La Casa Blanca se
dispone a pedir cuentas al país asiático por la tecnología robada gracias a la
piratería informática.
MICHAEL RILEY
/ BEN ELGIN Washington
Unidad de Comando
Cibernético en Texas. / FUERZAS AÉREAS DE EE UU
Entre los contratistas de defensa, la empresa QinetiQ North America es
conocida por sus conexiones en el mundo del espionaje y su asombrosa línea de
productos. Sus aportaciones a la seguridad nacional incluyen satélites
secretos, aviones no tripulados y software que emplean las fuerzas especiales
de Estados Unidos en Afganistán y Oriente Próximo.
El exdirector de la CIA George Tenet fue ejecutivo de la compañía entre
2006 y 2008 y el antiguo responsable de espionaje del Pentágono Stephen Cambone
encabezó una de las principales divisiones. La empresa madre, británica, se
creó como derivación de un laboratorio de armas del gobierno que había sido la
inspiración para el laboratorio de Q en las novelas de James Bond de Ian
Fleming, una conexión de la que a QinetiQ aún le gusta presumir.
Sin embargo, la experiencia de esta veterana empresa de espionaje no
pudo impedir que los ciberespías
chinos la engañaran. Durante tres años, unos piratas
informáticos vinculados al ejército chino se infiltraron en los ordenadores de
QinetiQ y pusieron en peligro la mayor parte de su labor investigadora, por no
decir toda. En un momento dado, se introdujeron en la red interna de la
compañía aprovechando un fallo de seguridad que se había descubierto meses
antes y nunca se había reparado.
“Encontramos huellas de los intrusos en muchas de sus divisiones y en la
mayoría de sus líneas de producto”, dice Christopher Day, que hasta febrero era
vicepresidente de Terremark, la división de seguridad de Verizon
Communications, contratada en dos ocasiones por QinetiQ para investigar las
entradas ilegales. “No hubo prácticamente ningún sitio en el que mirásemos en
el que no les encontráramos”.
QinetiQ no era más que uno de los objetivos de una amplia operación de
piratería informática. Desde al menos 2007, los hackers chinos se introdujeron
en las bases de datos de casi todos los grandes contratistas de defensa de
Estados Unidos y lograron hacerse con varios de los secretos tecnológicos más
protegidos del país, según dos funcionarios del Pentágono que prefieren
mantener el anonimato porque la valoración de daños de los incidentes sigue
siendo información reservada.
Ahora que la Casa Blanca
se dispone a pedir cuentas a China por la tecnología
estadounidense que ha robado gracias a la piratería informática, las
autoridades necesitan saber todavía cuánto daño está ya hecho. Durante sus años
de ataques contra los contratistas de defensa, los espías robaron varios
terabytes --es decir, cientos de millones de páginas-- de documentos y datos
sobre programas de armamento, un volumen que deja pequeño cualquier robo de
secretos durante la Guerra Fría. Los piratas de QinetiQ quizá pusieron en peligro
informaciones vitales para la seguridad nacional, como el despliegue y las
capacidades de la flota de helicópteros de combate.
“Son pocos los contratistas de defensa que no han sufrido estos
ataques”, dice James Lewis, investigador titular sobre seguridad en el Centro
de Estudios Estratégicos e Internacionales en Washington. “Los daños han sido
considerables”.
Algunos de estos ataques han llegado a hacerse públicos, como el robo
que sufrió Lockheed Martin Corp., en 2007, de tecnología relacionada con el
F-35, el avión de combate más avanzado de Estados Unidos. Los responsables de
los servicios de inteligencia dicen que los daños son mucho más amplios de lo
que se sabe en público y que los piratas chinos han adquirido datos sobre
varios sistemas de armas importantes y numerosos menos importantes. Un antiguo
funcionario de inteligencia dice que en el Pentágono ha habido discusiones
sobre si sería seguro desplegar en combate otro aparato de Lockheed Martin, el
F-22 Raptor, después de que vatios subcontratistas hayan sufrido ataques
informáticos.
