Todos los programas de espionaje de la NSA desvelados por Snowden

El último de los programas de espionaje masivo desvelado por Edward Snowden es MYSTIC, que permite la grabación del 100% de las llamadas telefónicas de un país

El ciberespionaje de la NSA incluye desde el análisis de metadatos a la recopilación de mensajes de texto (SMS) o la propagación de virus informáticos (“malware”)

Cuáles son y cómo funcionan los programas de espionaje de la NSA


No cesa el goteo de filtraciones sobre los métodos de la agencia norteamericana de espionaje para obtener datos masivos de las comunicaciones de prácticamente cualquier usuario del mundo, excepto de los países que forman la alianza de los Cinco Ojos.

Justo cuando Edward Snowden manifiesta en una conferencia TED que “lo más grave está por llegar”, el Washington Post saca a la luz las revelaciones del programa MYSTIC, un sistema que permite grabar, analizar y recuperar la totalidad de las llamadas telefónicas de un país. A juzgar por los documentos conocidos, ya se habría llevado a la práctica al menos en un caso. La presentación de la NSA sobre MYSTIC muestra en su cubierta la imagen de un mago Merlín portando un teléfono móvil humanizado (con cabeza).

Las informaciones que demuestran el espionaje masivo de la inteligencia norteamericana han sido constantes desde que el 5 de junio The Guardian publicase el primero de una serie de documentos filtrados por el informático y excolaborador de la NSA Edward Snowden. En ese caso, se trataba de una orden judicial clasificada como alto secreto que mostraba cómo el Gobierno había recopilado los datos de las llamadas de los millones de usuarios de la operadora de telefonía Verizon.

Desde entonces, hasta las revelaciones sobre MYSTIC, los principales programas de ciberespionaje masivo sacados a la luz a partir de los papeles de Snowden han sido los siguientes.

PRISM

Programa de la Agencia Nacional de Seguridad estadounidense (NSA), operativo desde 2007, que permite la vigilancia masiva de ciudadanos de la UE mediante un acceso directo a los servidores centrales de empresas estadounidenses líderes en internet, como Google, Microsoft, Facebook, Yahoo, Skype o Apple. La cantidad y modalidad de los datos aportados varía según la compañía.

Desvelado el pasado 7 de junio simultáneamente por The Guardian y el Washington Post, fue el primer programa de ciberespionaje que conocimos gracias a las revelaciones de Snowden, tras el registro de llamadas de todos los usuarios de Verizon.  

El programa PRISM (o “Prisma”, es español) permite el acceso de los servicios de espionaje a información masiva muy variada. Según se recoge en el Power Point filtrado con el que la propia NSA explicaba su funcionamiento, es capaz de obtener historial de búsquedas, contenido de correos electrónicos, transferencia de archivos, chats, fotografías, videoconferencias o registros de conexiones.

Esta recogida masiva e indiscriminada de información se realiza bajo la supuesta cobertura legal de la Ley Patriótica (Patriot Act), aprobada por el Congreso estadounidense tras los ataques del 11 de septiembre, y, sobre todo, de la Ley de vigilancia de extranjeros o FISA (Foreign Intelligence Surveillance Act), una norma de 1978 enmendada en numerosas ocasiones (la última vez en 2008). Esta ley establece un tribunal secreto (FISA Court), que es el que autoriza las operaciones de rastreo emprendidas por la NSA.

Al margen del debate sobre la eficacia real para la seguridad de un Estado de esta recolección de datos “a granel”, el impacto en los derechos de los ciudadanos es múltiple: no sólo por la vulneración de la privacidad, sino por las consecuencias en otras libertades como las de expresión o asociación. El 28 de septiembre, el New York Times detallaba cómo se estarían realizando perfiles sociales cruzando estos datos con otros que sí son públicos, lo que abre la puerta a seguimientos selectivos en función de tendencias o afinidades.

Aunque las compañías niegan conocer su participación en este programa (pese a que a finales de agosto se publicó que habrían recibido millones de dólares como contraprestación), ayer mismo la NSA volvió a insistir en que son plenamente conscientes de ser parte de PRISM.

https://www.eff.org/files/2013/11/15/20130606-wapo-prism.pdf

XKEYSCORE

Dado a conocer por O Globo y Der Spiegel el 20 de julio, se trata de un programa dedicado a la búsqueda y análisis del contenido y los metadatos de nuestras comunicaciones online. Tiene la capacidad de acceder, sin ningún tipo de autorización previa, a prácticamente cualquier actividad del usuario típico de internet, según destacaba una de las diapositivas publicadas, orientadas a la formación de los analistas.

El propósito de XKEYSCORE, según explicaba unos días después The Guardian, es “permitir a los analistas buscar tanto en los metadatos como en el contenido de los correos electrónicos y otras actividades de internet”, como búsquedas, conversaciones en redes sociales o el historial de navegación. Y todo ello con un procedimiento tan sencillo como rellenar en el sistema un formulario que no exige justificar la búsqueda, incluso cuando no se parte de una cuenta de correo electrónico conocida.

