Memex: buscador en la Deep WebHace un ao,DARPA (Defense Advance Research Projects Agency) anunci MEMEX, un proyecto para crear un nuevo motor de bsqueda que pueda encontrar cosas en la Deep web que no esten indexadas por ningn otro buscadores comercial.

El proyecto, denominadoMemex Deep Web Search Engine, est en camino, y por primera vez el domingo por la noche el "motor de bsqueda de lucha contra el crimen" en etr accin. La Agencia del Pentgonodio una vista previa sobre el software al programa 60 Minutos.

Memex fue diseado para superar los desafos anteriores de bsqueda mediante"la ampliacin del alcance de las capacidades de bsqueda para organizar subconjuntos de informacin basada en intereses individuales".

El inventor de Memex,Chris White, explic cmo funciona este nuevo motor de bsqueda y cmo podra revolucionar las investigaciones de la ley."El internet es mucho ms grande de lo que la gente piensa: segn algunas estimaciones Google, Microsoft Bing y Yahoo! slo dan acceso a alrededor del 5% del contenido en la Web. Eso deja mucho espacio para malos actores que operan libremente en las sombras".

Memex est siendo probado en estado Beta por las oficinas de distrito, una agencia del orden pblico y una organizacin no gubernamental. El siguiente nivel de la prueba se har por un amplio grupo debeta-testersen unas semanas.

Uno de los principales objetivos de esta ronda es poner a prueba nuevas capacidades de bsqueda de imagenes, que puedan analizarse fotos incluso cuando existan solo porciones o estn ofuscadas. Otro objetivo es probar las interfaces de usuario y experimentar con arquitecturas que evalan datos sensibles.

Deteccin de botnet: anlisis de SPAM10/02/2015, porDavid Cantn (INCIBE)

Una de las funcionalidades clsicas de las botnet ha sido el envo de spam, por lo que es lgico usar las metodologas de anlisis de spam a las tcnicas de deteccin de botnets. Mediante estas tcnicas, en vez de observar y analizar todo el trfico de red, como se hace en latcnica de anlisis de paqueteso enel anlisis de flujos de red, solo se debe analizar comunicaciones relativas al envo de correos electrnicos, reducindose la cantidad de informacin a analizar.

-Tcnicas de Deteccin de Botnets-Botnets y el SPAMEl envi de spam por parte de las botnets, utilizando los ordenadores comprometidos como nodos relay SMTP, tiene dos objetivos principales: Expansin, utilizan el envo masivo de correo para aumentar el nmero de bots. Las direcciones de correos usadas pueden ser facilitadas por el C&C, generadas aleatoriamente u obtenidas de las listas de correos de los ordenadores comprometidos. Los mtodos de infeccin suelen ser el envo de correos con archivos adjuntos maliciosos o mensajes que incluyen direcciones a sitios maliciosos que aprovecharan vulnerabilidades de los usuarios para infectarlos. Ejemplos de este tipo de botnets sonBamital,BankpatchoGamut.

-Fuente:Botnet detection techniques: review, future trends and issues- Monetizacin, envo masivo de correos con el objetivo de vender diversos tipos de productos se ha convertido en un gran negocio para los creadores de botnets. Hay estimaciones ya del ao 2008 donde las farmacuticas online ganaron 12.000 millones de dlares, ms del triple que el ao anterior. Gracias a este tipo de negocio, los dueos de las botnets pueden alquilar los servicios de envo de correo o participar directamente en los programas de afiliacin. Aunque latasa de conversin de un correo de spames relativamente baja, la colosal cantidad de correos que son enviados diariamente hacen que se haya convertido en un negocio muy rentable.

Ciclo econmico de Spam Farmacutico FUENTE:damballa

-El porcentaje de spam en el trfico de correo electrnico, 2013 (Fuente:securelist.com) -Tcnicas de deteccinMotivado por esta casustica, se han desarrollado metodologas y funcionalidades a los sistemas de seguridad con el fin de dotarles de las capacidades necesarias para identificar si un entorno est comprometido por un malware perteneciente a una botnet que enva spam y a la vez reducir la cantidad de datos a analizar al centrarse.Una caracterstica de las campaas de spam realizadas por las botnets es que los mensajes suelen seguir un patrn o incluso ser idnticos. Debido a estas semejanzas, el anlisis estadstico de los diferentes datos del correo, tanto de la cabecera como del propio mensaje, en una comunicacin SMTP puede ser un indicador para determinar una determinada red est infectada.Como se indica en elinforme de ENISA, el uso de herramientas como losspamtrapshace que la deteccin de correos de spam sea ms efectiva. Los spamtraps son buzones de correo electrnico cuyo nico propsito es la recepcin de correo no solicitado. Para que sean efectivos estos correos deben ser publicitados y registrados en mltiples sitios como foros, listas de noticias,. Los spamtraps son una especie dehoneypotspero que si deben de ser publicitados, al contrario de lo que pasa con los honeypots.Algunos de los estudios o propuestas que se basan en el anlisis de spam para la deteccin y/o caracterizacin de botnets son: BotGraph: Large Scale Spamming Botnet Detection,se describe un nuevo sistema de deteccin de botnets, BotGraph, que tienen como objetivo realizar ataques dirigidos contra los principales proveedores de correo electrnico Web. BotGraph detecta actividad sospechosa a partir del clculo de las correlaciones entre las actividades de botnets mediante la construccin de grandes grafos usuario-usuario y buscando sub-grafos fuertemente conectados. Segn sus pruebas, esta tcnica permite identificar a los usuarios de redes de bots furtivos que son difciles de detectar cuando son analizados de forma aislada. Detection of Spam Hosts and Spam Bots Using Network Flow Traffic Modeling, presenta una aproximacin para la deteccin de anfitriones de spam, spam bots y sus correspondientes C&C basndose en el anlisis flujos de datos redes y en metadatos de DNS. Su propuesta consiste en establecer en primer lugar los modelos de trafico SMTP legtimos frente a clientes SMTP que acten como spammer, para posteriormente clasificar clientes SMTP desconocidos en base a los distancia con los dos modelos de trfico. En una primera fase se identificara los host que realizan el spam en base a la entropa, para despus analzalos con el objetivo de determinar su centro de mando y control. Spamcraft: An Inside Look At Spam Campaign Orchestration, realiza un anlisis de la botnet Storm, describiendo su "modus operandi": recogida de direcciones de correo electrnico de las vctimas, plantillas de correo y las modificaciones que realiza, as como las tasas de xito en diferentes tipos de campaas.Podemos resumir que la deteccin de botnet mediante el anlisis del spam en una red es una tcnica til aunque limitada, ya que no todas las botnets envan spam como actividad principal. Pero la utilidad de su anlisis radica en que actualmente el envo de spam es una forma de rentabilizar este tipo de amenazas, y por lo tanto es previsible que sus creadores lo sigan utilizando ampliamente en el futuro. Por lo tanto y como se ha visto anteriormente, esta tcnica de deteccin de botnets es un mtodo a tener en cuenta pero debe ser complementada por otros mtodos de deteccin.

Deteccin de botnets mediante anlisis de paquetes08/10/2014, porDavid Cantn (INCIBE)

El gran problema que suponen las botnets a da de hoy, tanto para el anlisis de sistemas infectados como a las vctimas de sus acciones (ataques de denegacin de servicio, spam,...) justifican el esfuerzo que se est realizando para desarrollar e implementar tcnicas para su deteccin y prevencin por parte de empresas de seguridad informtica, universidades,CERTs, polica, etc.Sin embargo, la lucha contra las Botnets no es un problema de fcil solucin ya que representa un desafo en constante evolucin, en el que los cibercriminales no paran de evolucionar creando nuevas tcnicas para evadir los sistemas actuales de deteccin, y mantener estas redes de ordenadores zombies durante el mayor tiempo posible y con la mxima rentabilidad. El uso de tcnicas comoFast Flux, la generacin dinmica de dominios (DGA), la ofuscacin de las comunicaciones, el uso de comunicaciones P2P o la utilizacin de la red Tor, y la implementacin de medidas antireversing entre otras, intentan evitar o entorpecer la deteccin de este tipo de malware

Servicio Antibotnet de laOficina de Seguridad del InternautaAunque existen varias clasificaciones sobre tcnicas de deteccin de botnet, para hacer frente a las tcnicas anteriormente descritas, en este texto tomaremos como base la realizada por laENISAen el informe "Botnets: Detection, Measurement, Disinfection & Defence" El informe divide las tcnicas pasivas, y tcnicas activas.

Principales tcnicas de deteccin de BotnetsTcnicas PasivasEste tipo de tcnicas agrupan todo sistema o procedimiento de deteccin de botnets que se basan en la simple observacin, sin interferir o modificar ninguno de los elementos implicados, es decir, mtodos basados en el anlisis de comportamiento y en firmas. Aunque estas tcnicas tienen restricciones respecto a la informacin que pueden obtener, tambin son ms difciles de detectar por los Bot Masters. Veamos las principales caractersticas y funcionamiento de la primera de las tcnicas pasivas de deteccin de botnets:Inspeccion de Paquetes (Packet Inspection)Esta tcnica consiste en inspeccionar los paquetes del trfico de red en busca de patrones o caractersticas previamente definidas para para detectar posibles amenazas. Ejemplos de uso de esta tcnica es comprobar las IP destino de los paquetes contra lista negras de IP clasificadas como C&C (centros de control) de botnets, monitorizar conexiones a puertos diferentes de los habituales o la bsqueda de cadenas de caracteres especiales que puedan identificar una amenaza.En funcin del tipo de anlisis de paquetes podramos distinguir entre inspeccin superficial de paquetes (Stateful Packet Inspectiono SPI) e inspeccin a fondo de los paquetes (Deep Packet Inspectiono DPI). El anlisis SPI se centra exclusivamente en el los datos de cabecera (IPs, puertos, protocolos,) pero no entra a analizar el contenido del paquete. Este tipo de anlisis SPI es el que realizan los normalmente los firewalls.Por otro lado, en un anlisis DPI, adems de tenerse en cuenta los datos de cabecera de los paquetes, el sistema analiza el contenido o parte til del paquete. Este tipo de anlisis es el ms interesante desde el punto de vista de deteccin de botnets, ya que utiliza una combinacin de tcnicas de anlisis basadas en firmas, anlisis estadsticos y anlisis de anomalas para detectar posibles amenazas en la red monitorizada. Con una parametrizacin adecuada, estos sistemas pueden detectar tanto amenazas conocidas e identificadas como amenazas nuevas al detectar patrones o trfico anmalo.Los tipos de sistemas o aplicaciones existentes enfocados en realizar anlisis DPI pueden ser clasificados en IDS (Intrusion Detection Systems) e IPS (Intrusion Prevention Systems).Los IDS son sistemas pasivos que solo generan alertas, mientras que los IPS toman medidas activas como cortar las conexiones sospechosas.Un ejemplo de este tipo de software IDS/IPS sonSNORT, desarrollado porSourceFirey que es el estndar de facto;Suricata, desarrollado por laOpen Information Security Foundation(OISF); yBro, desarrollado actualmente por elInternational Computer Science Institutey elNational Center for Supercomputing Applications. Los tres sistemas son IDS/IPS de cdigo libre y tienen como misin analizar el trfico de red en base a un amplio conjunto de reglas para detectar amenazas y minimizarlas en funcin de las medidas configuradasLogotipos de los IDS SNORT, SURICATA y BROEstos IDS se pueden configurar para detectar unos eventos u otros utilizando reglas. Por ejemplo, a continuacin se muestra una regla de SNORT para detectar conexiones establecidas por la botnet Zeus:alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"MALWARE-OTHER Win.Trojan.Zeus Spam 2013 dated zip/exe HTTP Response - potential malware download"; flow:to_client,established; content:"-2013.zip|0D 0A|"; fast_pattern:only; content:"-2013.zip|0D 0A|"; http_header; content:"-"; within:1; distance:-14; http_header; file_data; content:"-2013.exe"; content:"-"; within:1; distance:-14; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http; reference:url,www.virustotal.com/en/file/2eff3ee6ac7f5bf85e4ebcbe51974d0708cef666581ef1385c628233614b22c0/analysis/; classtype:trojan-activity; sid:26470; rev:1;)Ejemplo de regla de SNORT para deteccin botnet ZeusAunque esta tcnica de deteccin es til tiene de varios problemas: Falta de escalabilidad, en redes con gran trfico la cantidad de informacin puede crear un cuello de botella si las reglas del sistema no estn definidas con cuidado. Alta tasa de falsos positivos. Dificultades con el anlisis de paquetes si las comunicaciones estn cifradas, ya que no se podran descifrar el contenido de los paquetes a analizar. Legalmente pueden existir problemas al analizar se la informacin enviada en los paquetes.A favor el anlisis de paquetes tendra las siguientes ventajas: Tiempo de reaccin bajo, "simplemente" actualizando las reglas se puede proteger al sistema frente a nuevas amenazas. Flexibilidad, el sistema es capaz de detectar amenazas no definidas si descubre comportamiento anmalos. Permite analizar ataques a posterior, si se registra el trfico de la red

