Espionaje chino

Un informe secreto del FBI indica que China dispone de 180.000 ciberespías

GERALD POSNER

El País, 24/01/2010;

Un informe secreto del FBI indica que China ha desarrollado un ejército de 180,000 ciberespías que "representa la mayor amenaza de ciberterrorismo contra Estados Unidos y tiene la posible capacidad de destruir infraestructuras vitales, interrumpir la actividad bancaria y el comercio y poner en peligro delicadas bases de datos del ejército y la defensa". Estos espías están lanzando ya 90,000 ataques al año sólo contra los ordenadores del Ministerio de Defensa estadounidense, según un analista del FBI que conoce el contenido del informe. Al lado de eso, la noticia reciente de que el Gobierno chino puede haber entrado en las cuentas de correo de diversos activistas de derechos humanos -que han hecho que Google piense en retirarse del país- parece un juego de niños.

El informe del FBI calcula que el Ejército chino ha desarrollado una red de más de 30,000 ciberespías militares, además de 150,000 expertos informáticos del sector privado, cuya misión es robar secretos militares y tecnológicos estadounidenses.

La guerra cibernética forma parte del arsenal de cualquier país desarrollado en el siglo XXI. Aunque ningún alto cargo estadounidense lo reconozca, el Pentágono, la CIA y la Agencia de Seguridad Nacional llevan a cabo intentos habituales de entrar en las redes informáticas militares e industriales de China para obtener una información que hace años adquirían a través de los James Bond de los servicios de espionaje. Estados Unidos y muchos de sus aliados europeos tratan de encontrar formas de causar el caos en la red informática china en caso de conflicto. La diferencia es que los chinos lo hacen mejor que nadie y llevan la delantera.

El informe del FBI llega a la conclusión de que un ataque informático masivo de los chinos podría "alcanzar la magnitud de un arma de destrucción masiva", dice el analista, que pide el anonimato. Y añade que el ataque haría un daño considerable a la economía, las telecomunicaciones, la red eléctrica y la preparación militar de Estados Unidos. El objetivo de China, según el informe, es disponer de las mejores "fuerzas armadas informatizadas" del mundo de aquí a 2020.

Según la información secreta del FBI, los piratas chinos son expertos en implantar códigos informáticos maliciosos, y en 2009, empresas de sectores como el petróleo y el gas, la banca, la aeronáutica y las telecomunicaciones se encontraron con problemas importantes. Una de las armas más eficaces de China, según el informe, es una continuación de la que los investigadores de seguridad del Pentágono llamaron inicialmente la Lluvia de Titán. Se trata de un programa de escaneo que explora redes informáticas industriales y de defensa nacional miles de veces por minuto en busca de puntos vulnerables. Los piratas militares chinos, dice el analista del FBI, entran sin cometer ningún error de teclado, no dejan huella digital y salen limpiamente por la puerta de atrás en menos de 20 minutos.

Los ataques están proliferando. El informe del FBI muestra los ataques identificables iniciados en China contra ordenadores del Ministerio de Defensa estadounidense; han aumentado de 44.000 en 2007 a 55.000 en 2008. Y 90.000 el año pasado.

"Examinan el terreno, ponen a prueba nuestras respuestas", dice el analista. "Por más prisa que nos demos en hacer cambios y arreglar los puntos vulnerables, ellos van un paso por delante".

Los piratas chinos no andan a la caza de números de tarjetas de crédito ni cuentas bancarias, ni pretenden robar identidades privadas. Lo que buscan es información. Aunque el aluvión de ataques a veces puede parecer aleatorio, el informe del FBI llega a la conclusión de que forma parte de una estrategia para identificar las telecomunicaciones militares estadounidenses y comprender mejor e intentar interceptar las informaciones recogidas por los servicios de espionaje norteamericanos, en especial de la Agencia de Seguridad Nacional.

