La noticia saltó hace una semana: la famosa NSA (por las siglas en inglés de Agencia Nacional de Seguridad) de Estados Unidos había sido hackeada por un grupo desconocido hasta el momento que se hacía llamar «Shadow Brokers». Este grupo había conseguido acceder a una gran cantidad de herramientas de espionaje que usa la agencia alrededor de todo el mundo y estaba vendiendo este código al mejor postor.
Decir que has conseguido robar información a la NSA es, desde luego, palabras mayores, y más cuando esa información es el código de las herramientas que usan para sus cuestionables actividades. Así que los atacantes, para demostrar que no se trataba de una bravata ni de un fraude, hicieron público el 40% de los archivos de que disponían. En ellos, se encontraron todo tipo de herramientas, muchas de las cuales podían servir para validar su origen. Por ejemplo, entre ellas estaba el gusano Stuxnet, un malware que se hizo famoso por haberse utilizado para frenar el programa atómico de Irán.
¿Y el 60% restante? Pues tenía un precio: un millón de bitcoins, que sería algo así como casi 600 millones de dólares. Quien lo pagara, se hacía con todo el paquete.
La puesta en cuestión del hackeo y su confirmación
Cuando la noticia salió a la luz, muchos pusieron en cuestión la veracidad de lo que proclamaban estos «Shadow Brokers». Y ya no solamente por lo inverosímil de sus afirmaciones a priori, sino por cosas como que la venta de la información se hiciese de manera tan pública y que, además, el comunicado que publicaron en Tumblr (que fue retirado pero que puede leerse aquí) estuviese redactado con un mal inglés, lleno de faltas de ortografía.
Sin embargo, tras las primeras consultas, no tardaron en aparecer los signos de que, independientemente de los recelos despertados, la información era genuina, algo que fue asegurado por varios expertos en seguridad consultados por el Wall Street Journal. Otro experto le dijo a Reuters que el código parecía ser relativamente viejo.
Pero la cosa no terminó ahí. Al margen de la veracidad de la información en sí misma, la posibilidad de que ese hackeo se haya producido ha sido confirmado por Cisco y Fortinet, empresas que trabajan con la NSA en cuestión de seguridad. Ambas han dicho que el software empleado por la agencia para protegerse sí tiene vulnerabilidades, las cuales se pueden haber aprovechado tanto desde dentro como desde fuera, por medio de acceso remoto.
Y luego está Edward Snowden. Aparte de hacer algunas declaraciones que veremos después, Snowden le proporcionó a The Intercep unos documentos de la NSA que estaban inéditos, los cuales le han permitido a la publicación confirmar que el software que «Shadow Brokers» hizo circular era real.
En resumen: todo apunta a que el robo de información se produjo ya que las herramientas son reales y existía una vulnerabilidad que podía aprovecharse para hacerlo.
Las reacciones
Por parte de la NSA no ha habido ninguna declaración. Tampoco por parte del gobierno de los Estados Unidos. Como hemos dicho antes, el blog en Tumblr desde el que «Shadow Brokers» se comunicaron inicialmente fue cerrado, así como los repositorios que había en Github.
Quien sí habló fue Snowden, quien días antes de darle la documentación mencionada a The Intercep, publicó en Twitter una serie de tuits manifestando su opinión al respecto. Bajo su punto de vista, esto tiene relación con los correos del partido demócrata de EE. UU. y está más vinculado con la diplomacia que con el espionaje. «La evidencia circunstancial y la sabiduría convencional indica la responsabilidad de Rusia» dijo en un tuit, aclarando después que esto es una manera de mandar un mensaje de que, si se realizan acusaciones indebidas, existen maneras de demostrar que Estados Unidos estuvo detrás de determinados ataques con malware, lo cual podría ponerles en apuros en el caso de que alguno de los objetivos fuese un aliado.
Otros que metieron cuchara fueron Wikileaks, que en un tuit del 16 de agosto dijeron que ya habían accedido al archivo de las herramientas de la NSA y que sacaran su propia copia siguiendo el curso debido. Sin embargo, hasta ahora no han vuelto a decir nada más del tema. Suponemos que a lo que se refieren ellos es al archivo con el 40% liberado, no el 60% restante.
Una historia inconclusa que posiblemente quede así
Todo esto que acabamos de contar se desarrolló a lo largo de la semana pasada. Hasta el momento, nada de sabe acerca de estos «Shadow Hackers», que eran completamente desconocidos hasta que se hizo público el robo de información. Sin embargo, hay hipótesis acerca de que podría ser un trabajo interno, al estilo del que llevó a cabo Snowden en su momento.
En declaraciones a Motherboard, un antiguo empleado de la NSA que pidió permanecer en el anonimato dijo que «Mis colegas y yo estamos bastante seguros de que no ha habido ningún hackeo ni ningún grupo al efecto». Y añadió que es el trabajo de un solo hombre.
Según él, es mucho más fácil que alguien desde dentro haya obtenido la información privilegiada en vez de que lo haya hecho otro, como Rusia, de manera remota. Basa sus afirmaciones en que las convenciones bajo las que están nombradas las carpetas que contienen los archivos y algunos de los scripts que se han filtrado solo son accesibles internamente. Además, esos archivos están en una red que no está conectada a Internet, que está «separada físicamente» de ella. Esto último, si bien es cierto que incrementa bastante la seguridad, no la garantiza a un 100%.
Matt Suiche, CEO de Comae, una empresa de ciberseguridad de Dubai, dijo en un post que esta teoría del trabajo interno es la más plausible. Para él, la intervención de Rusia queda prácticamente descartada.
¿Y qué ha pasado con la subasta? Según los últimos reportes, no parece haber tenido mucha aceptación. Tan solo se han recibido 15 ofertas y la más alta ha sido de 850 dólares (en bitcoins, claro). Por este lado, se podría decir que el intento de «Shadow Brokers» de hacerse con una buena suma por la información ha sido un fracaso estrepitoso. Pero quién sabe, a lo mejor la transacción ya se ha realizado por otros canales más discretos.
Resulta difícil pensar que este caso vaya a tener mucho más recorrido que el que ha tenido hasta ahora. A menos que se trate de un trabajo interno y la NSA capture al responsable, ya que entonces seguro que lo anunciarían con bombos y platillos. Otra posibilidad es que, ante la falta de interés, los (o el) «Shadow Brokers» terminasen liberando el 60% de información restante, lo cual nos permitiría comprobar si sus pretensiones tan altas estaban justificadas. Pero todo apunta a que, a menos que haya una revelación extraordinaria sobre todo esto, o continuarán apareciendo más datos a manera de cuentagotas, o podemos dar ya como finalizada una situación que, si bien no ha puesto a la NSA en jaque, sin duda ha debido resultar bastante embarazosa.
