Una serie de herramientas de hacking y exploits han sido aparentemente robados de la Agencia de Seguridad Nacional estadounidense.
Los defensores de la privacidad han aprovecha este hecho reivindicado la posición de Apple en su disputa con el FBI de principios de este año.
La semana pasada, unos hackers robaron presuntamente una de las principales herramientas de espionaje de la NSA. Y de acuerdo con múltiples fuente, se ofrecieron a venderlos al mejor postor.
El robo ha sido vinculado al «Equation Group», un equipo secreto de espías cibernéticos que se cree están asociados con la NSA y sus socios del gobierno. El colectivo de hackers que robó el malware ha publicado dos conjuntos de archivos. En ellos se incluye una muestra gratuita de los datos robados, que se remonta a 2013. El segundo archivo está cifrado, y su clave salió a la venta en una subasta de Bitcoin, aunque muchos han visto este movimiento como un simple truco de despiste.
Sin embargo, el ataque parece ser real, de acuerdo con ex personal de la NSA que trabajaban en la división de piratería de la agencia, conocida como Tailored Access Operations (TAO).
«Sin lugar a dudas, son las llaves del reino», dijo un ex empleado de TAO en declaraciones anónimas al diario The Washington Post. «Las cosas de las que estamos hablando serían un perjuicio para la seguridad de un montón de grandes redes corporativas y gubernamentales, tanto aquí como en el extranjero».
«Es una gran cosa», dijo Dave Aitel, un ex científico de investigación de la NSA y CEO de una firma de pruebas de seguridad. «Nos gustaría entrar en pánico.» La página web Wikileaks ha twitteado que también tenía los datos y los liberaría que «en su momento».
La noticia de la filtración ha sido seguida muy de cerca por las empresas de tecnología, muchas de las cuales se enfrentaron a los intentos del Comité de Inteligencia del Senado de EE.UU. que pretendía obligarles de manera legal a prestar «asistencia técnica» a los investigadores del gobierno que buscasen datos bloqueados.
El intento fallido de promulgar esta legislación produjo después de que Apple se enfrentase públicamente al FBI sobre la insistencia de la agencia gubernamental que crear una «puerta trasera» para su software de iPhone, iOS.
El FBI afirmó que necesitaba el software de entrar en el iPhone propiedad de Syed Farook, uno de los terroristas del ataque de diciembre pasado en San Bernardino, California. Apple se negó a cumplir con la orden judicial alegando que reduciría la seguridad de la encriptación de teléfonos inteligentes y podría caer en las manos equivocadas.
Ahora, después de que un archivo de alto secreto de algunas de las hazañas de la NSA al respecto haya sido filtrado, los defensores de la privacidad reivindican la postura de Apple.
Cómo se ha producido la filtración
«El componente del gobierno que se supone que es el mejor para guardar secretos, no logró mantener con eficacia este secreto,» dijo Nate Cardozo, abogado senior de la Electronic Frontier Foundation en Business Insider.
La postura de la NSA en las vulnerabilidades parece basarse en la premisa de que los secretos no saldrán de allí. Que nadie nunca descubrirá el mismo error, que nadie va a usar el mismo error, que nunca habrá una fuga. Sabemos que es un hecho, que al menos en este caso, eso no es cierto.
El ex científico de la NSA Aitel cree que lo más probable es que dicha información saliese de las instalaciones de la NSA en un pendrive, el cual podría haber sido vendido o robado. «Nadie pone sus hazañas en el servidor» dijo Aitel.
Otra posibilidad sugerida por la NSA es que el kit de herramientas de malware ha sido robado de un «servidor de ensayo» al margen de la NSA. Esta postura ha sido citada también por Edward Snowden, quien además ha apuntado a Rusia como el principal sospechoso tras la fuga.
El deber de informar
Algunos hacker también han planteado nuevas preguntas sobre los aspectos legales de la piratería del gobierno. Muchas de sus «hazañas», incluida la fuga, nunca se han dado a conocer a las empresas cuyo hardware ha sido afectada.
Un marco político llamado «Vulnerabilities Equities Processe» (VEP) describe cómo y cuando el Estado debe informar acerca de una vulnerabilidad a una empresa afectada si el riesgo de seguridad es mayor que el beneficio que pueda producir.
El FBI ha informado de Apple de fallos de seguridad en versiones anteriores de iOS y OS X en el marco VEP.
Sin embargo, Cardozo sostiene que las reglas están «completamente rotas» debido a que VEP es una política no vinculante creada por el gobierno de Obama, y no una orden ejecutiva o ley de obligado cumplimiento. «Necesitamos reglas, y en este momento no hay ninguna», dijo Cardozo.
