Artículos

La empresas sufren la pesadilla del ciberespionaje cada vez más – MIT Technology Review

Un caso sin precedentes de espionaje digital desde China revela lo vulnerables que son al robo de información y planes de negocio

Desde una pared de las oficinas del FBI en Pittsburgh (EEUU), estos cinco hombres de Shanghái (China) miran fijamente desde un póster de “Se Busca”. Wang Dong, Sun Kailiang, Wen Xinyu, Huang Zhenyu and Gu Chunhui, según una imputación federal del año pasado, son agentes de la Unidad 61398 del Ejército Popular de Liberación de China que hackearon las redes de empresas estadounidenses – U.S. Steel, Alcoa, Allegheny Technologies (ATI), Westinghouse – además del sindicato industrial más grande e importante de Norte América, United Steelworkers, y también el subsidiario estadounidense de SolarWorld, un fabricante alemán de placas solares.

A lo largo de varios años, dicen los fiscales, los agentes robaron miles de correos electrónicos sobre la estrategia empresarial, documentos relativos a las denuncias que habían presentado varias empresas estadounidenses de casos de comercio desleal por parte de China, y hasta diseños de tuberías para centrales nucleares – todo, supuestamente, para beneficio de empresas chinas.

Es el primer caso que presenta Estados Unidos contra los responsables de ciberespionaje presuntamente fomentado por un estado extranjero, y ha revelado vacíos de seguridad informática que las empresas rara vez reconocen en público. Aunque los hackers parecen haber realizado sus actividades a través de los ordenadores de personas inocentes además de otros esfuerzos por enmascararse, los fiscales rastrearon los ataques hasta un edificio de 12 plantas en Shanghái y desvelaron a los agentes de inteligencia. Hay pocas probabilidades de que se produzcan detenciones, ya que Estados Unidos no dispone de un tratado de extradición con China, pero por lo que parece el Gobierno estadounidense espera que el hecho de nombrar agentes concretos – y demostrar que el rastreo de tales ataques es posible – avergüence a China y ponga sobre aviso a otros países, inhibiendo así futuros actos de espionaje económico.

Ese enfoque puede que sea poco realista. Las empresas de seguridad dicen que tales actividades aún se realizan, y China califica las acusaciones de “puramente infundadas y absurdas”. Pero se puede hacer otra lectura de esta imputación: ya es improbable que los negocios puedan conseguir garantizar la seguridad de información valiosa online (ver Cómo evitar que hackeen a tu empresa el próximo lunes por culpa de tu móvil. Cuales sean las medidas que estén empleando, no se mantienen a la altura de las amenazas.

“Está claro que la situación ha empeorado, no mejorado”, dice Virgil Gligor, codirector del Centro de Investigaciones de Seguridad Informática de la Universidad Carnegie Mellon, conocido como CyLab. “Hemos hecho del acceso a los servicios y bases de datos y conectividad algo tan conveniente que también es conveniente para nuestros adversarios”. Una vez que las empresas acepten ese hecho, dice Gligor, la respuesta más obvia es, a su vez, drástica: desenchufarse.

Frackingy hacking

Sentados en una mesa de conferencia dentro de su despacho en el juzgado federal de Pittsburgh, el fiscal federal de la zona oeste de Pennsylvania, David Hickton, abrió un recipiente de plástico que trajo de su casa con la comida del mediodía, y sacó y peló un huevo duro. Aunque hablábamos de una investigación que implica actores globales y tecnologías opacas, el ambiente hogareño de nuestra reunión parecía adecuado: el caso tiene sus raíces en estrechos círculos empresariales y políticos de Pittsburgh. Hickton me enseñó una foto enmarcada en una estantería de su despacho. En ella sale él junto a un amigo suyo llamado John Surma y a los hijos de estos, que llevaban puestos uniformes de hockey sobre hielo, recién salidos de la pista. Ambos padres asistieron a la Universidad Estatal de Pennsylvania. Mientras Hickton ascendía dentro de la fiscalía, Surma ascendía en el mundo corporativo, convirtiéndose en el CEO de U.S. Steel. Cuando Hickton se convirtió en el fiscal de mayor rango de la zona en 2010, uno de sus desayunos de trabajo de bienvenida fue con Surma y Leo Girard, el director de United Steelworkers, que representa a 1,2 millones de trabajadores en activo y jubilados de varias industrias. “Les pedía, por un tema que no guarda relación con esto, que participaran en un consejo para la prevención de la delincuencia juvenil”, recuerda Hickton. “Ellos me dijeron, “¿podemos hablarte de otra cosa?”.

