Memex: buscador en la Deep WebHace un ao,DARPA (Defense Advance
Research Projects Agency) anunci MEMEX, un proyecto para crear un
nuevo motor de bsqueda que pueda encontrar cosas en la Deep web que
no esten indexadas por ningn otro buscadores comercial.
El proyecto, denominadoMemex Deep Web Search Engine, est en
camino, y por primera vez el domingo por la noche el "motor de
bsqueda de lucha contra el crimen" en etr accin. La Agencia del
Pentgonodio una vista previa sobre el software al programa 60
Minutos.
Memex fue diseado para superar los desafos anteriores de bsqueda
mediante"la ampliacin del alcance de las capacidades de bsqueda
para organizar subconjuntos de informacin basada en intereses
individuales".
El inventor de Memex,Chris White, explic cmo funciona este nuevo
motor de bsqueda y cmo podra revolucionar las investigaciones de la
ley."El internet es mucho ms grande de lo que la gente piensa: segn
algunas estimaciones Google, Microsoft Bing y Yahoo! slo dan acceso
a alrededor del 5% del contenido en la Web. Eso deja mucho espacio
para malos actores que operan libremente en las sombras".
Memex est siendo probado en estado Beta por las oficinas de
distrito, una agencia del orden pblico y una organizacin no
gubernamental. El siguiente nivel de la prueba se har por un amplio
grupo debeta-testersen unas semanas.
Uno de los principales objetivos de esta ronda es poner a prueba
nuevas capacidades de bsqueda de imagenes, que puedan analizarse
fotos incluso cuando existan solo porciones o estn ofuscadas. Otro
objetivo es probar las interfaces de usuario y experimentar con
arquitecturas que evalan datos sensibles.
Deteccin de botnet: anlisis de SPAM10/02/2015, porDavid Cantn
(INCIBE)
Una de las funcionalidades clsicas de las botnet ha sido el envo
de spam, por lo que es lgico usar las metodologas de anlisis de
spam a las tcnicas de deteccin de botnets. Mediante estas tcnicas,
en vez de observar y analizar todo el trfico de red, como se hace
en latcnica de anlisis de paqueteso enel anlisis de flujos de red,
solo se debe analizar comunicaciones relativas al envo de correos
electrnicos, reducindose la cantidad de informacin a analizar.
-Tcnicas de Deteccin de Botnets-Botnets y el SPAMEl envi de spam
por parte de las botnets, utilizando los ordenadores comprometidos
como nodos relay SMTP, tiene dos objetivos principales: Expansin,
utilizan el envo masivo de correo para aumentar el nmero de bots.
Las direcciones de correos usadas pueden ser facilitadas por el
C&C, generadas aleatoriamente u obtenidas de las listas de
correos de los ordenadores comprometidos. Los mtodos de infeccin
suelen ser el envo de correos con archivos adjuntos maliciosos o
mensajes que incluyen direcciones a sitios maliciosos que
aprovecharan vulnerabilidades de los usuarios para infectarlos.
Ejemplos de este tipo de botnets sonBamital,BankpatchoGamut.
-Fuente:Botnet detection techniques: review, future trends and
issues- Monetizacin, envo masivo de correos con el objetivo de
vender diversos tipos de productos se ha convertido en un gran
negocio para los creadores de botnets. Hay estimaciones ya del ao
2008 donde las farmacuticas online ganaron 12.000 millones de
dlares, ms del triple que el ao anterior. Gracias a este tipo de
negocio, los dueos de las botnets pueden alquilar los servicios de
envo de correo o participar directamente en los programas de
afiliacin. Aunque latasa de conversin de un correo de spames
relativamente baja, la colosal cantidad de correos que son enviados
diariamente hacen que se haya convertido en un negocio muy
rentable.
Ciclo econmico de Spam Farmacutico FUENTE:damballa
-El porcentaje de spam en el trfico de correo electrnico, 2013
(Fuente:securelist.com) -Tcnicas de deteccinMotivado por esta
casustica, se han desarrollado metodologas y funcionalidades a los
sistemas de seguridad con el fin de dotarles de las capacidades
necesarias para identificar si un entorno est comprometido por un
malware perteneciente a una botnet que enva spam y a la vez reducir
la cantidad de datos a analizar al centrarse.Una caracterstica de
las campaas de spam realizadas por las botnets es que los mensajes
suelen seguir un patrn o incluso ser idnticos. Debido a estas
semejanzas, el anlisis estadstico de los diferentes datos del
correo, tanto de la cabecera como del propio mensaje, en una
comunicacin SMTP puede ser un indicador para determinar una
determinada red est infectada.Como se indica en elinforme de ENISA,
el uso de herramientas como losspamtrapshace que la deteccin de
correos de spam sea ms efectiva. Los spamtraps son buzones de
correo electrnico cuyo nico propsito es la recepcin de correo no
solicitado. Para que sean efectivos estos correos deben ser
publicitados y registrados en mltiples sitios como foros, listas de
noticias,. Los spamtraps son una especie dehoneypotspero que si
deben de ser publicitados, al contrario de lo que pasa con los
honeypots.Algunos de los estudios o propuestas que se basan en el
anlisis de spam para la deteccin y/o caracterizacin de botnets son:
BotGraph: Large Scale Spamming Botnet Detection,se describe un
nuevo sistema de deteccin de botnets, BotGraph, que tienen como
objetivo realizar ataques dirigidos contra los principales
proveedores de correo electrnico Web. BotGraph detecta actividad
sospechosa a partir del clculo de las correlaciones entre las
actividades de botnets mediante la construccin de grandes grafos
usuario-usuario y buscando sub-grafos fuertemente conectados. Segn
sus pruebas, esta tcnica permite identificar a los usuarios de
redes de bots furtivos que son difciles de detectar cuando son
analizados de forma aislada. Detection of Spam Hosts and Spam Bots
Using Network Flow Traffic Modeling, presenta una aproximacin para
la deteccin de anfitriones de spam, spam bots y sus
correspondientes C&C basndose en el anlisis flujos de datos
redes y en metadatos de DNS. Su propuesta consiste en establecer en
primer lugar los modelos de trafico SMTP legtimos frente a clientes
SMTP que acten como spammer, para posteriormente clasificar
clientes SMTP desconocidos en base a los distancia con los dos
modelos de trfico. En una primera fase se identificara los host que
realizan el spam en base a la entropa, para despus analzalos con el
objetivo de determinar su centro de mando y control. Spamcraft: An
Inside Look At Spam Campaign Orchestration, realiza un anlisis de
la botnet Storm, describiendo su "modus operandi": recogida de
direcciones de correo electrnico de las vctimas, plantillas de
correo y las modificaciones que realiza, as como las tasas de xito
en diferentes tipos de campaas.Podemos resumir que la deteccin de
botnet mediante el anlisis del spam en una red es una tcnica til
aunque limitada, ya que no todas las botnets envan spam como
actividad principal. Pero la utilidad de su anlisis radica en que
actualmente el envo de spam es una forma de rentabilizar este tipo
de amenazas, y por lo tanto es previsible que sus creadores lo
sigan utilizando ampliamente en el futuro. Por lo tanto y como se
ha visto anteriormente, esta tcnica de deteccin de botnets es un
mtodo a tener en cuenta pero debe ser complementada por otros
mtodos de deteccin.
Deteccin de botnets mediante anlisis de paquetes08/10/2014,
porDavid Cantn (INCIBE)
El gran problema que suponen las botnets a da de hoy, tanto para
el anlisis de sistemas infectados como a las vctimas de sus
acciones (ataques de denegacin de servicio, spam,...) justifican el
esfuerzo que se est realizando para desarrollar e implementar
tcnicas para su deteccin y prevencin por parte de empresas de
seguridad informtica, universidades,CERTs, polica, etc.Sin embargo,
la lucha contra las Botnets no es un problema de fcil solucin ya
que representa un desafo en constante evolucin, en el que los
cibercriminales no paran de evolucionar creando nuevas tcnicas para
evadir los sistemas actuales de deteccin, y mantener estas redes de
ordenadores zombies durante el mayor tiempo posible y con la mxima
rentabilidad. El uso de tcnicas comoFast Flux, la generacin dinmica
de dominios (DGA), la ofuscacin de las comunicaciones, el uso de
comunicaciones P2P o la utilizacin de la red Tor, y la
implementacin de medidas antireversing entre otras, intentan evitar
o entorpecer la deteccin de este tipo de malware
Servicio Antibotnet de laOficina de Seguridad del
InternautaAunque existen varias clasificaciones sobre tcnicas de
deteccin de botnet, para hacer frente a las tcnicas anteriormente
descritas, en este texto tomaremos como base la realizada por
laENISAen el informe "Botnets: Detection, Measurement, Disinfection
& Defence" El informe divide las tcnicas pasivas, y tcnicas
activas.
Principales tcnicas de deteccin de BotnetsTcnicas PasivasEste
tipo de tcnicas agrupan todo sistema o procedimiento de deteccin de
botnets que se basan en la simple observacin, sin interferir o
modificar ninguno de los elementos implicados, es decir, mtodos
basados en el anlisis de comportamiento y en firmas. Aunque estas
tcnicas tienen restricciones respecto a la informacin que pueden
obtener, tambin son ms difciles de detectar por los Bot Masters.
Veamos las principales caractersticas y funcionamiento de la
primera de las tcnicas pasivas de deteccin de botnets:Inspeccion de
Paquetes (Packet Inspection)Esta tcnica consiste en inspeccionar
los paquetes del trfico de red en busca de patrones o
caractersticas previamente definidas para para detectar posibles
amenazas. Ejemplos de uso de esta tcnica es comprobar las IP
destino de los paquetes contra lista negras de IP clasificadas como
C&C (centros de control) de botnets, monitorizar conexiones a
puertos diferentes de los habituales o la bsqueda de cadenas de
caracteres especiales que puedan identificar una amenaza.En funcin
del tipo de anlisis de paquetes podramos distinguir entre inspeccin
superficial de paquetes (Stateful Packet Inspectiono SPI) e
inspeccin a fondo de los paquetes (Deep Packet Inspectiono DPI). El
anlisis SPI se centra exclusivamente en el los datos de cabecera
(IPs, puertos, protocolos,) pero no entra a analizar el contenido
del paquete. Este tipo de anlisis SPI es el que realizan los
normalmente los firewalls.Por otro lado, en un anlisis DPI, adems
de tenerse en cuenta los datos de cabecera de los paquetes, el
sistema analiza el contenido o parte til del paquete. Este tipo de
anlisis es el ms interesante desde el punto de vista de deteccin de
botnets, ya que utiliza una combinacin de tcnicas de anlisis
basadas en firmas, anlisis estadsticos y anlisis de anomalas para
detectar posibles amenazas en la red monitorizada. Con una
parametrizacin adecuada, estos sistemas pueden detectar tanto
amenazas conocidas e identificadas como amenazas nuevas al detectar
patrones o trfico anmalo.Los tipos de sistemas o aplicaciones
existentes enfocados en realizar anlisis DPI pueden ser
clasificados en IDS (Intrusion Detection Systems) e IPS (Intrusion
Prevention Systems).Los IDS son sistemas pasivos que solo generan
alertas, mientras que los IPS toman medidas activas como cortar las
conexiones sospechosas.Un ejemplo de este tipo de software IDS/IPS
sonSNORT, desarrollado porSourceFirey que es el estndar de
facto;Suricata, desarrollado por laOpen Information Security
Foundation(OISF); yBro, desarrollado actualmente por
elInternational Computer Science Institutey elNational Center for
Supercomputing Applications. Los tres sistemas son IDS/IPS de cdigo
libre y tienen como misin analizar el trfico de red en base a un
amplio conjunto de reglas para detectar amenazas y minimizarlas en
funcin de las medidas configuradasLogotipos de los IDS SNORT,
SURICATA y BROEstos IDS se pueden configurar para detectar unos
eventos u otros utilizando reglas. Por ejemplo, a continuacin se
muestra una regla de SNORT para detectar conexiones establecidas
por la botnet Zeus:alert tcp $EXTERNAL_NET $HTTP_PORTS ->
$HOME_NET any (msg:"MALWARE-OTHER Win.Trojan.Zeus Spam 2013 dated
zip/exe HTTP Response - potential malware download";
flow:to_client,established; content:"-2013.zip|0D 0A|";
fast_pattern:only; content:"-2013.zip|0D 0A|"; http_header;
content:"-"; within:1; distance:-14; http_header; file_data;
content:"-2013.exe"; content:"-"; within:1; distance:-14;
metadata:impact_flag red, policy balanced-ips drop, policy
security-ips drop, ruleset community, service http;
reference:url,www.virustotal.com/en/file/2eff3ee6ac7f5bf85e4ebcbe51974d0708cef666581ef1385c628233614b22c0/analysis/;
classtype:trojan-activity; sid:26470; rev:1;)Ejemplo de regla de
SNORT para deteccin botnet ZeusAunque esta tcnica de deteccin es
til tiene de varios problemas: Falta de escalabilidad, en redes con
gran trfico la cantidad de informacin puede crear un cuello de
botella si las reglas del sistema no estn definidas con cuidado.