Deteccin de botnets mediante anlisis de flujo

En la deteccin de botnets,otra tcnica usadaes el anlisis de los registros de flujo de red. Esta tcnica se basa en analizar el trfico desde un punto de vista ms abstracto, sin entrar a analizar los datos propiamente dichos. Bsicamente, la idea es caracterizar las comunicaciones a partir de datos como direcciones IP de origen y destino, puertos de comunicacin, volumen de trfico transmitido o duracin de las sesiones. Con todos estos datos, el sistema de anlisis de flujo de red puede detectar comportamientos estadsticamente anmalos o patrones de comportamiento mediante los cuales se detecten botnets u otro tipo de amenazas.

- Modelo de datos de NetFlow 5 (fuente:CISCOSystem) -Esta tcnica, al no analizar la carga til de los paquetes ("payload"), reduce la cantidad de datos que se deben de almacenar y examinar. Gracias a este hecho, se evitan problemas que tienen otras tcnicas como por ejemplo: Problemas de legalidad, al no inspeccionar los datos privados no se entra en conflicto con determinadas leyes sobre la privacidad de las comunicaciones. Problemas de escalamiento, el tratamiento en tiempo real de los grandes volmenes de datos, que se generan en redes tamao mediano o grande, suele ser un problema de gran complejidad y que necesita una gran cantidad de recursos. Al reducirse la cantidad de datos a manejar se atena en gran medida este problema.Sin embargo, este tipo de anlisis adolece de tener acceso directo a las evidencias de un comportamiento malicioso, puesto que no analiza los datos propiamente dichos. Esta tcnica est limitada al anlisis de los metadatos de las comunicaciones, pero que suele ser bastante eficiente a la hora de identificar amenazas en una red.NetFlowEl protocolo de red que se ha convertido en estndar de facto para el anlisis de flujos de red esNetFlow. NetFlow es un protocolo abierto (RFC 3954) diseado porCISCO Systemy adoptado posteriormente por otros fabricantes como Juniper, Huawei o 3Com/HP. Este protocolo permite la recoleccin de informacin sobre el trfico IP de una red para su posterior anlisis. Los routers y switches que soportan este protocolo, adems de distribuir el trfico por la red, se encargan de enviar los metadatos de dicho trfico (IPs, puertos,) a un servidor especializado de recoleccin. En este servidor se realizan los anlisis correspondientes con el fin de identificar patrones de trfico anmalos, comunicaciones con puertos en teora filtrados, conexiones a IPs maliciosas, exceso de determinado tipo de trfico, sesiones demasiado largas o demasiado cortas, que pueden indicar que la red o alguno de sus integrantes han sido comprometidos.

- Ejemplo de arquitectura NetFlow (fuente:Cisco) -El anlisis de flujo de red puede detectar tanto amenazas desconocidas, al detectar comportamientos anmalos como por ejemplo una botnet no identificada, como amenazas previamente identificadas, como son IPs conocidas de los centros de C&C de una botnet.Otra ventaja de esta tcnica de anlisis es la posibilidad de almacenar los reducidos metadatos de las comunicaciones, gracias a lo cual se pueden realizar anlisis retrospectivos de amenazas o de ataques con el objeto estudiar la respuesta del sistema y mejorar las contramedidas existentes. Por el contrario, esta tcnica genera una sobrecarga de trfico considerable, ya que los dispositivos de enrutamiento envan los metadatos de las comunicaciones al servidor encargado de almacenar y procesar esta informacin.A continuacin veremos algunas publicaciones y estudios que desarrollan esta tcnica para la deteccin de botnets: EnUsing machine learning techniques to identify botnet traffic(Livadas C., Walsh, R., Lapsley, D., Strayer, T), se explic, ya en el ao 2006, cmo utilizar mtodos de aprendizaje automtico para la deteccin del trfico de botnet IRC. El sistema propuesto analiza el trfico de una red estadsticamente, segregando en una primera fase el trafico IRC del no IRC, para en una segunda fase ver qu trfico IRC corresponde a alguna botnet, para lo cual entre otros datos analiza el nmero de bytes por paquete y su varianza en el tiempo. DISCLOSURE: Detecting Botnet Command and Control. Servers Through Large-Scale NetFlow Analysis(Bilge, Leyla; Balzarotti, Davide; Robertson, William; Kirda, Engin; Kruegel, Christopher), en el cual proponen un sistema para la deteccin de los servidores C&C de las botnets mediante el anlisis de los registros de NetFlow; este anlisis se realiza en base al tamao de los flujos, los patrones de acceso de los clientes y del comportamiento temporal.

- Arquitectura de DISCLOSURE - Una aplicacin real es elCisco Cyber Threat Defense Solution. Este sistema utiliza el anlisis de los datos obtenidos mediante NetFlow para identificar posibles patrones sospechosos de trfico de red. Adems del anlisis de patrones, este sistema incorpora otros mtodos para la deteccin de amenazas: Blacklist, deteccin de botnets mediante el uso de lista negras. El sistema comprueba las conexiones de la red contra mltiples fuentes de informacin que registran direcciones IP de posibles amenazas, como por ejemplo comohttps://zeustracker.abuse.ch/. Monitorizacin de conexiones unidireccionales peridicas de muy corta duracin hacia el exterior de la red monitorizada. Este tipo de conexiones podran ser un indicio de conexiones maliciosas. Backtracking, cuando se descubre un nuevo servidor de C&C se comprueba la existencia de comunicaciones antiguas contra este servidor en base al histrico que almacena.Por supuesto, esta tcnica de deteccin es fcilmente evadible si es la nica medida que se aplica para detectar botnets. Existen tcnicas, comoAlgoritmo de generacin de dominios (DGA)o covert channel, son utilizadas para evitar su deteccin, intentando que las conexiones realizadas por tipo de amenazas pasen desapercibidas. Por lo tanto, aunque til esta tcnica no puede ser la nica a usar en un sistema y deber ser complementada con otras comoanlisis de paquetes, anlisis de log, anlisis de DNS,

La resiliencia de las botnets: "redes duras de pelar"21/10/2014, porAsier Martnez (INCIBE)

De manera general, y ms en el caso del malware relacionado con las botnets, buscan pasar desapercibidos con el fin de ser persistentes y as obtener el mayor beneficio posible: por ejemplo, a travs de la exfiltracin de informacin relevante, el envo masivo de spam, o de la subcontratacin de la botnet para llevar a cabo ataques de denegacin de servicio.A lo largo de todo este tiempo, las botnets han ido incluyendo una serie de medidas y protecciones para aumentar su nivel de resiliencia, es decir, han ido implementando mecanismos para mantenerse funcionales el mayor tiempo posible. Es importante conocer este tipo de mecanismos para poder hacerse una idea aproximada del nivel de sofisticacin y de la amenaza que suponen: Conoce a tu enemigo y concete a ti mismo; en cien batallas, nunca saldrs derrotado. (El arte de la guerra - Sun Tzu).Algoritmo de generacin de dominios (DGA)En lugar de tener en el cdigo del malware los dominios con los que se comunican los nodos, muchas botnets incorporan un sistema DGA, mediante el cual se generan peridicamente gran cantidad de dominios en base a ciertos criterios, llegando incluso a ms de 1.000 dominios diarios.De este modo, el malware comprueba si esos dominios estn accesibles, y en el caso de que lo estn, se conecta a ellos con el fin de recibir actualizaciones o instrucciones. El bot master, al haber creado el algoritmo, es capaz de predecir los dominios que se generarn, por lo que se anticipa y registra aleatoriamente algunos de ellos, los activa, realiza la comunicacin con los nodos y finalmente los desactiva.Este mecanismo dificulta el trabajo de los analistas de malware y de las empresas de seguridad, ya que se debe realizar ingeniera inversa con el fin de comprender el funcionamiento de dicho algoritmo y as evitar que el malware se conecte con el servidor C&C, o adelantarse al bot master y registrar algn dominio para poder establecer la comunicacin con los nodos.

