La paranoia como recurso de seguridad ante el espionaje digital
Ante un viaje de negocios a China o Rusia, las compañías u organismos gubernamentales estadounidenses recomiendan a sus empleados no comprometer sus dispositivos electrónicos ante el robo de datos confidenciales
SAN FRANCISCO.- Cuando Kenneth Lieberthal, experto en China de la Brookings Institution, viaja al gigante asiático lo hace con una rutina que parece sacada de una película de espías.
Deja su celular y notebook en casa y en cambio trae dispositivos "prestados", a los que les borra todo antes de salir de Estados Unidos y vuelve a borrar en el instante que regresa. En China desactiva los servicios Bluetooth y Wi-Fi, nunca deja el celular fuera de su vista y en las reuniones no solo apaga su celular sino que le quita la batería, por temor a que puedan encender su micrófono de forma remota.
Solo se conecta a Internet mediante un canal encriptado, con protección de clave, y copia y pega su clave de una diminuta memoria flash llamada thumb drive (pulgar) que se conecta por USB. Nunca escribe una clave directamente porque, según dijo, "los chinos son muy buenos para instalar software que graba lo que uno teclea en su notebook".
Lo que en un tiempo pudo haber sonado como la conducta de un paranoide ahora es el procedimiento operativo estándar para funcionarios de entes oficiales estadounidenses, grupos de investigación y compañías que hacen negocios en China y Rusia , como Google, el departamento de Estado y el gigante de seguridad de Internet McAfee. Los expertos en seguridad dicen que el espionaje digital en estos países es una amenaza real y creciente, se trate de la búsqueda de información gubernamental confidencial o secretos comerciales corporativos.
"Si una compañía tiene propiedad intelectual significativa que interesa a chinos o rusos, y uno va allí con dispositivos móviles, sus equipos van a ser interceptados", dijo Joel Brenner, ex funcionario de contra inteligencia de la oficina del director de inteligencia nacional.
El robo de secretos comerciales fue por mucho tiempo obra de gente de las propias empresas: topos corporativos o empleados resentidos. Pero se ha vuelto más fácil robar información remotamente por Internet, debido a la proliferación de teléfonos inteligentes y la tendencia de los empleados a enchufar sus dispositivos personales en redes laborales y llevar información de la empresa consigo.
Según los expertos en seguridad, el modus operandi preferido de los hackers es obtener acceso a dispositivos portátiles de los empleados y de allí saltar a las redes de los empleadores, robando secretos sin dejar rastro.
Quienes son blanco de los ataques de hackers son renuentes a hablar de ellos y escasean las estadísticas. La mayoría de las violaciones de la seguridad no son reportadas -según expertos en seguridad- porque las víctimas corporativas temen el efecto que la difusión de esa información podría tener sobre el precio de sus acciones, o porque los afectados no lo saben. Pero la magnitud del problema es ilustrada por un incidente en la Cámara de Comercio de los Estados Unidos en 2010.
La cámara no supo que -junto con las organizaciones adheridas a la misma- había sido víctima de un robo cibernético que había durado meses hasta que el FBI dijo al grupo que servidores en China estaban robando información de cuatro de sus expertos en política para Asia que frecuentan ese país. Para cuando la Cámara puso un dispositivo de seguridad en su red, los hackers se había llevado al menos seis semanas de correo electrónico con las organizaciones asociadas, lo que incluye la mayoría de las más grandes corporaciones del país. Más tarde la cámara descubrió que la impresora de una de sus oficinas, e incluso un termostato en uno de sus departamentos corporativos, seguían comunicándose con una dirección de Internet en China.
La cámara no dio a conocer cómo habían infiltrado sus sistemas los hackers, pero su primer paso después del ataque fue prohibir a los empleados llevar dispositivos consigo "a ciertos países" en particular China, dijo un vocero.
La implicancia, dijo Jacob Olcott, un experto en ciberseguridad de Good Harbor Consulting, fue que los dispositivos llevados a China eran hackeados. "Todos saben que si uno hace negocios en China, en el siglo XXI, no se lleva nada consigo. Esa es la primera lección de hacer negocios allí o al menos debiera serlo".
