Wikileaks archivos de la CIA - Lo que esto significa para la seguridad y cifrado de Internet
BastiánTraducción libre al español del artículo "Wikileaks CIA Files – What this means for Internet security and encryption" escrito por Andy Yen el 8-marzo-2017.
Hoy en día, Wikileaks descargó una gran base de datos de documentos secretos de la CIA en una publicación llamada #Vault7 . Aquí hacemos un análisis más profundo de la filtración y sus implicaciones más amplias sobre seguridad en línea y servicios cifrados.
Nuestro análisis en profundidad de los archivos filtrados de la CIA se encuentra en la parte inferior de este post. En primer lugar, vamos a discutir la cuestión principal que está en la mente de todo el mundo – cómo han sido impactados los servicios cifrados como ProtonMail, y qué puntos de vista obtuvimos en las estrategias de los atacantes respaldados por el Estado.
No, el cifrado no está muerto
Inmediatamente después de que la noticia estalló, las historias comenzaron a circular, a lo largo de líneas como "¡rompen el cifrado de Signal/WhatsApp!", avivado en parte por Tweets publicados por Wikileaks . Esto fue seguido de manera predecible por comentarios especulativos en línea sobre si ProtonMail había sido vulnerado o no.
Podemos afirmar de forma inequivoca que no hay nada en los archivos filtrados de la CIA que indique cualquier tipo de grieta en el cifrado de ProtonMail. Y a pesar de las afirmaciones en el sentido contrario, tampoco existe evidencia que el cifrado de extremo a extremo de Signal/Whatsapp haya sido violado. Aquí está lo que nosotros sabemos
En los últimos tres años, la CIA ha reunido un formidable arsenal de ciber-armas diseñado especialmente para obtener capacidades de vigilancia sobre los dispositivos de usuarios finales, como teléfonos móviles y ordenadores portátiles/de escritorio. Estos malwares avanzados permiten a la CIA registrar acciones tales como pulsaciones de teclas en un dispositivo móvil, lo que les permite realizar vigilancia sin romper el cifrado. A través de esta técnica, las agencias de inteligencia estadounidenses pueden acceder a los datos antes de que estos se hayan cifrado. De hecho, esta es la única manera de lograr el acceso a los datos, ya que romper la criptografía utilizada en servicios avanzados de comunicaciones seguras como ProtonMail y Signal sigue siendo poco práctico con la tecnología actual.
En otras palabras, los algoritmos criptográficos principales y las técnicas utilizadas por ProtonMail y otros servicios cifrados permanecen seguros. La explotación de terminales de usuario (teléfonos móviles, computadoras personales, etc.) no es en realidad una nueva técnica, sino una que ha existido desde que se creó el primer malware. Lamentablemente, esto no es algo para lo cual la criptografía este diseñada para defenderse, ya que el cifrado por sí mismo no puede garantizar la seguridad de los dispositivos del usuario final. Lo que los archivos de la CIA descargados por Wikileaks revelan sin embargo, es un cambio monumental en la estrategia, desde la última revelación de este tipo hecha por Edward Snowden en 2013.
La estrategia de ciber-ataque respaldada por el Estado está cambiando
ProtonMail es una herramienta que utiliza millones de personas en todo el mundo para garantizar la seguridad de las comunicaciones a través del correo electrónico. Además de la gente común y las empresas, ProtonMail también es utilizado por periodistas, activistas y disidentes, que a menudo requieren de protección de la vigilancia gubernamental para su propia seguridad. Debido a estos factores, hacemos nuestro asunto estudiar y entender cuidadosamente a los adversarios estatales para proteger mejor nuestra base de usuarios.
Los archivos de la CIA liberados por Wikileaks son, por lo tanto, una actualización completa en las estrategias estatales de ciberguerra desde que Snowden nos dio la primera edición. De hecho, las tendencias revelan que los archivos son, sin duda, globales, ya que es muy probable que otros grandes actores de este espacio (Rusia, China, Reino Unido, Israel, etc.) hayan alcanzado de forma independiente a las mismas conclusiones respecto a la estrategia general.