Las búsquedas se pueden efectuar a partir del nombre, el número de teléfono, la dirección IP, palabras clave, el idioma o el tipo de navegador utilizado. Otra de las diapositivas muestra cómo la actividad de internet está continuamente siendo recogida por XKEYSCORE y el analista tiene capacidad para consultar las bases de datos en cualquier momento.

https://www.eff.org/files/2013/11/15/20130731-guard-xkeyscore_training_slides.pdf

TEMPORA

Programa de la agencia de inteligencia británica GCHQ para el acceso a redes informáticas y telefónicas, y a datos de localización, así como a algunos sistemas. Fue destapado por The Guardian el 21 de julio.

El GCHQ tiene acceso a la red de cables que transportan llamadas telefónicas y el tráfico de internet de todo el mundo, y ha comenzado a procesar grandes flujos de información personal sensible que está compartiendo con su socio estadounidense, la Agencia Nacional de Seguridad (NSA). Almacenan grandes volúmenes de datos procedentes de cables de fibra óptica hasta 30 días para que pueda ser filtrada y analizada.

Esa operación, cuyo nombre en código es TEMPORA, ha estado funcionando durante unos 18 meses. En mayo del año pasado, 300 analistas de GCHQ y 250 de la NSA habían sido asignados para procesar la inundación de datos capturada.

“BULLRUN” y “EDGEHILL”

Programas de los servicios de espionaje norteamericano (NSA) y británico (GCHQ), respectivamente, para eludir el cifrado online. Según la guía de la NSA sobre Bullrun, pueden vulnerar sistemas de encriptado y protocolos seguros ampliamente utilizados, como HTTPS.

Fueron dados a conocer por The Guardian, ProPublica y el New York Times  el 5 de septiembre. Según sus informaciones, estas agencias de espionaje habrían “eludido o agrietado gran parte de la codificación que salvaguarda los sistemas bancarios y el comercio global y que protege datos sensibles como los secretos comerciales o los registros médicos. Además se aseguran que se muestren automáticamente los mensajes de correo electrónico, búsquedas en internet, el contendido de los chats y de llamadas telefónicas, de estadounidenses y de otros, alrededor del mundo”.

https://www.eff.org/files/2013/11/15/20130905-guard-bullrun.pdf

QUANTUM y FOXACID

Programas de ataques selectivos contra usuarios de TOR, según mostraban los documentos filtrados sobre su funcionamiento publicados el 4 de octubre. El modo en que operaban se basaban no tanto en atacar a la propia red TOR como a los sistemas de los usuarios que accedían a ella, según explicaba para The Guardian Bruce Schneier, experto en seguridad informática.  

“TOR es una herramienta de anonimato bien diseñada y robusta, y atacarla con éxito es difícil. Los ataques de la NSA que encontramos se hacen de forma individual y tienen como objetivo los usuarios de TOR, explotando vulnerabilidades en sus navegadores Firefox, y no la aplicación TOR directamente”, aclaraba Schneier.

Tras identificar un usuario de TOR, “la NSA utiliza su red de servidores secretos de internet para redirigir los usuarios a otro conjunto de servidores secretos de internet, con el nombre en clave FOXACID, para infectar el ordenador del usuario”. Para ejecutar este ataque, la NSA se serviría de unos servidores secretos de alta velocidad denominados QUANTUM.

https://www.eff.org/files/2013/11/15/20131004-guard-tor_stinks.pdf

DISHFIRE

Programa para la recopilación y retención de 200 millones de mensajes de texto al día que sacó a la luz The Guardian el pasado 16 de enero.

La presentación filtrada sobre este programa (del año 2011) detalla cómo la NSA era capaz de extraer, cada día, de media, datos "de más de 5 millones de alertas de llamadas perdidas (de donde obtiene la red social de una persona y cuándo se pone en contacto)".

Y mucho más. "Detalles de 1,6 millones de cruces de frontera al día, a partir de las alertas de itinerancia (“roaming”); más de 110.000 nombres, mediante las tarjetas de visita (lo que también incluye la capacidad de extraer y guardar imágenes); y más de 800.000 transacciones financieras, tanto a través de pagos como del servicio que vincula las tarjetas de crédito de los usuarios con sus teléfonos”, según destacaba The Guardian. Además de extraer los datos de geolocalización de más de 76.000 mensajes de texto al día.

https://www.eff.org/files/2014/01/21/20140116-guard-dishfire_presentation.pdf

“Cracking”

Actividades de piratería y software malicioso contra instituciones, otras agencias de espionaje y operadores de telecomunicaciones.

En las filtraciones de los últimos meses se ha desvelado, junto con los programas de espionaje masivo, una amplia gama de ataques e intrusiones por parte de las agencias de inteligencia norteamericana y británica.

Así, el 31 de agosto, el Washington Post reveló, a través del análisis de los fondos reservados, que en 2011 la NSA había llevado a cabo hasta 231 “ciberoperaciones ofensivas”. El 20 de septiembre se supo, por una información de Der Spiegel, que el GCHQ había “hackeado” Belgacom, una operadora belga de telefonía.