En ese momento, el movimiento del fracking estaba en pleno auge en EEUU, con unas tasas de interés ultrabajas que se habían fijado para estimular la economía, lubricando a su vez el negocio de la extracción del antes difícil de alcanzar gas natural y petróleo. U.S. Steel tenía un negocio próspero de venta de tuberías diseñadas especialmente para el proceso de extracción. Entre otras características, estas tuberías carecen de costuras verticales para que aguanten mientras se las aplasta hasta miles de metros de profundidad bajo tierra pero al mismo tiempo sean flexibles y capaces de doblarse para transportar petróleo y gas sin romperse.

“Tenemos que asumir el precio de la seguridad, que es la inconveniencia”.

Pero U.S. Steel también se fijó en dos acontecimientos preocupantes. Primero, empresas chinas de propiedad estatal estaban exportando grandes cantidades de tuberías similares a Estados Unidos a precios bajos. Así que U.S. Steel registró dos quejas oficiales con el Departamento del Comercio y la Comisión de Comercio Internacional de Estados Unidos, acusando a China de subvencionar las industrias de su país; estos casos resultantes llevaron finalmente a sanciones contra China. Segundo, tanto la empresa como el sindicato se habían percatado de la entrada de correos electrónicos sospechosos. Pero no estaba claro quién estaba detrás de los correos, ni se sabía si habían provocado algún tipo de daños a consecuencia de ellos.  “Había una consciencia generalizada de que se producían intrusiones, pero no la había ni del cuándo, dónde, cómo, ni de su alcance”, dijo Hickton.

El diseño de los correos electrónicos era muy inteligente: fingían proceder de compañeros de trabajo o miembros de la junta directiva, con asuntos relacionados con la agenda de una reunión o con investigaciones de mercado, pero introducían malware, un software diseñado para infiltrarse en redes informáticas ajenas, en forma de enlaces o documentos adjuntos. Por ejemplo, según la imputación, el día 8 de febrero del 2010 – dos semanas antes de una sentencia preliminar del Departamento del Comercio – los hackers enviaron un correo a varios empleados de U.S. Steel. Parecía proceder del CEO, pero incluía un enlace a una página web que contenía malware. Algunos empleados pincharon sobre el enlace, y sus ordenadores se infectaron. El resultado: los hackers robaron los nombres host de 1.700 servidores internos que controlaban el acceso a las instalaciones y las redes de la empresa. La imputación dice que entonces Wang intentó aprovecharse de este acceso, pero no especifica qué información se vio comprometida.

La vicepresidenta de Comercio de U.S. Steel, Debbie Shon, me contó que la información incluía valiosa inteligencia empresarial. “No eran diseños de alta tecnología”, dice. “Eran cosas igualmente importantes – las estrategias, la escala de precios, los niveles de producción, y el calendario previsto y contenido de cualquier queja comercial que U.S. Steel, como una de las empresas más importantes de esta industria, podía estar preparando”.

La imputación detalla varios ataques similares. Entre 2007 y 2013, Westinghouse estuvo negociando los pormenores de un contrato con una empresa china para la construcción de cuatro reactores nucleares. Desde 2010 hasta 2012, uno de los acusados presuntamente robó al menos 1,4 gigabytes de datos – aproximadamente 700.000 páginas de correos electrónicos y documentos adjuntos – de los ordenadores de Westinghouse. Los archivos incluían diseños de tuberías y comunicaciones en las que Westinghouse desvelaba preocupaciones acerca de la competencia china.

En ATI, los hackers presuntamente robaron las contraseñas de 7.000 empleados mientras la empresa se encontraba en una disputa comercial centrada en sus exportaciones a China. De Alcoa, los fiscales alegan que los hackers robaron 2.900 correos electrónicos con más de 860 documentos adjuntos mientras la empresa negociaba tratos con empresas chinas. (Alcoa, Westinghouse y ATI no han respondido a nuestras preguntas al respecto). Y en 2012, después de que el sindicato de la industria del acero empezara a alzar la voz en contra de las políticas industriales de China, Wen robó correos electrónicos que contenían conversaciones entre líderes del sindicato, según relata la imputación.

El gráfico muestra el proceso de infección que los hackers emplean, generalmente a través del secuestro de ordenadores sin que sus dueños lo sepan.

Mientras tanto, SolarWorld había iniciado disputas comerciales, acusando empresas chinas de vender placas solares por un precio inferior a los costes de fabricación, anulando así a la competencia. Un día de 2012, sonó un teléfono en las oficinas de SolarWorld en Camarillo, California (EEUU). Llamaba el FBI, diciendo que sus agentes habían descubierto correos electrónicos robados de la empresa, dice el portavoz de la empresa para EEUU, Ben Santarris. Como señal de las carencias de la empresa en cuanto a la ciberseguridad, “no había ninguna sospecha de lo que estaba ocurriendo hasta que recibimos aquella llamada”, comenta.