En 2007-2008, el Pentágono llevó a cabo sesiones informativas secretas
con alrededor de 30 empresas de defensa para alertarles de la campaña de
espionaje y proporcionarles armas que les permitieran defenderse contra ella,
según una persona que vivió el proceso. Esta persona no sabe si QinetiQ fue una
de las empresas que recibió esa información secreta.
Los investigadores acabaron por identificar a los piratas que, desde
Shaghai, habían entrado en QinetiQ, un grupo de élite denominado la Comment
Crew por los expertos en seguridad, que también se ha introducido en las redes
de grandes compañías y de personajes políticos, incluidas las campañas para las
elecciones presidenciales de 2008 de Barack Obama y John McCain. Es posible que
interviniera al menos otro grupo más de ciberpiratas chinos, según una persona
que está al corriente de la investigación.
En un informe del 18 de febrero, Mandiant, una empresa de seguridad con
sede en Alexandria, Virginia, atribuyó 141 grandes ataques informáticos a
Comment Crew, sin revelar los objetivos. Mandiant decía que el Comment Crew es
la Unidad 61398 del Ejército Popular de Liberación, que equivale, en ciertos
aspectos, a al Organismo de Seguridad nacional de Estados Unidos. El informa de
Mandiant empujó a Tom Donilon, consejero de seguridad nacional del presidente
Obama, a exigir a China que dejara de piratear empresas norteamericanas.
El propósito del espionaje en QinetiQ y otras empresas contratistas de
defensa parece ser conseguir que China cierre la distancia que le separa de
Estados Unidos en tecnología militar avanzada, ahorrándose años de
investigación y desarrollo que le habrían costado miles de millones de dólares,
según Michael Hayden, exdirector de la CIA.
También es posible que el ejército chino robara códigos de programación
y detalles de diseño que le ayudarían a incapacitar el más sofisticado
armamento estadounidense.
La prolongada operación de espionaje contra QinetiQ puso en peligro la
delicada tecnología de la empresa relacionada con aviones no tripulados,
satélites, robótica militar y la flota de helicópteros de combate del ejército
de Estados Unidos, tanto en sistemas ya desplegados como en otros todavía en
fase de desarrollo, según las investigaciones internas. Jennifer Pickett,
portavoz de QinetiQ, no ha querido hacer ningún comentario por su política
general de no hablar sobre medidas de seguridad.
“Dios no quiera que entremos en guerra con China pero, si ocurriera,
podría ser muy embarazoso, cuando empezáramos a probar todas estas armas tan
complejas y viéramos que no funcionan”, dice Richard Clarke, antiguo consejero
especial del presidente George W. Bush sobre ciberseguridad.
La pista de los espías en QinetiQ comienza a finales de 2007, igual que
los errores de la empresa. Los esfuerzos de QniteiQ están registrados en
cientos de correos electrónicos y docenas de informes que nunca deberían
haberse hecho públicos pero formaron parte de un alijo filtrado en 2011 por el
grupo Anonymous después de piratear HBGary Inc., una empresa de seguridad
informática con sede en Sacramento que QinetiQ había contratado el año
anterior.
Los correos e informes son auténticos, según Christopher Day y varios
antiguos directivos de HBGary. Day aceptó que se le preguntara sobre las
conclusiones de la investigación porque esos documentos ya eran públicos.
Después de examinar los documentos con varios expertos en seguridad y de
entrevistar a más de una docena de personas que conocen los ciberataques
sufridos por QinetiQ, Bloomberg News ha reconstruido de qué forma los piratas
sortearon al equipo de seguridad interna de la empresa y otras cinco empresas
más a las que se recurrió para remediar la situación.
