WikiLeaks publicó el martes pasado una enorme cantidad de documentos que, según afirma, son descripciones de las herramientas cibernéticas que la CIA utilizó para incursionar en teléfonos inteligentes, computadoras y televisores conectados a Internet.
WikiLeaks afirma que los documentos provienen de una fuente interna (se especula si se trata de un operador o un contratista de la CIA) y afirma que la publicación de esos documentos tiene como objetivo estimular el debate sobre “si las capacidades de hackeo de la CIA excedieron sus poderes otorgados”, y sobre “la seguridad, creación, uso, proliferación y control democrático de las armas cibernéticas”.
En cualquier caso, esto resulta perjudicial para la CIA y para otros organismos que se encuentran en una creciente lista de penosos casos en que los organismos de inteligencia estadounidenses pierden el control de sus armas digitales (véase por ejemplo, Edward Snowden; Shadow Brokers; Harold Thomas Martin III).
Este es un resumen de lo que sabemos hasta ahora.
¿La CIA irrumpió en la Internet?
No. A menos que una persona esté ya en la mira de la CIA, es poco probable que sus dispositivos sean hackeados mediante esas herramientas. Las herramientas de la Agencia de Seguridad Nacional funcionan en toda la Internet, absorbiendo tantos datos como les está permitido legalmente y los tamizan posteriormente.
De acuerdo con las revelaciones de WikiLeaks, el malware de la CIA es distinto en cuanto a que los operarios deben desear establecer específicamente a una persona como objetivo y, en algunos casos, requieren tener acceso físico para implantar malware en tu iPhone. A menos que seas un espía chino, un miembro del autodenominado grupo ISIS o vendas material nuclear a Corea del Norte, a la CIA no le interesan tus vídeos de gatos.
Asimismo, las operaciones de la CIA no violan ni pasan por alto aplicaciones de envío de mensajes encriptados como Signal o WhatsApp. Hasta donde sabemos, la encriptación sigue siendo sólida. Si alguien ya tiene acceso a tu teléfono, puede tomar capturas de pantalla o registrar las teclas que marcas, y ninguna encriptación podrá salvarte de ello.
Asimismo, de acuerdo con una gran cantidad de los análisis técnicos que existen, las herramientas no son particularmente sofisticadas. Los operadores de la CIA reciclaron ataques, técnicas y códigos que han sido usados por muchas otras personas. Sin embargo, como siempre ocurre con estos informes de vulnerabilidades, es conveniente actualizar el sistema operativo de nuestros teléfonos.
¿Cómo ocurrió todo esto?
Aún no lo sabemos con seguridad, y el FBI y la CIA continúan investigando, pero esta parece ser la mejor explicación hasta ahora:
Un tuit de Jack Goldsmith✔@jacklgoldsmith: Gran cantidad de secrecía en la burocracia + digitalización de secretos = imposibilidad de proteger secretos.
Y de acuerdo con Reuters, los funcionarios estadounidenses sabían que existía un riesgo en la CIA desde finales del año:
Noticias principales de Reuters✔@Reuters: Funcionarios estadounidenses que sabían de una violación de seguridad en la CIA en 2016, afirman que los papeles de WikiLeaks son auténticos
¿Rusia está involucrada?
WikiLeaks afirma que los documentos provienen de un soplón con conciencia. James Lewis del Centro de Estudios Internacionales y Estratégicos piensa que es más probable que una potencia extranjera esté detrás de las revelaciones.
Sin importar cuál sea la fuente, se han sembrado bots en Twitter para promover historias falsas en las que se afirma que los documentos revelados comprueban que la CIA utilizó malware ruso en el hackeo del Comité Nacional Demócrata en una operación de bandera falsa para manchar el nombre del Kremlin. Ciertamente, a Moscú no le importaría que ese organismo quedara en vergüenza ni que hubiera una mayor desconfianza entre los seguidores de Trump con respecto a la comunidad de inteligencia.
¿Qué significa esto para el VEP?
El VEP, o Vulnerabilities Equities Process (Proceso de Equidad de Vulnerabilidades), es un proceso mediante el cual el gobierno decide si revelará una vulnerabilidad de software al vendedor o si la mantendrá para propósitos de ataque.
En el pasado, varios funcionarios gubernamentales afirmaron que el VEP tiene una inclinación hacia la revelación responsable. El Almirante Mike Rogers, director de la Agencia Nacional de Seguridad, ha dicho que “Por órdenes de magnitud, compartimos el mayor número de vulnerabilidades que encontramos”. Jason Healey ha calculado que el gobierno cuenta con pocas vulnerabilidades de día cero (vulnerabilidades de software no reveladas), “docenas de tales vulnerabilidades de día cero, muchas menos que los cientos o miles que muchos expertos han calculado”.
Healey parece afirmar que, dada la edad de las vulnerabilidades y su uso fuera de Estados Unidos, la CIA no necesitó informarlas al VEP. Robert Graham utiliza las revelaciones para afirmar que el VEP es “inútil”, en gran medida, un ejercicio de relaciones públicas para tranquilizar al mundo de la tecnología, diciéndole que el gobierno estadounidense no acumula fallas que afectan a productos hechos por compañías estadounidenses.
Los organismos de inteligencia compran vulnerabilidades y van a usarlas: “Si ellos [la CIA y la Agencia Nacional de Seguridad] gastan millones de dólares comprando vulnerabilidades de día cero debido a que tienen ese valor en operaciones de inteligencia, no destruirán ese valor revelándoselas a un vendedor”.
¿Qué significa esto para la división entre Silicon Valley y Washington?
No es nada bueno, pero podría ser peor. A las compañías de tecnología les enfurecerá que la CIA tenga vulnerabilidades y no informe acerca de ellas (la declaración de Mozilla puede consultarse en línea).
Esto hace que todo se ponga peor. Estos informes también serán usados por gobiernos extranjeros para aumentar el escrutinio de las empresas tecnológicas estadounidenses en su mercado (el diario chinoGlobal Times utilizó el siguiente encabezado: “¡El consulado estadounidense se convierte en un centro de hackeo! WikiLeaks revela de nueva cuenta escandalosos secretos de la CIA”).
Pero los ataques estaban dirigidos, no perjudicaron la encriptación ni la columna vertebral de la Internet, ni ponen en riesgo a miles o millones de usuarios. La revelación se unirá a una creciente lista de sucesos que mantienen apartadas a ambos bandos, y en uno de mis artículos sugiero como salvar la diferencia, aunque dicha revelación no se encontrará entre las tres primeras prioridades.
—
Este artículo apareció por primera vez en sitio web del Consejo de Relaciones Exteriores.
—
Publicado en cooperación con Newsweek / Published in cooperation with Newsweek
