Así fue el gran ataque

Las alarmas se encendieron en la sede de Google en Mountain View, California, a principios de este mes. Los ingenieros encargados de la seguridad de las redes de la empresa habían encontrado un virus troyano. Otro. Éste, sin embargo, era distinto de los demás. Se había alojado en los servidores durante días, trabajando silenciosa e incansablemente. Los espías habían tenido acceso a información muy valiosa de la compañía y a información relativa a cuentas de diversos usuarios de Gmail, el servicio de correo de Google.

El troyano, bautizado como Hydraq, había penetrado en los servidores de Google de una forma ya casi rutinaria: un enlace adjunto a un correo electrónico. Este correo lo había recibido sólo un puñado de empleados, pero se trataba de un grupo muy selecto que tenía acceso a redes valiosísimas para la empresa. Los hackers sabían perfectamente a quién estaban atacando y qué puertas querían forzar para entrar en Google y robar información en secreto.

Sólo Google se ha revirado contra Pekín. Otras firmas atacadas quieren seguir haciendo negocios en China

Los espías habían enviado correos verosímiles, con asuntos y textos similares a los que hubieran recibido esos empleados en un día normal de trabajo, según han comprobado posteriormente empresas de seguridad online como Symantec o McAfee. Luego, a través de un fallo en el Internet Explorer de Microsoft, los hackers habían causado una profunda brecha en Google. Cuando un troyano de este tipo se instala en un ordenador o un servidor, puede tomar control de él; puede encender y apagar programas; crear privilegios; permitir accesos, y, sobre todo, puede enviar información a sus dueños, a miles de kilómetros, a su antojo.

Para los ingenieros de Google, lo primero era saber adónde había enviado Hydraq aquella información. Los ingenieros determinaron que se comunicaban con unos servidores de comando y control que la empresa rastreó inmediatamente, seis direcciones con nombres como 'yahooo.8866.org' o 'ftp2.homeunix.com'. Todas ellas estaban localizadas en Taiwan. La gran mayoría, cinco, eran propiedad de la empresa local Era Digital Media.

Lo que Google descubrió en aquellos servidores era inquietante. El ataque no lo había sufrido sólo la empresa del buscador más célebre del mundo. Había otras 33 compañías atacadas. Muchas de ellas vitales para la seguridad de EE UU, como el fabricante químico Dow Chemical o la productora de los cazas B-2 Spirit, Northrop Grumman, subcontratista del Pentágono.

A petición de Washington, el Gobierno taiwanés investigó el asunto y llegó a la conclusión de que esas mismas direcciones eran sólo una ruta de ataque. Los hackers las habían ocupado y usado para canalizar la invasión. "Esas direcciones IP, y los servidores desde los que emanó el ataque y se soltaron aquellos correos electrónicos, todas, han sido usadas en el pasado, bien por hackers asociados al Gobierno chino o bien por agencias que dependen directamente de él", explica un investigador que trabaja para una empresa de seguridad que presta servicios para otras firmas atacadas y prefiere mantenerse en el anonimato. "Esto da una idea de que el ataque venía del Gobierno o de gente asociada al Gobierno chino".

Google informó a las demás empresas y al Gobierno de Washington, alertado por lo que podría ser el mayor caso de espionaje industrial y estratégico de la historia. En el Departamento de Estado cundió cierto nerviosismo, suficiente como para que su titular, Hillary Clinton, emitiera un comunicado y anunciara, días después, el envío de una nota de protesta diplomática a Pekín. En el Pentágono, sin embargo, pocos se extrañaron: sus agencias de inteligencia ya habían descubierto, en abril del año pasado, una serie de ataques similares, que habían dejado un rastro de troyanos y códigos maliciosos en la red eléctrica de EE UU, procedentes de Rusia y China, principalmente.

Aquel ataque se descubrió semanas, incluso meses después de que los espías se hubieran infiltrado en las redes. El daño ya estaba hecho. Si hubieran querido, los espías podrían haber desconectado la electricidad de regiones enteras de EE UU, por ejemplo. La Secretaria de Seguridad Nacional, Janet Napolitano, dijo que se sabía de ese tipo de infiltraciones "desde tiempo atrás", pero recomendaba a la nación "estar alerta". China, a través de su ministerio de asuntos exteriores, aseguró que no se había infiltrado en ninguna red pública norteamericana.

Desde los años de la guerra fría y de las sofisticadas operaciones de espionaje llevadas a cabo por agentes secretos, los procedimientos pueden haber cambiado drásticamente. "Así se podría estar haciendo el espionaje del futuro", explica Rob Knake, analista de ciberseguridad en el Consejo de Relaciones Internacionales de Washington.

"El Gobierno chino dispone de todas las capacidades necesarias para armar una operación a esta escala, de eso no hay duda, aunque todo sean, de momento, suposiciones. Y dispone de los recursos humanos y la disciplina necesaria para ejecutarlo, algo que no podría hacer una organización privada. Esto demuestra cómo se puede estar efectuando el espionaje entre naciones. Se trata de operaciones realizadas a través de la Red, con muy poco coste para quienes las hacen y, si salen bien, beneficios elevadísimos".