Alta tasa de falsos positivos. Dificultades con el anlisis de
paquetes si las comunicaciones estn cifradas, ya que no se podran
descifrar el contenido de los paquetes a analizar. Legalmente
pueden existir problemas al analizar se la informacin enviada en
los paquetes.A favor el anlisis de paquetes tendra las siguientes
ventajas: Tiempo de reaccin bajo, "simplemente" actualizando las
reglas se puede proteger al sistema frente a nuevas amenazas.
Flexibilidad, el sistema es capaz de detectar amenazas no definidas
si descubre comportamiento anmalos. Permite analizar ataques a
posterior, si se registra el trfico de la red
Deteccin de botnets mediante anlisis de flujo
En la deteccin de botnets,otra tcnica usadaes el anlisis de los
registros de flujo de red. Esta tcnica se basa en analizar el
trfico desde un punto de vista ms abstracto, sin entrar a analizar
los datos propiamente dichos. Bsicamente, la idea es caracterizar
las comunicaciones a partir de datos como direcciones IP de origen
y destino, puertos de comunicacin, volumen de trfico transmitido o
duracin de las sesiones. Con todos estos datos, el sistema de
anlisis de flujo de red puede detectar comportamientos
estadsticamente anmalos o patrones de comportamiento mediante los
cuales se detecten botnets u otro tipo de amenazas.
- Modelo de datos de NetFlow 5 (fuente:CISCOSystem) -Esta
tcnica, al no analizar la carga til de los paquetes ("payload"),
reduce la cantidad de datos que se deben de almacenar y examinar.
Gracias a este hecho, se evitan problemas que tienen otras tcnicas
como por ejemplo: Problemas de legalidad, al no inspeccionar los
datos privados no se entra en conflicto con determinadas leyes
sobre la privacidad de las comunicaciones. Problemas de
escalamiento, el tratamiento en tiempo real de los grandes volmenes
de datos, que se generan en redes tamao mediano o grande, suele ser
un problema de gran complejidad y que necesita una gran cantidad de
recursos. Al reducirse la cantidad de datos a manejar se atena en
gran medida este problema.Sin embargo, este tipo de anlisis adolece
de tener acceso directo a las evidencias de un comportamiento
malicioso, puesto que no analiza los datos propiamente dichos. Esta
tcnica est limitada al anlisis de los metadatos de las
comunicaciones, pero que suele ser bastante eficiente a la hora de
identificar amenazas en una red.NetFlowEl protocolo de red que se
ha convertido en estndar de facto para el anlisis de flujos de red
esNetFlow. NetFlow es un protocolo abierto (RFC 3954) diseado
porCISCO Systemy adoptado posteriormente por otros fabricantes como
Juniper, Huawei o 3Com/HP. Este protocolo permite la recoleccin de
informacin sobre el trfico IP de una red para su posterior anlisis.
Los routers y switches que soportan este protocolo, adems de
distribuir el trfico por la red, se encargan de enviar los
metadatos de dicho trfico (IPs, puertos,) a un servidor
especializado de recoleccin. En este servidor se realizan los
anlisis correspondientes con el fin de identificar patrones de
trfico anmalos, comunicaciones con puertos en teora filtrados,
conexiones a IPs maliciosas, exceso de determinado tipo de trfico,
sesiones demasiado largas o demasiado cortas, que pueden indicar
que la red o alguno de sus integrantes han sido comprometidos.
- Ejemplo de arquitectura NetFlow (fuente:Cisco) -El anlisis de
flujo de red puede detectar tanto amenazas desconocidas, al
detectar comportamientos anmalos como por ejemplo una botnet no
identificada, como amenazas previamente identificadas, como son IPs
conocidas de los centros de C&C de una botnet.Otra ventaja de
esta tcnica de anlisis es la posibilidad de almacenar los reducidos
metadatos de las comunicaciones, gracias a lo cual se pueden
realizar anlisis retrospectivos de amenazas o de ataques con el
objeto estudiar la respuesta del sistema y mejorar las
contramedidas existentes. Por el contrario, esta tcnica genera una
sobrecarga de trfico considerable, ya que los dispositivos de
enrutamiento envan los metadatos de las comunicaciones al servidor
encargado de almacenar y procesar esta informacin.A continuacin
veremos algunas publicaciones y estudios que desarrollan esta
tcnica para la deteccin de botnets: EnUsing machine learning
techniques to identify botnet traffic(Livadas C., Walsh, R.,
Lapsley, D., Strayer, T), se explic, ya en el ao 2006, cmo utilizar
mtodos de aprendizaje automtico para la deteccin del trfico de
botnet IRC. El sistema propuesto analiza el trfico de una red
estadsticamente, segregando en una primera fase el trafico IRC del
no IRC, para en una segunda fase ver qu trfico IRC corresponde a
alguna botnet, para lo cual entre otros datos analiza el nmero de
bytes por paquete y su varianza en el tiempo. DISCLOSURE: Detecting
Botnet Command and Control. Servers Through Large-Scale NetFlow
Analysis(Bilge, Leyla; Balzarotti, Davide; Robertson, William;
Kirda, Engin; Kruegel, Christopher), en el cual proponen un sistema
para la deteccin de los servidores C&C de las botnets mediante
el anlisis de los registros de NetFlow; este anlisis se realiza en
base al tamao de los flujos, los patrones de acceso de los clientes
y del comportamiento temporal.
- Arquitectura de DISCLOSURE - Una aplicacin real es elCisco
Cyber Threat Defense Solution. Este sistema utiliza el anlisis de
los datos obtenidos mediante NetFlow para identificar posibles
patrones sospechosos de trfico de red. Adems del anlisis de
patrones, este sistema incorpora otros mtodos para la deteccin de
amenazas: Blacklist, deteccin de botnets mediante el uso de lista
negras. El sistema comprueba las conexiones de la red contra
mltiples fuentes de informacin que registran direcciones IP de
posibles amenazas, como por ejemplo
comohttps://zeustracker.abuse.ch/. Monitorizacin de conexiones
unidireccionales peridicas de muy corta duracin hacia el exterior
de la red monitorizada. Este tipo de conexiones podran ser un
indicio de conexiones maliciosas. Backtracking, cuando se descubre
un nuevo servidor de C&C se comprueba la existencia de
comunicaciones antiguas contra este servidor en base al histrico
que almacena.Por supuesto, esta tcnica de deteccin es fcilmente
evadible si es la nica medida que se aplica para detectar botnets.
Existen tcnicas, comoAlgoritmo de generacin de dominios (DGA)o
covert channel, son utilizadas para evitar su deteccin, intentando
que las conexiones realizadas por tipo de amenazas pasen
desapercibidas. Por lo tanto, aunque til esta tcnica no puede ser
la nica a usar en un sistema y deber ser complementada con otras
comoanlisis de paquetes, anlisis de log, anlisis de DNS,
La resiliencia de las botnets: "redes duras de pelar"21/10/2014,
porAsier Martnez (INCIBE)
De manera general, y ms en el caso del malware relacionado con
las botnets, buscan pasar desapercibidos con el fin de ser
persistentes y as obtener el mayor beneficio posible: por ejemplo,
a travs de la exfiltracin de informacin relevante, el envo masivo
de spam, o de la subcontratacin de la botnet para llevar a cabo
ataques de denegacin de servicio.A lo largo de todo este tiempo,
las botnets han ido incluyendo una serie de medidas y protecciones
para aumentar su nivel de resiliencia, es decir, han ido
implementando mecanismos para mantenerse funcionales el mayor
tiempo posible. Es importante conocer este tipo de mecanismos para
poder hacerse una idea aproximada del nivel de sofisticacin y de la
amenaza que suponen: Conoce a tu enemigo y concete a ti mismo; en
cien batallas, nunca saldrs derrotado. (El arte de la guerra - Sun
Tzu).Algoritmo de generacin de dominios (DGA)En lugar de tener en
el cdigo del malware los dominios con los que se comunican los
nodos, muchas botnets incorporan un sistema DGA, mediante el cual
se generan peridicamente gran cantidad de dominios en base a
ciertos criterios, llegando incluso a ms de 1.000 dominios
diarios.De este modo, el malware comprueba si esos dominios estn
accesibles, y en el caso de que lo estn, se conecta a ellos con el
fin de recibir actualizaciones o instrucciones. El bot master, al
haber creado el algoritmo, es capaz de predecir los dominios que se
generarn, por lo que se anticipa y registra aleatoriamente algunos
de ellos, los activa, realiza la comunicacin con los nodos y
finalmente los desactiva.Este mecanismo dificulta el trabajo de los
analistas de malware y de las empresas de seguridad, ya que se debe
realizar ingeniera inversa con el fin de comprender el
funcionamiento de dicho algoritmo y as evitar que el malware se
conecte con el servidor C&C, o adelantarse al bot master y
registrar algn dominio para poder establecer la comunicacin con los
nodos.