No fue hasta que se levantó el secreto de sumario en mayo de 2014 cuando la empresa conoció del alcance completo del supuesto robo. “Tuvieron acceso a la estrategia de los casos de disputa comercial, datos financieros, costes, informes de beneficios y pérdidas, hojas de ruta tecnológicas, contenido del I+D, etcétera”, dice Santarris. Al final, la empresa ganó estas disputas comerciales, asegurando así la aplicación de impuestos a las importaciones de equipamiento solar procedentes de China. Durante la disputa comercial, “observábamos controles muy estrictos sobre quién podía acceder a qué información”, dice. “Mientras nosotros hacíamos esto, según el FBI el ejército chino entraba por la puerta de atrás“.

Bájalo

El fracaso de las supuestas tecnologías de seguridad fue pasmoso. El responsable de sistemas informáticos del sindicato de los trabajadores del acero, Lance Wyatt, creía que llevaba una operación bien organizada. Una auditoría informática del 2010 no encontró ninguna deficiencia. Su servidor de correo electrónico cribaba todos los mensajes entrantes en busca de documentos adjuntos con código ejecutable. Tenía el último sistema antivirus. Su red comprobaba las direcciones IP para evitar páginas con contenido malware. Pero Wyatt y el FBI encontraron ordenadores infectados, uno de los cuales era utilizado por el responsable de viajes del sindicato. “Ninguna de estas máquinas hizo saltar nuestras alarmas como sospechosa de estar infectada”, dijo.

Según la imputación, los hackers emplearon varios métodos para ocultarse. Por un lado, supuestamente enviaron correos maliciosos a las empresas y el sindicado desde hop points – ordenadores intermedios –, incluido uno ubicado en Kansas (EEUU) bajo su control. Luego, manipularon hábilmente el sistema que utiliza internet para asignar nombres a los ordenadores. Los hackers establecieron dominios como “arrowservice.net” y “purpledaily.com” y programaron malware en los ordenadores corporativos, víctimas de sus intrusiones, para contactar con ellos. Entonces los espías podían cambiar continuamente las direcciones de los ordenadores a las que se dirigían estos dominios.

Mientras era de día en Shanghái y de noche en Pittsburgh, relata la imputación, los hackers resolvían un dominio para que apuntara a los ordenadores intermedios y realizaban sus actividades de espionaje. Al finalizar la jornada laboral en Shanghái, los hackers cambiaban la resolución del dominio para dirigirlo a páginas inocuas, como la de Yahoo.

No es de extrañar que tales sistemas sean relativamente fáciles de corromper para propósitos nefastos. Ideas para aumentar la seguridad en internet llevan décadas en circulación, y laboratorios académicos y gubernamentales han realizado propuestas interesantes. Pero pocas de estas ideas se han llegado a implementar; requieren una adopción masiva y posiblemente entrañen peores rendimientos de red. “Ya no escuchas planes de reconstruir la web”, dice el director de Tecnología de la división CERT del Instituto de Ingeniería Informática de la Universidad Carnegie Mellon, Greg Shannon.

¿Y qué han de hacer las empresas entonces? Wyatt fortaleció la seguridad en United Steelworkers; entre otras medidas, ahora adjudica privilegios de administrador a menos empleados, y rastrea la red en busca de las señales delatadoras de las comunicaciones de malware. Pero nada de esto hubiera prevenido los ataques. Wyatt dice que acaso “puede que los hubiera ralentizado” (ver “Jamás me conectaría a la red wifi de Starbucks”).

La mejor opción, entonces, podría ser la de apartar los datos sensibles de internet por completo. Esto conllevaría ciertas desventajas: si no se puede utilizar el correo electrónico de una forma tan liberal, o una base de datos no está online, mantenerse al corriente de la versión más actualizada de un informe u otros datos podría llevar mucho más tiempo. Pero, como dice Gligor: “Tenemos que pagar el precio que conlleva la ciberseguridad, que es la inconveniencia. Necesitamos aumentar la inconveniencia para dificultarle la labor a los que atacan desde la distancia. La manera de conseguirlo es – ¿cómo lo digo? – desconectarse de internet de vez en cuando”.

Después de todo, aún se producen ataques como los sufridos en Pittsburgh. “Esta imputación”, dice Hickton, “no representa el número total de hackers, ni el número total de víctimas, ni el número total de acusados”.