El mismo diario alemán también destapó, el 11 de noviembre, que el espionaje británico había usado páginas falsas de LinkedIn para introducir software malicioso en ordenadores de ingenieros y acceder así a la red de su compañía. Y el 15 de noviembre explicaba cómo el GCHQ “piratea” las redes de las empresas de telefonía móvil.  

La NSA se introdujo sin problemas en las redes internas de Google y Yahoo para interceptar la información que circula entre los enormes centros de datos que estas compañías mantienen en el mundo, como informó el Washington Post el 30 de octubre. También habría usado cookies de Google para identificar objetivos que “crackear”, según desvelaba el mismo diario el 10 de diciembre.

Además, el 23 noviembre, el medio de comunicación holandés NCR publicaba que la NSA habría infectado 50.000 redes de ordenadores con software malicioso diseñado para robar información sensible.

El último de estos episodios conocidos sobre la capacidad de la agencia norteamericana de infectar con “malware” millones de ordenadores del mundo fue publicado la semana pasada por The Intercept.

https://www.eff.org/files/2014/03/17/20140315-intercept-turbine_intelligence_command_and_control.pdf

Otros programas

Los documentos de Snowden también han permitido conocer otros programas o herramientas destinados igualmente a la recogida masiva de datos o a su rastreo.

Boundless Informant. Destapado por The Guardian el 9 de junio, es una herramienta que detalla en tiempo real, e incluso mapea, la información que está siendo recogida de las redes informáticas y telefónicas por la NSA.

Evil Olive y Shell Trumpet. Son programas de recogida de metadatos a gran escala. The Guardian informó sobre ellos el 27 de junio.

Stellar Wind. Dado a conocer simultáneamente el 27 de junio por The Guardian y Washington Post, es un programa puesto en marcha durante el Gobierno de Bush (en 2001) y que estuvo operativo hasta 2011. Consistía en la recogida “a granel” del registro de los correos electrónicos y del tráfico de internet de ciudadanos norteamericanos.

Fairview. El 6 de julio el diario brasileño O Globo informaba de este programa por el que la NSA obtendría acceso a los registros de llamadas telefónicas, correos eléctricos y tráfico de internet que se produjesen fuera de su ámbito de seguimiento. Esto se lograría, según los documentos de la propia agencia de espionaje, mediante acuerdos comerciales de una empresa de telefonía norteamericana colaboradora en el programa con las operadores locales.

Upstream. Bajo el título "La diapositiva de la NSA que no has visto", Washington Post informaba el 10 de julio de este programa capaz de interceptar el tráfico telefónico y de internet de los principales cables y enrutadores, tanto nacionales como extranjeros. UPSTREAM funcionaría en paralelo con el programa PRISM.

Mainway y Association. Programas empleados por la NSA, en combinación con DISHFIRE, para interceptar las comunicaciones de la presidenta de Brasil, del presidente de México y sus respectivos ministros. Fue destapado por la revista brasileña Fantástico el 1 de septiembre.  

FASCIA. Titánica base de datos de la NSA con miles de millones de registros de localización a partir del seguimiento de las ubicaciones de teléfonos móviles de todo el mundo. Los documentos que describen su contenido y cómo se recopila fueron publicados por el Washington Post el 4 de diciembre.


Un nueva filtración, publicada por Le Monde, revela que France Télécom-Orange coopera con el espionaje francés.

El medio de Glenn Greenwarld, The Intercept, publica una nueva filtración sobre las acciones de “cracking” (ataque informático) de la agencia norteamericana de espionaje. En este caso se trata de documentos que revelan los intentos de la NSA para cazar a administradores de redes. “De acuerdo con un documento secreto proporcionado por el denunciante [ whistleblower] de la NSA, Edward Snowden, la agencia sigue la pista de la dirección de correo electrónico privado y cuentas de Facebook de administradores de sistemas, antes de "trastear" sus ordenadores para tener acceso a las redes que controlan”, señala The Intercept.  El objetivo es ”acceder a las llamadas y correos electrónicos que fluyen a través de sus redes”.  Uno de los documentos filtrados (del año 2012) lleva el título “Yo cazo administradores de sistemas" y muestra cómo se pretendía elaborar una lista negra internacional de administradores de sistemas, no porque fuesen sospechosos de alguna actividad criminal sino porque, según decían, "¿Qué mejor objetivo que la persona que ya tiene las" llaves del reino"?”, denuncia The Intercept.  Y añaden: “La NSA quiere más que sólo las contraseñas. El documento incluye una lista de otros datos que pueden ser cosechados desde los ordenadores que pertenecen a los administradores de sistemas, incluyendo mapas de red, listas de clientes o correspondencia comercial". Incluso "imágenes de gatos en actitudes divertidas con leyendas graciosas”, bromea el autor de los documentos desvelados.

Etiquetas
Estas leyendo

Todos los programas de espionaje de la NSA desvelados por Snowden