De manera habitual, utilizan el timestamp como base para generar
los dominios, pero en ocasiones son ms originales, como es el caso
de labotnet Torpig, que utiliza los trending topics de Twitter como
base para la generacin de dominios.Adems, con el fin de ocultar
este trfico fraudulento, realizan peticiones a sitios
legtimos.PolimorfismoUna gran parte de las detecciones que realizan
los antivirus y suites de seguridad se hacen mediante deteccin por
hashes, es decir, se crean detecciones nicas para cada uno de los
ficheros catalogados como malware.Con el fin de evadir este tipo de
detecciones, los creadores de malware crean malware polimrfico, es
decir, varan ligeramente el cdigo con el fin de que cambie el hash
del fichero y as invalidar su deteccin. Algunos de los mtodos ms
habituales consisten en insertar cdigo basura, reorganizar el cdigo
ya existente o la utilizacin de diferentes
packers.Anti-CrawlingCrawlear una botnet consiste en identificar
todos los nodos pertenecientes a la misma. De este modo, se puede
obtener una idea aproximada de su propagacin y alcance, permitiendo
notificar a los usuarios afectados que sus equipos estn
comprometidos, y los pasos que deben seguir para desinfectarse.Con
el fin de prevenir esto, en muchos casos los nodos de las botnets
se envan nicamente listas parciales del resto de nodos de la
botnet, es decir, envan nicamente el listado de nodos que conocen
(peerlist), e incluso lo hacen de manera fragmentada. Adems,
algunas, como es el caso de Zeus, implementan mecanismos mediante
los cuales bloquean los nodos que solicitan frecuentemente
peerlist. De este modo, se consigue que crawlear la botnet resulte
muy costoso.Anti-SinkholeA grandes rasgos, Sinkhole es el trmino
que describe el proceso de tomar el control de una botnet
infiltrndose en la misma. Esta toma de poder se realiza provocando
que los nodos se conecten para recibir instrucciones a uno que est
bajo nuestro control. De este modo, es posible enviar peerlist
manipuladas o instrucciones para desmantelar la red.Con el fin de
prevenir esta tcnica, las botnets incorporan esquemas de reputacin
para determinar qu nodos dentro de la botnet son confiables y cules
no, y bloquean los nodos que identifican que han sido
sinkholeados.As mismo, utilizan sistemas de backup de los
servidores C&C.Comprobacin del entornoAlgunas botnets analizan
diferentes aspectos del entorno en el que se ejecutan, con el fin
de determinar si lo estn haciendo en sandboxes o entornos de
anlisis de malware. En el caso de identificar estos entornos, su
comportamiento es distinto con el fin de parecer goodware.Incluso,
en ocasiones, generan blacklists con las IPs de las sandboxes y
entornos de anlisis de malware con el fin de que otros malware
utilicen ese conocimiento para evitar ser
detectados.Compartimentacin de las funcionesDe manera habitual, las
botnets estn formadas por gran cantidad de malware y con diferentes
funcionalidades. Existen los droppers o downloaders encargados de
introducir el payload en el sistema, que es el que contiene
realmente la funcionalidad. De este modo, puede ocurrir que se
detecten los droppers y downloaders, y no el payload, o al
revs.Fast FluxComo se indicaba en el post Uso y abuso de DNS,Fast
Fluxes una tcnica que consiste en la asignacin de mltiples
direcciones IPs a un determinado dominio. De este modo, cada vez
que se realiza una consulta DNS sobre ese dominio, se resuelve una
direccin IP distinta. Las redes Fast Flux estn formadas por nodos
comprometidos de la propia botnet, y actan como proxy entre los
clientes y los servidores donde se almacena el contenido. Esta
tcnica permite ocultar la ubicacin real del servidor desde el que
se controla la botnet.
Descentralizacin de la estructura de una botnetLa utilizacin de
botnets con estructura descentralizada, como es el caso de las P2P,
dificulta significativamente su desmantelamiento.
En algunos casos, utilizan mltiples servidores C&C con
distintas versiones del malware.As mismo, la utilizacin de
servicios alojados en la red Tor, permite enmascarar la localizacin
real de los servidores C&C.ComunicacinLas botnets se comunican
de diferentes maneras: A travs de redes sociales:Facebook,Twittero
LinkedIn. A travs de diferentes servicios:Google Groups, Google
Calendar oReddit. A travs de IRC o programas de mensajera como
Skype. A travs de P2P. A travs de esteganografa: habitualmente en
imgenes con texto oculto aprovechando los metadatos, como es el
caso de Zeus y Bredolab.As mismo, acostumbran a ofuscar los
comandos que transmiten, de modo que pueden evadir las firmas de
los sistemas de deteccin de intrusos (IDS) y similares.Exfiltracin
de informacinDentro del proceso de comunicacin, es importante tener
en cuenta que utilizan diversas tcnicas para llevar a cabo el
proceso de exfiltracin de informacin sensible: Diferentes mtodos:
HTTP, FTP, SSH, SMTP, etc. Dividen la informacin en un gran nmero
de ficheros de tamao pequeo, en lugar de enviar nicamente uno de
gran tamao. De manera habitual, utilizan algoritmos de cifrado
simtrico por sustitucin para cifrar la informacin: los ms
habituales son Cesar o ROT13. No es habitual la utilizacin del
cifrado asimtrico ya que tiene un coste computacional alto.En el
proceso de comunicacin, merecen especial atencin los covert
channels, es decir, las tcnicas que permiten enviar informacin
empleando para ello las cabeceras de los protocolos de comunicacin.
Mediante estas tcnicas es posible tanto enviar instrucciones a los
nodos de la botnet como exfiltrar informacin sensible.Al llegar los
paquetes a su correspondiente destino, se procesan los valores de
las cabeceras de modo que se obtiene informacin que el bot master
puede comprender.Algunos de los ejemplos ms habituales de covert
channels son: Timing Covert Channel o Storage Covert Channel.
Uso y abuso de DNS02/10/2014, porAntonio Lpez (INCIBE)
DNS es uno de los protocolos con mayor presencia en las
comunicaciones de Internet. Gracias a DNS usamos nombres en lugar
de direcciones IP, lo que proporciona una va mucho ms sencilla para
identificar y recordar otras mquinas o dispositivos de la red. Por
otra parte, su omnipresencia y caractersticas lo hacen
especialmente atractivo para emplearlo con otros fines no legtimos,
como ataques dedenegacin de servicio por amplificacin DNS,
suplantacin de sitios, phising, etc.En este artculo se resumen los
principales usos y "malos usos" que se dan a este importante
protocolo.
Fast flux o el don de la ubiquidad.La tcnica conocida como
fast-flux es un mecanismo de evasin ampliamente utilizado por
malware y botnets. Los ordenadores integrantes de una botnet (bots
o zombies) suelen conectarse a servidores denominados centros de
comando y control (C&C) o con otros bots con objeto de recibir
rdenes y/o configuraciones, as como enviar informacin. Los centros
de comando y control tratan de ocultar su ubicacin e IP para evitar
ser localizados y neutralizados y para ello cambian de direccin IP
constantemente. La tcnica de fast flux consiste en registrar un
nombre de dominio y cambiar frecuentemente la IP asociada en los
servidores de nombres que mantienen el registro. Adems, a estos
registros se les asigna un tiempo de "caducidad" o time-to-live o
TTL muy bajo (o nulo) para evitar sea almacenado en cach de los
clientes DNS. De este modo se consigue que dos solicitudes DNS
consecutivas devuelvan IP distintas dificultando la localizacin del
servidor. El fast flux de direcciones IP se combina frecuentemente
con el rotado de los servidores de nombres propietarios del dominio
(nameservers, NS). Con este doble fast flux se incrementa la
dificultad de localizar los centros de comando y control. Por otra
parte, fast flux tambin puede ser empleado legtimamente con el
objetivo de repartir carga o multiplexar los recursos asociados a
un dominio para reforzar su disponibilidad
- Fast Flux de IP-Passive DNSPassive DNS aparece en escena como
mecanismo para detectar comportamientos anmalos entre ellos, el
secuestro de dominios o el fast flux. Consiste en monitorizar y
almacenar consultas DNS en una base de datos y comparar, en las
sucesivas peticiones que se realizan, si hay diferencias
inesperadas con lo almacenado anteriormente en la base de datos.
Cambios como el propietario del dominio o las IPs asociadas en un
tiempo corto, podran ser indicativo de algn tipo de
anomalaSinkholingEl sinkholing de dominios es una estrategia
defensiva para evitar que los dominios con contenido malicioso
puedan ser visitados. Para ello es necesario una vez identificado
el dominio, localizar el registrador del mismo y solicitar su
cesin, de modo que se pueda asignar a ese dominio una IP controlada
o no vlida. De esta forma, las vctimas nunca llegarn a acceder al
sitio malicioso o centro de control en caso de una botnet. Adems de
ofrecer proteccin y evitar que mquinas infectadas se comuniquen con
los centros de control, el sinkholing puede utilizarse para
estudiar el comportamiento de una botnet dirigiendo las
comunicaciones hacia un servidor que simule ser el centro de
control y que se encargue de analizar el trfico recibido.Domain
Generation Algorithm (DGA)Una vez ms, hecha la ley, hecha la
trampa. El malware adopta contramedidas contra sink holing mediante
la generacin de una gran cantidad de nombres de dominio a travs de
un algoritmo. Por ejemplo, en el caso de conficker, una de las
amenazas ms comunes, se generan hasta 50000 nombres de dominio al
da. El atacante registrar peridicamente una serie de dominios, de
entre los generados por el algoritmo y as estar accesible por sus
vctimas. Lgicamente la frecuencia y nmero de conexiones entre
vctima y centro de control se reduce, pero en contrapartida,
complica muchsimo el sink holing de sus dominios puesto que para
ello, deberan registrarse todos los dominios generados por el
algoritmo, o bien solicitar al registrador un control de los
mismos.Denegacin de Servicio. DDoSEs uno de los usos ilegtimos de
DNS ms extendido y utilizado para causar perjuicio con ataques de
denegacin de servicio. Como se explica en el artculo"DNS, open
resolvers y denegacin de servicio por amplificacin DNS", las
caractersticas del protocolo DNS y su base en capa de transporte
UDP permiten el falseo o spoofing de direcciones IP, es decir,
enviar al servidor paquetes con una IP falseada y que ste conteste
a esa IP al no hacer ningn tipo de comprobacin sobre el origen. A
este resultado de "reflejar" las respuestas hacia la IP vctima, se
une al factor de amplificacin ya que, ciertas consultas DNS
consiguen generar una respuesta del servidor de tamao mucho mayor
que el paquete emitido. Uniendo ambos factores, amplificacin y
reflexin, un atacante que use un buen nmero de los servidores DNS
pblicos puede llevar a cabo un ataque de denegacin de servicio
contra una IP vctima dirigiendo contra ella un gran volumen de
trfico. Este y otros aspectos de seguridad en DNS se describen
detalladamente en la"Gua de Seguridad en Servicios DNS"publicada
por INTECO.
- Pico de trfico en un ataque DDoS -Typosquatting,
cibersquatting y otrosSin llegar al nivel de sofisticacin de las
anteriores pero igualmente efectivas, las estrategias basadas en
sacar provecho de errores humanos aparecen frecuentemente. Entre
estas, el typosquatting, consiste en registrar dominios con nombre
muy parecido al nombre al que se quiere suplantar. Este nombre se
escoge cuidadosamente de tal forma que coincida con el resultado de
escribir el nombre original con un error tipogrfico, por
ejemplowww.goole.comen lugar dewww.google.com. Con ello se dirige a
alguien que cometa el error hacia un sitio que simule ser el
original y tratar de obtener credenciales, robar datos, instalar
software no deseado o infectar el visitante.
- Dominio typosquatting -El cibersquatting es otra forma
oportunista para beneficiarse del registro de nombres
principalmente con motivos de extorsin . Se basa en registrar
dominios que hagan referencia a personas, compaias, marcas
comerciales, etc con la intencin de que la parte perjudicada acceda
a recuperar el dominio a cambio de una compensacin econmica. Muy
frecuente hace unos aos, a da de hoy es menos habitual gracias a
normativas y procedimientos legales que dificultan la posibilidad
de registrar un dominio en conflicto con derechos intelectuales y/o
de propiedad. La ICANN (Internet Corporation for Assigned Names and
Numbers ) coordina la gestin de dominios e IPs y a travs de la
seccin "Poltica de Resolucin de Disputas de Nombres de Dominio",
establece una va para la proteccin de los derechos del propietario
de la marca.