Desde su sede en una torre de cristal y acero en McLean, Virginia, la
filial estadounidense de QniteiQ es un fabricante de armas de pequeño tamaño,
menos d ela décima parte de gigantes del sector como Lockheed y Northrop Grumman
Corp. Se ha especializado en campos con perspectivas de crecimiento a medida
que se reducen otros apartados del presupuesto del Pentágono, como aviones no
tripulados, robótica, software y ordenadores de alta velocidad. Una oferta de
empleo publicada en 2012 por las instalaciones de QinetiQ en Albuquerque pedía
un programador para trabajar en “un sistema de vigilancia mundial por satélite”
y solo aceptaba candidatos con la máxima autorización de seguridad.
En diciembre de 2007, un agente de los Servicios de Investigación
Criminal de la Marina se puso en contacto con el pequeño equipo de seguridad de
la empresa y les notificó de que dos personas que trabajaban en McLean estaban
perdiendo datos confidenciales de sus ordenadores portátiles, según un informe interno.
Los servicios de la marina se habían encontrado con los datos robados dentro de
otra investigación y querían avisarles como cortesía.
El agente, que trabajaba en San Diego, no proporcionó la identidad de
los piratas, a los que los servicios de inteligencia estadounidenses seguían la
pista al menos desde 2002, ni tampoco proporcionó el dato crucial --pero
secreto-- de que estaban atacando también a otros contratistas de defensa.
QinetiQ no sabría quienes eran sus atacantes hasta dos años después.
La compañía emprendió la investigación pero con unos límites estrictos.
“Pensaron que era algo muy restringido, como un virus o algo así”, dice
Brian Dykstra, experto forense que trabaja en Columbia, Maryland, y al que
QinetiQ contrató para dirigir la investigación.
Solo le dieron cuatro días de plazo para completar su tarea. Dice que no
le concedieron el tiempo ni la información necesarios para descubrir si había
más empleados que hubieran sido pirateados, que es una medida de precaución
habitual. En su informe final, Dykstra advertía que QinetiQ “no parece darse
cuenta de la amplitud” de la intromisión.
Casi de inmediato surgieron pruebas que demostraban que Dykstra tenía
razón, porque los ataques continuaron. El 7 de enero de 2008, la NASA alertó a
la empresa de que unos hackers habían intentado introducirse en el organismo
espacial desde uno de los ordenadores de QinetiQ.
Durante los meses posteriores, se produjeron varios ataques que QinetiQ
abordó como incidentes aislados. Los piratas siguieron una estrategia más
meticulosa: en los primeros dos años y medio, reunieron más de 13.000
contraseñas internas y entraron en servidores que podían darles información
detallada sobre la empresa y su modo de organización, unos datos que después
emplearían con consecuencias devastadoras.
Nuevas investigaciones desvelaron más agujeros de seguridad. En 2008, un
equipo de seguridad descubrió que era posible entrar en la red corporativa
interna de QinetiQ desde un aparcamiento de Waltham, Massachusetts, a través de
una conexión wifi abierta. Esa misma investigación averiguó que unos piratas
informáticos rusos llevaban más de dos años y medio robando secretos de QinetiQ
da través del ordenador de una secretaria, que habían manipulado para que
enviase los datos directamente a un servidor en la Federación Rusa.
Mientras tanto, los directivos de QinetiQ estaban preocupados porque los
costes de la investigación estaban aumentando.
“Una empresa puede llegar a gastarse todos sus recursos investigando
este tipo de cosas”, dijo William Ribich, expresidente del QinetiQ's Technology
Solutions Group, durante una entrevista en enero. Ribich, que se jubiló en
noviembre de 2009, poco después del hallazgo de un gran robo de datos, decía
que habia que sopesar el peligro no comprobado de que los piratas utilizaran lo
que habían robado con la el hecho de que cada vez había más productos de
seguridad y honorarios de asesoría.
“Llega un momento en el que hay que decir ‘Pasemos la página’”, dijo.
De hecho, la primera división que atacaron los piratas chinos fue la de
Ribich, con sede en Waltham, y en concreto la tecnología de aviones no
tripulados y robótica de QinetiQ. Unos informes internos filtrados por
Anonymous hablan de un ataque sufrido por el TSG en febrero de 2008 y otro
intento en marzo de ese mismo año. En 2009, los hackers tenían ya el control
casi total de los ordenadores del Grupo, según muestran los documentos.