Algunas de las revelaciones más interesantes de las filtraciones de Snowden fue que en la medida que la NSA buscó activamente información de los gigantes tecnológicos estadounidenses, ya sea con consentimiento o incluso sin consentimiento. Esto tiene mucho sentido, porque las bases de datos globales más grandes de datos personales sensibles no pertenecen a la NSA, sino en realidad a empresas como Google y Facebook, que ya han mostrado una amplia disposición a explotar esos datos con un fin lucrativo, a veces usando medios inescrupulosos.
Sin embargo, desde 2013, el mundo ha cambiado. La conciencia del usuario y las empresas sobre la privacidad y la seguridad en línea está en todo momento espectante, y cada vez más personas en todo el mundo eligen cada vez más servicios seguros que respetan la privacidad. Hoy en día, el cifrado de extremo a extremo se ha convertido en la corriente principal, y servicios como ProtonMail y Whatsapp cuentan con millones de personas como usuarios regulares. El uso de cifrado de extremo a extremo significa que los servicios como ProtonMail no son realmente capaces de descifrar datos de los usuarios. Incluso si queremos comprometer los datos de los usuarios, no tenemos los medios técnicos para descifrar los correos electrónicos de los usuarios. Además, incluso si un atacante infringió los servidores de ProtonMail, todos los correos electrónicos almacenados en nuestros servidores están cifrados, por lo que un atacante tampoco podría leer los correos electrónicos de los usuarios.
Está claro desde la filtración de los documentos de la CIA que el mundo ha cambiado, los atacantes cibernéticos respaldados por el estado también han evolucionado. Como se describe a continuación, los variados documentos filtrados están unidos por un hilo general – un enfoque común en la producción de malware para atacar a los dispositivos para el usuario final. Esta es una respuesta lógica al aumento de servicios con cifrado de extremo a extremo como ProtonMail. Los servicios tales como ProtonMail han aumentado significativamente la barrera para obtener datos directamente del proveedor de servicios, y muchos ahora se basan fuera de los Estados Unidos, más allá del alcance de la coacción legal. Como tal, ahora se ha vuelto más ffácil y más productivo, hackear directamente a los usuarios individuales.
Esto abre una nueva y aterradora narrativa donde los espías del gobierno están desplegando activamente virus y troyanos contra sus propios ciudadanos, uniéndose a las filas de cibercriminales comunes. Si bien esto no es una buena noticia para los derechos de privacidad en todo el mundo, es de alguna manera, una victoria para la tecnología de privacidad, porque los gobiernos tienen que cambiar a partir de una vigilancia masiva y hacia una vigilancia más específica. En resumen, los servicios como ProtonMail están haciendo exactamente lo que fueron diseñados para hacer, lo que está levantando barreras a la vigilancia masiva de gran escala.
Nuestro análisis inicial sobre los documentos de la CIA de Wikileaks se puede encontrar abajo. Las preguntas pueden dirigirse a media@protonmail.ch. Si desea comenzar a beneficiarse del correo electrónico seguro, puede obtener una cuenta gratuita de ProtonMail aquí.
Atentamente
El equipo de ProtonMail
Análisis de ProtonMail sobre Wikileaks archivos de la CIA
#Vault7 en una frase: Es la filtración sobre el arsenal de hackeo de la CIA usado contra gobiernos extranjeros y ciudadanos tanto a nivel nacional como en el exterior.
Nombre de la base de datos: Vault7. Es la primera parte de una serie de filtraciones titulada Year Zero.
Origen : Centro para la unidad de Inteligencia Cibernética de la CIA en Langley, Virginia, EE.UU.
Volumen: 7.818 páginas web con 943 archivos adjuntos. Según Wikileaks, todo el material de archivo de la CIA consta de varios cientos de millones de líneas de código de computadora. Se estima que es mayor que las filtraciones de Snowden (no confirmado).
Fechas de los documentos: desde el momento en que Snowden dejó la comunidad de inteligencia hasta 2016. 2013-2016.