DNS, open resolvers y denegacin de servicio por amplificacin
DNS16/01/2014, porAntonio Lpez (INCIBE)
Como se ya explic en el artculo publicado en el blog de
INTECO,Hemos echado el cierre o nos estn haciendo un DDoS?, una de
las principales amenazas que afectan a empresas o compaas con
servicios accesibles pblicamente en Internet son los ataques de
denegacin de servicio , a travs de cualquiera de las variantes all
descritas. En este artculo hablamos de uno de esos tipos de ataque,
en concreto, la denegacin de servicio por amplificacin de
respuestas DNS.En marzo de 2013, se produjo uno de los ataques de
denegacin de servicio ms grandes de los ltimos tiempos, llegndose a
detectar picos de trfico superiores a 100 Gbps. Los objetivos del
ataque fueron las compaas Spamhaus, organizacin dedicada a la
identificacin y proteccin de fuentes de spam anti-spam a nivel
mundial, y Cloudfare, su proveedor de servicios de mitigacin de
ataques DDos (Distibuted Denial of Service).
Ilustracion 1. Trfico observado en los routers de Cloudfare
dirigido contra SpammhausUn ataque DDoS aunque focalizado en un
objetivo concreto, se lanza simultneamente desde multitud de
orgenes y as, el volumen de trfico es tal que los efectos
colaterales pueden dejarse notar en los puntos intermedios de
enrutamiento, donde el trfico confluye en su trayecto hacia el
destino final. En estos puntos, la convergencia del mismo crea
cuellos de botella que pueden superar la capacidad del dispositivo
enrutador.
Ilustracin 2. Ataque DoS.Sobrepasando la capacidad de respuesta
de un dispositivo.DNS, una navaja suiza en ataques DDoS.
AmplificacinDNS, el protocolo de resolucin de nombres que nos
permite identificar recursos en internet con nombres fcilmente
manejables y as obtener su direccin IP, es muy frecuentemente
utilizado para generar ataques de DDoS. Por qu? Bien, DNS, adems de
ser un protocolo omnipresente en internet cuenta con una serie de
caractersticas que lo hacen especialmente til para generar trfico y
dirigirlo a un objetivo, siendo por otra parte, complicado de
detener. Estas caractersticas son: Transporte de mensajes sobre
UDP. Realmente la base del problema. Aunque es posible el uso de
TCP para consultas/respuestas DNS, por motivos de rendimiento y
compatibilidad histrica es UDP el protocolo generalmente usado en
el transporte de mensajes DNS. UDP es un protocolo de red no
orientado a conexin donde se envan paquetes (datagramas) sin
esperar una confirmacin por parte del receptor. Es por lo tanto un
protocolo fcilmente spoofleable, es decir, podemos enviar paquetes
con una direccin IP origen falseada puesto que no se establece una
verificacin del emisor. Igualmente en la recepcin de los datagramas
no se hacen comprobaciones sobre el origen de la conexin. Con DNS
es posible obtener, a partir de un mensaje de consulta de pequeo
tamao una respuesta mucho mayor. Un servidor DNS se convierte
entonces en un amplificador de trfico. La especificacin (Extension
Mechanisms for DNS) EDNS0 permite el envo de mensajes DNS con tamao
superior al definido para mensajes estndar DNS sobre UDP (512
bytes). As, usando esta funcionalidad es posible a partir de una
consulta de escasos bytes, provocar una respuesta de gran tamao,
pudiendo llegar hasta buffers de 4096 bytes. De este modo, lanzando
una gran cantidad de consultas y sobre mltiples servidores, se
conseguir provocar un flujo de respuestas de gran tamao dirgida a
la mquina objetivo del ataque. Open Resolvers. Otro asunto que
facilita este tipo de ataques basados en DNS es el enorme nmero de
Open Resolvers accesiblespblicamente en Internet. Por open resolver
se entiende aqul servidor recursivo que permite consultas y ofrece
resolucin DNS a cualquier solicitante. Unido a lo anterior, existe
el problema con configuracines y reglas de filtrado de trfico que
no contemplan las medidas necesarias para contrarrestar, en la
medida de lo posible, el spoofing de direcciones IP.Funcionamiento
de un ataque de amplificacin con DNSSacando partido de las
debilidades arriba descritas, es relativamente sencillo generar un
ataque dirigido contra una vctima escogida. Basta con localizar
open resolvers, cuantos ms mejor, que se usarn de lanzaderas
amplificadoras y construir consultas haciendo uso de la
funcionalidad EDNS0 que provoquen una respuesta de tamao mucho
mayor que el de la consulta en s. Dichas consultas se preparan
falseando la IP origen con la direccin de la vctima, para conseguir
de este modo, que todas las respuestas generadas se dirigirn hacia
la misma.
Ilustracin 3. Ataque de amplificacin DNSContramedidasLo
realmente deseable es prevenir los ataques, puesto que la mejor
forma de solventar un problema es atacar su origen. Con este fin,
las siguientes medidas son deseables: Limitar recursin. Una
concienciacin global para que los propietarios de open resolvers
limiten la recursin nicamente a clientes o redes bajo bajo su
responsabilidad. La iniciativaOpen Resolver Projecttrabaja en este
aspecto. De este modo evitamos ser un punto lanzadera de posibles
ataques. Filtrado de trfico. Tambin resulta recomendable adoptar
las medidas especificadas en el documento de la IETFBCP-38: Network
Ingress Filtering: Defeating Denial of Service Attacks which employ
IP Source Address Spoofing. Adicionalmente, y desde el punto de
vista del servidor DNS, implementar medidas consideradas en el
RFC2671 que van destinadas a proporcionar mayor control sobre las
consultas/respuestas como puede ser, especificar un lmite mximo de
respuestas idnticas por segundo. Por ejemplo, si el software usado
en el servidor DNS es BIND, se dispone desde su versin 9.9.4 la
funcionalidad Response Rate Limiting (RRL) donde a travs de una
clasula rate-limit se puede limitar el nmero de consultas por
segundo si se detecta un flujo de consultas sospechoso de formar
parte de un ataque de flooding
Tails es vulnerable: te enseamos a evitar el fallo de I2P
Estamos seguros de que muchos conoceris la distribucin
LinuxTails. No en vano, era recomendada hace unos meses por Edward
Snowden, quien comentaba que erala ms seguray, por lo tanto, la que
l utilizaba para navegar por Internet. Un software que nos permita
estar en la red sin dejar rastro y sin la necesidad de realizar
complicadas configuraciones.Sin embargo, los encargados del paquete
hananunciado recientementeque uno de los paquetes incluidos est
provocando que la distribucin ya no sea todo lo segura que pareca.
Concretamente,I2P tiene un fallo de seguridadque, en el caso de ser
aprovechado, puede provocar que a lo usuarios se les quite la
anonimizacin que se promete. Un error que resulta bastante
grave.Bsicamente, lo que permite el bug essacar la direccin IP
verdaderade los usuarios, identificndonos tal y como somos. De esta
forma, si utilizamos TOR Browser para navegar por una pgina web
convenientemente modificada, el software podra ser vulnerado,
revelando datos sensibles. Oficialmente no se sabe con exactitud la
manera de explotar la vulnerabilidad, aunque existen algunos
crackers que conocen determinadas formas de ponernos en
peligro.Solucionando el fallo
El primer lugar, tenemos que decir que el fallo se encuentra en
el paquete I2P, incluido en el sistema. Aunque no est activado por
defecto, lo cierto es que si no nos andamos con ojo podramos caer
en una trampa cibernticamente mortal, por lo que lo mejor
esdesinstalar el paquetepara no utilizarlo sin querer.A continuacin
tenis lospasosnecesarios para hacerlo:1. Le ponemos una contrasea
al usuario root. Lo nico que deberemos hacer ser abrir la terminal
y ejecutar el comando sudo -i.2. Desinstalamos I2P con el comando
apt-get purge i2p.En el caso de que tengis que usar el paquete de
formaobligatoria, os recomendamos que instalis el
pluginNoScriptenTOR Browser, antes de iniciar el servicio I2P,
evitando as que se pueda ejecutar cdigo remoto en vuestro
ordenador.La vulnerabilidad ser corregida prximamente
Aunque la versin 1.1 de Tails fue publicada hace unos das, lo
cierto es que el fallo todavano ha sido solucionado, por lo que es
necesaria una solucin temporal, hasta que el paquete se modifique
de la manera necesaria para cerrar la brecha de seguridad. Algo que
debera de hacerse durante losprximos das.Debemos tener en cuenta
que un bug de este tipo puede comprometer seriamente a los usuarios
que utilicen Tails por lo que, si es vuestro caso, os recomendamos
que, directamente,no usis I2Phasta queexista alguna actualizacinque
arregle el paquete. Hasta entonces, deberis tener mucho cuidado
cuando naveguis por Internet.Por lo dems, mencionar que Tails es
una distribucin Linux centrada en hacer que podamos navegar por
Internet de una manera segura y completamente annima. Aunque la
ltima versin sea la 1.1, lo cierto es que se espera que pronto est
disponible unanueva versincon el fallo arreglado
El ejrcito estadounidense libera bajo cdigo abierto la
herramienta Dshell
Dshell es una herramienta de anlisis forense de redes
desarrollada en el laboratorio de investigacin del ejrcito USA.
Programada enPython y corriendo en Linux,ha sido
liberadaenGitHubbajo cdigo abierto.Dshelles un framework que los
usuarios pueden utilizar para desarrollarmdulosde anlisis
personalizadosbasados en los compromisos de las redes de su
entorno.El objetivo al liberarlo de cdigo abierto es animar a los
desarrolladores y analistas externos a desarrollar y contribuir con
sus propios mdulos, basados en sus experiencias.Fuera del gobierno,
en la industria o el mundo acadmico, hay una amplia variedad de
amenazas informticas similares a las que nos enfrentamos aqu,
explica el jefe de seguridad de este laboratorio del ejrcito
estadounidense, con la idea deaumentar la colaboracinpara mejorar
la deteccin y compresin de los ataques cibernticos:Durante mucho
tiempo, hemos estado buscando la manera de participar e interactuar
con la comunidad de respuesta forense e incidentes digitales a
travs de una plataforma mejorada de colaboracinLa forma tradicional
de compartir software, incluso entre las entidades del gobierno,
puede ser un reto. Hemos comenzado con DSHELL porque la
funcionalidad central es similar a las herramientas disponibles
para el pblico, pero proporciona un mtodo ms simple para
desarrollar funcionalidades adicionales.La liberacin dede DSHELL se
produce poco despus queCisco publicara en GitHubsu propio marco de
anlisis de seguridadOpenSOC, diseado especficamente para grandes
entornos de red.