"La gran ironía de la era de la información es que las mismas tecnologías que nos dan el poder de crear también dan poder a quienes quieren destruir", dijo el presidente Obama en mayo, cuando anunció una nueva oficina de la Casa Blanca dedicada a proteger los sistemas informáticos del país. Poco después, el Pentágono creó un nuevo mando militar para el ciberespacio. En su discurso, Obama dijo que, "en el mundo actual, los actos terroristas pueden venir no sólo de un puñado de extremistas con chalecos suicidas, sino de unas teclas en un ordenador".

El Ministerio de Seguridad Pública de China tiene miles de Unidades de Milicia para la Guerra de la Información que vigilan todo el tráfico nacional de Internet, es decir, a 140 millones de usuarios. Ese programa interno es el que quizá ha afectado a Google. Los problemas del sector privado afectan a la seguridad gubernamental. Hace años, como requisito para operar en China, el Gobierno de aquel país exigió a Microsoft que le proporcionara los códigos fuente del software de Office creado por la compañía. La Comisión de Planificación Estatal china alegó que el sistema operativo Windows era un arma secreta del Gobierno estadounidense y exigió a Microsoft que enseñara a los ingenieros informáticos chinos a introducir sus propios programas en las aplicaciones de Windows. Así, el departamento de guerra cibernética del ejército chino obtuvo lo que los piratas informáticos llaman una "llave esqueleto", que les permite acceso a casi cualquier red de empresas privadas, oficinas militares y oficinas del Gobierno en EE UU.

***

REPORTAJE: LA GUERRA DE LOS CIBERESPÍAS

Así fue el gran ataque

El asalto a Google y otras 33 compañías de Estados Unidos destapa la infiltración de espías en redes vitales para la seguridad mundial

DAVID ALANDETE

El País, 24/01/2010;

Las alarmas se encendieron en la sede de Google en Mountain View, California, a principios de este mes. Los ingenieros encargados de la seguridad de las redes de la empresa habían encontrado un virus troyano. Otro. Éste, sin embargo, era distinto de los demás. Se había alojado en los servidores durante días, trabajando silenciosa e incansablemente. Los espías habían tenido acceso a información muy valiosa de la compañía y a información relativa a cuentas de diversos usuarios de Gmail, el servicio de correo de Google.

El troyano, bautizado como Hydraq, había penetrado en los servidores de Google de una forma ya casi rutinaria: un enlace adjunto a un correo electrónico. Este correo lo había recibido sólo un puñado de empleados, pero se trataba de un grupo muy selecto que tenía acceso a redes valiosísimas para la empresa. Los hackers sabían perfectamente a quién estaban atacando y qué puertas querían forzar para entrar en Google y robar información en secreto.

Los espías habían enviado correos verosímiles, con asuntos y textos similares a los que hubieran recibido esos empleados en un día normal de trabajo, según han comprobado posteriormente empresas de seguridad online como Symantec o McAfee. Luego, a través de un fallo en el Internet Explorer de Microsoft, los hackers habían causado una profunda brecha en Google. Cuando un troyano de este tipo se instala en un ordenador o un servidor, puede tomar control de él; puede encender y apagar programas; crear privilegios; permitir accesos, y, sobre todo, puede enviar información a sus dueños, a miles de kilómetros, a su antojo.

Para los ingenieros de Google, lo primero era saber adónde había enviado Hydraq aquella información. Los ingenieros determinaron que se comunicaban con unos servidores de comando y control que la empresa rastreó inmediatamente, seis direcciones con nombres como 'yahooo.8866.org' o 'ftp2.homeunix.com'. Todas ellas estaban localizadas en Taiwan. La gran mayoría, cinco, eran propiedad de la empresa local Era Digital Media.

Lo que Google descubrió en aquellos servidores era inquietante. El ataque no lo había sufrido sólo la empresa del buscador más célebre del mundo. Había otras 33 compañías atacadas. Muchas de ellas vitales para la seguridad de EE UU, como el fabricante químico Dow Chemical o la productora de los cazas B-2 Spirit, Northrop Grumman, subcontratista del Pentágono.

