En la larga historia de la piratería informática, ha habido muchas violaciones de datos que, años o incluso décadas después, siguen sin resolverse. Los innumerables hackers y grupos de hackers detrás de ellos nunca han sido revelados.
Pero se podría atrapar a un prolífico grupo de piratas informáticos. Esto se aplica tanto a ciberdelincuentes como LAPSUS$, una notoria banda de extorsión que se infiltró en empresas como Microsoft y Nvidia, que ha capturado a muchos de sus miembros, como a sofisticados grupos de hackers gubernamentales de Rusia y China, cuyos miembros han sido nombrados, acusados y colocados en las listas de los más buscados.
Sin embargo, algunos de los casos más interesantes en la historia de la ciberseguridad siguen abiertos: no hay ningún culpable, ni respuestas y, en algunos casos, ningún motivo claro. Decidimos revisar algunos de ellos en una serie de artículos, comenzando con uno de los episodios más extraños en la historia de las filtraciones de inteligencia.
La primera entrega se centra en Shadow Brokers, un grupo misterioso que aparece en línea, arroja una gran cantidad de herramientas de piratería que se cree pertenecen a la NSA y luego desaparece.
En el verano de 2016, en medio del hackeo ruso de las elecciones presidenciales de Estados Unidos, el grupo apareció en Twitter. Están conectados a un publicación de Pastebin y @-mencionar varios medios de comunicación, una estrategia extraña e ineficaz que significa que la mayoría de esos medios probablemente nunca vieron el tweet.
Pero si alguien hace clic en el enlace, verá un documento titulado “Subasta de armas cibernéticas de Equation Group – Invitación”, que se refiere a una operación secreta de piratería informática que se cree que fue llevada a cabo por la NSA.
“¡¡¡Atención a los gobiernos que patrocinan la guerra cibernética y a aquellos que se benefician de ella!!! ¿Cuánto estás pagando por las armas cibernéticas de tu enemigo?” escribieron los piratas informáticos, afirmando haber pirateado Equation Group.
El documento incluye enlaces para descargar varias herramientas de piratería, así como un enlace para descargar un archivo cifrado que los compradores interesados pueden descifrar haciendo una oferta. “El archivo de la subasta es mejor que Stuxnet”, escribieron, refiriéndose al notorio malware utilizado contra las instalaciones nucleares iraníes en un ciberataque entre Estados Unidos e Israel en 2007. Pidieron al menos un millón de bitcoins.
La filtración atrajo rápidamente la cobertura de la prensa. Después de que los investigadores de seguridad analizaron las herramientas, se dieron cuenta de que eran armas cibernéticas altamente sofisticadas, muy probablemente robadas de la NSA; esta sospecha se vio reforzada por el hecho de que algunos de los programas tenían los mismos nombres que los programas revelados por el denunciante de la NSA Edward Snowden.
La subasta probablemente fue una artimaña, ya que el grupo terminó deshaciéndose públicamente de la mayoría de las herramientas varios meses después. Muchas cosas sobre Shadow Broker no tienen sentido. Su inglés entrecortado era casi cómico, como si se esforzaran demasiado o indicaran deliberadamente que estaban siendo inteligentes. A pesar de buscar claramente atención (y obtener mucha cobertura de prensa), el grupo solo habló con un periodista una vez y le dio una breve entrevista a Joseph Cox de 404 Media, entonces reportero de VICE Placa base.
Diez años después, no sabemos nada sobre quién está detrás del personaje de Shadow Brokers. cox y yo entrevista a ex miembros del personal de la NSA en ese momento, que dichos miembros actuales o anteriores de la NSA podrían haber estado involucrados. Sin embargo, nadie ha sido arrestado ni acusado jamás, lo cual es sorprendente si se tiene en cuenta que ésta es posiblemente una de las peores filtraciones de herramientas de piratería de inteligencia de Estados Unidos.
Un posible sospechoso es Harold T. Martin III, un contratista de la NSA que fue arrestado por robar información clasificada de la agencia. Pero esta teoría tiene un problema: mientras Martin fue arrestado, los Shadow Brokers permanecieron activos en línea. Nunca fue acusado formalmente en relación con la filtración. La teoría más extendida es que Shadow Broker fue creado por un grupo de espías del gobierno ruso como herramienta de propaganda.
El impacto es enorme. Entre las herramientas lanzadas, Shadow Brokers la publicó Azul eterno – una serie de vulnerabilidades de día cero dirigidas a Windows que permiten a los piratas informáticos ingresar a computadoras en redes pirateadas, expandir rápidamente su acceso e implementar gusanos que se propagan automáticamente. (Una vulnerabilidad de día cero es una debilidad desconocida para el fabricante del software, lo que significa que aún no hay solución). Los piratas informáticos norcoreanos utilizaron EternalBlue para liberar el gusano ransomware WannaCry. Luego, los piratas informáticos rusos lo incorporaron a NotPetya, que superó sus objetivos iniciales en Ucrania y causó pérdidas de alrededor de 10 mil millones de dólares a nivel mundial. Para las empresas, la lección es la siguiente: las vulnerabilidades mantenidas por las agencias de inteligencia no siempre se mantienen en secreto y, cuando se filtran, es el sector privado el que sufre las consecuencias.
El tesoro sigue dando lugar a descubrimientos. Entre las herramientas filtradas había una que contenía una lista de nombres de proyectos, incluida una herramienta llamada Fast16, que simplemente estaba marcada con la etiqueta “NADA QUE VER AQUÍ – CONTINUAR”. El mes pasado, los investigadores anunciaron que lo habían descubierto y examinado, y encontraron malware que data de 2005, diseñado para dañar el software supuestamente utilizado por científicos nucleares iraníes.
Cuando compra a través de enlaces en nuestros artículos, es posible que ganemos una pequeña comisión. Esto no afecta nuestra independencia editorial.