De manera habitual, utilizan el timestamp como base para generar los dominios, pero en ocasiones son ms originales, como es el caso de labotnet Torpig, que utiliza los trending topics de Twitter como base para la generacin de dominios.Adems, con el fin de ocultar este trfico fraudulento, realizan peticiones a sitios legtimos.PolimorfismoUna gran parte de las detecciones que realizan los antivirus y suites de seguridad se hacen mediante deteccin por hashes, es decir, se crean detecciones nicas para cada uno de los ficheros catalogados como malware.Con el fin de evadir este tipo de detecciones, los creadores de malware crean malware polimrfico, es decir, varan ligeramente el cdigo con el fin de que cambie el hash del fichero y as invalidar su deteccin. Algunos de los mtodos ms habituales consisten en insertar cdigo basura, reorganizar el cdigo ya existente o la utilizacin de diferentes packers.Anti-CrawlingCrawlear una botnet consiste en identificar todos los nodos pertenecientes a la misma. De este modo, se puede obtener una idea aproximada de su propagacin y alcance, permitiendo notificar a los usuarios afectados que sus equipos estn comprometidos, y los pasos que deben seguir para desinfectarse.Con el fin de prevenir esto, en muchos casos los nodos de las botnets se envan nicamente listas parciales del resto de nodos de la botnet, es decir, envan nicamente el listado de nodos que conocen (peerlist), e incluso lo hacen de manera fragmentada. Adems, algunas, como es el caso de Zeus, implementan mecanismos mediante los cuales bloquean los nodos que solicitan frecuentemente peerlist. De este modo, se consigue que crawlear la botnet resulte muy costoso.Anti-SinkholeA grandes rasgos, Sinkhole es el trmino que describe el proceso de tomar el control de una botnet infiltrndose en la misma. Esta toma de poder se realiza provocando que los nodos se conecten para recibir instrucciones a uno que est bajo nuestro control. De este modo, es posible enviar peerlist manipuladas o instrucciones para desmantelar la red.Con el fin de prevenir esta tcnica, las botnets incorporan esquemas de reputacin para determinar qu nodos dentro de la botnet son confiables y cules no, y bloquean los nodos que identifican que han sido sinkholeados.As mismo, utilizan sistemas de backup de los servidores C&C.Comprobacin del entornoAlgunas botnets analizan diferentes aspectos del entorno en el que se ejecutan, con el fin de determinar si lo estn haciendo en sandboxes o entornos de anlisis de malware. En el caso de identificar estos entornos, su comportamiento es distinto con el fin de parecer goodware.Incluso, en ocasiones, generan blacklists con las IPs de las sandboxes y entornos de anlisis de malware con el fin de que otros malware utilicen ese conocimiento para evitar ser detectados.Compartimentacin de las funcionesDe manera habitual, las botnets estn formadas por gran cantidad de malware y con diferentes funcionalidades. Existen los droppers o downloaders encargados de introducir el payload en el sistema, que es el que contiene realmente la funcionalidad. De este modo, puede ocurrir que se detecten los droppers y downloaders, y no el payload, o al revs.Fast FluxComo se indicaba en el post Uso y abuso de DNS,Fast Fluxes una tcnica que consiste en la asignacin de mltiples direcciones IPs a un determinado dominio. De este modo, cada vez que se realiza una consulta DNS sobre ese dominio, se resuelve una direccin IP distinta. Las redes Fast Flux estn formadas por nodos comprometidos de la propia botnet, y actan como proxy entre los clientes y los servidores donde se almacena el contenido. Esta tcnica permite ocultar la ubicacin real del servidor desde el que se controla la botnet.

Descentralizacin de la estructura de una botnetLa utilizacin de botnets con estructura descentralizada, como es el caso de las P2P, dificulta significativamente su desmantelamiento.

En algunos casos, utilizan mltiples servidores C&C con distintas versiones del malware.As mismo, la utilizacin de servicios alojados en la red Tor, permite enmascarar la localizacin real de los servidores C&C.ComunicacinLas botnets se comunican de diferentes maneras: A travs de redes sociales:Facebook,Twittero LinkedIn. A travs de diferentes servicios:Google Groups, Google Calendar oReddit. A travs de IRC o programas de mensajera como Skype. A travs de P2P. A travs de esteganografa: habitualmente en imgenes con texto oculto aprovechando los metadatos, como es el caso de Zeus y Bredolab.As mismo, acostumbran a ofuscar los comandos que transmiten, de modo que pueden evadir las firmas de los sistemas de deteccin de intrusos (IDS) y similares.Exfiltracin de informacinDentro del proceso de comunicacin, es importante tener en cuenta que utilizan diversas tcnicas para llevar a cabo el proceso de exfiltracin de informacin sensible: Diferentes mtodos: HTTP, FTP, SSH, SMTP, etc. Dividen la informacin en un gran nmero de ficheros de tamao pequeo, en lugar de enviar nicamente uno de gran tamao. De manera habitual, utilizan algoritmos de cifrado simtrico por sustitucin para cifrar la informacin: los ms habituales son Cesar o ROT13. No es habitual la utilizacin del cifrado asimtrico ya que tiene un coste computacional alto.En el proceso de comunicacin, merecen especial atencin los covert channels, es decir, las tcnicas que permiten enviar informacin empleando para ello las cabeceras de los protocolos de comunicacin. Mediante estas tcnicas es posible tanto enviar instrucciones a los nodos de la botnet como exfiltrar informacin sensible.Al llegar los paquetes a su correspondiente destino, se procesan los valores de las cabeceras de modo que se obtiene informacin que el bot master puede comprender.Algunos de los ejemplos ms habituales de covert channels son: Timing Covert Channel o Storage Covert Channel.

Uso y abuso de DNS02/10/2014, porAntonio Lpez (INCIBE)

DNS es uno de los protocolos con mayor presencia en las comunicaciones de Internet. Gracias a DNS usamos nombres en lugar de direcciones IP, lo que proporciona una va mucho ms sencilla para identificar y recordar otras mquinas o dispositivos de la red. Por otra parte, su omnipresencia y caractersticas lo hacen especialmente atractivo para emplearlo con otros fines no legtimos, como ataques dedenegacin de servicio por amplificacin DNS, suplantacin de sitios, phising, etc.En este artculo se resumen los principales usos y "malos usos" que se dan a este importante protocolo.

Fast flux o el don de la ubiquidad.La tcnica conocida como fast-flux es un mecanismo de evasin ampliamente utilizado por malware y botnets. Los ordenadores integrantes de una botnet (bots o zombies) suelen conectarse a servidores denominados centros de comando y control (C&C) o con otros bots con objeto de recibir rdenes y/o configuraciones, as como enviar informacin. Los centros de comando y control tratan de ocultar su ubicacin e IP para evitar ser localizados y neutralizados y para ello cambian de direccin IP constantemente. La tcnica de fast flux consiste en registrar un nombre de dominio y cambiar frecuentemente la IP asociada en los servidores de nombres que mantienen el registro. Adems, a estos registros se les asigna un tiempo de "caducidad" o time-to-live o TTL muy bajo (o nulo) para evitar sea almacenado en cach de los clientes DNS. De este modo se consigue que dos solicitudes DNS consecutivas devuelvan IP distintas dificultando la localizacin del servidor. El fast flux de direcciones IP se combina frecuentemente con el rotado de los servidores de nombres propietarios del dominio (nameservers, NS). Con este doble fast flux se incrementa la dificultad de localizar los centros de comando y control. Por otra parte, fast flux tambin puede ser empleado legtimamente con el objetivo de repartir carga o multiplexar los recursos asociados a un dominio para reforzar su disponibilidad

- Fast Flux de IP-Passive DNSPassive DNS aparece en escena como mecanismo para detectar comportamientos anmalos entre ellos, el secuestro de dominios o el fast flux. Consiste en monitorizar y almacenar consultas DNS en una base de datos y comparar, en las sucesivas peticiones que se realizan, si hay diferencias inesperadas con lo almacenado anteriormente en la base de datos. Cambios como el propietario del dominio o las IPs asociadas en un tiempo corto, podran ser indicativo de algn tipo de anomalaSinkholingEl sinkholing de dominios es una estrategia defensiva para evitar que los dominios con contenido malicioso puedan ser visitados. Para ello es necesario una vez identificado el dominio, localizar el registrador del mismo y solicitar su cesin, de modo que se pueda asignar a ese dominio una IP controlada o no vlida. De esta forma, las vctimas nunca llegarn a acceder al sitio malicioso o centro de control en caso de una botnet. Adems de ofrecer proteccin y evitar que mquinas infectadas se comuniquen con los centros de control, el sinkholing puede utilizarse para estudiar el comportamiento de una botnet dirigiendo las comunicaciones hacia un servidor que simule ser el centro de control y que se encargue de analizar el trfico recibido.Domain Generation Algorithm (DGA)Una vez ms, hecha la ley, hecha la trampa. El malware adopta contramedidas contra sink holing mediante la generacin de una gran cantidad de nombres de dominio a travs de un algoritmo. Por ejemplo, en el caso de conficker, una de las amenazas ms comunes, se generan hasta 50000 nombres de dominio al da. El atacante registrar peridicamente una serie de dominios, de entre los generados por el algoritmo y as estar accesible por sus vctimas. Lgicamente la frecuencia y nmero de conexiones entre vctima y centro de control se reduce, pero en contrapartida, complica muchsimo el sink holing de sus dominios puesto que para ello, deberan registrarse todos los dominios generados por el algoritmo, o bien solicitar al registrador un control de los mismos.Denegacin de Servicio. DDoSEs uno de los usos ilegtimos de DNS ms extendido y utilizado para causar perjuicio con ataques de denegacin de servicio. Como se explica en el artculo"DNS, open resolvers y denegacin de servicio por amplificacin DNS", las caractersticas del protocolo DNS y su base en capa de transporte UDP permiten el falseo o spoofing de direcciones IP, es decir, enviar al servidor paquetes con una IP falseada y que ste conteste a esa IP al no hacer ningn tipo de comprobacin sobre el origen. A este resultado de "reflejar" las respuestas hacia la IP vctima, se une al factor de amplificacin ya que, ciertas consultas DNS consiguen generar una respuesta del servidor de tamao mucho mayor que el paquete emitido. Uniendo ambos factores, amplificacin y reflexin, un atacante que use un buen nmero de los servidores DNS pblicos puede llevar a cabo un ataque de denegacin de servicio contra una IP vctima dirigiendo contra ella un gran volumen de trfico. Este y otros aspectos de seguridad en DNS se describen detalladamente en la"Gua de Seguridad en Servicios DNS"publicada por INTECO.

- Pico de trfico en un ataque DDoS -Typosquatting, cibersquatting y otrosSin llegar al nivel de sofisticacin de las anteriores pero igualmente efectivas, las estrategias basadas en sacar provecho de errores humanos aparecen frecuentemente. Entre estas, el typosquatting, consiste en registrar dominios con nombre muy parecido al nombre al que se quiere suplantar. Este nombre se escoge cuidadosamente de tal forma que coincida con el resultado de escribir el nombre original con un error tipogrfico, por ejemplowww.goole.comen lugar dewww.google.com. Con ello se dirige a alguien que cometa el error hacia un sitio que simule ser el original y tratar de obtener credenciales, robar datos, instalar software no deseado o infectar el visitante.

- Dominio typosquatting -El cibersquatting es otra forma oportunista para beneficiarse del registro de nombres principalmente con motivos de extorsin . Se basa en registrar dominios que hagan referencia a personas, compaias, marcas comerciales, etc con la intencin de que la parte perjudicada acceda a recuperar el dominio a cambio de una compensacin econmica. Muy frecuente hace unos aos, a da de hoy es menos habitual gracias a normativas y procedimientos legales que dificultan la posibilidad de registrar un dominio en conflicto con derechos intelectuales y/o de propiedad. La ICANN (Internet Corporation for Assigned Names and Numbers ) coordina la gestin de dominios e IPs y a travs de la seccin "Poltica de Resolucin de Disputas de Nombres de Dominio", establece una va para la proteccin de los derechos del propietario de la marca.

DNS, open resolvers y denegacin de servicio por amplificacin DNS16/01/2014, porAntonio Lpez (INCIBE)

Como se ya explic en el artculo publicado en el blog de INTECO,Hemos echado el cierre o nos estn haciendo un DDoS?, una de las principales amenazas que afectan a empresas o compaas con servicios accesibles pblicamente en Internet son los ataques de denegacin de servicio , a travs de cualquiera de las variantes all descritas. En este artculo hablamos de uno de esos tipos de ataque, en concreto, la denegacin de servicio por amplificacin de respuestas DNS.En marzo de 2013, se produjo uno de los ataques de denegacin de servicio ms grandes de los ltimos tiempos, llegndose a detectar picos de trfico superiores a 100 Gbps. Los objetivos del ataque fueron las compaas Spamhaus, organizacin dedicada a la identificacin y proteccin de fuentes de spam anti-spam a nivel mundial, y Cloudfare, su proveedor de servicios de mitigacin de ataques DDos (Distibuted Denial of Service).