A petición de Washington, el Gobierno taiwanés investigó el asunto y llegó a la conclusión de que esas mismas direcciones eran sólo una ruta de ataque. Los hackers las habían ocupado y usado para canalizar la invasión. "Esas direcciones IP, y los servidores desde los que emanó el ataque y se soltaron aquellos correos electrónicos, todas, han sido usadas en el pasado, bien por hackers asociados al Gobierno chino o bien por agencias que dependen directamente de él", explica un investigador que trabaja para una empresa de seguridad que presta servicios para otras firmas atacadas y prefiere mantenerse en el anonimato. "Esto da una idea de que el ataque venía del Gobierno o de gente asociada al Gobierno chino".

Google informó a las demás empresas y al Gobierno de Washington, alertado por lo que podría ser el mayor caso de espionaje industrial y estratégico de la historia. En el Departamento de Estado cundió cierto nerviosismo, suficiente como para que su titular, Hillary Clinton, emitiera un comunicado y anunciara, días después, el envío de una nota de protesta diplomática a Pekín. En el Pentágono, sin embargo, pocos se extrañaron: sus agencias de inteligencia ya habían descubierto, en abril del año pasado, una serie de ataques similares, que habían dejado un rastro de troyanos y códigos maliciosos en la red eléctrica de EE UU, procedentes de Rusia y China, principalmente.

Aquel ataque se descubrió semanas, incluso meses después de que los espías se hubieran infiltrado en las redes. El daño ya estaba hecho. Si hubieran querido, los espías podrían haber desconectado la electricidad de regiones enteras de EE UU, por ejemplo. La Secretaria de Seguridad Nacional, Janet Napolitano, dijo que se sabía de ese tipo de infiltraciones "desde tiempo atrás", pero recomendaba a la nación "estar alerta". China, a través de su ministerio de asuntos exteriores, aseguró que no se había infiltrado en ninguna red pública norteamericana.

Desde los años de la guerra fría y de las sofisticadas operaciones de espionaje llevadas a cabo por agentes secretos, los procedimientos pueden haber cambiado drásticamente. "Así se podría estar haciendo el espionaje del futuro", explica Rob Knake, analista de ciberseguridad en el Consejo de Relaciones Internacionales de Washington.

"El Gobierno chino dispone de todas las capacidades necesarias para armar una operación a esta escala, de eso no hay duda, aunque todo sean, de momento, suposiciones. Y dispone de los recursos humanos y la disciplina necesaria para ejecutarlo, algo que no podría hacer una organización privada. Esto demuestra cómo se puede estar efectuando el espionaje entre naciones. Se trata de operaciones realizadas a través de la Red, con muy poco coste para quienes las hacen y, si salen bien, beneficios elevadísimos".

En el delicado orden mundial cibernético, China supera a EE UU: su comunidad de internautas alcanza los 380 millones de personas, frente a algo más de 220 millones de EE UU, según la consultora Nielsen Online. Además, "existe en China una población abundante de jóvenes que están muy entregados a la causa del Gobierno", explica Cheng Li, director del Comité Nacional de Relaciones entre China y EE UU y analista del centro de investigación Brookings de Washington. "No podemos decir que sean mayoría. Pero existen, y son jóvenes con elevados conocimientos informáticos y con sentimientos indudablemente nacionalistas. Para algunos de ellos, una operación así sería un triunfo, una medalla".

Ahí está el gran debate: si la operación era algo que acometieron unos hackers vagamente asociados al Gobierno, a modo de atentado en red inspirado por el fervor patrio, o si la mano del Gobierno de Pekín se encontraba, efectivamente, detrás de la operación. La reacción de la diplomacia norteamericana parece indicar lo segundo, pues Washington ha llegado a anunciar el envío de una protesta diplomática a Pekín.