En 2009, durante 251 días seguidos, los espías atacaron al menos 151
máquinas, entre ellas portátiles y servidores, y catalogaron los datos de
códigos fuente e ingeniería de TSG. Los piratas extraían datos de la red en
pequeños paquetes para evitar ser descubiertos, y consiguieron robar 20
gigabytes antes de que se pusiera fin a la operación, según una evaluación
interna de daños.
Entre los datos robados había tecnología militar muy confidencial, en un
volumen equivalente a 1,3 millones de páginas de documentos o más de 3,3
millones de páginas de tablas en Microsoft Excel.
“Todas sus claves y sus secretos corporativos han desaparecido”,
escribió Phil Wallisch, ingeniero jefe de seguridad en HBGary, en un correo
electrónico después de que la empresa le notificara sus pérdidas.
Pero aún quedaba lo peor.
Mientras el equipo de QinetiQ se tambaleaba
de una crisis a otra, los piratas informáticos estaban refinando sus
habilidades. Se les volvió a ver en marzo de 2010, después de que entraran en
la red de la empresa con la contraseña robada de un administrador de red en
Albuquerque, Nuevo México, Darren Back.
Los hackers utilizaron el acceso remoto de la empresa, igual que
cualquier otro empleado. Si pudieron emplear ese truco fue porque QinetiQ no
utilizaba la autenticación de dos factores, una herramienta muy sencilla que
genera una clave única que los empleados deben utilizar, además de su
contraseña habitual, cada vez que trabajan desde casa.
Unos meses antes, en una revisión de seguridad, se había detectado el
problema. Mandiant, que había examinado varias intromisiones sufridas por TSG y
había realizado la prueba, recomendó un remedio relativamente barato. Su
consejo quedó ignorado, según una persona que conoce el informe.
En cuatro días de frenética actividad, los piratas atacaron al menos 14
servidores, y se interesaron en particular por la sede de la compañía en
Pittsburgh, especializada en el diseño robótico avanzado. El Comment Group
también utilizó la contraseña de Back para entrar en el ordenador del
responsable de control de tecnología de QinetiQ en Huntsville, Alabama, que contenía
un inventario de elementos tecnológicos armamentísticos supersecretos y códigos
fuente de toda la empresa. Los espías habían dado con el mapa de todos los
secretos digitales de QinetiQ.
Al mismo tiempo, habían empezado a extender sus ataques. En abril de
2010, al ver que se acumulaban las pruebas de que los piratas habían entrado en
otras divisiones además de TSG, QinetiQ contrató a dos empresas externas,
Terremark y una pequeña empresa relativamente nueva, HBGary, encabezada por
Greg Hoglund, un antiguo hacker convertido en experto en seguridad.
HBGary instaló software especializado en más de 1.900 ordenadores y los
examinó en busca de restos de códigos malintencionados. Enseguida surgieron
fallos. De acuerdo con varios correos internos de HBGary, el software no se
podía instalar al menos en la tercera parte de los ordenadores, e incluso
cuando lo hacía, no detectaba algunos de los que se sabía que habían sido
infectados por los espías.
Matthew Anglin, uno de los responsables de seguridad de la información
en QinetiQ, con la tarea de coordinar las dos investigaciones, estaba
angustiado por no saber lo que estaba ocurriendo en su propia red. Se quejó de
que los expertos llevados de fuera no parecían dar con lo que pasaba y estaban
perdiendo el tiempo en la búsqueda de un software que era inocuo, aunque no
estuviera autorizado.
Los consultores también se pelearon. En un informe, HBGary se quejó de
que Terremark ocultaba información vital. Terremark respondió que daba la
impresión de que los piratas sabían que HBGary estaba persiguiéndoles y estaban
usando su tecnología para borrar las huellas de su presencia en los
ordenadores.
“Creen que les delatamos a los atacantes”, escribió en un correo Wallisch,
el investigador jefe de HBGary en este proyecto.