Revelaciones sobre la red de vigilancia mundial
(2013-2014)Losdatos acerca de la vigilancia mundialson una serie de
revelaciones sacadas a la luz por la prensa internacionalentre 2013
y 2014, que demuestran la vigilancia que principalmente lasagencias
de inteligencia de Estados Unidos, en colaboracin conotros pases
aliados, han estado ejerciendo de manera masiva sobre la poblacin
mundial.1Lasvctimaspotenciales de este espionaje podran
cuantificarse en miles de millones de personas alrededor del mundo,
adems, los peridicos revelaron que cientos de lderes mundiales,
incluyendo jefes de Estado e importantes empresarios, fueron o estn
siendo vigilados. La informacin sali a la luz gracias al ex
contratista de laNSAy laCIA,Edward Snowden, que rob y
posteriormente filtr miles de documentos clasificados dealto
secreto(Top Secret) mientras trabajaba paraBooz Allen Hamilton, uno
de los mayores contratistas militares y de inteligencia delgobierno
de Estados Unidos.2Los documentos extrados por Snowden, que en
conjunto superaran los 1,7 millones, adems de miles de documentos
secretos de las agencias de inteligencia de Estados Unidos, tambin
contendran miles de archivos secretos de pases
comoAustralia,CanadoReino Unido, gracias a su acceso a la exclusiva
redFive Eyeso Cinco Ojos.Los informes destaparon y demostraron la
existencia de una compleja red de colaboracin entre decenas de
agencias de inteligencia de varios pases con el objetivo de
expandir y consolidar una vigilancia globalizada. Los informes
sacaron a la luz la existencia de tratados secretos y otros
acuerdos bilaterales para la transferencia masiva de metadatos,
registros y otras informaciones a laAgencia de Seguridad
Nacional(NSA) de Estados Unidos, que se mostr como la agencia que
capitanea los esfuerzos de vigilancia. Se descubri que la NSA opera
programas secretos de vigilancia masiva
comoPRISMoXKeyscore.3456Para la vigilancia y recogida masiva de
datos las agencias han recurrido a mtodos tan diversos como la
introduccin de software espa en aplicaciones mviles muy populares
comoAngry BirdsoGoogle Maps, la ruptura de la seguridad de los
sistema operativosiOS,Android, o la violacin de los cifrados de
lasBlackBerry. La NSA tambin infecto cientos de miles de redes
informticas con malware a nivel internacional e incluso espa los
correos electrnicosHotmail,OutlookoGmail. La inteligencia
internacional tambin vigila y almacena miles de millones de
llamadas y registros telefnicos. Gracias a esto, las agencias
capitaneadas por la NSA son capaces de conseguir los contactos,
geolocalizacin, fotografas, aplicaciones o mensajes, datos que les
permiten crear perfiles de prcticamente cualquier individuo, pues a
partir de esto pueden deducir su modo de vida, pas de origen, edad,
sexo, ingresos, etc. La NSA tambin intercepta y almacena los datos
de millones de transacciones financieras electrnicas, pudiendo
tener acceso prcticamente a cualquier dato bancario. Segn los
documentos filtrados, las ms importantes empresas de
telecomunicaciones, tecnologa y de Internet colaboran con la NSA de
manera voluntaria o a cambio de millones de dlares para la cesin
masiva de datos de sus clientes, adems del acceso a sus servidores.
Entre estas empresas se
encuentran:Microsoft,Google,Apple,Facebook,Yahoo!,AOL,Verizon,Vodafone,Global
CrossingoBritish Telecommunications, entre otras.7En junio del
2013, el primero de los documentos de Snowden se public
simultneamente enThe Washington Posty enThe Guardian, lo que capt
la atencin de muchsimos lectores.8La revelacin de informacin
continu durante todo el 2013 y los documentos fueron obtenidos y
publicados posteriormente por muchos otros medios de comunicacin
internacionales, sobre todo porThe New York Times(Estados
Unidos),Der Spiegel(Alemania), laAustralian Broadcasting
Corporation(Australia),O Globo(Brasil), laCanadian Broadcasting
Corporation(Canad),Le Monde(Francia),L'espresso(Italia),NRC
Handelsblad(Pases Bajos),Dagbladet(Noruega),El Pas(Espaa) ySveriges
Television(Suecia).9De manera simultnea tambin se descubri que si
bien el peso de la vigilancia lo soportan pases anglosajones,
mediante acuerdos y tratados secretos las agencias de inteligencia
de diversos pases tambin han cooperado con Estados Unidos mediante
el espionaje directo a sus propios ciudadanos o la transferencia de
datos e informaciones. Entre estos pases se encuentran:Italia,Pases
Bajos,Espaa,Suiza,Suecia,Alemania,FranciaoNoruega.1011121314151617Estas
revelaciones generaron movimientos sociales en contra de la
vigilancia masiva comoRestore the Fourthu acciones comoThe Day We
Fight Back. En el mbito legal, una coalicin de diversos grupos
demandaron a la NSA. Varias organizaciones dederechos
humanoscomoAmnista Internacional,Human Rights WatchoTransparencia
Internacionalhan presionado a laadministracin Obamapara que, en vez
de perseguir, proteja alsoplnSnowden.18192021El 14 de junio del
2013, fiscales de los Estados Unidos acusaron, con base en laLey de
Espionaje de 1917, a Edward Snowden de espionaje y de robo de
propiedad gubernamental.22Edward Snowden se vio obligado a
exiliarse y a finales de julio de 2013 elGobierno de la Federacin
de Rusiale otorg elderecho de asilo, lo que contribuy al deterioro
de las relaciones entreRusiay Estados Unidos.2324La posibilidad de
que Snowden pudiera escapar a Sudamrica deriv en elconflicto
diplomtico entre Sudamrica y Europa de 2013. Por otra parte, el
presidenteBarack Obamacritic el supuesto sensacionalismo con que
las revelaciones haban salido a la luz, al tiempo que defendi queno
se est espiando a la ciudadana estadounidensey queEE.UU. no posee
un programa nacional de espionaje.25En elReino Unido, el gobierno
conservador deDavid Cameronamenaz aThe Guardiany le inst a que no
publicara ms documentos de los sustrados.26En una evaluacin inicial
acerca de estas revelaciones,el Pentgonodetermin que Snowden cometi
el mayorrobode secretos en lahistoria de los Estados Unidos.27Sir
David Omand, ex director delGCHQ, dijo que las revelaciones de
Snowden son la prdida ms catastrfica que haya tenido jams la
inteligencia britnica.28A raz de esto se gener un debate an vigente
acerca de qu tan responsable ha sido la informacin periodstica para
la opinin pblica y lanecesidadde esta vigilancia en contraposicin
al derecho a laprivacidad.Antecedentes[editar]Barton Gellman,
periodista ganador delPremio Pulitzerque condujo la cobertura deThe
Washington Postacerca de las revelaciones de Snowden, resumi lo
ocurrido de esta manera:En conjunto, las revelaciones han trado a
la luz un sistema devigilancia mundialque se ha liberado de muchas
de sus restricciones histricas despus de losataques del 11 de
septiembre del 2001. Autoridades legales secretas facultaron a la
NSA para revisar los registros telefnicos, de Internet y la
localizacin de grandes grupos humanos.The Washington Post29Las
revelaciones pusieron a la luz detalles especficos acerca de la
ntima cooperacin de la NSA con instancias del gobierno federal
tales como elBur Federal de Investigaciones(FBI)3031y laAgencia
Central de Inteligencia(CIA),3233adems de los pagos, hasta entonces
desconocidos, que haba hecho la agencia a numerosos socios
comerciales y a compaas de telecomunicaciones,343536y las
relaciones hasta entonces desconocidas con socios internacionales
como Gran Bretaa3738Francia,39Alemania40y lostratados secretosque
firmaron recientemente con gobiernos extranjeros para compartir
informacin interceptada de los ciudadanos de ambos.4142Toda esta
informacin la hizo pblica la prensa de varios pases durante varios
meses desde junio del 2013 a partir del tesoro oculto que filtr el
ex contratista de la NSA Edward J. Snowden,43quien obtuvo la
informacin mientras trabajaba paraBooz Allen Hamilton, uno de los
mayores contratistas para defensa e inteligencia en los Estados
Unidos.44George Brandis, elprocurador general de Australia, asegur
que la informacin revelada por Snowden es el ms grave revs para la
inteligencia deOccidentedesde laSegunda Guerra Mundial.45Vigilancia
global[editar]Artculo principal:Vigilancia globalProgramas de
vigilancia global
ProgramaColaboradores o socios internacionalesSocios
comerciales
PRISM Australia:ASD/DSD46 Reino Unido:Cuartel General de
Comunicaciones del Gobierno(GCHQ)47 Pases Bajos:Algemene
Inlichtingen en Veiligheidsdienst(AIVD)48 Microsoft49505152
Estados UnidosXKeyscore
Alemania:Bundesnachrichtendienst(BND)5354 Alemania:Bundesamt fr
Verfassungsschutz(BfV)5554 Suecia:Frsvarets
radioanstalt(FRA)5657
Reino UnidoTempora Estados Unidos:Agencia de Seguridad
Nacional(NSA)5859 British Telecommunications(cdigoRemedy)7
Interoute(cdigoStreetcar)7 Level 3(cdigoLittle)7 Global
Crossing(cdigoPinnage)7 Verizon Business(cdigoDacron)7
Viatel(cdigoVitreous)7 Vodafone Cable(cdigoGerontic)7
Reino Unido:Muscular Estados Unidos: NSA60
AlemaniaProject 6 Estados Unidos:Agencia Central de
Inteligencia(CIA)61
Stateroom Australia:DSD6263 Canad:Communications Security
Establishment Canada(CSEC)6364 Reino Unido: GCHQ6365 Estados
Unidos:Special Collection Service(SCS)636566
Lustre Estados Unidos: NSA6768 Francia:Direction Gnrale de la
Scurit Extrieure(DGSE)6768
ltima actualizacin: diciembre 2013Informacin
revelada[editar]
Documentos secretos de 2012 con las proyecciones presupuestarias
y cuentas consolidadas de 2011 a 2017 de las agencias de
inteligencia, ramas del ejrcito de Estados Unidos (marina, ejrcito
terrestre, marines y fuerzas areas) y otras agencias de seguridad
estadounidenses (ver en PDFaqu)El tamao exacto del paquete de
documentos revelado por Snowden se desconoce, pero varios
funcionarios gubernamentales han presentado las siguientes cifras
aproximadas: Al menos 15.000 archivos dela inteligencia
australiana, segn los funcionarios de ese pas;69 Al menos 58.000
archivos de la inteligencia britnica, segn los funcionarios de ese
pas70 Aproximadamente 1,7 millones de archivos de la inteligencia
estadounidense, segn funcionarios de ese pas71Como ex contratista
de la NSA, Snowden tena asegurado el acceso a los documentos del
gobierno estadounidense y tambin ainformacin clasificadarelativa a
varios gobiernosaliados occidentales, a travs de la exclusiva
alianzaFive Eyes.72Snowden afirma que actualmente no posee
fsicamente ninguno de estos documentos, despus de haber entregado
todas las copias a los periodistas con quienes se reuni enHong
Kong.73Segn su abogado, Snowden se ha comprometido a no liberar
ningn documento mientras se halle enRusia, y la responsabilidad de
la liberacin de ms documentos la ha dejado en manos nicamente de
los periodistas.74Hasta el 2014, los siguientes medios informativos
han tenido acceso a algunos de los documentos entregados por
Snowden:Australian Broadcasting Corporation,Canadian Broadcasting
Corporation,Channel 4,Der Spiegel,El Pas,El Mundo,L'espresso,Le
Monde,NBC,NRC Handelsblad,Dagbladet,O Globo,South China Morning
Post,Sddeutsche Zeitung,Sveriges Television,The Guardian,The New
York TimesyThe Washington Post.Contexto histrico[editar]Artculo
principal:Datos acerca de la vigilancia mundial (1970-2013)En
ladcada de 1970, el analista de la NSAPerry Fellwock(con el
seudnimo Winslow Peck) hizo pblica la existencia delAcuerdo UKUSA,
que conforma la base de la redECHELON, cuya existencia fue revelada
en1988porMargaret Newsham, empleada deLockheed