Ilustracion 1. Trfico observado en los routers de Cloudfare dirigido contra SpammhausUn ataque DDoS aunque focalizado en un objetivo concreto, se lanza simultneamente desde multitud de orgenes y as, el volumen de trfico es tal que los efectos colaterales pueden dejarse notar en los puntos intermedios de enrutamiento, donde el trfico confluye en su trayecto hacia el destino final. En estos puntos, la convergencia del mismo crea cuellos de botella que pueden superar la capacidad del dispositivo enrutador.

Ilustracin 2. Ataque DoS.Sobrepasando la capacidad de respuesta de un dispositivo.DNS, una navaja suiza en ataques DDoS. AmplificacinDNS, el protocolo de resolucin de nombres que nos permite identificar recursos en internet con nombres fcilmente manejables y as obtener su direccin IP, es muy frecuentemente utilizado para generar ataques de DDoS. Por qu? Bien, DNS, adems de ser un protocolo omnipresente en internet cuenta con una serie de caractersticas que lo hacen especialmente til para generar trfico y dirigirlo a un objetivo, siendo por otra parte, complicado de detener. Estas caractersticas son: Transporte de mensajes sobre UDP. Realmente la base del problema. Aunque es posible el uso de TCP para consultas/respuestas DNS, por motivos de rendimiento y compatibilidad histrica es UDP el protocolo generalmente usado en el transporte de mensajes DNS. UDP es un protocolo de red no orientado a conexin donde se envan paquetes (datagramas) sin esperar una confirmacin por parte del receptor. Es por lo tanto un protocolo fcilmente spoofleable, es decir, podemos enviar paquetes con una direccin IP origen falseada puesto que no se establece una verificacin del emisor. Igualmente en la recepcin de los datagramas no se hacen comprobaciones sobre el origen de la conexin. Con DNS es posible obtener, a partir de un mensaje de consulta de pequeo tamao una respuesta mucho mayor. Un servidor DNS se convierte entonces en un amplificador de trfico. La especificacin (Extension Mechanisms for DNS) EDNS0 permite el envo de mensajes DNS con tamao superior al definido para mensajes estndar DNS sobre UDP (512 bytes). As, usando esta funcionalidad es posible a partir de una consulta de escasos bytes, provocar una respuesta de gran tamao, pudiendo llegar hasta buffers de 4096 bytes. De este modo, lanzando una gran cantidad de consultas y sobre mltiples servidores, se conseguir provocar un flujo de respuestas de gran tamao dirgida a la mquina objetivo del ataque. Open Resolvers. Otro asunto que facilita este tipo de ataques basados en DNS es el enorme nmero de Open Resolvers accesiblespblicamente en Internet. Por open resolver se entiende aqul servidor recursivo que permite consultas y ofrece resolucin DNS a cualquier solicitante. Unido a lo anterior, existe el problema con configuracines y reglas de filtrado de trfico que no contemplan las medidas necesarias para contrarrestar, en la medida de lo posible, el spoofing de direcciones IP.Funcionamiento de un ataque de amplificacin con DNSSacando partido de las debilidades arriba descritas, es relativamente sencillo generar un ataque dirigido contra una vctima escogida. Basta con localizar open resolvers, cuantos ms mejor, que se usarn de lanzaderas amplificadoras y construir consultas haciendo uso de la funcionalidad EDNS0 que provoquen una respuesta de tamao mucho mayor que el de la consulta en s. Dichas consultas se preparan falseando la IP origen con la direccin de la vctima, para conseguir de este modo, que todas las respuestas generadas se dirigirn hacia la misma.

Ilustracin 3. Ataque de amplificacin DNSContramedidasLo realmente deseable es prevenir los ataques, puesto que la mejor forma de solventar un problema es atacar su origen. Con este fin, las siguientes medidas son deseables: Limitar recursin. Una concienciacin global para que los propietarios de open resolvers limiten la recursin nicamente a clientes o redes bajo bajo su responsabilidad. La iniciativaOpen Resolver Projecttrabaja en este aspecto. De este modo evitamos ser un punto lanzadera de posibles ataques. Filtrado de trfico. Tambin resulta recomendable adoptar las medidas especificadas en el documento de la IETFBCP-38: Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing. Adicionalmente, y desde el punto de vista del servidor DNS, implementar medidas consideradas en el RFC2671 que van destinadas a proporcionar mayor control sobre las consultas/respuestas como puede ser, especificar un lmite mximo de respuestas idnticas por segundo. Por ejemplo, si el software usado en el servidor DNS es BIND, se dispone desde su versin 9.9.4 la funcionalidad Response Rate Limiting (RRL) donde a travs de una clasula rate-limit se puede limitar el nmero de consultas por segundo si se detecta un flujo de consultas sospechoso de formar parte de un ataque de flooding

Tails es vulnerable: te enseamos a evitar el fallo de I2P

Estamos seguros de que muchos conoceris la distribucin LinuxTails. No en vano, era recomendada hace unos meses por Edward Snowden, quien comentaba que erala ms seguray, por lo tanto, la que l utilizaba para navegar por Internet. Un software que nos permita estar en la red sin dejar rastro y sin la necesidad de realizar complicadas configuraciones.Sin embargo, los encargados del paquete hananunciado recientementeque uno de los paquetes incluidos est provocando que la distribucin ya no sea todo lo segura que pareca. Concretamente,I2P tiene un fallo de seguridadque, en el caso de ser aprovechado, puede provocar que a lo usuarios se les quite la anonimizacin que se promete. Un error que resulta bastante grave.Bsicamente, lo que permite el bug essacar la direccin IP verdaderade los usuarios, identificndonos tal y como somos. De esta forma, si utilizamos TOR Browser para navegar por una pgina web convenientemente modificada, el software podra ser vulnerado, revelando datos sensibles. Oficialmente no se sabe con exactitud la manera de explotar la vulnerabilidad, aunque existen algunos crackers que conocen determinadas formas de ponernos en peligro.Solucionando el fallo

El primer lugar, tenemos que decir que el fallo se encuentra en el paquete I2P, incluido en el sistema. Aunque no est activado por defecto, lo cierto es que si no nos andamos con ojo podramos caer en una trampa cibernticamente mortal, por lo que lo mejor esdesinstalar el paquetepara no utilizarlo sin querer.A continuacin tenis lospasosnecesarios para hacerlo:1. Le ponemos una contrasea al usuario root. Lo nico que deberemos hacer ser abrir la terminal y ejecutar el comando sudo -i.2. Desinstalamos I2P con el comando apt-get purge i2p.En el caso de que tengis que usar el paquete de formaobligatoria, os recomendamos que instalis el pluginNoScriptenTOR Browser, antes de iniciar el servicio I2P, evitando as que se pueda ejecutar cdigo remoto en vuestro ordenador.La vulnerabilidad ser corregida prximamente

Aunque la versin 1.1 de Tails fue publicada hace unos das, lo cierto es que el fallo todavano ha sido solucionado, por lo que es necesaria una solucin temporal, hasta que el paquete se modifique de la manera necesaria para cerrar la brecha de seguridad. Algo que debera de hacerse durante losprximos das.Debemos tener en cuenta que un bug de este tipo puede comprometer seriamente a los usuarios que utilicen Tails por lo que, si es vuestro caso, os recomendamos que, directamente,no usis I2Phasta queexista alguna actualizacinque arregle el paquete. Hasta entonces, deberis tener mucho cuidado cuando naveguis por Internet.Por lo dems, mencionar que Tails es una distribucin Linux centrada en hacer que podamos navegar por Internet de una manera segura y completamente annima. Aunque la ltima versin sea la 1.1, lo cierto es que se espera que pronto est disponible unanueva versincon el fallo arreglado

El ejrcito estadounidense libera bajo cdigo abierto la herramienta Dshell

Dshell es una herramienta de anlisis forense de redes desarrollada en el laboratorio de investigacin del ejrcito USA. Programada enPython y corriendo en Linux,ha sido liberadaenGitHubbajo cdigo abierto.Dshelles un framework que los usuarios pueden utilizar para desarrollarmdulosde anlisis personalizadosbasados en los compromisos de las redes de su entorno.El objetivo al liberarlo de cdigo abierto es animar a los desarrolladores y analistas externos a desarrollar y contribuir con sus propios mdulos, basados en sus experiencias.Fuera del gobierno, en la industria o el mundo acadmico, hay una amplia variedad de amenazas informticas similares a las que nos enfrentamos aqu, explica el jefe de seguridad de este laboratorio del ejrcito estadounidense, con la idea deaumentar la colaboracinpara mejorar la deteccin y compresin de los ataques cibernticos:Durante mucho tiempo, hemos estado buscando la manera de participar e interactuar con la comunidad de respuesta forense e incidentes digitales a travs de una plataforma mejorada de colaboracinLa forma tradicional de compartir software, incluso entre las entidades del gobierno, puede ser un reto. Hemos comenzado con DSHELL porque la funcionalidad central es similar a las herramientas disponibles para el pblico, pero proporciona un mtodo ms simple para desarrollar funcionalidades adicionales.La liberacin dede DSHELL se produce poco despus queCisco publicara en GitHubsu propio marco de anlisis de seguridadOpenSOC, diseado especficamente para grandes entornos de red.