Los equipos de seguridad encontraron pruebas de que los hackers se
habían introducido en prácticamente todos los rincones de las actividades de
QinetiQ en Estados Unidos, incluidos laboratorios de diseño y fábricas en San
Luis, Pittsburgh, Long Beach (Mississippi), Huntsville (Alabama) y Albuquerque
(Nuevo México), donde los ingenieros de QinetiQ trabajan en proyectos de
espionaje por satélite, entre otros.
A mediados de junio de 2010, tras varias semanas de intensa labor, los
investigadores pensaron que habían limpiado las redes de QinetiQ y empezaron a
rematar la tarea.
La calma duró poco más de dos meses. A principios de septiembre, el FBI
llamó a QinetiQ para decir que el contratista de defensa estaba volviendo a
perder datos, según varios correos electrónicos y una persona que participó en
la investigación. Anglin envió mensajes a HBGary y Terremark para pedirles que
volvieran sus equipos cuanto antes.
A las pocas horas de llegar, los investigadores empezaron a encontrar
una vez más software malintencionado (malware) en ordenadores de todas las
divisiones norteamericanas de la empresa. En algunos casos, estaba allí desde
2009.
Los equipos de seguridad empezaron a darse cuenta de que los piratas habían
logrado crear una presencia casi permanente en los ordenadores del contratista
de defensa que les permitía extraer nuevos datos en cuanto se grababan en sus
discos duros. “No cabe duda... Están jodidos”, escribió Wallisch a Hoglund en
septiembre.
Los investigadores también tuvieron que lidiar con la frustración de los
empleados de QinetiQ. Molestos por la potencia que consumía el software de
detección de HBGary, los trabajadores empezaron a eliminarlo de sus
ordenadores, con la aprobación del equipo de tecnología de la información de la
empresa.
A medida que avanzaba la búsqueda, surgían más pistas sobre los secretos
que perseguían los espías. Encontraron sus huellas digitales en los ordenadores
del director ejecutivo de QinetiQ, un vicepresidente de división y docenas de
ingenieros y arquitectos de software, incluidas varias autorizaciones
confidenciales.
Una de las víctimas fue un especialista en el software incrustado en
microchips que controla los robots militares de la empresa, una tecnología que
sería útil para el programa chino de construcción de robots, dice Noel Sharkey,
experto en aviones no tripulados y robótica de la Universidad de Sheffield, en
Gran Bretaña. En abril de 2012, el Ejército Popular de Liberación dio a conocer
un robot de desactivación de bombas similar al Dragon Runner de QinetiQ.
La arquitectura de chips también podría ayudar a China a ensayar maneras
de tomar o derrotar a robots y aviones no tripulados estadounidenses, dice
Sharkey.
“Podrían colocarlos en una placa de simulación y piratearlos”, dice. “Es
algo fácil de hacer”.
Los espías también se interesaron por los ingenieros que trabajaban en
un innovador programa de mantenimiento para la flota de helicópteros de combate
del ejército. Atacaron al menos a 17 personas que trabajaban en lo que se
conoce como Mantenimiento según las condiciones (Condition Based Maintenance,
CBM), que utiliza sensores de a bordo para reunir datos sobre helicópteros
Apache y Blackhawk desplegados en todo el mundo, según expertos que conocen
bien el programa.
Las bases de datos de CBM contienen información confidencial, incluidos
los números PIN de cada aparato, y podrían haber proporcionado a los piratas un
panorama del despliegue, el comportamiento, las horas de vuelo, la durabilidad
y otras informaciones cruciales de cada helicóptero norteamericano de combate
desde Alaska hasta Afganistán, según Abdel Bayoumi, que dirige el centro de CBM
en la Universidad de Carolina del Sur.
Es posible que los hackers aprovecharan asimismo el sistema de QinetiQ
para entrar en el Arsenal Redstone del ejército, a través de una red que
comparte con los ingenieros de QinetiQ en la cercana Huntsville. Según una
persona que conoce los pormenores de la investigación, los investigadores
militares relacionaron un allanamiento de la base, que alberga el Mando de
Aviación y Misiles del Ejército, con QinetiQ.
