En verano de 2016, un grupo autodenominado “The Shadow Brokers” se convirtió en noticia al anunciar el hackeo de la Agencia Nacional de Seguridad (NSA, por sus siglas en inglés) de EEUU. Concretamente, publicó dos archivos de la unidad dedicada a la recolección de información para la ciberguerra. Uno de los archivos lo publicaron con las claves de acceso; mientras que el otro lo pusieron a subasta al precio de un millón de BitCoins (moneda virtual, equivalente a unos 1.500 millones de euros). Como cabía prever, nadie compró, por lo que unos meses más tarde –en represalia al ataque estadounidense contra una base aérea siria, según dijeron–, el grupo publicó también las claves de ese segundo archivo, acompañado de una nueva filtración a los pocos días. Buceando entre los archivos publicados, algunos cibernautas encontraron información sorprendente. Sin ir más lejos, según la filtración de “The Shadow Brokers”, la NSA tendría infectados y bajo su control webs y servidores de Sarenet (que ofrece sus servicios a clientes de lo más variados, entre ellos GARA o la mayoría de sitios web de la Administración de la CAV), así como del Grupo Correo.

Uno de los expertos que alertó sobre el impacto del espionaje en webs vascas fue Joxean Koret, investigador en seguridad informática que se presta a la compleja tarea de explicar los pormenores del episodio en lenguaje mundano. Al menos los pormenores conocidos y confirmados, que en este ámbito suelen ser mínimos.

Una filtración interesada

Koret explica, en primer lugar, la naturaleza de la filtración, formada sobre todo por multitud de exploits, palabra con la que se nombra el software informático (programa) desarrollado para aprovechar las vulnerabilidades de un sistema informático. Es decir, para extraer información de él. También constaban numerosos archivos de notas (logs) con información de operaciones de espionaje llevadas a cabo por la NSA, entre los que destacan logs con datos de universidades, empresas, periódicos o bancos (en especial el sistema Swift, empleado para transacciones financieras en la red). Koret advierte, además, de que algunos aspectos de la filtración indican que no estamos ante una revelación de la naturaleza de las realizadas por Wikileaks o Edward Snowden. Para empezar, “The Shadow Brokers” es un grupo «creado ex profeso» que nace «para sacar estas filtraciones». «No han reivindicado ninguna otra acción y su tiempo de vida, probablemente, haya acabado con la última filtración publicada», añade.

Además, apunta otros elementos que han llevado a muchos a pensar que es la inteligencia rusa la que está detrás de la operación, si bien reconoce que resulta imposible probarlo. Entre las razones para pensar que no se trata de la acción de unos simples hackers, Koret menciona que «la subasta inicial era una broma». «Si alguien quiere vender herramientas de este tipo a otro país, lo que haría es ir con un pen-drive a una embajada, y no lo haría públicamente», añade. En segundo lugar, subraya que «es extremadamente difícil hacerse con este tipo de herramientas», en referencia a los exploits y logs filtrados. Finalmente, apunta que «nadie en su sano juicio se enfrentaría al, probablemente, más avanzado sistema de inteligencia del mundo salvo que tengas a ‘alguien’ que te proteja».

Rastreo imposible

Según Koret, la parte más interesante de esta filtración destinada, según comenta, «a dañar a la NSA», es observar los documentos en los que se demuestra «hasta qué punto estaba, o está, hackeado el sistema Swift», que es el que la inmensa mayoría de bancos e instituciones financieras emplean para realizar transacciones en red.

A partir de ahí, reconoce que es prácticamente imposible conocer cuáles eran los objetivos de la NSA al pinchar las webs de Sarenet o el Grupo Correo, ya que en numerosas ocasiones, hackear un sitio web no es más que la forma de lograr un trampolín para saltar a otro, que es el que realmente se quiere espiar.

«En algunos casos, interesa entrar en una empresa X como ataque lateral. Por ejemplo, entras a la empresa X porque ofrece servicios a la empresa Y. Es decir, para saltar desde X hasta Y, ya que tienes más facilidades para entrar desde una empresa ‘confiable’», explica Koret, que confirma que no se puede afirmar si las webs vascas infectadas eran un objetivo en si mismo o no eran más que ataques laterales.

Lo que, en cualquier caso, confirma la filtración, que se suma a las numerosas realizadas por Wikileaks y Snowden, es el nivel de control que la inteligencia estadounidense ejerce sobre internet. Al menos sobre el internet público que la ciudadanía utiliza en el día a día. ¿Si quieren saber qué hay en tu correo, lo pueden ver? «Sí, por supuesto», asegura Koret.

«La realidad es así, no es nada conspiranoico», añade antes de explicar que el modus operandi de las agencias de inteligencia suele ser el espionaje masivo; es decir, la acumulación de toda la información posible «para después poder buscar entre los datos que tienen recopilados una vez que una persona o grupo, por el motivo que sea, se vuelve interesante para una agencia».

Una suerte de espionaje preventivo sobre el que, según Koret, «el común de los mortales no tiene de qué preocuparse, pero periodistas, disidentes políticos y grupos de derechos humanos, entre otros muchos, sí».