En un discurso en Washington, el pasado jueves, Hillary Clinton dejó claro que EE UU no tolerará otro ataque de esas características, con duras advertencias: "En cuanto al terrorismo de determinados Estados y sus asociados, éstos deben saber que EE UU protegerá sus redes, y aquellos que interrumpan el libre flujo de información a nuestra sociedad o a cualquier otra son considerados un riesgo para la economía, para el Gobierno y para la sociedad civil".

El tipo de información que los espías recabaron parece confirmar que tras su ataque había algo más que un simple robo de datos comerciales. El propio vicepresidente ejecutivo y jefe de la oficina legal de Google, David Drummond, llamó a la activista tibetana Tenzin Seldon, estudiante en la Universidad de Stanford, para notificarle que su cuenta de Gmail había sido infiltrada. Se llevaron su portátil. Buscaron troyanos, alguna brecha del exterior. No encontraron nada. Los espías habían accedido a su correo a través de información almacenada en los servidores de Google.

Según un informe elaborado el año pasado por Northrop Grumman para la Comisión Gubernamental de Asesoramiento en Economía y Seguridad EE UU-China, ése es el tipo de información que busca el Gobierno de Pekín: "Las categorías de información robada no tienen valor monetario alguno, como números de tarjetas de crédito o información de cuentas bancarias, que son el objeto de organizaciones cibercriminales. Información técnica de ingeniería de defensa, información relativa a los ejércitos o documentos de análisis político de los gobiernos no son material fácilmente vendible por los cibercriminales, a no ser que haya un comprador que sea un Estado-nación".

Intuir que había una motivación política tras el ataque, la dirección de Google organizó un acto conjunto de desafío al Gobierno chino. Pidió a las otras empresas que dieran a entender que habían tenido bastante, que exigieran nuevas reglas del juego. Pero las negociaciones no tuvieron éxito alguno. Las otras empresas -no sólo Dow Chemical o Northrop Grumman, sino también la empresa de seguridad online Symantec, Yahoo! o Adobe- prefirieron seguir haciendo negocios en China como siempre, sin enervar al Gobierno.

La naturaleza misma de las empresas afectadas explica por qué Google reaccionó de ese modo y las demás no. Según Ed Stroz, un ex agente del FBI que ahora codirige la prestigiosa empresa de seguridad digital Stroz Friedberg: "Esas empresas tienen una seguridad fortísima. Estamos hablando, en algunas instancias, de empresas de seguridad que trabajan o han trabajado para el Pentágono. No tienen sólo una red. Normalmente, esas empresas cuentan con diversas redes que no están conectadas entre ellas, para salvaguardar información".

Las empresas dejan vacíos entre sus redes para evitar robo de información. "Dudo de que los hackers llegaran al corazón mismo de la información de muchas de esas compañías. Pero el caso es distinto si la empresa afectada se dedica a proveer de servicios a los usuarios. Una empresa centrada en las búsquedas o el correo, como Google, debe tener más información en sus servidores generales. Para ellas, la interconexión y la inmediatez son vitales. Así es como se llegó a recabar datos sobre las cuentas de correo de activistas, y de ahí la reacción de Google", añade Stroz.

Una de los temores de Google es que los hackers hubieran contado con ayuda interna. Al saber del ataque, la empresa comenzó a investigar a sus empleados en China. ¿Topos, quizá? "Mi impresión es que las empresas que ubican su investigación y desarrollo en China y emplean a ciudadanos chinos para trabajar en su software han mejorado, probablemente, la capacidad de infiltración informática de los servicios de inteligencia y seguridad chinos", explica Larry Wortzel, uno de los más reputados expertos en relaciones chino-americanas y miembro de la comisión gubernamental de Asesoramiento en Economía y Seguridad EE UU-China.

Ésos son, al fin y al cabo, los riesgos asociados a entrar en el mayor mercado de Internet del mundo. Las empresas occidentales que buscan un beneficio saben a qué se someten: un mercado opaco, duras normas de censura y la posibilidad de filtraciones y ataques. Para Google es un precio demasiado alto. Otros, como Microsoft o Yahoo!, han decidido seguir jugando.