Intención: la fuente de la información dijo a WikiLeaks en una declaración que desean iniciar un debate público sobre la "seguridad, creación, uso, proliferación y control democrático de las armas cibernéticas".
¿De qué manera es diferente a las filtraciones de Snowden?: las filtraciones de Snowden expusieron la NSA y sus técnicas de vigilancia general de ciudadanos y gobiernos de todo el mundo. Vault7, por otro lado, expone a la CIA y qué tecnologías utiliza en la guerra cibernética contra gobiernos extranjeros, así como contra blancos individuales.
¿Qué aprendimos hasta ahora?
Al examinar los documentos, hemos identificado que la filtración es concerniente a la CIA y qué armas cibernéticas utiliza. En las próximas semanas continuaremos verificando y actualizando la información. A continuación se muestra lo que sabemos hasta ahora sobre los programas utilizados por la CIA, la legalidad de las operaciones y lo que esto significa para su privacidad y seguridad.
Alemania es la base espía Europea de la CIA
Se reveló que el consulado estadounidense en Frankfurt es la principal base para los hackers de la CIA en Europa. Esto plantea ciertamente algunas preguntas interesantes, porque es altamente improbable que la CIA podría dirigir una operación espía principal fuera de Frankfurt sin que las autoridades alemanas estén enteradas de ello. Aunque no está confirmado (y probablemente nunca lo será), es muy probable que las autoridades alemanas estuvieran en él, y tal vez incluso participando activamente como parte del programa Fourteen-Eyes. Se cuestiona si es apropiado que un Estado miembro de la UE autorice el espionaje de ciudadanos de la UE por parte de una potencia extranjera.
Programas utilizados por la CIA
Weeping Angel – Es un programa que transforma los micrófonos de los televisores inteligentes en herramientas de vigilancia. Al manipular el hardware, los hackers de la CIA pueden activar los televisores inteligentes de las personas y escuchar las conversaciones de los usuarios. En efecto, Weeping Angel transforma los televisores inteligentes en bugs.
Nuestro equipo rápidamente estableció paralelos entre Weeping Angel y otras herramientas de vigilancia descritas por Snowden. Weeping Angel es una técnica que se asemeja mucho a Nosy Smurf, una herramienta utilizada por el GCHQ de Reino Unido para encender el micrófono de un teléfono y utilizarlo para la vigilancia de audio. Mientras Tracker Smurf – es una herramienta de localización geográfica que ofrece un método más preciso de localizar un teléfono y su portador que usar la triangulación.
Zero day – Se refiere a un tipo general de vulnerabilidad utilizada por la CIA contra cualquier dispositivo adversario. WikiLeaks informa que Zero Day ha sido utilizado principalmente contra empresas en el espionaje industrial. En 2013, Snowden también reveló que la NSA estaba cometiendo espionaje industrial contra compañías petroleras brasileñas, rusas y europeas, bancos, aerolíneas y delegaciones comerciales. Según Vault7, el programa produjo más de mil sistemas de hacking, troyanos, virus y otros malware convertidos en armas.
Hive es una suite de malware multiplataforma de la CIA que se puede utilizar específicamente contra los estados. "El proyecto proporciona implantaciones personalizables para Windows, Solaris, MikroTik (utilizado en routers para Internet) y plataformas Linux y una infraestructura de Postes de Escucha (LP en inglés)/Comando y Control (C2) para comunicarse con estas implantaciones".
Hay muchos paralelos entre Hive y Zero Day y el virus del 2010 Stuxnet que atacó e infectó el programa nuclear Iraní. Aunque ningún estado asumió la responsabilidad del ataque en 2010, Stuxnet ha sido vinculado por expertos políticos a agencias de vigilancia e inteligencia estadounidenses e israelíes debido a su grado de sofisticación.
Hacking a móviles
Vault7 también revela que la CIA ha desarrollado capacidades avanzadas para hackear teléfonos móviles. Las filtraciones muestran que la agencia desarrolló y utilizó su herramienta para controlar principalmente los teléfonos móviles y luego extraer datos de ellos.
