Antecedes y unos rápidos apuntes sobre la ola global de ciberataques

Esta historia arranca cuando una organización llamada The Shadow Brokers se hace con un arsenal de herramientas informáticas de la National Security Agency (NSA), la agencia de inteligencia estadounidense dedicada a la interceptación de redes de comunicación. Se trata de la misma agencia a la que proveía servicios la empresa para que la trabajaba Edward Snowden. The Shadow Brokers comenzaron en 2016 ofreciendo las herramientas de la NSA que disponían en una subasta al mejor postor. Pero nadie acudió a la puja y terminaron por ofrecer gratis en Internet la información robada a la NSA.

El 14 de abril de 2017 fue publicado un conjunto de herramientas e información de la NSA por parte de The Shadow Brokers con diferentes nombre en clave. Días antes habían explicado en un comunicado público que se sentían decepcionados con el presidente Donald Trump y mencionaban el ataque a una base militar siria.

Una de los conjuntos de herramientas de la NSA publicada por The Shadow Brokers se llamaba ETERNALBLUE y contenía información sobre un agujero de seguridad de Windows existente en sucesivas versiones del sistema operativo Microsoft Windows. Podemos especular si ese agujero de seguridad existía en Windows a propósito, creado en ese caso por Microsoft siguiendo instrucciones de la NSA, o fue encontrando por la propia NSA o los informáticos de una empresa contratista.

Soy lo bastante viejo para recodar el caso del descubrimiento de una variable llamada NSAKEY en software de Microsoft allá por 1999. Y si uno busca en Internet, encuentra enseguida artículos de la época donde se habla de la introducción de agujeros de seguridad en el software de Microsoft. Decía Duncan Campbell en 1999:

Within the Microsoft organisation, access to Windows source code is said to be highly compartmentalized, making it easy for modifications to be inserted without the knowledge of even the respective product managers.

Uno de los agujeros de seguridad de Microsoft Windows incluido en el paquete ETERNALBLUE afecta a un protocolo de comunicación cliente-servidor presente desde la versión XP (lanzada el 15 de octubre de 2001) a la actual versión 10 llamado Server Message Block (SMB). Significativamente, Microsoft publicó el 14 de marzo de 2017 un parche de seguridad para las diferentes variantes del sistema operativo Windows que subsana el agujero de seguridad. Eso fue semanas antes de que The Shadow Brokers publicaran la información proveniente de la NSA que incluía el paquete ETERNALBLUE.

Llegamos entonces a los acontecimientos del viernes 12 de mayo de 2017. Alguien en las oficinas centrales en Madrid de la compañía Telefónica recibió un correo electrónico con aparencia inocente pero que en realidad era sólo la imitación de un correo habitual de una fuente fiable. En el partido político “En Marche!” del ahora presidente Emmanuel Macron recibieron correos así desde dominios parecido al oficial en-marche.fr y que imitaban “hasta el último píxel” el aspecto de un correo salido del servidor oficial.

Alguien que recibió uno de esos correo trampa en Telefónica hizo click en el falso adjunto y procedió a ejecutar un programa que procedió a encriptar los archivos del ordenador con una determinada extensión y a expandirse por la red local de la empresa aprovechando. El software que encriptó los archivos fue bautizado con varios nombres como WannaCry, WannaCrypt, WNCry, etc.. Pide un rescate a pagar en la moneda virtual Bitcoins por la liberación de los datos, de ahí que este tipo de software se conozca como ransomware.

Al tiempo, empresas clientes de los servicios de Telefónica y que usan su infraestructura  empezaron a verse afectadas. Este es el momento de la presente historia que saltó a los medios de comunicación. Como esto es España, empezaron los chistes autoflagelantes sobre la tradicional chapuza y cutrez española. Uno de los blancos fue el mediático Chema Alonso, el “hacker” del gorro, que ahora es jefe de datos (CDO) de Telefónica y al que equivocadamente le atribuían responsabilidad en materia de seguridad. A las pocas horas, saltó la noticia de que el Servicio Nacional de Salud (NHS) británico había sufrido el mismo ataque y decenas de miles de ordenadores habían sido afectados en decenas de países, incluyendo ordenadores de organismos oficiales rusos. Se trataba de un problema global.

Imagen vía EMSISOFTblog.

La tarde del viernes, un experto en seguridad informática anónimo había conseguido aislar el software y hacerlo ejecutar en un entorno controlado para estudiarlo. Reparó en un cosa. El programa trataba de contactar con un servidor de Internet que tenía un nombre formado por una enorme ristra de letras aleatorias. El dominio estaba sin registrar. Con toda probabilidad se tratara de un sistema de protección ante ejecuciones en entornos controlados, que responden a cualquier intento de comunicación externa con respuestas simuladas. Si el programa recibía respuesta del dominio de nombre absurdo se detenía. El analista de seguridad registró el dominio incluso antes de entender qué función tenía y mientras lo estudiaba recibió el aviso de que el ransomware se estaba desactivando en todo el mundo. El asunto fue tratado en las noticias como “informático frena el ciberataque global de pura chiripa”. En realidad, el resultado hubiera sido el mismo de haberse desconectado del mundo trasteando en su ordenador hasta terminar de entender cómo funcionaba.

