lo que quiera con ella. Por ejemplo, puede decirle que la dirección de descarga de una imagen de una web es la de un servidor de FoxAcid, lo que desencadenará un ataque cuando el navegador trate de mostrar la imagen.
Exploits para que el usuario se descubra
Con FoxAcid la mayoría de ataques son dirigidos, pero también existe la posibilidad de llevar a caboataques más generales (por ejemplo, como comentábamos antes, modificando páginas web que suelan visitar los objetivos). En este caso, la NSA seguiría sin saber quién es el usuario real, así que han creado exploits que hagan que el ordenador descubra su identidad.
Por ejemplo, podrían marcar el tráfico saliente o el user-agent (la cadena que identifica el navegador) para poder seguir los paquetes cuando salgan de la red Tor. También podrían forzar a los usuarios a usar circuitos que sólo pasen por nodos controlados por la NSA .
Tor sigue siendo seguro, pero usarlo quizás te ponga en peligro La NSA todavía no ha conseguido romper Tor ni su cifrado. No puede coger un paquete de tráfico Tor y decir automáticamente de dónde viene y qué datos tiene. De hecho, las técnicas que usan no son especialmente efectivas ahora mismo, sobre todo si el usuario toma las precauciones necesarias. De hecho, tanta técnica nos indica que no hay ninguna puerta trasera y que podemos confiar en Tor a pesar de que lo financie el Departamento de Defensa de EEUU .
Tampoco parece que quieran tumbar Tor. Ya no porque les resulte difícil, sino porque muchos de sus objetivos lo usan y asustarlos podría ser contraproductivo.
El problema ahora mismo es precisamente ese: usar Tor te pone en el punto de mira. Puedes ser víctima de un ataque de la NSA que infecte tu ordenador sin que te des cuenta. Como nos comentaban hace unos días, si la NSA quiere, puede entrar y no vas a poder detectarlo.