Corporation.7576Meses antes de losataques del 11 de septiembrey
durante los das posteriores, el periodista y ex funcionario
delMI5britnicoDavid Shaylery el periodistaJames Bamford, entre
otras personas, revelaron detalles acerca del aparato de vigilancia
mundial,7778y despus de ellos se presentaron otros casos: William
BinneyyThomas Andrews Drake, empleados de la NSA, declararon que la
NSA est expandiendo aceleradamente sus operaciones de
vigilancia.7980 Katharine Gun, traductora que trabajaba paraGCHQ,
hizo pblico en el2003, a travs del peridicoThe Observer, un plan de
laNSApara colocarmicrfonos escondidosen las personas de los
representantes de varios pases ante lasNaciones Unidaspoco antes de
laguerra de Irak(seis pases cuyos votos resultaban decisivos para
que la ONU aprobara la invasin estadounidense en
Irak:Angola,Bulgaria,Camern,Chile,GuineayPakistn). Despus de su
revelacin, GCHQ dio por terminada la relacin laboral, y el gobierno
britnico la acus, el13 de noviembredel2003, conforme a la seccin 1
de la Ley de Secretos Oficiales de 1989. El caso lleg a los
tribunales el25 de febrerodel2004; por causas que an se desconocen,
la parte acusadora no present evidencias, y ella qued libre en tan
solo media hora.8182838485868788899091 Clare Short, miembro del
gabinete britnico de mayo de 1997 a mayo del 2003, declar en
el2004que elReino Unidohaba espiado al secretario general de
laONUKofi Annan.92 Russ Tice, empleado de la NSA, dispar
lacontroversia acerca de la vigilancia sin garantas de la NSAdespus
de haber dicho que la administracin deGeorge W. Bushhaba espiado a
los ciudadanos estadounidenses sin la autorizacin de la corte.9394
La periodistaLeslie Cauley, deUSA Today, revel en el2006que la NSA
lleva una base de datos masiva de la llamadas telefnicas de los
ciudadanos de los Estados Unidos95 Mark Kleinhizo pblica, en
el2006, dos aos despus de haberse retirado de su empleo enAT&T,
la existencia del llamadoRoom 641A(Cuarto 641A), una instalacin de
intercepcin de telecomunicaciones de la NSA que inici sus
operaciones en el2003.96 Los activistasJulian AssangeyChelsea
Manningrevelaron en el2011la existencia de laindustria de la
vigilancia masivaver mass surveillance industry97 El
periodistaMichael Hastingspublic en el2012que los manifestantes del
movimientoOcupa Wall Streetestaban siendo vigilados98Despus de las
revelaciones de Snowden,el Pentgonoconcluy que l cometi el robo ms
grande de secretos de los Estados Unidos en lahistoria de ese
pas.99En Australia, el gobierno de coalicin declar que las
filtraciones haban sido el dao ms grave a lainteligencia
australianaen la historia.100SirDavid Omand, ex director del GCHQ,
afirm que los actos de Snowden haban sido la prdida ms catastrfica
jams ocurrida a la inteligencia britnica.101Cronologa[editar]Vase
tambin::en:Timeline of global surveillance disclosures
(2013present)
Hotel MiradeHong Kong, en donde Edward Snowden se cit por vez
primera conGlenn Greenwald,Laura Poitrasy el periodistaEwen
MacAskilldeThe Guardian102En abril del 2012, el entonces
contratista de la NSAEdward Snowdencomenz a bajar documentos.103Ese
ao, contact por vez primera con el periodistaGlenn Greenwald, deThe
Guardian; en enero del 2013 contact con ladirectora de cine
documentalLaura Poitras.104105En mayo del 2013, Snowden abandon
temporalmente su trabajo en la NSA, con el pretexto de que estaba
recibiendo tratamiento para suepilepsia. Hacia finales de mayo,
viaj a Hong Kong.106107Greenwald, Poitras y el corresponsal de
defensa e inteligencia deThe Guardian,Ewen MacAskill, volaron a
Hong Kong para citarse con Snowden.2013[editar]Junio[editar]Despus
de varias reuniones del editor deThe GuardianenNueva York(sus
oficinas se hallan en los Estados Unidos), se decidi que Greenwald,
Poitras y el corresponsal de defensa e inteligencia del peridico
Ewen MacAskill volaran aHong Kongpara reunirse con Snowden. El5 de
junio, en la primera nota periodstica relativa al material
filtrado,108The Guardianhizo pblica una orden
judicialconfidencialque demostraba que la NSA haba recolectado
grabaciones telefnicas de ms de 120 millones desuscriptores de
Verizon.109Segn la orden, los nmeros telefnicos de quienes
participaban en las llamadas, los datos de su localizacin, los
identificadores nicos, la hora de la llamada y la duracin de la
llamada eran enviados a laFBI, la que a su vez reenviaba los
registros a laNSA.110Segn elWall Street Journal, la orden forma
parte de un controvertido programa de datos que intenta almacenar
registros de todas las llamadas realizadas en los Estados Unidos
pero que no recolecta informacin directamente deT-Mobile USy
deVerizon Wireless, en parte debido a que se trata de compaas que
tienen acciones en el extranjero.111El6 de juniodel 2013, la
segunda revelacin en los medios, relativa alprograma de vigilancia
PRISM(que recolecta el correo electrnico, la voz, el texto y las
conversaciones en video de extranjer@s y de una cantidad
desconocida de ciudadan@s estadounidenses
enMicrosoft,Google,Yahoo,Appley otros gigantes de la
tecnologa),112113114115se public de manera simultnea en los
peridicosThe GuardianyThe Washington Post.116117El diarioDer
Spiegelrevel el espionaje llevado a cabo por la NSA en mltiples
misiones diplomticas de laUnin Europea(UE) y en lasede de la
Organizacin de las Naciones Unidasen Nueva York.118119Durante
episodios especficos en un lapso de cuatro aos, la NSA hacke a
varias compaas chinas de telefona celular,120theUniversidad China
de Hong Kongy laUniversidad TsinghuaenPekn,121yPacnet, el operador
asitico de redes defibra ptica.122nicamenteAustralia, Canad, Nueva
Zelanda y el Reino Unidose hallan exentos de manera explcita de los
ataques de la NSA, cuyo principal blanco en la Unin Europea es
Alemania.123Un mtodo para intervenir mquinas de fax encriptadas
utilizado en la embajada estadounidense se conoce con el nombre
claveDropmire.124Durante laCumbre del G-20 de Londres, la agencia
britnica de inteligenciaGCHQintercept las comunicaciones
dediplomticosextranjeros.125Adems, la GCHQ ha estado interceptando
y almacenando, a travs deTempora, cantidades masivas de informacin
transmitida porfibra ptica.126Dos componentes principales de
Tempora se denominan Mastering the Internet (MTI) y Global Telecoms
Exploitation.127Los datos permanecen tres das, y losmetadatosduran
treinta das.128La informacin recolectada por GCHQ a travs de
Tempora se comparte con la NSA.129Del 2001 al 2011, la NSA recolect
grandes cantidades de registros demetadatosque detallaban el uso
que haca la ciudadana estadounidense del correo electrnico y de
Internet a travs deStellar Wind,130que ms tarde se dio por
terminada, debido a limitaciones operativas y de recursos. Fue
reemplazada posteriormente por nuevos programas de vigilancia tales
comoShellTrumpet, que proces su registro de un trillonsimo
demetadatos para finales de diciembre del 2012.131Segn elBoundless
Informant, se recolectaron ms de 97000millones de datos de
inteligencia durante un periodo de 30 das que finaliz en marzo del
2013. De un total de 97000millones de conjuntos de datos,
aproximadamente 3000millones provenan de redes de cmputo de los
Estados Unidos132y alrededor de 500millones de registros de
metadatos se recolectaron de las redes alemanas.133Varias semanas
despus, se descubri que elServicio Federal de Inteligenciaalemn
(BND) transfiere cantidades masivas de registros de metadatos a la
NSA.134
El11 de juniodel2013The Guardianpublic una instantnea del mapa
global de la NSA de la recoleccin de datos electrnicos para el mes
de marzo del 2013. Conocido con el nombre deBoundless Informant, la
NSA lo utiliza para rastrear la cantidad de datos analizados
durante periodos especficos. El esquema a colores va del verde (el
menor nivel de vigilancia) hasta el amarillo y el naranja y rojo
(el mayor nivel de vigilancia). Por fuera delMedio Oriente,
nicamenteChina,Alemania, laIndia,Keniay losEstados Unidosmuestran
un color naranja o amarillo.Julio[editar]
El edificio Justus Lipsius, sede delConsejo de la Unin
Europeafue atacado por personal de la NSA que trabajaba en una
cercana oficina de laOTAN, segn revel un documento de 2010Segn el
peridico brasileoO Globo, la NSA espi millones de correos
electrnicos y llamadas de ciudadanos de ese pas;135136por otra
parte, Australia y Nueva Zelanda participaron en la operacin
conjunta del sistema analtico globalXKeyscorede la NSA.137138Entre
las numerosas instalaciones delos aliados occidentalesque
contribuyeron aXKeyscorese hallan cuatro instalaciones enAustraliay
una enNueva Zelanda: Pine Gap, cerca deAlice Springs, Australia, es
adiministrada parcialmente por laAgencia Central de Inteligenciade
los Estados Unidos;139 laEstacin Receptora de Shoal Bay, cerca
deDarwin, Australia, es dirigida por el ASD;140 laEstacin de
Comunicaciones Satelitales para Defensa de Australia, cerca
deGeraldton, Australia, es administrada por el ASD;141 HMASHarman,
fuera deCanberra, Australia, es administrado por el ASD;142
laEstacin Waihopai, cerca deBlenheim,Nueva Zelanda, es administrada
porGCSB(Nueva Zelanda).143O Globopublic un documento de la NSA
intitulado Primary FORNSAT Collection Operations, que revelaba las
localizaciones y nombres de cdigo especficos de las estaciones de
intercepcin deFORNSATen el 2002.144Segn Edward Snowden, la NSA ha
creado convenios secretos de inteligencia con muchos gobiernos
delmundo occidental.145ElFADde la NSA est a cargo de estos
convenios que, segn Snowden, estn organizados de tal manera que los
gobiernos extranjeros pueden aislar a sus lderes polticos del
reclamo social, en caso de que estos convenios devigilancia
globalsean objeto de filtraciones.146En una entrevista publicada
porDer Spiegel, Snowden acus a la NSA de estar ntimamente asociada
con Alemania.147La NSA les dio a las agencias de inteligencia
alemanas (laBND(inteligencia extranjera) y laBfV(inteligencia
interior)) acceso a su controvertido sistemaXKeyscore.148A cambio,
la BND entreg copias de dos sistemas llamadosMira4yVerasque, se
dice, exceden las posibilidades delSIGINTen algunas reas.149Todos
los das, la BND recolecta cantidades masivas de registros
demetadatosy los transfiere a la NSA a travs de laBad Aibling
Station, cerca deMunich, Alemania.150Tan solo en diciembre del 2012
la BND entreg ms de 500 millones de registros de metadatos a la
NSA.151152En un documento fechado en enero 2013, la NSA reconoci
los esfuerzos de la BND por debilitar la legislacin relativa a la
privacidad:LaBNDha estado intentando influir sobre el gobierno
alemn para relajar la interpretacin de las leyes de privacidad y
ofrecer mayores oportunidades para que se intercambie la informacin
de inteligencia.153Segn un documento de la NSA fechado en abril del
2013, Alemania se ha convertido en el socio ms productivo de la
NSA.154En un fragmento de un documento independiente filtrado por
Snowden, intitulado Success Stories (historias de xito), la NSA
reconoci los esfuerzos realizados por el gobierno alemn para
acrecentar el intercambio internacional de informacin de la BND con
sus socios:El gobierno alemn modifica su interpretacin de laley de
privacidad G-10 para darle al BND ms flexibilidad al compartir
informacin compartida con socios extranjeros.155Adems, el gobierno
alemn estaba muy al tanto del programa de vigilancia PRISM mucho
antes de que Edward Snowden hiciera pblicos los detalles.