Este ejemplo de ransomware llevaba circulando desde marzo de este año y esta nueva ola de ataques se volvió más potente por el uso de las vulnerabilidades procedentes de las herramientas de la NSA. Si no buscamos más allás de los meros hechos estamos ante un ataque masivo movido por el afán de lucro que posiblemente se expandiera mucho más y más rápido de lo que sus autores preveían. Su impacto hubiera sido menor de haber aplicado las grandes empresas y organismos el parche publicado por Microsoft en marzo de 2017. Pero como siempre, lo urgente es enemigo de lo importante y en muchas empresas se retrasó la instalación del dichoso parche por razones particulares que cada empresa sabrá.

Si especulamos que detrás de esta historia hay algo más, tenemos que tener en cuenta que una vez se descubre el uso de una brecha de seguridad desconocida (Zero Day) el efecto sorpresa se anula y todo el mundo adopta medidas contra ese agujero de seguridad concreto. Es un arma de usar y tirar. Podríamos pensar entonces que fue un ensayo de algo y que algunas víctimas fueron una simple cortina de humo. Es decir, para no llamar la atención sobre el ataque a un objetivo en concreto se ataquen varias más para que parezca una ola de ciberataques global. ¿Porque podemos creer que los autores de este ransomware realmente esperaban que Telefónica y NHS pagaran un rescate? ¿O lo realmente interesante no era obtener dinero sino datos e información?

El viernes leí comentarios sobre qué país era el responsable de esta ola de ciberataques. Y en pleno 2017 la pregunta estaba mal formulada. La experiencia nos enseña que ahí fuera operan redes transnacionales de ciberdelincuentes muy sofisticados cuya acciones apenas se conocen porque ninguna gran empresa suele reconocer en público que ha sido desvalijada vía Internet. Sólo la caída de alguna de esas redes nos permite conocer su existencia. Los gobiernos aparecen en esta historia cuando se trata de delincuentes de ciertos países cuyas acciones se toleran mientras los objetivos sean extranjeros. Véase “Inside the Hunt for Russia’s Most Notorious Hacker” (Wired, marzo 2017).

La primera lección de urgencia es asumir de una maldita vez que cualquier hardware, software y servicio de Internet de una empresa estadounidense, desde routers Cisco a Facebook, tienen agujeros de seguridad a disposición de las autoridades del país. Y que cualquier organismo español (o europeo) que considere que sus datos no deberían estar al alcance de Estados Unidos debería emplear software libre. Mientras, Europa está enganchada a Microsoft. Y en España mejor no comentar dónde se usa Microsoft Windows.

Para detalles técnicos sobre el ransomware véase:

“Global WannaCry ransomware outbreak uses known NSA exploits”.

“How to Accidentally Stop a Global Cyber Attacks”.

La Nueva Guerra Fría después de Donald Trump

Me han preguntado varias veces qué va a pasar con las relaciones de Estados Unidos y Rusia cuando Donald J. Trump asuma la presidencia. El guión dice que debería llegar a un gran acuerdo con su amigo Vladimir Putin y finiquitar lo que yo he venido en llamar la Nueva Guerra Fría. Esa es la teoría.

Calendario ruso celebrando la amistad ruso-estadounidense.
Calendario ruso celebrando la amistad ruso-estadounidense.

El 6 de enero la oficina del Director de Inteligencia Nacional de los Estados Unidos publicó un documento sobre las acciones rusas para influir en las pasadas elecciones estadounidenses. El informe recoge información de la CIA, el FBI y la NSA. En su página ii leemos:

We assess Russian President Vladimir Putin ordered an influence campaign in 2016 aimed at the US presidential election. Russia’s goals were to undermine public faith in the US democratic process, denigrate Secretary Clinton, and harm her electability and potential presidency. We further assess Putin and the Russian Government developed a clear preference for President elect Trump. We have high confidence in these judgments.
[…]
Moscow’s influence campaign followed a Russian messaging strategy that blends covert intelligence operations—such as cyber activity—with overt efforts by Russian Government agencies, state-funded media, third-party intermediaries, and paid social
media users or “trolls.”
 We assess with high confidence that Russian military intelligence (General Staff Main Intelligence Directorate or GRU) used the Guccifer 2.0 persona and DCLeaks.com to release US victim data obtained in cyber operations publicly and in exclusives to media outlets and relayed material to WikiLeaks.

