Espías gubernamentales, S.A.

La contienda de la Oficina Federal de Investigaciones (FBI) en la corte, en relación al sistema de seguridad incorporado a los teléfonos móviles Apple iPhone parece haber llegado a su fin. Pero algunos expertos en la comunidad de seguridad en las comunicaciones ya expresan su preocupación, dada la poca predisposición del FBI a la hora de revelar qué  ocurrió exactamente al final de la puja.

De acuerdo a fuentes oficiales -que se refieren al tema tanto en modalidad on como off the record-, el FBI tuvo éxito al momento de quebrar las medidas de seguridad de Apple, con la asistencia de un tercero no identificado. La técnica utilizada no es de uso único y es transferible, en tanto el Bureau ha informado ahora que podrá acceder a datos de un segundo teléfono involucrado en una investigación en el Estado americano de Arkansas, y que incluso considera permitir a fuerzas de policía locales a compartir esa tecnología. Lo cual significa que el FBI y cualquier otra suerte de agencia de seguridad o policial, tanto en los Estados Unidos de América como en el exterior, contará con igual capacidad, comprometiendo potencialmente la seguridad de los iPhones en todo el globo.

El logro tecnológico conduce, inevitablemente, a preguntas en relación a la identidad de la firma (o individuo) que asistió al FBI. Implica que alguien fuera del circuito del gobierno también contaría con la capacidad para desbloquear iPhones, información que, eventualmente, podría terminar en las manos de criminales, o de aquellos cuya meta sea provocar disrupciones o acciones de sabotaje contra sistemas de telecomunicaciones existentes.

No existen sistemas de seguridad inquebrantables, si existe un hacker sofisticado que dedique el tiempo, dinero y recursos suficientes en su objetivo. Si el hacker resulta ser un gobierno con acceso a recursos virtualmente ilimitados, la faena se vuelve más simple, habida cuenta de que un vasto poder computacional daría lugar a millones de intentos desde los cuales comprometer el sistema operativo de un teléfono.

En el caso de referencia, el problema consistió en derrotar a la característica 'Borrar Información' [Erase Data], vinculada a un passcode que había sido implementado en el teléfono-objetivo por Syed Farook, uno de los tiradores en el ataque terroristaa de diciembre en San Bernardino (California). Apple había diseñado el sistema de tal suerte que, tras diez intentos de ingresar el password incorrecto, el móvil se bloquearía -eliminando toda la información almacenada en el dispositivo. Los intentos del FBI se frustraron, al tratar de dar con el passcode por vía de lo que se conoce como 'ataque de fuerza bruta' -esto es, ingresando toda combinación posible de letras y dígitos hasta que se ingresa el pass correcto. El sistema de seguridad de Apple también era capaz de detectar intentos múltiples de tipeado de contraseñas incorrectas y de ralentizar el proceso, lo cual implicaba que, en teoría al menos, a un ordenador le hubiese tomado cinco años y medio intentar todas las combinatorias posibles de seis caracteres alfanuméricos empleando números y letras en minúscula, aún si hubiese podido desactivar la función 'Erase Data'.

La especulación es que, si el FBI y el tercero no identificado pudieron quebrantar la seguridad, salteándose la medida que monitorea el número de tipeos de passwords incorrectos, posiblemente para incluir la generación del chip de almacenamiento NAND del iPhone -con la meta de denegar el límite de diez intentos de ingreso de claves. Los passwords generados por computadora pudieron, entonces, ser reingresados una y otra vez, hasta que la clave correcta fuera descubierta. Y, por cierto, una vez que el método de corromper la característica de seguridad Erase Data fuera determinado, podría ser empleado en cualquier iPhone por cualquier persona con la capacidad informática acorde, precisamente, el peligro sobre el cual Apple alertó en ocasión de negarse a cooperar con el FBI inicialmente.

El grueso de los medios de comunicación en Estados Unidos se ha mostrado renuente a especular sobre la identidad del tercero que asistió al FBI, pero la prensa israelí no ha sido tan reticente. Los medios israelíes identificaron a una compañía llamada Cellebrite, dedicada a la informática forense y situada en Israel. Se ha informado que el vicepresidente ejecutivo del departamento de telefonía móvil, Leeor Ben-Peretz, se apersonó recientemente en Washington para llevar a cabo consultas con sus clientes. Ben-Peretz es el jefe de mercadotecnica de Cellebrite, ciento por ciento capaz de demostrar las posibilidades forenses de su firma. De acuerdo a informes, Cellebrite ha trabajado con el FBI previamente, inicialando un contrato que entró en vigencia en 2013, con el objetivo de brindar servicios de desencriptación.

