EU mete en México computadoras-espía; vigilancia global coordinada por la NSA

CIUDAD DE MÉXICO.- El gobierno de Estados Unidos espía a México a través de computadoras personales de las principales marcas desde 1996, reveló la compañía Kaspersky Lab.

Dmitry Bestuzhev, director de Análisis e Investigación de la firma de antivirus, explicó a Excélsior que se trata de una operación de espionaje global.

 Detalló que desde hace 19 años en México y en otros 30 países han sido vendidas millones de computadoras en cuyos discos duros —donde se almacena toda la información del usuario— está instalado un software-espía militar.

Kaspersky aseguró que ha descubierto el programa malicioso en computadoras con discos duros de las marcas Western Digital Corp., Seagate Technology Plc., Toshiba Corp., IBM, Micron Technology Inc. y Samsung Electronics Co. Ltd.

Entre sus víctimas están gobiernos e instituciones diplomáticas, empresas de telecomunicaciones, agencias aeroespaciales, plantas de energía, plataformas de investigación nuclear y centros científicos de vanguardia, entre otros”, dijo el especialista.

Exempleados del gobierno estadunidense, quienes pidieron no revelar su identidad por temor a represalias, confirmaron a medios de Estados Unidos, en donde se prevé que darían la noticia del hallazgo de Kaspersky,  que ese tipo de espionaje es coordinado por la Agencia de Seguridad Nacional de EU (NSA, por sus siglas en inglés).

México, entre los espiados

Las operaciones de espionaje de la Agencia de Seguridad Nacional de Estados Unidos (NSA, por sus siglas en inglés) han llegado desde 1996 sin ser detectadas en millones de computadoras que han sido vendidas a 30 países, entre ellos México.

En millones de discos duros de compañías como Western Digital, Seagate Technology, Toshiba, IBM, Micron Technology y Samsung Electronics se esconden diversos programas maliciosos (malware) y troyanos que el denominado Grupo Equation ha colocado, y con lo cual la agencia estadunidense tiene acceso a todo tipo de contenido que se observa, se consulta o se guarda al interior de las computadoras.

Dmitry Bestuzhev, director de Análisis e Investigación de Kaspersky Lab en América Latina, empresa que descubrió este malware escondido en millones de equipos, explicó en entrevista que se trata de un código malicioso de ciberofensiva militar, cuyo origen va más allá de cualquier ataque anterior visto en este rubro.

“Grupo Equation, al cual Kaspersky le ha seguido la pista desde hace años, aunque aún se desconoce su sede correcta de operación, se ha dejado ver en Europa, principalmente en Bélgica, Francia, Alemania, Suiza y Reino Unido; y también en Irán, Rusia, Siria, Afganistán, Kazajistán, Somalia, Hong Kong, Libia, Emiratos Árabes Unidos. Lo grave es que en América Latina, hay ataques recurrentes a México, Ecuador y Brasil.

Entre sus víctimas están gobiernos e instituciones diplomáticas, empresas de telecomunicaciones, agencias aeroespaciales, plantas de energía, plataformas de investigación nuclear, centros científicos de vanguardia (como nanotecnología), farmacéuticas, entre otros”, explicó Bestuzhev.

Según el especialista de Kaspersky, México puede considerarse un blanco importante, pues es de las economías que más crecen en el mundo, y tiene información que puede ser clave para muchos países en temas de competencia y futuros proyectos de infraestructura.

El número de empresas o instituciones afectadas puede superar el millar en México y en todo el mundo, una cifra que delata objetivos de espionaje muy precisos”, dice el especialista de Kaspersky.

Operaciones encubiertas

Aunque Irán, seguido de Rusia, Pakistán, Afganistán, China, Malí, Siria, Yemen y Argelia son los principales afectados, los objetivos también incluyen instituciones gubernamentales y militares, empresas de telecomunicaciones, bancos y empresas de energía en países como México.

Kaspersky se negó a nombrar públicamente a la NSA como la agencia detrás de la campaña de espionaje, pero aseguró que el Grupo Equation está estrechamente vinculado con Stuxnet, un virus tipo gusano creado por la autoridad estadunidense que se utilizó para atacar las instalaciones de enriquecimiento de uranio de Irán.

Un exempleado de la NSA que pidió el anonimato por temor a represalias dio a conocer en medios estadunidenses que el análisis de Kaspersky es correcto, y que la infección de los discos duros con el
malware inició hace más de una década.

Otro exagente de inteligencia retirado confirmó que la NSA desarrolló la técnica de ocultar los programas espía en los discos duros, pero dijo que no sabía si las empresas fabricantes habían cooperado.

En este tema hay que recordar lo que sucedió con Yahoo!, empresa que denunció a finales del año pasado que fue amenazada por la NSA para obligarla a compartir información de sus usuarios, o sería multada con millones de dólares por negarse a aceptar una orden federal.

El portavoz de la firma fabricante de discos duros Western Digital, Steve Shattuck, dijo ayer en un comunicado que la compañía “no ha proporcionado su código fuente a las agencias del gobierno”, y los otros fabricantes aseguran no haber compartido su código con la NSA.

De acuerdo con los ex agentes de inteligencia, la NSA tiene múltiples maneras de obtener el código fuente de las empresas de tecnología, incluyendo la solicitud directamente. Excélsior envió un mail a la portavoz de la agencia de seguridad estadunidense, Vanee Vines, pero no se recibió respuesta al cierre de la edición.

Funcionamiento

Costin Raiu, director del Equipo de Análisis e Investigación Global de Kaspersky Lab, mencionó que Grupo Equation utiliza herramientas “que son muy complicadas y de desarrollo de alto costo para infectar a sus víctimas, recuperar datos y ocultar actividad de una manera extraordinariamente profesional. Utilizan técnicas clásicas de espionaje para introducir cargas maliciosas”.

Utiliza un arsenal de troyanos, incluyendo los siguientes que han sido bautizados por Kaspersky Lab: EquationLaser, EquationDrug, DoubleFantasy, TripleFantasy, Fanny y GrayFish.

Kaspersky Lab pudo recuperar dos módulos que permiten la reprogramación del firmware del disco duro de más de una docena de marcas populares. “Esto quizá sea la herramienta más poderosa de Grupo Equation, y el primer malware conocido capaz de infectar los discos duros”.

Al reprogramar el firmware del disco duro, es decir, reescribir el sistema operativo del disco, el grupo logra dos propósitos: un nivel extremo de persistencia que ayuda a sobrevivir el formateado del disco y la reinstalación del sistema operativo. Si el malware entra al firmware, está disponible para ‘revivir’ para siempre. Puede prevenir que se borre un cierto sector del disco o sustituirlo con uno malicioso durante el proceso de arranque del sistema.

Otra cosa peligrosa es que una vez que el disco duro se infecta con el malware, es imposible analizar su firmware. Para explicarlo de manera más simple, para la mayoría de los discos duros hay funciones para escribir en el área del firmware del hardware, pero no hay funciones para leerlo de nuevo. Significa que estamos prácticamente ciegos, y no podemos detectar discos duros que han sido infectados”, advierte Raiu.

La capacidad de crear un área persistente, invisible y oculta en el disco duro, es para guardar datos extraídos para recuperarlos más tarde. En Kaspersky aseguran que “los espías” lograron un avance tecnológico tan grande, que encontraron la manera de que el software malicioso funcione cada vez que un ordenador es encendido. “El mismo equipo es capaz de infectarse una y otra vez”, dijo Raiu en entrevista.