Traté el asunto de Guccifer 2.0 y DCLeaks.com en mi primera colaboración con el blog Magnet en agosto de 2016. Ahora tenemos una confirmación oficial de que el hacker Guccifer 2.0 y DCLeaks eran tapaderas rusa y que la fuente última de información de WikiLeaks, cuya agenda política está cada vez más alineada con el Kremlin, es la inteligencia militar rusa.

Como en todo lo concerniente a la relación Occidente-Rusia aquí también ha funcionado el principio de acción y reacción. El informe establece en su página 1 que Vladimir Putin tomó la decisión de lanzar una campaña de descrédito de Estados Unidos tras la aparición de los Panama Papers y el escándalo del dopaje deportivo ruso. La combinación de ciberguerra y desinformación es coherente con la doctrina rusa de guerra de la información, que establece un continuo entre guerra y paz además de englobar métodos como la guerra electrónica, la ciberguerra y la desinformación como un todo.

Donald J. Trump ha reaccionado llamando al informe una “caza de brujas” y lo ha relacionado con la búsqueda de una excusa por parte del Partido Demócrata ante la derrota electoral. Caben dos opciones. Por un lado, que el informe haya sido elaborado con informaciones falsas o se sustente en conclusiones erróneas. En tal caso tendríamos una maniobra política de baja estofa que va a quebrar la confianza del gobierno entrante en la comunidad de inteligencia de Estados Unidos. John Robb dijo el pasado 15 de diciemre que Estados Unidos se había convertido en una república bananera por tener un servicio de inteligencia trabajando en contra del presidente electo.

Por otro lado, cabe la posibilidad que el informe sea cierto y que el presidente electo esté actuando con frivolidad en un asunto tan serio en el que demuestra indiferencia, complacencia o complicidad con las acciones de una potencia extranjera contra su propio país. En tal caso estaríamos ante una prueba palpable de la falta de idoneidad de Donald J. Trump para el puesto de presidente de los Estados Unidos. Hace poco, el ex-director de la CIA James Wolsey dimitió de su cargo de asesor de presidente electo. Episodios parecidos podrían crispar a la comunidad de inteligencia de Estados Unidos contra el gobierno y generar una cascada de filtraciones que expongan las maquinaciones del gobierno Trump.

Evidentemente los mensajes de acercamiento de Donald J. Trump hacia Rusia parecen anunciar una era de distensión que acabe con la Nueva Guerra Fría antes de empezar. Personalmente creo que son incompatibles una política aislacionista y el objetivo de Make America Great Again. La  promesa de convertir a Estados Unidos en un país ganador no parece que encaje con la idea de abandonar a los aliados de Europa y Asia-Pacífico para dejar vacíos geopolíticos que ocupen China y Rusia. El propio Trump anunciaba su intención de “fortalecer y expandir” las capacidades nucleares del país.

Trump podrá escenificar su amistad presidencial con Putin, pero si quiere mostrar la firmeza que muchos echan en falta en Obama tendrá que frenar a su amigo ruso. Habrá que ver si se produce un reparto de áreas de influencia que cree unas reglas de juego para el mundo “post-post Guerra Fría”, como diría el profesor Javier Morales o se produce una ruptura cuando Trump mande al rincón a Putin. Sin descartar, claro que Trump sea complaciente con Putin con consecuencias imprevistas en Washington D.C. Tanta incertidumbre viene de la tendencia de Trump a desdecirse y de la extraña mezcla de outsiders y viejos halcones neocón que encontramos en su gabinete.

Cartel en Siria
Carteles en Siria.

Mi intención para Año Nuevo era hacer balance de la Nueva Guerra Fría, tomando como referencia aquel texto inicial de septiembre de 2014. Pero los acontecimientos se han adelantado nuevamente. Lo que puedo decir es que nunca imaginé que lo arrancó como una intuición en el verano de 2014 terminaría encajando de esta manera, con el Kremlin interviniendo militarmente en Oriente Medio a favor de lo que yo entendía como una alianza difusa y los órganos de inteligencia de Estados Unidos denunciando maniobras rusas de desestabilización.

Guardar

Nace Thiber, el primer think-tank español sobre ciberseguridad

Ayer tuve noticias vía Enrique Fojón del nacimiento de Thiber, el primer think-tank dedicado a “la seguridad y defensa del ciberespacio” en lengua española. Thiber nace como una iniciativa integrada en el Instituto de Ciencias Forenses y de la Seguridad (ICFS) de la Universidad Autónoma de Madrid (UAM) y desde luego que es pionero en estos asuntos. Sus objetivos son ambiciosos: Ser el think tank de referencia en lengua castellana.

Logo-Thiber-Blanco2-e1379575023906-1024x6531Desde luego que se echaba en falta algo así, tras tanto documento blanco y mando militar de ciberdefensa, sin que se percibiera un auténtico debate de fondo sobre la evolución de ese mundo y las estrategias necesarias. Espero que pronto podamos tener noticias de sus iniciativas.