"Turbine": el cerebro digital del espionaje estadunidense

miércoles, 12 de marzo de 2014
MÉXICO, D.F. (apro).- En los últimos ocho años la Agencia de Seguridad Nacional (NSA, por su sigla en inglés) extendió su arsenal de programas altamente agresivos, que “implanta” hoy en “millones” de computadoras, reveló Glenn Greenwald en su portal The Intercept, a partir de los documentos que le proporcionó Edward Snowden, refugiado en Rusia. Según Greenwald, la NSA formó una nueva unidad de hackeadores élite, llamada Operaciones de Acceso Ajustados (TAO). Ésta desarrolló una serie de malware –o implantes– cuyo potencial de infiltración trasciende los límites del programa original de recolección de datos en Internet, el SIGINT por “Signal Intelligence”. Entre estos implantes, el Unitedrake (“Unidad de rastrillo”) permite a la agencia tomar el control absoluto de una computadora infectada, afirma The Intercept. Asimismo Salvagerabbit (“Conejo rescatado”) exfiltra datos de los discos duros y llaves USB conectados a la computadora. Foggybottom (“Fondo neblinoso”) por su parte recolecta los datos de los navegadores de Internet, las contraseñas, los historiales así como los detalles de los correos electrónicos. Mediante el implante Captivateaudience (“Audiencia cautivada”), la NSA graba conversaciones cercanas a la computadora al activar de forma escondida el micrófono. Del mismo modo Gumfish (“Pez chicle”) se introduce en la máquina y saca fotos del usuario a través de su webcam. Implantes anteriores tenían no sólo funciones de intercepción, sino también de disrupción: Quantumsky, por ejemplo, impide al “objetivo” acceder a algunas páginas de Internet, mientras que Quantumcopper corrompe archivos descargados. Greenwald previene que los implantes de la NSA interceptan los datos antes que los usuarios los encriptaran para mandar correos protegidos. Por lo tanto, este método de privacidad y anonimato en la red carece de utilidad para las computadoras infectadas. La NSA produjo dos implantes destinados a instalarse en los ruteadores de Internet para “interceptar y llevar a cabo ataques de explotación” en datos que se intercambian mediante una Red Privada Virtural (VPN, por sus siglas en inglés). Pero no sólo eso: estos implantes –Hammerchant y Hammerstein—pueden rastrear y grabar llamadas de programas como Skype, aunque éstas se encuentren encriptadas. Greenwald subraya que los implantes engañan la vigilancia de la mayoría de los antivirus y que la NSA estableció protocolos muy sofisticados para esconder sus programas. Por ejemplo, un implante llamado Validator se autodestruye después de un tiempo determinado, por lo que no queda rastro de ello en la máquina después de su intercepción. “Cerebro” informático Si bien la NSA disponía de este dispositivo desde el 2004 –el Sigint original– lo usaba sólo para unos cientos presuntos “terroristas”, asevera Greenwald. Eran agentes quienes infectaban las computadoras y activaban manualmente los implantes, añade. Ya no. The Intercept destaca que durante la década pasada la NSA “aceleró de forma agresiva sus iniciativas de hacking al computarizar procesos antes manipulados por humanos”. Creó un sistema informático que “inserta implantes de control a grupos en vez de individuos”. La agencia bautizó su nuevo sistema automatizado Turbine, que forma parte de un programa de vigilancia más amplio de la NSA llamado “Apropiarse el Internet”, afirma The Intercept. Los documentos de la NSA plantean que el propósito de Turbine reside en “incrementar la capacidad actual de desplegar y monitorear centenares de Explotaciones de Redes de Computadoras (CNE) e implantes de Ataques de Redes de Computadoras (CNA) hacia un potencial de millones de implantes”. La agencia programó Turbine para que éste opere “como el cerebro”, es decir, que “decida” sobre las herramientas más adecuadas para extraer los datos de las máquinas infectadas, revelan los documentos internos de la NSA. Disfraz de Facebook La agencia se enfrentó a la problemática de la intrusión e instalación de sus implantes en las computadoras, como cualquier troyano. Anteriormente usaba el correo electrónico mediante el método del spam. Sin embargo, dicho método perdió eficacia en los últimos años, “ya que los usuarios de Internet están más alertos sobre los correos no solicitados y menos susceptibles de darle clic a cualquier cosa sospechosa”, analiza The Intercept. Por lo tanto la agencia adoptó métodos más sofisticados. La NSA analiza los sitios que visita su “objetivo”. Cuando éste visita una página en la que la agencia detectó fallas de seguridad, el sistema Turbine se pone en marcha y “dispara” paquetes de datos hacia la computadora en una fracción de segundo, según Greenwald. Pero en vez de esperar que el usuario se conecte a un portal con fallas de seguridad, la NSA suele adoptar una estrategia más sutil: se disfraza en un servidor de Facebook. Cuando el “objetivo” se está conectando a la página de la red social, el sistema automatizado de la NSA manda a la computadora una señal muy parecida a la del portal. La computadora “engañada” se redirige hacia el servidor de la NSA, a partir del cual la agencia puede introducir sus implantes. Asimismo, para introducir los códigos infectados en las computadoras la NSA explota las vulnerabilidades de seguridad en los navegadores comunes, como Mozilla Firefox o Internet Explorer, así como de los programas tipo Flash y Java.

Comentarios