La clave es su misterioso modo ‘online’ de captar espías, que requiere de envíos masivos de ‘e-mails’ o de miles de peticiones por LinkedIn
17 de febrero de 2020 – Agencias.
En 2017, la empresa Equifax denunció el robo de datos personales de 145 millones de estadounidenses de sus servidores. Los datos incluían nombre completo, dirección, fecha de nacimiento, número de la seguridad social y del carné de conducir, datos clave en Estados Unidos. Hace unos días, el Departamento de Justicia norteamericano sorprendió acusando del robo a cuatro soldados chinos. No es la primera vez que China roba datos personales de millones de americanos.
Equifax es un data broker, vive de los datos: recopila información sobre consumidores y negocios que sirve para averiguar su fiabilidad financiera. Los intrusos también se llevaron los modelos predictivos que Equifax usaba para valorar a millones de ciudadanos.
El relato del hackeo que hace el Departamento de Justicia es impresionante: emplearon 34 servidores en cerca de 20 países para disimular sus pasos. Troceaban los archivos que robaban, los descargaban y los borraban para no dejar rastro. Mandaron unas 9.000 peticiones a Equifax para comprobar qué había en sus bases de datos. Eran claramente profesionales.
Equifax, sin embargo, se lo puso fácil. La empresa usaba un software llamado Apache Struts. En marzo de 2017, Apache anunció una vulnerabilidad que permitía acceder en remoto a sus sistemas y manejarlos. Equifax no tapó el agujero, según el Departamento de Justicia. Era como si un equipo de ladrones preparados para robar un valioso picasso llegasen al museo y se encontraran la puerta abierta con las llaves puestas: cada noche regresaban sin ser vistos a mirar qué más llevarse, y cuando cogían un cuadro colgaban una copia en su lugar; acabaron por llevarse docenas de pinturas.
¿Pero para qué quiere China tantos datos personales? Probablemente para más de una cosa, pero la más clara es para convertir a funcionarios o empresarios estadounidenses en espías para China. El método tradicional de convertir a un agente doble era detectarlo, y luego en persona observarlo, contactarlo y convencerle. Todos los pasos son delicados y suelen hacerlos agentes distintos para no quemarlos a todos si algo sale mal.
La CIA y otras agencias explican los motivos más habituales de un agente doble para traicionar a su país con el acrónimo MICE: son las iniciales en inglés de “dinero, ideología, coerción y ego”. En datos privados financieros puede haber información para saber si alguien tiene deudas e incluso si esas deudas lo son por motivos deshonestos, con lo que se le puede coaccionar.
“Una opción ahora es ver si hay personas en la base de datos con valor para ellos y trabajar la información”, dice Carlos Seisdedos, responsable de ciberinteligencia en IsecAuditors. “Si había datos financieros podían filtrar por puesto de trabajo para ver dónde trabajan. En función del tipo de información crediticia, pueden marcarse objetivos. Es una forma de aproximación a un objetivo, para chantajearle o lo que sea”, añade.
Hay otra diferencia sustancial en este método: la aproximación al objetivo puede ser online, no es necesario que sea real. Y, por tanto, puede ser masiva: “Hemos visto a los servicios de inteligencia chinos hacerlo en una escala enorme”, dijo William Evanina, director del Centro Nacional de Contrainteligencia y Seguridad de los Estados Unidos, el pasado agosto a The New York Times. “En lugar de mandar a sus espías a Estados Unidos a reclutar un solo objetivo, es más eficaz sentarse ante un ordenador en China y mandar miles de peticiones de amistad a objetivos con perfiles falsos”, añadió.
Cuanta más información sobre esos objetivos, más probable es que funcione. En los últimos años, el Departamento de Justicia ha acusado a tres exagentes de colaborar con China. En Alemania, los servicios de inteligencia han denunciado 10.000 aproximaciones, mientras en que Francia, 4.000. Todos estos intentos no son únicamente a funcionarios de los servicios de inteligencia. China puede tener interés en numerosas empresas que trabajan en industrias de seguridad o en otros ámbitos punteros. La variedad es enorme.
La red social profesional LinkedIn, propiedad de Microsoft, es el recurso perfecto para este tipo de acercamientos. La unidad de ciberespionaje china tiene 100.000 agentes. Es fácil imaginar cuántos recursos tienen para este tipo de operaciones.
Otro de los hackeos singulares que se han atribuido al ejército chino es la Oficina de Dirección de Personal del Gobierno de Estados Unidos. Es uno de los objetivos más jugosos, allí hay millones de exámenes a futuros funcionarios, llenos de preguntas sobre drogas, dinero, enfermedades mentales o comportamientos sexuales raros.
Por si fuera poco, este solo es uno de los recursos que ofrece el robo de millones de datos personales. Otro es su uso para modelar mejor algoritmos de inteligencia artificial. China tiene millones de datos sobre sus ciudadanos, pero todos son chinos. Para ampliar la variedad, es útil buscar datos con perfiles de ciudadanos de otros países.
“Los datos son muy diferentes, depende de dónde los recoges. Si China solo puede obtener datos de sus ciudadanos, el resultado no es extrapolable a toda la población del planeta”, dice Marga Robles, profesora de Derecho Internacional Público y coordinadora del máster en Ciberseguridad de la Universidad de Granada. “China es la gran potencia de la inteligencia artificial. Hay algoritmos que puede usar cuando vende productos a ciudadanos occidentales”, añade.
Además de la búsqueda de agentes dobles y del uso para inteligencia artificial puede haber un tercer motivo para llevar a cabo una operación de este calibre: “Tienen bases de datos que pueden perfilar con información de redes sociales. Son datos que pueden servir para extorsionar, pero también para elaborar perfiles sociales para campañas de desinformación”, explica Ángel Gómez de Ágreda, autor del libro Mundo Orwell y responsable del área de seguridad y defensa de la plataforma OdiseIA.
Estos usos tienen que ver con los intereses geopolíticos de un Estado. Pero ese tipo de información es aún más valiosa en manos del cibercrimen: “Una vez tienes datos, es una mercancía más. Igual que los chinos pueden comprar a los rusos los planos de un caza, también pueden venderles la información de los estadounidenses”, añade Gómez de Ágreda.