Revelaciones sobre la red de vigilancia mundial (2013-2014)Losdatos acerca de la vigilancia mundialson una serie de revelaciones sacadas a la luz por la prensa internacionalentre 2013 y 2014, que demuestran la vigilancia que principalmente lasagencias de inteligencia de Estados Unidos, en colaboracin conotros pases aliados, han estado ejerciendo de manera masiva sobre la poblacin mundial.1Lasvctimaspotenciales de este espionaje podran cuantificarse en miles de millones de personas alrededor del mundo, adems, los peridicos revelaron que cientos de lderes mundiales, incluyendo jefes de Estado e importantes empresarios, fueron o estn siendo vigilados. La informacin sali a la luz gracias al ex contratista de laNSAy laCIA,Edward Snowden, que rob y posteriormente filtr miles de documentos clasificados dealto secreto(Top Secret) mientras trabajaba paraBooz Allen Hamilton, uno de los mayores contratistas militares y de inteligencia delgobierno de Estados Unidos.2Los documentos extrados por Snowden, que en conjunto superaran los 1,7 millones, adems de miles de documentos secretos de las agencias de inteligencia de Estados Unidos, tambin contendran miles de archivos secretos de pases comoAustralia,CanadoReino Unido, gracias a su acceso a la exclusiva redFive Eyeso Cinco Ojos.Los informes destaparon y demostraron la existencia de una compleja red de colaboracin entre decenas de agencias de inteligencia de varios pases con el objetivo de expandir y consolidar una vigilancia globalizada. Los informes sacaron a la luz la existencia de tratados secretos y otros acuerdos bilaterales para la transferencia masiva de metadatos, registros y otras informaciones a laAgencia de Seguridad Nacional(NSA) de Estados Unidos, que se mostr como la agencia que capitanea los esfuerzos de vigilancia. Se descubri que la NSA opera programas secretos de vigilancia masiva comoPRISMoXKeyscore.3456Para la vigilancia y recogida masiva de datos las agencias han recurrido a mtodos tan diversos como la introduccin de software espa en aplicaciones mviles muy populares comoAngry BirdsoGoogle Maps, la ruptura de la seguridad de los sistema operativosiOS,Android, o la violacin de los cifrados de lasBlackBerry. La NSA tambin infecto cientos de miles de redes informticas con malware a nivel internacional e incluso espa los correos electrnicosHotmail,OutlookoGmail. La inteligencia internacional tambin vigila y almacena miles de millones de llamadas y registros telefnicos. Gracias a esto, las agencias capitaneadas por la NSA son capaces de conseguir los contactos, geolocalizacin, fotografas, aplicaciones o mensajes, datos que les permiten crear perfiles de prcticamente cualquier individuo, pues a partir de esto pueden deducir su modo de vida, pas de origen, edad, sexo, ingresos, etc. La NSA tambin intercepta y almacena los datos de millones de transacciones financieras electrnicas, pudiendo tener acceso prcticamente a cualquier dato bancario. Segn los documentos filtrados, las ms importantes empresas de telecomunicaciones, tecnologa y de Internet colaboran con la NSA de manera voluntaria o a cambio de millones de dlares para la cesin masiva de datos de sus clientes, adems del acceso a sus servidores. Entre estas empresas se encuentran:Microsoft,Google,Apple,Facebook,Yahoo!,AOL,Verizon,Vodafone,Global CrossingoBritish Telecommunications, entre otras.7En junio del 2013, el primero de los documentos de Snowden se public simultneamente enThe Washington Posty enThe Guardian, lo que capt la atencin de muchsimos lectores.8La revelacin de informacin continu durante todo el 2013 y los documentos fueron obtenidos y publicados posteriormente por muchos otros medios de comunicacin internacionales, sobre todo porThe New York Times(Estados Unidos),Der Spiegel(Alemania), laAustralian Broadcasting Corporation(Australia),O Globo(Brasil), laCanadian Broadcasting Corporation(Canad),Le Monde(Francia),L'espresso(Italia),NRC Handelsblad(Pases Bajos),Dagbladet(Noruega),El Pas(Espaa) ySveriges Television(Suecia).9De manera simultnea tambin se descubri que si bien el peso de la vigilancia lo soportan pases anglosajones, mediante acuerdos y tratados secretos las agencias de inteligencia de diversos pases tambin han cooperado con Estados Unidos mediante el espionaje directo a sus propios ciudadanos o la transferencia de datos e informaciones. Entre estos pases se encuentran:Italia,Pases Bajos,Espaa,Suiza,Suecia,Alemania,FranciaoNoruega.1011121314151617Estas revelaciones generaron movimientos sociales en contra de la vigilancia masiva comoRestore the Fourthu acciones comoThe Day We Fight Back. En el mbito legal, una coalicin de diversos grupos demandaron a la NSA. Varias organizaciones dederechos humanoscomoAmnista Internacional,Human Rights WatchoTransparencia Internacionalhan presionado a laadministracin Obamapara que, en vez de perseguir, proteja alsoplnSnowden.18192021El 14 de junio del 2013, fiscales de los Estados Unidos acusaron, con base en laLey de Espionaje de 1917, a Edward Snowden de espionaje y de robo de propiedad gubernamental.22Edward Snowden se vio obligado a exiliarse y a finales de julio de 2013 elGobierno de la Federacin de Rusiale otorg elderecho de asilo, lo que contribuy al deterioro de las relaciones entreRusiay Estados Unidos.2324La posibilidad de que Snowden pudiera escapar a Sudamrica deriv en elconflicto diplomtico entre Sudamrica y Europa de 2013. Por otra parte, el presidenteBarack Obamacritic el supuesto sensacionalismo con que las revelaciones haban salido a la luz, al tiempo que defendi queno se est espiando a la ciudadana estadounidensey queEE.UU. no posee un programa nacional de espionaje.25En elReino Unido, el gobierno conservador deDavid Cameronamenaz aThe Guardiany le inst a que no publicara ms documentos de los sustrados.26En una evaluacin inicial acerca de estas revelaciones,el Pentgonodetermin que Snowden cometi el mayorrobode secretos en lahistoria de los Estados Unidos.27Sir David Omand, ex director delGCHQ, dijo que las revelaciones de Snowden son la prdida ms catastrfica que haya tenido jams la inteligencia britnica.28A raz de esto se gener un debate an vigente acerca de qu tan responsable ha sido la informacin periodstica para la opinin pblica y lanecesidadde esta vigilancia en contraposicin al derecho a laprivacidad.Antecedentes[editar]Barton Gellman, periodista ganador delPremio Pulitzerque condujo la cobertura deThe Washington Postacerca de las revelaciones de Snowden, resumi lo ocurrido de esta manera:En conjunto, las revelaciones han trado a la luz un sistema devigilancia mundialque se ha liberado de muchas de sus restricciones histricas despus de losataques del 11 de septiembre del 2001. Autoridades legales secretas facultaron a la NSA para revisar los registros telefnicos, de Internet y la localizacin de grandes grupos humanos.The Washington Post29Las revelaciones pusieron a la luz detalles especficos acerca de la ntima cooperacin de la NSA con instancias del gobierno federal tales como elBur Federal de Investigaciones(FBI)3031y laAgencia Central de Inteligencia(CIA),3233adems de los pagos, hasta entonces desconocidos, que haba hecho la agencia a numerosos socios comerciales y a compaas de telecomunicaciones,343536y las relaciones hasta entonces desconocidas con socios internacionales como Gran Bretaa3738Francia,39Alemania40y lostratados secretosque firmaron recientemente con gobiernos extranjeros para compartir informacin interceptada de los ciudadanos de ambos.4142Toda esta informacin la hizo pblica la prensa de varios pases durante varios meses desde junio del 2013 a partir del tesoro oculto que filtr el ex contratista de la NSA Edward J. Snowden,43quien obtuvo la informacin mientras trabajaba paraBooz Allen Hamilton, uno de los mayores contratistas para defensa e inteligencia en los Estados Unidos.44George Brandis, elprocurador general de Australia, asegur que la informacin revelada por Snowden es el ms grave revs para la inteligencia deOccidentedesde laSegunda Guerra Mundial.45Vigilancia global[editar]Artculo principal:Vigilancia globalProgramas de vigilancia global

ProgramaColaboradores o socios internacionalesSocios comerciales

PRISM Australia:ASD/DSD46 Reino Unido:Cuartel General de Comunicaciones del Gobierno(GCHQ)47 Pases Bajos:Algemene Inlichtingen en Veiligheidsdienst(AIVD)48 Microsoft49505152

Estados UnidosXKeyscore Alemania:Bundesnachrichtendienst(BND)5354 Alemania:Bundesamt fr Verfassungsschutz(BfV)5554 Suecia:Frsvarets radioanstalt(FRA)5657

Reino UnidoTempora Estados Unidos:Agencia de Seguridad Nacional(NSA)5859 British Telecommunications(cdigoRemedy)7 Interoute(cdigoStreetcar)7 Level 3(cdigoLittle)7 Global Crossing(cdigoPinnage)7 Verizon Business(cdigoDacron)7 Viatel(cdigoVitreous)7 Vodafone Cable(cdigoGerontic)7

Reino Unido:Muscular Estados Unidos: NSA60

AlemaniaProject 6 Estados Unidos:Agencia Central de Inteligencia(CIA)61

Stateroom Australia:DSD6263 Canad:Communications Security Establishment Canada(CSEC)6364 Reino Unido: GCHQ6365 Estados Unidos:Special Collection Service(SCS)636566

Lustre Estados Unidos: NSA6768 Francia:Direction Gnrale de la Scurit Extrieure(DGSE)6768

ltima actualizacin: diciembre 2013Informacin revelada[editar]

Documentos secretos de 2012 con las proyecciones presupuestarias y cuentas consolidadas de 2011 a 2017 de las agencias de inteligencia, ramas del ejrcito de Estados Unidos (marina, ejrcito terrestre, marines y fuerzas areas) y otras agencias de seguridad estadounidenses (ver en PDFaqu)El tamao exacto del paquete de documentos revelado por Snowden se desconoce, pero varios funcionarios gubernamentales han presentado las siguientes cifras aproximadas: Al menos 15.000 archivos dela inteligencia australiana, segn los funcionarios de ese pas;69 Al menos 58.000 archivos de la inteligencia britnica, segn los funcionarios de ese pas70 Aproximadamente 1,7 millones de archivos de la inteligencia estadounidense, segn funcionarios de ese pas71Como ex contratista de la NSA, Snowden tena asegurado el acceso a los documentos del gobierno estadounidense y tambin ainformacin clasificadarelativa a varios gobiernosaliados occidentales, a travs de la exclusiva alianzaFive Eyes.72Snowden afirma que actualmente no posee fsicamente ninguno de estos documentos, despus de haber entregado todas las copias a los periodistas con quienes se reuni enHong Kong.73Segn su abogado, Snowden se ha comprometido a no liberar ningn documento mientras se halle enRusia, y la responsabilidad de la liberacin de ms documentos la ha dejado en manos nicamente de los periodistas.74Hasta el 2014, los siguientes medios informativos han tenido acceso a algunos de los documentos entregados por Snowden:Australian Broadcasting Corporation,Canadian Broadcasting Corporation,Channel 4,Der Spiegel,El Pas,El Mundo,L'espresso,Le Monde,NBC,NRC Handelsblad,Dagbladet,O Globo,South China Morning Post,Sddeutsche Zeitung,Sveriges Television,The Guardian,The New York TimesyThe Washington Post.Contexto histrico[editar]Artculo principal:Datos acerca de la vigilancia mundial (1970-2013)En ladcada de 1970, el analista de la NSAPerry Fellwock(con el seudnimo Winslow Peck) hizo pblica la existencia delAcuerdo UKUSA, que conforma la base de la redECHELON, cuya existencia fue revelada en1988porMargaret Newsham, empleada deLockheed Corporation.7576Meses antes de losataques del 11 de septiembrey durante los das posteriores, el periodista y ex funcionario delMI5britnicoDavid Shaylery el periodistaJames Bamford, entre otras personas, revelaron detalles acerca del aparato de vigilancia mundial,7778y despus de ellos se presentaron otros casos: William BinneyyThomas Andrews Drake, empleados de la NSA, declararon que la NSA est expandiendo aceleradamente sus operaciones de vigilancia.7980 Katharine Gun, traductora que trabajaba paraGCHQ, hizo pblico en el2003, a travs del peridicoThe Observer, un plan de laNSApara colocarmicrfonos escondidosen las personas de los representantes de varios pases ante lasNaciones Unidaspoco antes de laguerra de Irak(seis pases cuyos votos resultaban decisivos para que la ONU aprobara la invasin estadounidense en Irak:Angola,Bulgaria,Camern,Chile,GuineayPakistn). Despus de su revelacin, GCHQ dio por terminada la relacin laboral, y el gobierno britnico la acus, el13 de noviembredel2003, conforme a la seccin 1 de la Ley de Secretos Oficiales de 1989. El caso lleg a los tribunales el25 de febrerodel2004; por causas que an se desconocen, la parte acusadora no present evidencias, y ella qued libre en tan solo media hora.8182838485868788899091 Clare Short, miembro del gabinete britnico de mayo de 1997 a mayo del 2003, declar en el2004que elReino Unidohaba espiado al secretario general de laONUKofi Annan.92 Russ Tice, empleado de la NSA, dispar lacontroversia acerca de la vigilancia sin garantas de la NSAdespus de haber dicho que la administracin deGeorge W. Bushhaba espiado a los ciudadanos estadounidenses sin la autorizacin de la corte.9394 La periodistaLeslie Cauley, deUSA Today, revel en el2006que la NSA lleva una base de datos masiva de la llamadas telefnicas de los ciudadanos de los Estados Unidos95 Mark Kleinhizo pblica, en el2006, dos aos despus de haberse retirado de su empleo enAT&T, la existencia del llamadoRoom 641A(Cuarto 641A), una instalacin de intercepcin de telecomunicaciones de la NSA que inici sus operaciones en el2003.96 Los activistasJulian AssangeyChelsea Manningrevelaron en el2011la existencia de laindustria de la vigilancia masivaver mass surveillance industry97 El periodistaMichael Hastingspublic en el2012que los manifestantes del movimientoOcupa Wall Streetestaban siendo vigilados98Despus de las revelaciones de Snowden,el Pentgonoconcluy que l cometi el robo ms grande de secretos de los Estados Unidos en lahistoria de ese pas.99En Australia, el gobierno de coalicin declar que las filtraciones haban sido el dao ms grave a lainteligencia australianaen la historia.100SirDavid Omand, ex director del GCHQ, afirm que los actos de Snowden haban sido la prdida ms catastrfica jams ocurrida a la inteligencia britnica.101Cronologa[editar]Vase tambin::en:Timeline of global surveillance disclosures (2013present)