Las embajadas de China y Rusia en Washington no quisieron hacer comentarios frente a varios pedidos. Pero luego de que Google acusara a hackers chinos de meterse en sus sistemas en 2010, funcionarios chinos hicieron esta declaración: "China está comprometida con la protección de los derechos e intereses legítimos de compañías extranjeras en nuestro país". De todos modos expertos en seguridad y funcionarios oficiales de Estados Unidos dicen que están cada vez más preocupados por la intromisión desde estos países en redes corporativas, sea a través de dispositivos móviles u otros medios.
La semana pasada, James R. Clapper, director de inteligencia nacional, en un testimonio ante el Comité de Inteligencia del Senado alertó del robo de secretos comerciales por "entes" dentro de China y Rusia. Y Mike McConnell, ex director de inteligencia nacional, y ahora consultor privado, dijo en una entrevista, "Analizando sistemas computacionales importantes -en el gobierno, el Congreso, en el departamento de Defensa, en el sector aeroespacial, en compañías con secretos comerciales valiosos- no hemos examinado uno solo que no estuviera infectado por una amenaza avanzada persistente".
Tanto China como Rusia prohíben a los viajeros ingresar al país con dispositivos encriptados, a menos que tengan permiso del gobierno. Cuando funcionarios de esos países visitan Estados Unidos, adoptan precauciones extra para evitar el hackeo de sus dispositivos, según expertos de seguridad.
Ahora compañías, entes oficiales y organizaciones de Estados Unidos hacen lo mismo, imponiendo la norma de no llevar dispositivos portátiles. El representante Mike Roger, republicano de Michigan que es presidente del Comité de Inteligencia de la cámara baja, dijo que sus miembros solo pueden llevar dispositivos "limpios" a China y se les prohíbe conectarse a las redes oficiales mientras estén en el extranjero. En cuanto a él mismo, dijo que viaja "electrónicamente desnudo".
En el departamento de Estado se da a los empleados instrucciones específicas respecto de cómo asegurar sus dispositivos en Rusia y China, y anualmente reciben cursos de actualización de los principios generales de seguridad. En la Brookings Institution, Lieberthal asesora a compañías que hacen negocios en China. Dijo que no hay una política formal que imponga que los empleados deben dejar sus dispositivos en casa, "pero por cierto que educan a los empleados que viajan a China y Rusia en ese sentido".
McAfee, la compañía de seguridad, dijo que si el dispositivo de un empleado es inspeccionado en la frontera china, nunca volverá a ser conectado con la red de McAfee. Jamás. "Simplemente no corremos el riesgo" dijo Simon Hunt, un vicepresidente.
En AirPatrol, una compañía con sede en Columbia, Maryland, especializada en sistemas de seguridad inalámbricos, los empleados solo llevan dispositivos alquilados a China y Rusia, nunca activan la conexión Bluetooth y siempre apagan el micrófono y la cámara. "Operamos bajo el supuesto de que inevitablemente nuestra seguridad se verá comprometida", dijo Tom Kellermann, el jefe de tecnología de la compañía y miembro de un panel creado por el Centro para Estudios Estratégicos e Internacionales para asesorar al presidente Obama en materia de ciberseguridad.
Google dijo que no comentaría sobre sus políticas internas de viaje, pero empleados que hablaron a condición de mantener el anonimato dijeron que la compañía les prohíbe llevar datos confidenciales a China, exigiendo que solo lleven laptops prestadas o que permitan la inspección de sus dispositivos al regreso.
Legisladores federales están analizando proyectos de ley que apuntan a frustrar el ciber-robo de secretos comerciales, aunque no está claro si esa legislación tendría relación directa con problemas que surgen de los viajes de negocios al exterior.
Mientras tanto las compañías tienen filtraciones de información crítica, muchas veces sin darse cuenta.
"Los chinos son muy hábiles para cubrir sus rastros", dijo Scott Aken, ex agente del FBI que se especializó en contra-inteligencia e intrusión en computadoras. "En la mayoría de los casos, las compañías no se dan cuenta que han sido afectadas hasta años más tarde, cuando un competidor extranjero saca el mismo producto un 30 por ciento más barato".
"Ya perdimos nuestra base manufacturera", dijo. "Ahora estamos perdiendo nuestra base de Investigación y Desarrollo. Si perdemos eso, ¿qué nos queda?"
© NYT Traducción de Gabriel Zadunaisky