SegnSteffen Seibert, vocero deAngela Merkel, hay dos programas
PRISM distintos: uno es utilizado por la NSA y el otro es utilizado
por las fuerzas de laOTANenAfganistn.156Ambos programas de
vigilancia no son idnticos.157The Guardianrevel ms detalles de la
herramientaXKeyscorede la NSA, que permite a los analistas del
gobieerno hacer una bsqueda a travs de amplias bases de datos que
contienen correos electrnicos, conversaciones en lnea y la
navegacin por las historias de millones de individuos sin
autorizacin previa.158159160Microsoftdesarroll una funcin de
vigilancia para poder trabajar con la intercepcin de
conversacionesencriptadasenOutlook.com, en los cinco meses
posteriores a la fecha en la que el servicio se puso a prueba. La
NSA tuvo acceso a los correos Outlook.com porque Prism recolecta
estos datos antes delcifrado.161Adems, Microsoft trabaj con el FBI
para permitir que la NSA tenga acceso a suservicio de alojamiento
de archivosSkyDrive. Un documento interno de la NSA fechado el3 de
agostodel 2012 describi el programa de vigilancia PRISM como un
deporte de equipo.162Aunque no haya razones para pensar mal de los
ciudadanos estadounidenses, elCentro Nacional Antiterrorismode
laCIAest autorizado para revisar los archivos del gobierno federal
en busca de posibles comportamientos criminales. Antes a la NTC se
le haba prohibido hacerlo, a menos que una persona fuese sospechosa
de terrorismo o que estuviese relacionada con una
investigacin.163Snowden tambin confirm queStuxnetse desarroll de
manera conjunta por los Estados Unidos y por Israel.164En un
informe no relacionado con Edward Snowden, el peridico francsLe
Monderevel que laDireccin General de Seguridad Exteriorde Francia
tambin estaba llevando a cabo actividades de vigilancia masiva, que
describi como ilegales y fuera de cualquier medida seria de
control.165166Agosto[editar]
Presentacin de los presupuestos fiscales de los servicios de
inteligencia de los Estados Unidos, clasificados deTop Secret.
Estos presupuestos siempre haban sido restringidos. (Para ver el
PDF completo, pinche en la imagen 2 veces)Los documentos filtrados
por Edward Snowden que fueron vistos por elSddeutsche Zeitung(SZ) y
elNorddeutscher Rundfunkrevelaron que el papel de varios operadores
detelecomunicacionesha sido fundamental para ayudar a laGCHQa tener
acceso a lascomunicaciones por fibra ptica. Los operadores de
telecomunicaciones son: Verizon Business(nombre claveDacron)7167
British Telecommunications(nombre clave Remedy)7168 Vodafone
Cable(nombre clave Gerontic)7169 Global Crossing(nombre clave
Pinnage)7170 Level 3(nombre clave Little)7171 Viatel(nombre clave
Vitreous)7172 Interoute(nombre clave Streetcar)7173A cada uno de
ellos se le asign el rea especfica de lared de fibra pticade la que
estaba a cargo. Las siguientes redes han sido infiltradas por la
GCHQ:TAT-14(Europa-Estados Unidos),Atlantic Crossing
1(Europa-Estados Unidos),Circe South(Francia-Reino Unido),Circe
North(Pases Bajos-Reino Unido),FLAG Atlantic-1,FLAG
Europa-Asia,SEA-ME-WE 3(Sudeste Asitico-Medio Oriente-Europa
Occidental),SEA-ME-WE 4(Sudeste Asitico-Medio Oriente-Europa
Occidental), Solas (Irlanda-Reino Unido), UK-France 3,
UK-Netherlands 14, el sistema de cableULYSSES(Europa-Reino
Unido),Yellow(Reino Unido-Estados Unidos) y elsistema de cable PEC
(Pan European Crossing).174Las compaas de telecomunicaciones que
participaron se vieron obligadas a hacerlo y no podan decidir en el
asunto.175Algunas de las compaas recibieron posteriormente un pago
de GCHQ por su participacin en la infiltracin de los cables.176Segn
elSddeutsche Zeitung, GCHQ tiene acceso a la mayora de los mensajes
en Internet que circulan por toda Europa, puede escuchar las
llamadas telefnicas, leer los correos electrnicos y los mensajes de
texto, ver los sitios web que estn visitando los usuarios en
Internet en todo el planeta. Tambin puede retener y analizar casi
todo el trfico de Internet.177GCHQ est recolectando toda la
informacin transmitida hacia y desde el Reino Unido y el norte de
Europa a travs del cable de telecomunicacionesSEA-ME-WE 3.
LaDivisin de Seguridad e Inteligencia(SID) de Singapur coopera con
Australia para tener acceso y compartir comunicaciones llevadas a
cabo por el cable SEA-ME-WE-3. LaASD) tambin est asociada con
agencias de inteligencia britnicas, estadounidenses y de Singapur
para intervenir cables de telecomunicaciones submarinos de fibra
ptica que vinculan a Asia, al Medio Oriente y que transmiten gran
parte del trfico de Internet y telefnico internacional de
Australia.178Estados Unidos tiene un sistema de vigilancia y
espionaje de alto secreto conocido comoServicio de Recogida
Especial(Special Collection Service, SCS) que opera en ms de 80
consulados y embajadas de Estados Unidos en todo el mundo.179180La
NSAhackeoel sistema de vdeo conferencia de lasNaciones Unidas(ONU)
en el verano de 2012, en una clara violacin de los acuerdos de la
ONU.179180La NSA no solo ha estado interceptado las comunicaciones
de estadounidense en el extranjero que estn en contacto directo con
extranjeros, sino que tambin posee grandes cantidades de correos
electrnicos y comunicaciones procedentes de estadounidenses de
tanto dentro como fuera de EE.UU que estn en contacto con
extranjeros vigilados.181La NSA tambin espi a la cadenaAl Jazeeray
sus sistemas de comunicacin interna.182Se estima que gracias a la
red de vigilancia que pose la NSA, elgobierno de Estados
Unidostiene acceso a aproximadamente el 75% de todo el trfico
deInterneten Estados Unidos.183184185Los organismos policiales del
pas utilizan herramientas empleadas porpiratas informticospara
obtener informacin de sus sospechosos.186187Unaauditorainterna de
la NSA de mayo de 2012 identific un total de 2776 incidentes, es
decir, se detectaron 2776 violaciones de las normas u rdenes
judiciales en materia de vigilancia de estadounidenses y
extranjeros residentes en EE.UU. desde abril de 2011 a marzo de
2012. Los funcionarios salieron al paso de las crticas insistiendo
en que estos errores no son intencionados.188189190191192193194El
tribunalFISA, que se supone, debe supervisar desde un punto de
vista crtico los vastos programas de espionaje y vigilancia del
gobierno de Estados Unidos, ha ido limitando sus funciones y tiene
que confiar en la informacin del propio gobierno.195Una sentencia
jurdica desclasificada del 21 de agosto de 2013 revel que la NSA
intercept durante tres aos un mximo de 56.000 comunicaciones
electrnicas anuales de estadounidenses que no eran sospechosos de
estar vnculados con el terrorismo. El tribunal encargado de
supervisar estas actividades, elTribunal de Vigilancia de
Inteligencia Extranjera de los Estados Unidos(United States Foreign
Intelligence Surveillance Court, FISC), encontr, en 2011, que estas
operaciones eran inconstitucionales.196197198199200Bajo el llamado
proyectoCorporate Partner Access, los principales proveedores de
telecomunicaciones de Estados Unidos reciben cada ao cientos de
millones de dlares procedentes de la NSA.201La cooperacin
voluntaria entre la agencia y los proveedores de comunicaciones
mundiales empez en la dcada de 1970 bajo el nombre en
claveBLARNEY.201Un carta redactada por elgobierno de Barack
Obamadirigida alCongresopara informar sobre los programas de
recogida masiva de datos del gobierno, fue retenida por los
legisladores que conforman laComisin Permanente Selecta sobre
Inteligencia de la Cmara de los Representantes(United States House
Permanent Select Committee on Intelligence) en los meses previos a
la votacin clave que decidira el futuro de estas
actividades.202203La NSA pag al GCHQ ms de 100 millones
delibrasentre 2009 y 2012 a cambio de la colaboracin del GCHQ (must
pull its weight and be seen to pull its weight...).204Varios
documentos que hacen referencia a estos hechos sealan que
laslagunas legalesque existen en las leyes britnicas son explotadas
por el GCHQ en nombre de la NSA a cambio de dinero, lo que los
documentos llaman un punto de venta(a selling point). El GCHQ
britnico est desarrollando tecnologasque le permitan acceder a
cualquier mvil en cualquier momento. La NSA tiene unapuerta
traseraen las bases de datos de todas las grandes empresas de
Internet, lo que le permite acceder a correos electrnicos y
llamadas de los ciudadanos estadounidenses sin que exista una orden
judicial.205206
LaAgencia de Seguridad Nacional(NSA) hacke los sistemas
informticos de reserva de billetes de vuelo de la compaa
rusaAeroflot207La Junta de Supervisin de Privacidad y las
Libertades Civiles (The Privacy and Civil Liberties Oversight
Board) inst a los jefes de inteligencia de Estados Unidos a
elaborar directrices ms duras sobre la vigilancia y el espionaje
interno, pues algunas de estas normas no se han actualizado en los
ltimos 30 aos.208209Los analistas estadounidenses, usando el enorme
poder de las agencias de espionaje, han roto deliberadamente las
leyes diseadas para evitar el espionaje a estadounidenses, que
tratan de proteger la privacidad de los usuarios.210211Despus de
que elTribunal de Vigilancia de Inteligencia Extranjera de los
Estados Unidosdictaminara en octubre de 2011 que algunas de las
actividades de la NSA eran inconstitucionales, la agencia pag
millones de dlares a las principales compaas de Internet para
cubrir costes adicionales y posibles multas por su participacin en
el programa de vigilancia masivaPRISM.212El gobierno britnico, como
parte de su llamado Programa de Modernizacin de Intercepcin
(Interception Modernisation Programme, IMP), est desarrollando un
proyecto de vigilancia masiva llamadoMastering the Internet(en
espaol: dominar Internet, MTI). La operacin consiste en la insercin
de miles deDPI(deep packet inspection, en espaol:Inspeccin profunda
de paquete) en los servidores de los proveedores de red, segn lo
revelado por los medios britnicos en 2009.213En 2013, los papeles
de Snowden revelaron que la NSA haba ayudado financieramente al
desarrollo del proyecto con 17,2 millones de libras y que el
sistema era capaz de aspirar la seal de hasta 200 cables defibra
pticaen cualquier punto fsico de entrada enReino
Unido.214Septiembre[editar]The GuardianyThe New York
Timesinformaron, a partir de los documentos filtrados, que la NSA
ha estado colaborando con las empresas tecnolgicas como parte de un
agresivo esfuerzo multifactico para romper los cifrados
incorporados en los software comerciales. Tambin sali a la luz que
el GCHQ tiene un equipo dedicado a formar grietas en el trfico de
datos deHotmail,Google,Yahoo!
yFacebook.215216217218219220Israel,SueciaeItaliacolaboran con las
agencias de inteligencia estadounidenses y britnicas. Con la firma
de un tratado secreto bajo el nombre en cdigoLustre, las agencias
de inteligencia francesas transfirieron millones de registros y
metadatos a la NSA.6768221222En el ao 2011, laAdministracin de
Barack Obamaconsigui en secreto el permiso del Tribunal de
Vigilancia de Inteligencia Extranjera para quitar las restricciones
a la vigilancia de llamadas y correos electrnicos pon parte de la
NSA, lo que permite a la agencia reunir de manera sistemtica
enormes depsitos de datos de estadounidenses. Las bsquedas para la
recoleccin de datos se realizan en virtud de un programa de
vigilancia autorizado en 2008 por el Congreso bajo la seccin 702 de
la Ley de Vigilancia de Inteligencia Extranjera. Esto permite
espiar a estadounidenses sin autorizacin de los tribunales si
existe una causa probable de que la persona se comunique con
terroristas, espas o potencias extranjeras. ElFISCextendi el perodo
de tiempo que la NSA tiene permitido retener las comunicaciones
interceptadas de cinco aos a seis aos, con una prrroga adicional si
son por razones de inteligencia o de contrainteligencia extranjera.