Hotel MiradeHong Kong, en donde Edward Snowden se cit por vez primera conGlenn Greenwald,Laura Poitrasy el periodistaEwen MacAskilldeThe Guardian102En abril del 2012, el entonces contratista de la NSAEdward Snowdencomenz a bajar documentos.103Ese ao, contact por vez primera con el periodistaGlenn Greenwald, deThe Guardian; en enero del 2013 contact con ladirectora de cine documentalLaura Poitras.104105En mayo del 2013, Snowden abandon temporalmente su trabajo en la NSA, con el pretexto de que estaba recibiendo tratamiento para suepilepsia. Hacia finales de mayo, viaj a Hong Kong.106107Greenwald, Poitras y el corresponsal de defensa e inteligencia deThe Guardian,Ewen MacAskill, volaron a Hong Kong para citarse con Snowden.2013[editar]Junio[editar]Despus de varias reuniones del editor deThe GuardianenNueva York(sus oficinas se hallan en los Estados Unidos), se decidi que Greenwald, Poitras y el corresponsal de defensa e inteligencia del peridico Ewen MacAskill volaran aHong Kongpara reunirse con Snowden. El5 de junio, en la primera nota periodstica relativa al material filtrado,108The Guardianhizo pblica una orden judicialconfidencialque demostraba que la NSA haba recolectado grabaciones telefnicas de ms de 120 millones desuscriptores de Verizon.109Segn la orden, los nmeros telefnicos de quienes participaban en las llamadas, los datos de su localizacin, los identificadores nicos, la hora de la llamada y la duracin de la llamada eran enviados a laFBI, la que a su vez reenviaba los registros a laNSA.110Segn elWall Street Journal, la orden forma parte de un controvertido programa de datos que intenta almacenar registros de todas las llamadas realizadas en los Estados Unidos pero que no recolecta informacin directamente deT-Mobile USy deVerizon Wireless, en parte debido a que se trata de compaas que tienen acciones en el extranjero.111El6 de juniodel 2013, la segunda revelacin en los medios, relativa alprograma de vigilancia PRISM(que recolecta el correo electrnico, la voz, el texto y las conversaciones en video de extranjer@s y de una cantidad desconocida de ciudadan@s estadounidenses enMicrosoft,Google,Yahoo,Appley otros gigantes de la tecnologa),112113114115se public de manera simultnea en los peridicosThe GuardianyThe Washington Post.116117El diarioDer Spiegelrevel el espionaje llevado a cabo por la NSA en mltiples misiones diplomticas de laUnin Europea(UE) y en lasede de la Organizacin de las Naciones Unidasen Nueva York.118119Durante episodios especficos en un lapso de cuatro aos, la NSA hacke a varias compaas chinas de telefona celular,120theUniversidad China de Hong Kongy laUniversidad TsinghuaenPekn,121yPacnet, el operador asitico de redes defibra ptica.122nicamenteAustralia, Canad, Nueva Zelanda y el Reino Unidose hallan exentos de manera explcita de los ataques de la NSA, cuyo principal blanco en la Unin Europea es Alemania.123Un mtodo para intervenir mquinas de fax encriptadas utilizado en la embajada estadounidense se conoce con el nombre claveDropmire.124Durante laCumbre del G-20 de Londres, la agencia britnica de inteligenciaGCHQintercept las comunicaciones dediplomticosextranjeros.125Adems, la GCHQ ha estado interceptando y almacenando, a travs deTempora, cantidades masivas de informacin transmitida porfibra ptica.126Dos componentes principales de Tempora se denominan Mastering the Internet (MTI) y Global Telecoms Exploitation.127Los datos permanecen tres das, y losmetadatosduran treinta das.128La informacin recolectada por GCHQ a travs de Tempora se comparte con la NSA.129Del 2001 al 2011, la NSA recolect grandes cantidades de registros demetadatosque detallaban el uso que haca la ciudadana estadounidense del correo electrnico y de Internet a travs deStellar Wind,130que ms tarde se dio por terminada, debido a limitaciones operativas y de recursos. Fue reemplazada posteriormente por nuevos programas de vigilancia tales comoShellTrumpet, que proces su registro de un trillonsimo demetadatos para finales de diciembre del 2012.131Segn elBoundless Informant, se recolectaron ms de 97000millones de datos de inteligencia durante un periodo de 30 das que finaliz en marzo del 2013. De un total de 97000millones de conjuntos de datos, aproximadamente 3000millones provenan de redes de cmputo de los Estados Unidos132y alrededor de 500millones de registros de metadatos se recolectaron de las redes alemanas.133Varias semanas despus, se descubri que elServicio Federal de Inteligenciaalemn (BND) transfiere cantidades masivas de registros de metadatos a la NSA.134

El11 de juniodel2013The Guardianpublic una instantnea del mapa global de la NSA de la recoleccin de datos electrnicos para el mes de marzo del 2013. Conocido con el nombre deBoundless Informant, la NSA lo utiliza para rastrear la cantidad de datos analizados durante periodos especficos. El esquema a colores va del verde (el menor nivel de vigilancia) hasta el amarillo y el naranja y rojo (el mayor nivel de vigilancia). Por fuera delMedio Oriente, nicamenteChina,Alemania, laIndia,Keniay losEstados Unidosmuestran un color naranja o amarillo.Julio[editar]

El edificio Justus Lipsius, sede delConsejo de la Unin Europeafue atacado por personal de la NSA que trabajaba en una cercana oficina de laOTAN, segn revel un documento de 2010Segn el peridico brasileoO Globo, la NSA espi millones de correos electrnicos y llamadas de ciudadanos de ese pas;135136por otra parte, Australia y Nueva Zelanda participaron en la operacin conjunta del sistema analtico globalXKeyscorede la NSA.137138Entre las numerosas instalaciones delos aliados occidentalesque contribuyeron aXKeyscorese hallan cuatro instalaciones enAustraliay una enNueva Zelanda: Pine Gap, cerca deAlice Springs, Australia, es adiministrada parcialmente por laAgencia Central de Inteligenciade los Estados Unidos;139 laEstacin Receptora de Shoal Bay, cerca deDarwin, Australia, es dirigida por el ASD;140 laEstacin de Comunicaciones Satelitales para Defensa de Australia, cerca deGeraldton, Australia, es administrada por el ASD;141 HMASHarman, fuera deCanberra, Australia, es administrado por el ASD;142 laEstacin Waihopai, cerca deBlenheim,Nueva Zelanda, es administrada porGCSB(Nueva Zelanda).143O Globopublic un documento de la NSA intitulado Primary FORNSAT Collection Operations, que revelaba las localizaciones y nombres de cdigo especficos de las estaciones de intercepcin deFORNSATen el 2002.144Segn Edward Snowden, la NSA ha creado convenios secretos de inteligencia con muchos gobiernos delmundo occidental.145ElFADde la NSA est a cargo de estos convenios que, segn Snowden, estn organizados de tal manera que los gobiernos extranjeros pueden aislar a sus lderes polticos del reclamo social, en caso de que estos convenios devigilancia globalsean objeto de filtraciones.146En una entrevista publicada porDer Spiegel, Snowden acus a la NSA de estar ntimamente asociada con Alemania.147La NSA les dio a las agencias de inteligencia alemanas (laBND(inteligencia extranjera) y laBfV(inteligencia interior)) acceso a su controvertido sistemaXKeyscore.148A cambio, la BND entreg copias de dos sistemas llamadosMira4yVerasque, se dice, exceden las posibilidades delSIGINTen algunas reas.149Todos los das, la BND recolecta cantidades masivas de registros demetadatosy los transfiere a la NSA a travs de laBad Aibling Station, cerca deMunich, Alemania.150Tan solo en diciembre del 2012 la BND entreg ms de 500 millones de registros de metadatos a la NSA.151152En un documento fechado en enero 2013, la NSA reconoci los esfuerzos de la BND por debilitar la legislacin relativa a la privacidad:LaBNDha estado intentando influir sobre el gobierno alemn para relajar la interpretacin de las leyes de privacidad y ofrecer mayores oportunidades para que se intercambie la informacin de inteligencia.153Segn un documento de la NSA fechado en abril del 2013, Alemania se ha convertido en el socio ms productivo de la NSA.154En un fragmento de un documento independiente filtrado por Snowden, intitulado Success Stories (historias de xito), la NSA reconoci los esfuerzos realizados por el gobierno alemn para acrecentar el intercambio internacional de informacin de la BND con sus socios:El gobierno alemn modifica su interpretacin de laley de privacidad G-10 para darle al BND ms flexibilidad al compartir informacin compartida con socios extranjeros.155Adems, el gobierno alemn estaba muy al tanto del programa de vigilancia PRISM mucho antes de que Edward Snowden hiciera pblicos los detalles. SegnSteffen Seibert, vocero deAngela Merkel, hay dos programas PRISM distintos: uno es utilizado por la NSA y el otro es utilizado por las fuerzas de laOTANenAfganistn.156Ambos programas de vigilancia no son idnticos.157The Guardianrevel ms detalles de la herramientaXKeyscorede la NSA, que permite a los analistas del gobieerno hacer una bsqueda a travs de amplias bases de datos que contienen correos electrnicos, conversaciones en lnea y la navegacin por las historias de millones de individuos sin autorizacin previa.158159160Microsoftdesarroll una funcin de vigilancia para poder trabajar con la intercepcin de conversacionesencriptadasenOutlook.com, en los cinco meses posteriores a la fecha en la que el servicio se puso a prueba. La NSA tuvo acceso a los correos Outlook.com porque Prism recolecta estos datos antes delcifrado.161Adems, Microsoft trabaj con el FBI para permitir que la NSA tenga acceso a suservicio de alojamiento de archivosSkyDrive. Un documento interno de la NSA fechado el3 de agostodel 2012 describi el programa de vigilancia PRISM como un deporte de equipo.162Aunque no haya razones para pensar mal de los ciudadanos estadounidenses, elCentro Nacional Antiterrorismode laCIAest autorizado para revisar los archivos del gobierno federal en busca de posibles comportamientos criminales. Antes a la NTC se le haba prohibido hacerlo, a menos que una persona fuese sospechosa de terrorismo o que estuviese relacionada con una investigacin.163Snowden tambin confirm queStuxnetse desarroll de manera conjunta por los Estados Unidos y por Israel.164En un informe no relacionado con Edward Snowden, el peridico francsLe Monderevel que laDireccin General de Seguridad Exteriorde Francia tambin estaba llevando a cabo actividades de vigilancia masiva, que describi como ilegales y fuera de cualquier medida seria de control.165166Agosto[editar]