Cellebrite fue adquirida por el gigante de la telefonía móvil Suncorporation en 2007, pero aún continúa teniendo su casa matriz en Petah Tikva, Israel -y cuenta con una oficina americana en Parsippany, New Jersey, y subsidiarias en Alemania, Singapur y Brasil. Trabaja mancomunadamente con la policía y los servicios de inteligencia israelíes, y se informa que mantiene vínculos con el Mossad y el Shin Bet. Muchos de sus empleados con ex empleados del gobierno de Israel, quienes en su oportunidad se desempeñaron en el rubro de la ciberseguridad y las telecomunicaciones.

Si, en efecto, Cellebrite es el 'tercero no identificado', responsable de la resolución del Problema Apple, debe conducir a especulaciones al respecto de que la elusión de la seguridad en los iPhones ya es parte de la agenda de trabajo de expertos en informática forense. De ahí en adelante, las posibilidades -invariablemente, se multiplican.

La mayoría de los países obtienen gran parte de su inteligencia de alto valor agregado, de la intercepción de comunicaciones. Países tales como Israel, China y Francia conducen mucho de su espionaje de alta tecnología a través de la explotación de su presencia corporativa en los Estados Unidos de América. Israel, en particular, está harto comprometido en la industria de las telecomunicaciones, lo cual le garantiza acceso directo al intercambio confidencial de información.

Israel tiene, de hecho, una sombría reputación en Estados Unidos, cuando se trata de espionaje en telecomunicaciones. Dos firmas en particular -Amdocs y Comverse Infosys- han llegado a dominar sus nichos de mercado en Norteamérica. Amdocs, que exhibe contactos con muchas de las grandes compañías telefónicas en EE.UU. que, en conjunto, administran el 90% de los llamados realizados; llamados y logs van y vienen dentro del sistema. No retienen el contenido de las conversaciones, pero los registros proporcionan patrones -lo cual se califica como 'análisis de tráfico'-, y ello puede conducir a pistas de inteligencia. En 1999, la Agencia de Seguridad Nacional (NSA), advirtió que los registros de los llamados hechos en los Estados Unidos terminaban en el Estado de Israel.

Comverse Infosys, disuelta en 2013, luego de imputársele cargos de conspiración, fraude, lavado de dinero y presentaciones judiciales apócrifas- proporcionó equipo de espionaje a agencias de policía a lo largo de Estados Unidos. Dado que el equipo utilizado para espiar sobre líneas telefónicas para fuerzas de policía se halla integrado a las redes en las cuales las compañías telefónicas operan, no puede detectarse. Los llamados telefónicos fueron interceptados, grabados, almacenados y transmitidos a investigadores por parte de Comverse, la cual adujo que este recurso debía ser manipulado in situ con el equipo tecnológico, para mantener el sistema. Numerosos expertos estiman que es relativamente fácil crear un switch de cruzamiento interno que permita que las grabaciones sean enviadas a un tercero, desconocido para los receptores en las fuerzas policiales. También se creyó que Comverse estaba involucrada junto a la NSA en un programa de espionaje ilegal contra ciudadanos estadounidenses.

El equipo técnico de Comverse jamás fue inspeccionado por expertos del FBI ni de la NSA, a los efectos de determinar si acaso la información que recolectaba pudo ser filtrada a terceros -la inspección no tuvo lugar porque administradores senior en el gobierno federal bloquearon tal requerimiento. De acuerdo a una investigación de Fox News, que luego fuera eliminada del sitio web de Fox -bajo presión ejercida por grupos pro-Israel-, fuentes de antinarcóticos (DEA) y el FBI dijeron después del 9-11 que el solo hecho de sugerir que el Estado de Israel pudiera estar espiando por intermedio de Comverse era considerado como 'un suicidio para la propia carrera'.

Alguien podría argumentar que la recolección de información de inteligencia es una función de un gobierno y que el espionaje, aún entre amigos, siempre tendrá lugar. En lo que tiene que ver con los teléfonos móviles, los avances técnicos en la seguridad en telecomunicaciones proporcionará la bala de plata durante un tiempo, pero los hackers -y los gobiernos- igualmente lograrán ponerse al día. Uno podría asumir que las recientes revelaciones sobre las capacidades del FBI vis-à-vis iPhone indican que el caballo ya está listo para salir de la gatera. Si el Estado de Israel fue parte en la ruptura de la seguridad y cuenta hoy con la tecnología, pues la utilizará. Si el FBI la tiene, la compartirá con otras agencias del gobierno federal y, aún con servicios de seguridad y de inteligencia extranjeros.

La ausencia de discusiones sobre el tema Apple remite al más de un 80% de smartphones empleados en todo el mundo, que cuentan con sistema operativo Android -diseñado por Google, y que tiene sus propios sistemas de seguridad para evitar intrusiones antigobierno. Claramente, el FBI se muestra motivado por su presunción de que la totalidad de los teléfonos inteligentes deberían ser accesibles para las fuerzas de seguridad. El próximo gran caso judicial en materia de telecomunicaciones podría, perfectamente, tener a Google por objetivo.


Artículo original en inglés, en http://www.theamericanconservative.com/articles/government-hacking-inc/