En el delicado orden mundial cibernético, China supera a EE UU: su comunidad de internautas alcanza los 380 millones de personas, frente a algo más de 220 millones de EE UU, según la consultora Nielsen Online. Además, "existe en China una población abundante de jóvenes que están muy entregados a la causa del Gobierno", explica Cheng Li, director del Comité Nacional de Relaciones entre China y EE UU y analista del centro de investigación Brookings de Washington. "No podemos decir que sean mayoría. Pero existen, y son jóvenes con elevados conocimientos informáticos y con sentimientos indudablemente nacionalistas. Para algunos de ellos, una operación así sería un triunfo, una medalla".

Ahí está el gran debate: si la operación era algo que acometieron unos hackers vagamente asociados al Gobierno, a modo de atentado en red inspirado por el fervor patrio, o si la mano del Gobierno de Pekín se encontraba, efectivamente, detrás de la operación. La reacción de la diplomacia norteamericana parece indicar lo segundo, pues Washington ha llegado a anunciar el envío de una protesta diplomática a Pekín.

En un discurso en Washington, el pasado jueves, Hillary Clinton dejó claro que EE UU no tolerará otro ataque de esas características, con duras advertencias: "En cuanto al terrorismo de determinados Estados y sus asociados, éstos deben saber que EE UU protegerá sus redes, y aquellos que interrumpan el libre flujo de información a nuestra sociedad o a cualquier otra son considerados un riesgo para la economía, para el Gobierno y para la sociedad civil".

El tipo de información que los espías recabaron parece confirmar que tras su ataque había algo más que un simple robo de datos comerciales. El propio vicepresidente ejecutivo y jefe de la oficina legal de Google, David Drummond, llamó a la activista tibetana Tenzin Seldon, estudiante en la Universidad de Stanford, para notificarle que su cuenta de Gmail había sido infiltrada. Se llevaron su portátil. Buscaron troyanos, alguna brecha del exterior. No encontraron nada. Los espías habían accedido a su correo a través de información almacenada en los servidores de Google.

Según un informe elaborado el año pasado por Northrop Grumman para la Comisión Gubernamental de Asesoramiento en Economía y Seguridad EE UU-China, ése es el tipo de información que busca el Gobierno de Pekín: "Las categorías de información robada no tienen valor monetario alguno, como números de tarjetas de crédito o información de cuentas bancarias, que son el objeto de organizaciones cibercriminales. Información técnica de ingeniería de defensa, información relativa a los ejércitos o documentos de análisis político de los gobiernos no son material fácilmente vendible por los cibercriminales, a no ser que haya un comprador que sea un Estado-nación".

Al intuir que había una motivación política tras el ataque, la dirección de Google organizó un acto conjunto de desafío al Gobierno chino. Pidió a las otras empresas que dieran a entender que habían tenido bastante, que exigieran nuevas reglas del juego. Pero las negociaciones no tuvieron éxito alguno. Las otras empresas -no sólo Dow Chemical o Northrop Grumman, sino también la empresa de seguridad online Symantec, Yahoo! o Adobe- prefirieron seguir haciendo negocios en China como siempre, sin enervar al Gobierno.

La naturaleza misma de las empresas afectadas explica por qué Google reaccionó de ese modo y las demás no. Según Ed Stroz, un ex agente del FBI que ahora codirige la prestigiosa empresa de seguridad digital Stroz Friedberg: "Esas empresas tienen una seguridad fortísima. Estamos hablando, en algunas instancias, de empresas de seguridad que trabajan o han trabajado para el Pentágono. No tienen sólo una red. Normalmente, esas empresas cuentan con diversas redes que no están conectadas entre ellas, para salvaguardar información".

Las empresas dejan vacíos entre sus redes para evitar robo de información. "Dudo de que los hackers llegaran al corazón mismo de la información de muchas de esas compañías. Pero el caso es distinto si la empresa afectada se dedica a proveer de servicios a los usuarios. Una empresa centrada en las búsquedas o el correo, como Google, debe tener más información en sus servidores generales. Para ellas, la interconexión y la inmediatez son vitales. Así es como se llegó a recabar datos sobre las cuentas de correo de activistas, y de ahí la reacción de Google", añade Stroz.

Una de los temores de Google es que los hackers hubieran contado con ayuda interna. Al saber del ataque, la empresa comenzó a investigar a sus empleados en China. ¿Topos, quizá? "Mi impresión es que las empresas que ubican su investigación y desarrollo en China y emplean a ciudadanos chinos para trabajar en su software han mejorado, probablemente, la capacidad de infiltración informática de los servicios de inteligencia y seguridad chinos", explica Larry Wortzel, uno de los más reputados expertos en relaciones chino-americanas y miembro de la comisión gubernamental de Asesoramiento en Economía y Seguridad EE UU-China.

Ésos son, al fin y al cabo, los riesgos asociados a entrar en el mayor mercado de Internet del mundo. Las empresas occidentales que buscan un beneficio saben a qué se someten: un mercado opaco, duras normas de censura y la posibilidad de filtraciones y ataques. Para Google es un precio demasiado alto. Otros, como Microsoft o Yahoo!, han decidido seguir jugando.