Ambas medidas se llevaron a cabo sin debate pblico o una autoridad
expresa delCongreso.223
Vodafone(nombre en claveGerontic) permit el acceso de las
agencias a sus redes de comunicacin.Orange S.A.tambin cedi datos de
clientes y sus acciones, al igual que otras compaas del
sector.224La agencia de inteligencia alemana, la
Bundesverfassungsschutz (BfV), transfiere de manera sistemtica,
datos personales de residentes enAlemaniaa laNSA, laCIAy otros
siete miembros de la Comunidad de Inteligencia de Estados Unidos a
cambio de otras informaciones y software de espionaje.225226227Una
rama especial de la NSA, llamadaFollow the Money(FTM), supervisa
los pagos internacionales, transacciones bancarias y a travs de
tarjetas de crdito y compras y ventas en lnea;228todos estos datos
son recogidos y almacenados en una base de datos financiera a cargo
de la propia NSA conocida comoTracfin.229La NSA supervis las
comunicaciones de lapresidenta de Brasil,Dilma Rousseff, y sus
principales colaboradores. La agencia tambin espi al gigante
petrolero brasileo estatalPetrobras, as como a diplomticos
franceses, y tuvo acceso a la red privada delMinisterio de Asuntos
Exteriores de Francia, la red SWIFT.230En losEstados Unidos, la NSA
utiliza el anlisis de los registros de llamadas telefnicas y
mensajes de correo electrnico de los ciudadanos para crear
representaciones grficas sofisticadas acerca de sus conexiones
sociales que pueden identificar a sus socios, sus localizaciones en
momentos especficos, sus compaer@s de viaje y otros datos
personales.231La NSA comparte de manera rutinaria informacin de
inteligencia con Israel sin eliminar previamente datos acerca de
los ciudadanos estadounidenses.232En un esfuerzo cuyo nombre clave
es GENIE, l@s especialistas de cmputo pueden controlar redes de
cmputo extranjeras usando implantes encubiertos, una forma
demalwaretransmitido de maneraremota con decenas de miles de
dispositivos al ao.233234235236Conforme las ventas mundiales de
lostelfonos inteligentescomenzaron a superar las de lostelfonos
mviles tradicionales, la NSA decidi aprovechar el xito de los
primeros. Esto resulta especialmente ventajoso porque el telfono
inteligente combina muchsimos datos que podran interesar a
unservicio de inteligenciacomo, por ejemplo, los contactos
sociales, el comportamiento de los usuarios, sus intereses, su
localizacin, sus fotografas y los datos (nmero de cuenta y
contraseas) de sutarjeta de crdito.237Un informe interno de la NSA
fechado en el 2010 revel que a la agenciale preocupaba la rpida
propagacin y desarrollo de los telfonos inteligentes, lo que
complicaba el anlisis objetivo tradicional de la informacin.238Segn
el documento, la NSA tiene grupos de trabajo dedicados a estudiar y
descifrar los distintos modelos y sistemas.239Los modelos, marcas o
sistemas para los que existen estos grupos de trabajo incluyen
losiPhonedeAppley su sistema operativoiOSo el sistema operativo
deGoogle,Android.240Mientras que la NSA se encarga de los
anteriormente mencionados, el GCHQ britnico posee un equipo
dedicado a estudiar y descifrar lasBlackBerry.241Bajo el ttulo
iPhone capability, se descubri que la NSA tena pequeos programas
conocidos comoscriptsque permitan a la agencia vigilar a los
usuarios de las distintas versiones del sistema iOS (en aquel
momento la versin iOS 3 era la ms reciente), sugeolocalizacin,
notas de voz, fotos y otras aplicaciones comoGoogle
Earth,FacebookoYahoo! Messenger.242Der Spiegelfiltr una presentacin
de la NSA de septiembre de 2009 acerca de cmo la agencia tena
acceso a los sistemas de los iPhone (vanse aqu)243
Segn documentos vistos porDer Spiegel, la NSA tiene acceso a
diversas funciones de los telfonos inteligentes, como
lageolocalizacin; resalta el caso de losiPhonedeApple, aunque otros
como lasBlackberrytampoco estn libres.
La NSA describa aSteve Jobscomo unGran Hermano, ya que la
agencia tiene acceso a sus productos y puede violar fcilmente su
privacidad (lo demostraba enseando una foto robada del mvil de
untalibnafgano).
En una de sus presentaciones secretas, la NSA se burlaba de los
usuarios de iPhone, al ironizar con que ellos son los causantes o
cmplices de su propia vigilancia al comprar estos mviles.
La NSA se jactaba de su capacidad de vigilancia mundial y en uno
de sus documentos se comparaba con ellibro1984deGeorge Orwell(Who
knew in 1984... that is would be big brother... and the zombies
would be paying customers) y la icnica publicidad de Apple de la
final de laSuper Bowldel ao 1984, que tambin haca referencia al
libro.Octubre[editar]
Presentacin de la NSA sobre los mvilesBlackBerryen la que se
lee:Your target is using a BlackBerry? Now what?(su objetivo est
utilizando una BlackBerry? y ahora qu?). Esta diapositiva muestra
unemailenviado por elgobierno mexicanoa una BlackBerry y que fue
interceptado por la NSAEl4 de octubredel2013The Washington PostyThe
Guardianinformaron de manera conjunta acerca de los repetidos
intentos de la NSA y el GCHQ para espiar a usuarios annimos de
Internet quienes se han estado comunicando en secreto a travs de la
redTor (The Onion Router). Varias de estas operaciones de
vigilancia incluyen la implantacin decdigos malignosen las
computadoras de los usuarios de Tor que visiten sitios web
especficos. La NSA y el GCHQ han logrado bloquear el acceso a esta
red annima, desviando a los usuarios de Tor hacia canales
inseguros. Las agencias gubernamentales tambin pudieron descubrir
la identidad de algunos usuarios annimos de
Internet.244245246247248249250251252LaDireccin de Seguridad en las
Comunicaciones de Canad(CSEC) ha estado utilizando un programa
llamadoOlympiapara registrar las comunicaciones delMinisterio de
Minas y EnergadeBrasil: losmetadatosde las llamadas telefnicas y
los mensajes de correo electrnico que enva y recibe este
ministerio.253254El gobierno federal de Australia saba acerca del
programa de vigilancia PRISM meses antes de que Edward Snowden
hiciera pblicos los detalles.255256La NSA monitore la cuenta pblica
de correo electrnico del entonces presidente mexicanoFelipe Caldern
Hinojosa(con lo que tuvo acceso a las comunicaciones de miembros de
alto rango de su gabinete), los mensajes de correo electrnico de
varios miembros de alto rango de las fuerzas de seguridad de ese
pas y los mensajes de texto y de telfono mvil del ahora
presidenteEnrique Pea Nieto.257258La NSA trata de recolectar los
nmeros telefnicos fijos y mviles -obtenindolos a menudo a travs de
diplomticos estadounidenses- del mayor nmero posible de
funcionarios extranjeros. El contenido de las llamadas telefnicas
se almacena en bases de datos de computadoras que pueden ser
analizadas con regularidad utilizando palabras clave.259260La NSA
monitorea o monitore las conversaciones telefnicas de 35 lderes
mundiales.261A finales de marzo de 2014, sali a la luz que la
agencia haba espiado a un total de 122 lderes de todo el mundo. La
primera vez que el gran pblico fue consciente de esta situacin fue
el 28 de octubre de 2013, con un artculo delWall Street Journalque
relataba que una auditora interna del gobierno estadounidense haba
arrojado la cifra de 35 lderes espiados.262Por su parte, elGCHQtrat
de mantener en secreto sus programas de vigilancia masiva pues tema
un debate pblico daino que condujera a acciones legales contra la
agencia y sus actividades.263The Guardianrevel que la NSA empez a
monitorizar las conversaciones telefnicas de estos lderes despus de
que los nmeros de telfono le fueran facilitados gracias a
unfuncionariode otro departamento del gobierno estadounidense. Un
memorando confidencial de la NSA animaba a altos funcionarios de
laCasa Blanca, el Estado yel Pentgonoa compartir sus agendas
electrnicas, lo que permitira a la agencia tener acceso a los
nmeros de telfono de los principales polticos o empresarios
extranjeros de todo el mundo y as implementar sus sistemas de
vigilancia. Como reaccin a estas noticias,Angela Merkel, canciller
de Alemania, en una cumbre entre laUnin Europeay Estados Unidos
acus a este ltimo de abuso de confianza, diciendo que debemos
confiar en nuestros aliados y socios, pero el espionaje entre
amigos no es en absoluto aceptable sin importar de quien venga o
contra quien vaya, y esto se debe aplicar a todos los ciudadanos de
Alemania.261La NSA tambin se dedic a recoger en 2010 datos sobre la
ubicacin de mviles de estadounidenses comunes y corrientes, pero ms
tarde suspendi esta actividad por su bajo valor operativo.264Segn
el programa britnico de vigilanciaMuscular, la NSA y el GCHQ se han
descompuesto en las principales ligas de comunicaciones que
conectan loscentros de datosdeYahooy deGoogleen todo el planeta y
gan as la habilidad de recolectarmetadatosycontenidoa voluntad a
partir de cientos de millones de cuentas de
usuarios.265266267268269El telfono mvil deAngela Merkelfue vigilado
por la inteligencia estadounidense.270271272273274275276SegnDer
Spiegel, esta vigilancia empez en el 2002277278279y finaliz en el
verano de 2013, justo cuando comenzaron las filtraciones sobre la
vigilancia mundial.262En cambioThe New York Timesinform
queAlemaniatena pruebas que demostraran que la vigilancia a Merkel
habra comenzado durante elmandatodeGeorge W. Bush, o sea, en algn
momento entre el ao 2000 y 2008. Despus de enterarse de las
prcticas de espionaje a su persona, Merkel compar las prcticas de
la NSA con la ya desaparecidaStasi.280281El 31 de octubre de 2013,
Hans-Christian Strbele, miembro delBundestag alemn, se reuni con
Snowden enMoscy declar la disposicin del antiguo contratista a
informar al gobierno alemn sobre el espionaje de la NSA.282Estados
Unidos posee un programa de recoleccin de seales altamente sensible
conocido comoStateroom(camarote), que permite la intercepcin de
seales de radio, telecomunicaciones y el trfico de Internet. Se
enmarca fuera de las operaciones conjuntas de la alanzaFive Eyesy
se utiliza en numerosos lugares de todo el mundo. El programa se
utiliza en lasmisiones diplomticasde Estados Unidos y es ejecutado
por la NSA, laCIAy un grupo de empresas colaboradoras, este grupo
se denominaServicio de Recogida especial(SCS). Sus miembros
trabajan de incgnito en reas protegidas por el derecho
internacional como embajas y consulados, donde al acreditarse como
diplomticos disfrutan de privilegios especiales. Bajo esta
proteccin, son capaces de espiar sin prcticamente trabas. Se
descubri que, por ejemplo, el SCS utiliza la embajada de Estados
Unidos enBerln, que est cerca de laPuerta de Brandenburgo, para
vigilar las comunicaciones del distrito gubernamental de Alemania,
de su sede de gobierno y de su parlamento.276283284285Dentro del
programaStateroom,Australiaopera instalaciones clandestinas para la
vigilancia y la intercepcin de llamadas telefnicas en gran parte
del continente asitic