Presentacin de los presupuestos fiscales de los servicios de inteligencia de los Estados Unidos, clasificados deTop Secret. Estos presupuestos siempre haban sido restringidos. (Para ver el PDF completo, pinche en la imagen 2 veces)Los documentos filtrados por Edward Snowden que fueron vistos por elSddeutsche Zeitung(SZ) y elNorddeutscher Rundfunkrevelaron que el papel de varios operadores detelecomunicacionesha sido fundamental para ayudar a laGCHQa tener acceso a lascomunicaciones por fibra ptica. Los operadores de telecomunicaciones son: Verizon Business(nombre claveDacron)7167 British Telecommunications(nombre clave Remedy)7168 Vodafone Cable(nombre clave Gerontic)7169 Global Crossing(nombre clave Pinnage)7170 Level 3(nombre clave Little)7171 Viatel(nombre clave Vitreous)7172 Interoute(nombre clave Streetcar)7173A cada uno de ellos se le asign el rea especfica de lared de fibra pticade la que estaba a cargo. Las siguientes redes han sido infiltradas por la GCHQ:TAT-14(Europa-Estados Unidos),Atlantic Crossing 1(Europa-Estados Unidos),Circe South(Francia-Reino Unido),Circe North(Pases Bajos-Reino Unido),FLAG Atlantic-1,FLAG Europa-Asia,SEA-ME-WE 3(Sudeste Asitico-Medio Oriente-Europa Occidental),SEA-ME-WE 4(Sudeste Asitico-Medio Oriente-Europa Occidental), Solas (Irlanda-Reino Unido), UK-France 3, UK-Netherlands 14, el sistema de cableULYSSES(Europa-Reino Unido),Yellow(Reino Unido-Estados Unidos) y elsistema de cable PEC (Pan European Crossing).174Las compaas de telecomunicaciones que participaron se vieron obligadas a hacerlo y no podan decidir en el asunto.175Algunas de las compaas recibieron posteriormente un pago de GCHQ por su participacin en la infiltracin de los cables.176Segn elSddeutsche Zeitung, GCHQ tiene acceso a la mayora de los mensajes en Internet que circulan por toda Europa, puede escuchar las llamadas telefnicas, leer los correos electrnicos y los mensajes de texto, ver los sitios web que estn visitando los usuarios en Internet en todo el planeta. Tambin puede retener y analizar casi todo el trfico de Internet.177GCHQ est recolectando toda la informacin transmitida hacia y desde el Reino Unido y el norte de Europa a travs del cable de telecomunicacionesSEA-ME-WE 3. LaDivisin de Seguridad e Inteligencia(SID) de Singapur coopera con Australia para tener acceso y compartir comunicaciones llevadas a cabo por el cable SEA-ME-WE-3. LaASD) tambin est asociada con agencias de inteligencia britnicas, estadounidenses y de Singapur para intervenir cables de telecomunicaciones submarinos de fibra ptica que vinculan a Asia, al Medio Oriente y que transmiten gran parte del trfico de Internet y telefnico internacional de Australia.178Estados Unidos tiene un sistema de vigilancia y espionaje de alto secreto conocido comoServicio de Recogida Especial(Special Collection Service, SCS) que opera en ms de 80 consulados y embajadas de Estados Unidos en todo el mundo.179180La NSAhackeoel sistema de vdeo conferencia de lasNaciones Unidas(ONU) en el verano de 2012, en una clara violacin de los acuerdos de la ONU.179180La NSA no solo ha estado interceptado las comunicaciones de estadounidense en el extranjero que estn en contacto directo con extranjeros, sino que tambin posee grandes cantidades de correos electrnicos y comunicaciones procedentes de estadounidenses de tanto dentro como fuera de EE.UU que estn en contacto con extranjeros vigilados.181La NSA tambin espi a la cadenaAl Jazeeray sus sistemas de comunicacin interna.182Se estima que gracias a la red de vigilancia que pose la NSA, elgobierno de Estados Unidostiene acceso a aproximadamente el 75% de todo el trfico deInterneten Estados Unidos.183184185Los organismos policiales del pas utilizan herramientas empleadas porpiratas informticospara obtener informacin de sus sospechosos.186187Unaauditorainterna de la NSA de mayo de 2012 identific un total de 2776 incidentes, es decir, se detectaron 2776 violaciones de las normas u rdenes judiciales en materia de vigilancia de estadounidenses y extranjeros residentes en EE.UU. desde abril de 2011 a marzo de 2012. Los funcionarios salieron al paso de las crticas insistiendo en que estos errores no son intencionados.188189190191192193194El tribunalFISA, que se supone, debe supervisar desde un punto de vista crtico los vastos programas de espionaje y vigilancia del gobierno de Estados Unidos, ha ido limitando sus funciones y tiene que confiar en la informacin del propio gobierno.195Una sentencia jurdica desclasificada del 21 de agosto de 2013 revel que la NSA intercept durante tres aos un mximo de 56.000 comunicaciones electrnicas anuales de estadounidenses que no eran sospechosos de estar vnculados con el terrorismo. El tribunal encargado de supervisar estas actividades, elTribunal de Vigilancia de Inteligencia Extranjera de los Estados Unidos(United States Foreign Intelligence Surveillance Court, FISC), encontr, en 2011, que estas operaciones eran inconstitucionales.196197198199200Bajo el llamado proyectoCorporate Partner Access, los principales proveedores de telecomunicaciones de Estados Unidos reciben cada ao cientos de millones de dlares procedentes de la NSA.201La cooperacin voluntaria entre la agencia y los proveedores de comunicaciones mundiales empez en la dcada de 1970 bajo el nombre en claveBLARNEY.201Un carta redactada por elgobierno de Barack Obamadirigida alCongresopara informar sobre los programas de recogida masiva de datos del gobierno, fue retenida por los legisladores que conforman laComisin Permanente Selecta sobre Inteligencia de la Cmara de los Representantes(United States House Permanent Select Committee on Intelligence) en los meses previos a la votacin clave que decidira el futuro de estas actividades.202203La NSA pag al GCHQ ms de 100 millones delibrasentre 2009 y 2012 a cambio de la colaboracin del GCHQ (must pull its weight and be seen to pull its weight...).204Varios documentos que hacen referencia a estos hechos sealan que laslagunas legalesque existen en las leyes britnicas son explotadas por el GCHQ en nombre de la NSA a cambio de dinero, lo que los documentos llaman un punto de venta(a selling point). El GCHQ britnico est desarrollando tecnologasque le permitan acceder a cualquier mvil en cualquier momento. La NSA tiene unapuerta traseraen las bases de datos de todas las grandes empresas de Internet, lo que le permite acceder a correos electrnicos y llamadas de los ciudadanos estadounidenses sin que exista una orden judicial.205206

LaAgencia de Seguridad Nacional(NSA) hacke los sistemas informticos de reserva de billetes de vuelo de la compaa rusaAeroflot207La Junta de Supervisin de Privacidad y las Libertades Civiles (The Privacy and Civil Liberties Oversight Board) inst a los jefes de inteligencia de Estados Unidos a elaborar directrices ms duras sobre la vigilancia y el espionaje interno, pues algunas de estas normas no se han actualizado en los ltimos 30 aos.208209Los analistas estadounidenses, usando el enorme poder de las agencias de espionaje, han roto deliberadamente las leyes diseadas para evitar el espionaje a estadounidenses, que tratan de proteger la privacidad de los usuarios.210211Despus de que elTribunal de Vigilancia de Inteligencia Extranjera de los Estados Unidosdictaminara en octubre de 2011 que algunas de las actividades de la NSA eran inconstitucionales, la agencia pag millones de dlares a las principales compaas de Internet para cubrir costes adicionales y posibles multas por su participacin en el programa de vigilancia masivaPRISM.212El gobierno britnico, como parte de su llamado Programa de Modernizacin de Intercepcin (Interception Modernisation Programme, IMP), est desarrollando un proyecto de vigilancia masiva llamadoMastering the Internet(en espaol: dominar Internet, MTI). La operacin consiste en la insercin de miles deDPI(deep packet inspection, en espaol:Inspeccin profunda de paquete) en los servidores de los proveedores de red, segn lo revelado por los medios britnicos en 2009.213En 2013, los papeles de Snowden revelaron que la NSA haba ayudado financieramente al desarrollo del proyecto con 17,2 millones de libras y que el sistema era capaz de aspirar la seal de hasta 200 cables defibra pticaen cualquier punto fsico de entrada enReino Unido.214Septiembre[editar]The GuardianyThe New York Timesinformaron, a partir de los documentos filtrados, que la NSA ha estado colaborando con las empresas tecnolgicas como parte de un agresivo esfuerzo multifactico para romper los cifrados incorporados en los software comerciales. Tambin sali a la luz que el GCHQ tiene un equipo dedicado a formar grietas en el trfico de datos deHotmail,Google,Yahoo! yFacebook.215216217218219220Israel,SueciaeItaliacolaboran con las agencias de inteligencia estadounidenses y britnicas. Con la firma de un tratado secreto bajo el nombre en cdigoLustre, las agencias de inteligencia francesas transfirieron millones de registros y metadatos a la NSA.6768221222En el ao 2011, laAdministracin de Barack Obamaconsigui en secreto el permiso del Tribunal de Vigilancia de Inteligencia Extranjera para quitar las restricciones a la vigilancia de llamadas y correos electrnicos pon parte de la NSA, lo que permite a la agencia reunir de manera sistemtica enormes depsitos de datos de estadounidenses. Las bsquedas para la recoleccin de datos se realizan en virtud de un programa de vigilancia autorizado en 2008 por el Congreso bajo la seccin 702 de la Ley de Vigilancia de Inteligencia Extranjera. Esto permite espiar a estadounidenses sin autorizacin de los tribunales si existe una causa probable de que la persona se comunique con terroristas, espas o potencias extranjeras. ElFISCextendi el perodo de tiempo que la NSA tiene permitido retener las comunicaciones interceptadas de cinco aos a seis aos, con una prrroga adicional si son por razones de inteligencia o de contrainteligencia extranjera. Ambas medidas se llevaron a cabo sin debate pblico o una autoridad expresa delCongreso.223