No fue la única vez que los piratas aprovecharon rodeos para entrar en
ordenadores oficiales. Esa misma persona dice que, todavía el año pasado, unos
agentes federales estaban investigando la entrada ilegal en una unidad de
ciberseguridad de QinetiQ que sospechaban que los piratas chinos estaban
utilizando para atacar objetivos de la administración federal.
Los fallos de seguridad en QinetiQ hicieron que varios organismos federales,
como el FBI, el Pentágono y los Servicios de Investigación Criminal de la
Marina, llevaran a cabo sus propias búsquedas, según dos personas involucradas
que no conocen aún los resultados de la labor.
El Departamento de Estado, que tiene la potestad de revocar la
autorización de QinetiQ para manejar tecnología militar restringida si
encuentra que ha habido negligencia, no ha emprendido aún ninguna acción contra
la compañía. Dos antiguos miembros de las fuerzas del orden dicen que, a pesar
de ese poder, el Departamento de Estado no tiene gente con los conocimientos
informáticos forenses necesarios para evaluar los daños, y ninguno de ellos
recuerda que el Departamento haya participado en ninguna gran investigación
sobre robo de datos.
“En este caso, da la impresión de que han pasado años y no se ha
aprendido nada, y eso es lo que da miedo”, dice Steven Aftergood, que dirige el
Proyecto de Secretos Oficiales en la Federación de Científicos Americanos. “La
empresa es responsable de sus fallos, pero el gobierno es responsable de haber
tenido una reacción insuficiente”.
Las actividades de QinetiQ en Estados Unidos están supervisadas por un
consejo delegado en el que está presente Riley Mixson, el antiguo jefe de
guerra aérea de la Marina. El consejo fue informado en varias ocasiones sobre
los ciberataques y las investigaciones. En una breve entrevista telefónica,
Mixson dijo que “todo estaba debidamente documentado” y colgó. Tener se negó a
hacer comentarios.
Las investigaciones no disminuyeron la capacidad de la empresa de
obtener contratos del gobierno e incluso proporcionar servicios de seguridad
informática a varios organismos federales.
En mayo de 2012, QinetiQ obtuvo un contrato de seguridad informática
valorado en 4,7 millones de dólares con el Departamento de Transportes de
Estados Unidos, que incluye la protección de algo tan fundamental como las
infraestructuras de transportes del país.
“En seguridad informática, QinetiQ no se enteró de nada, así que me
asombra que hayan vuelto a ganar”, dijo Bob Slapnik, vicepresidente de HBGary,
en 2010, después de que la compañía recibiera una subvención del Pentágono a
cambio de asesoramiento sobre métodos para luchar contra el ciberespionaje.
En el otoño de 2010, Terremark envió a Anglin un informe con la conclusión
de que QinetiQ había sido blanco del Comment Crew desde 2007 y que los piratas
habían actuado sin cesar en sus redes, por lo menos, desde 2009. El informe
estaba entre los documentos filtrados por Anonymous.
Para entonces, los hackers controlaban ya casi por completo la red de la
empresa. Habían actuado sin obstáculpos durante meses y habían implantado
múltimples canales ocultos de comunicaciones para extraer datos. En privado,
los investigadores estaban convencidos de que los espías habían logrado todo lo
que querían de los ordenadores de QinetiQ.
“En mi opinión, si un pirata lleva años en tu entorno, tus datos han
volado”, escribió Wallisch en un correo electrónico a un colega en diciembre de
2010, pocas semanas antes de que la propia HBGary fuera también pirateada.
“Cuando tu enemigo conoce, cataloga y analiza todos los elementos de tu
empresa”, escribió Wallisch, “ya no tengo la sensación de apremio”.
*Traducción de María Luisa Rodríguez Tapia
© 2013, Bloomberg News.
No hay comentarios:
Publicar un comentario