La División de Desarrollo Móvil de la CIA (MDB en inglés) produce malware para extraer datos de iPhones y otros productos de Apple que ejecuten iOS, como iPads. MDB también apunta SO Android que es un sistema mucho más popular que iOS y es el sistema operativo por defecto para la mayoría de los teléfonos inteligentes incluyendo Sony, Samsung y Google Pixel. "Year Zero" muestra que a partir de 2016 la CIA tenía 24 "zero days" para Android convertidos en armas que se ha desarrollado en si y obtenido de GCHQ, NSA y contratistas de armas cibernéticas.
Implicando otros gobiernos
Nos alarmó el descubrimiento de una herramienta que permite a la CIA potencialmente implicar a gobiernos extranjeros para sus actos de guerra cibernética. Funciona de la siguiente manera. Imagine que cada gobierno o grupo de hacking tiene su propio movimiento exclusivo o software malicioso o una combinación de ambos que usa para atacar a sus objetivos. Después de un tiempo, cada vez que se produce un ataque, se puede vincular a un grupo basado en esa huella digital.
WikiLeaks informa que un programa ejecutado por su Subdivisión de Dispositivos Remotos llamada UMBRAGE "Recoge y almacena una extensa biblioteca de técnicas de ataque". Según Vault7, las técnicas acumuladas incluyen aquellas que son utilizadas con frecuencia por Rusia.
Algunas de las técnicas actualmente a disposición de la CIA a través de UMBRAGE incluyen: keyloggers, captura de contraseña, captura de cámara web, destrucción de datos, persistencia, escalamiento de privilegios, sigilo, anti-virus (PSP) y técnicas de evación y encuesta.
Vault7 revela que la CIA también ha producido reglas sobre cómo su malware debe ser ocultado cuando se despliega para evitar cualquier huella digital que conduzcan de regreso a los EE.UU. o la agencia.
¿Era esto legal?
Los resultados preliminares revelan que la CIA había conocido y mejorado la difusión de estas herramientas. De hecho, de acuerdo con WikiLeaks, la agencia quería que los programas fueran legales para que agentes o hackers patrocinados por la CIA pudieran operar con total impunidad.
Según Vault7, si "el software de la CIA fue clasificado entonces los oficiales podrían ser procesados o despedidos por violar las reglas que prohíben colocar información clasificada en Internet. Como resultado, "la CIA secretamente ha hecho la mayor parte de su ciberespionaje/código de guerra no clasificado". El gobierno de los Estados Unidos tampoco puede afirmar derechos de autor, debido a las restricciones en la Constitución de los Estados Unidos. Esto significa que los fabricantes de "armas" cibernéticas y los hackers de computadoras pueden "piratar" libremente estas "armas" si se obtienen. La CIA ha tenido que confiar principalmente en la ofuscación para proteger su malware secreto.
¿Por qué es esto crítico?
Aunque seguimos trazando los peligros de tales descubrimientos y capacidades, algunas conclusiones son claras.
- La CIA puede implicar a otros gobiernos
Mediante el uso de Hive y el Zero Day, los EE.UU. pueden realizar un ataque cibernético contra un estado nación, dejando a propósito un rastro que conduce a otro estado. A medida que los gobiernos de todo el mundo emigran su infraestructura de control al ciber espacio – cualquier ataque cibernético puede tener un efecto devastador si está dirigido contra hospitales, centrales eléctricas o proveedores de telecomunicaciones.
- Las puertas traseras usadas por la CIA pueden ser explotadas por otros
Cuando la CIA socava un servicio o un dispositivo, crea la puerta trasera que puede ser abusada por otras partes. Con las nuevas herramientas reveladas de la agencia, todo lo que las personas hacen o dicen alrededor de sus teléfonos y TV's puede crear una imagen muy reveladora e íntima de la vida de las personas.
ProtonMail es financiado por contribuciones de la comunidad. Si desea apoyar nuestros esfuerzos de desarrollo, puede actualizar a un plan de pago o donar. ¡Gracias por tu apoyo!