Vodafone(nombre en claveGerontic) permit el acceso de las agencias a sus redes de comunicacin.Orange S.A.tambin cedi datos de clientes y sus acciones, al igual que otras compaas del sector.224La agencia de inteligencia alemana, la Bundesverfassungsschutz (BfV), transfiere de manera sistemtica, datos personales de residentes enAlemaniaa laNSA, laCIAy otros siete miembros de la Comunidad de Inteligencia de Estados Unidos a cambio de otras informaciones y software de espionaje.225226227Una rama especial de la NSA, llamadaFollow the Money(FTM), supervisa los pagos internacionales, transacciones bancarias y a travs de tarjetas de crdito y compras y ventas en lnea;228todos estos datos son recogidos y almacenados en una base de datos financiera a cargo de la propia NSA conocida comoTracfin.229La NSA supervis las comunicaciones de lapresidenta de Brasil,Dilma Rousseff, y sus principales colaboradores. La agencia tambin espi al gigante petrolero brasileo estatalPetrobras, as como a diplomticos franceses, y tuvo acceso a la red privada delMinisterio de Asuntos Exteriores de Francia, la red SWIFT.230En losEstados Unidos, la NSA utiliza el anlisis de los registros de llamadas telefnicas y mensajes de correo electrnico de los ciudadanos para crear representaciones grficas sofisticadas acerca de sus conexiones sociales que pueden identificar a sus socios, sus localizaciones en momentos especficos, sus compaer@s de viaje y otros datos personales.231La NSA comparte de manera rutinaria informacin de inteligencia con Israel sin eliminar previamente datos acerca de los ciudadanos estadounidenses.232En un esfuerzo cuyo nombre clave es GENIE, l@s especialistas de cmputo pueden controlar redes de cmputo extranjeras usando implantes encubiertos, una forma demalwaretransmitido de maneraremota con decenas de miles de dispositivos al ao.233234235236Conforme las ventas mundiales de lostelfonos inteligentescomenzaron a superar las de lostelfonos mviles tradicionales, la NSA decidi aprovechar el xito de los primeros. Esto resulta especialmente ventajoso porque el telfono inteligente combina muchsimos datos que podran interesar a unservicio de inteligenciacomo, por ejemplo, los contactos sociales, el comportamiento de los usuarios, sus intereses, su localizacin, sus fotografas y los datos (nmero de cuenta y contraseas) de sutarjeta de crdito.237Un informe interno de la NSA fechado en el 2010 revel que a la agenciale preocupaba la rpida propagacin y desarrollo de los telfonos inteligentes, lo que complicaba el anlisis objetivo tradicional de la informacin.238Segn el documento, la NSA tiene grupos de trabajo dedicados a estudiar y descifrar los distintos modelos y sistemas.239Los modelos, marcas o sistemas para los que existen estos grupos de trabajo incluyen losiPhonedeAppley su sistema operativoiOSo el sistema operativo deGoogle,Android.240Mientras que la NSA se encarga de los anteriormente mencionados, el GCHQ britnico posee un equipo dedicado a estudiar y descifrar lasBlackBerry.241Bajo el ttulo iPhone capability, se descubri que la NSA tena pequeos programas conocidos comoscriptsque permitan a la agencia vigilar a los usuarios de las distintas versiones del sistema iOS (en aquel momento la versin iOS 3 era la ms reciente), sugeolocalizacin, notas de voz, fotos y otras aplicaciones comoGoogle Earth,FacebookoYahoo! Messenger.242Der Spiegelfiltr una presentacin de la NSA de septiembre de 2009 acerca de cmo la agencia tena acceso a los sistemas de los iPhone (vanse aqu)243

Segn documentos vistos porDer Spiegel, la NSA tiene acceso a diversas funciones de los telfonos inteligentes, como lageolocalizacin; resalta el caso de losiPhonedeApple, aunque otros como lasBlackberrytampoco estn libres.

La NSA describa aSteve Jobscomo unGran Hermano, ya que la agencia tiene acceso a sus productos y puede violar fcilmente su privacidad (lo demostraba enseando una foto robada del mvil de untalibnafgano).

En una de sus presentaciones secretas, la NSA se burlaba de los usuarios de iPhone, al ironizar con que ellos son los causantes o cmplices de su propia vigilancia al comprar estos mviles.

La NSA se jactaba de su capacidad de vigilancia mundial y en uno de sus documentos se comparaba con ellibro1984deGeorge Orwell(Who knew in 1984... that is would be big brother... and the zombies would be paying customers) y la icnica publicidad de Apple de la final de laSuper Bowldel ao 1984, que tambin haca referencia al libro.Octubre[editar]

Presentacin de la NSA sobre los mvilesBlackBerryen la que se lee:Your target is using a BlackBerry? Now what?(su objetivo est utilizando una BlackBerry? y ahora qu?). Esta diapositiva muestra unemailenviado por elgobierno mexicanoa una BlackBerry y que fue interceptado por la NSAEl4 de octubredel2013The Washington PostyThe Guardianinformaron de manera conjunta acerca de los repetidos intentos de la NSA y el GCHQ para espiar a usuarios annimos de Internet quienes se han estado comunicando en secreto a travs de la redTor (The Onion Router). Varias de estas operaciones de vigilancia incluyen la implantacin decdigos malignosen las computadoras de los usuarios de Tor que visiten sitios web especficos. La NSA y el GCHQ han logrado bloquear el acceso a esta red annima, desviando a los usuarios de Tor hacia canales inseguros. Las agencias gubernamentales tambin pudieron descubrir la identidad de algunos usuarios annimos de Internet.244245246247248249250251252LaDireccin de Seguridad en las Comunicaciones de Canad(CSEC) ha estado utilizando un programa llamadoOlympiapara registrar las comunicaciones delMinisterio de Minas y EnergadeBrasil: losmetadatosde las llamadas telefnicas y los mensajes de correo electrnico que enva y recibe este ministerio.253254El gobierno federal de Australia saba acerca del programa de vigilancia PRISM meses antes de que Edward Snowden hiciera pblicos los detalles.255256La NSA monitore la cuenta pblica de correo electrnico del entonces presidente mexicanoFelipe Caldern Hinojosa(con lo que tuvo acceso a las comunicaciones de miembros de alto rango de su gabinete), los mensajes de correo electrnico de varios miembros de alto rango de las fuerzas de seguridad de ese pas y los mensajes de texto y de telfono mvil del ahora presidenteEnrique Pea Nieto.257258La NSA trata de recolectar los nmeros telefnicos fijos y mviles -obtenindolos a menudo a travs de diplomticos estadounidenses- del mayor nmero posible de funcionarios extranjeros. El contenido de las llamadas telefnicas se almacena en bases de datos de computadoras que pueden ser analizadas con regularidad utilizando palabras clave.259260La NSA monitorea o monitore las conversaciones telefnicas de 35 lderes mundiales.261A finales de marzo de 2014, sali a la luz que la agencia haba espiado a un total de 122 lderes de todo el mundo. La primera vez que el gran pblico fue consciente de esta situacin fue el 28 de octubre de 2013, con un artculo delWall Street Journalque relataba que una auditora interna del gobierno estadounidense haba arrojado la cifra de 35 lderes espiados.262Por su parte, elGCHQtrat de mantener en secreto sus programas de vigilancia masiva pues tema un debate pblico daino que condujera a acciones legales contra la agencia y sus actividades.263The Guardianrevel que la NSA empez a monitorizar las conversaciones telefnicas de estos lderes despus de que los nmeros de telfono le fueran facilitados gracias a unfuncionariode otro departamento del gobierno estadounidense. Un memorando confidencial de la NSA animaba a altos funcionarios de laCasa Blanca, el Estado yel Pentgonoa compartir sus agendas electrnicas, lo que permitira a la agencia tener acceso a los nmeros de telfono de los principales polticos o empresarios extranjeros de todo el mundo y as implementar sus sistemas de vigilancia. Como reaccin a estas noticias,Angela Merkel, canciller de Alemania, en una cumbre entre laUnin Europeay Estados Unidos acus a este ltimo de abuso de confianza, diciendo que debemos confiar en nuestros aliados y socios, pero el espionaje entre amigos no es en absoluto aceptable sin importar de quien venga o contra quien vaya, y esto se debe aplicar a todos los ciudadanos de Alemania.261La NSA tambin se dedic a recoger en 2010 datos sobre la ubicacin de mviles de estadounidenses comunes y corrientes, pero ms tarde suspendi esta actividad por su bajo valor operativo.264Segn el programa britnico de vigilanciaMuscular, la NSA y el GCHQ se han descompuesto en las principales ligas de comunicaciones que conectan loscentros de datosdeYahooy deGoogleen todo el planeta y gan as la habilidad de recolectarmetadatosycontenidoa voluntad a partir de cientos de millones de cuentas de usuarios.265266267268269El telfono mvil deAngela Merkelfue vigilado por la inteligencia estadounidense.270271272273274275276SegnDer Spiegel, esta vigilancia empez en el 2002277278279y finaliz en el verano de 2013, justo cuando comenzaron las filtraciones sobre la vigilancia mundial.262En cambioThe New York Timesinform queAlemaniatena pruebas que demostraran que la vigilancia a Merkel habra comenzado durante elmandatodeGeorge W. Bush, o sea, en algn momento entre el ao 2000 y 2008. Despus de enterarse de las prcticas de espionaje a su persona, Merkel compar las prcticas de la NSA con la ya desaparecidaStasi.280281El 31 de octubre de 2013, Hans-Christian Strbele, miembro delBundestag alemn, se reuni con Snowden enMoscy declar la disposicin del antiguo contratista a informar al gobierno alemn sobre el espionaje de la NSA.282Estados Unidos posee un programa de recoleccin de seales altamente sensible conocido comoStateroom(camarote), que permite la intercepcin de seales de radio, telecomunicaciones y el trfico de Internet. Se enmarca fuera de las operaciones conjuntas de la alanzaFive Eyesy se utiliza en numerosos lugares de todo el mundo. El programa se utiliza en lasmisiones diplomticasde Estados Unidos y es ejecutado por la NSA, laCIAy un grupo de empresas colaboradoras, este grupo se denominaServicio de Recogida especial(SCS). Sus miembros trabajan de incgnito en reas protegidas por el derecho internacional como embajas y consulados, donde al acreditarse como diplomticos disfrutan de privilegios especiales. Bajo esta proteccin, son capaces de espiar sin prcticamente trabas. Se descubri que, por ejemplo, el SCS utiliza la embajada de Estados Unidos enBerln, que est cerca de laPuerta de Brandenburgo, para vigilar las comunicaciones del distrito gubernamental de Alemania, de su sede de gobierno y de su parlamento.276283284285Dentro del programaStateroom,Australiaopera instalaciones clandestinas para la vigilancia y la intercepcin de llamadas telefnicas en gran parte del continente asitic