Lo que todo el mundo pudo ver por televisión el pasado 6 de enero (día de Reyes), el asalto por parte de una turba al Capitolio de los Estados Unidos, nos dejó perplejos, pero sus implicaciones van más allá de las políticas y sociales hasta llegar a un terreno tan escabroso como es el de la seguridad y, concretamente, el de los secretos de estado.
Al dar comienzo el asalto, se llevó a cabo la evacuación del edificio para evitar que la masa enfurecida que penetraba por los pasillos pudiera dar con algunos de los objetivos de su ira, como el vicepresidente Mike Pence.
En el contexto caótico de los eventos, no se pudo evitar que la misma evacuación fuera bastante caótica, y que durante esta, algunos senadores y representantes marcharan dejándolo todo tal y como estaba, seguramente por no conocer exactamente lo que estaba pasando ni calcular los riesgos potenciales que ello comportaba. Entre las cosas que dichas personas dejaron “tal cual” se contaban también ordenadores portátiles que, en algunos casos pudieron haberse dejado funcionando y con el ‘login’ de usuario realizado... con capacidad para acceder a documentación clasificada como secreta.
En el Capitolio se dan cita las dos cámaras de las que se compone el gobierno norteamericano, el Senado y la Cámara de Representantes. Diversos miembros de ambas cámaras, así como otro personal que también trabaja en el edificio, necesita tener acceso a material clasificado del Departamento de Defensa, lo que incluye potencialmente tanto documentación impresa como acceso a las redes de datos a través de dispositivos electrónicos.
Durante el asalto se produjo también el pillaje, como denuncia el senador demócrata por Oregon, Jeff Merkley, quien denuncia en este vídeo colgado en Twitter el deplorable estado en el que quedó su despacho, y en el cual hace notar explícitamente el latrocinio de su ordenador portátil.
Todo esto, y lo que sigue a continuación, lo cuenta en detalle el sitio web SOFREP, dedicado a la información del ámbito militar, citando una fuente del Pentágono que ha preferido quedar en el anonimato.
A la hora de escribir estas líneas, desde el Departamento de Justícia todavía se estaba llevando a cabo un recuento de los ordenadores portátiles que habían sido robados. En el caso que alguno de estos contenga información clasificada como confidencial (y si es el caso, algo que las agencias implicadas han declinado reconocer abiertamente), los ladrones se enfrentan a una pena de hasta diez años de prisión, que es la que corresponde al robo de información clasificada.
Un acceso difícil pero no imposible
Supongamos que alguno de los ordenadores sustraídos contiene información sensible en materia de defensa, inteligencia y seguridad. ¿Es posible acceder a ella? y, en dicho caso ¿cuán difícil es este acceso?
Los senadores y representantes que, para su trabajo, necesiten acceder a contenidos clasificados, deben solicitar una acreditación, por lo cual, y en primera instancia, debería ser fácil revocar sus permisos de acceso como usuarios, suponiendo una primera barrera si estos ordenadores sustraídos son conectados a una red de datos como Internet.
No obstante, la fuente de SOFREP afirma que algunas de estas máquinas pudieron ser dejadas en funcionamiento, y abiertas con el login realizado, y conectadas a SIPRNet, una red gubernamental privada que contiene la información sensible en materia de defensa.
Para realizar el login en dicha red, se necesita una tarjeta identificativa que, si se saca de la ranura de lectura del ordenador, automáticamente se expulsa al usuario de la red hasta que vuelva a introducir dicha tarjeta. Además de este token, el almacenamiento interno de estos ordenadores está protegido criptografiándolo mediante la tecnología BitLocker que Microsoft implementa en Windows.
Por lo tanto, si alguien quiere acceder a SIPRNet por fuerza bruta, debe superar en primer término el login, luego el token, y finalmente la encriptación si es que se ha hecho con un ordenador. Si el login ya había sido realizado, el acceso a los ficheros almacenados en local es relativamente simple, según la misma fuente que explica las consecuencias del asalto para la seguridad nacional.
Pero el problema todavía puede ser mayor si quien encontrara uno de estos ordenadores conectados a SIPRNet lo utilizó, en el mismo Capitolio, para acceder a la información clasificada, descargarse ficheros o, incluso cargar ficheros en el servidor como, por ejemplo, un spyware o un virus.
Estos ordenadores disponen también de protección ante la conexión de pendrives pero, como bien afirma la fuente de SOFREP, alguien que disponga de buenos conocimientos técnicos, puede realizar un bypass de las protecciones en cuestión de minutos si tiene acceso a una máquina física.
Las condiciones de ‘trabajo’ para un hacker se dan: el asalto al Capitolio empezó a las 15:00 hora de Washington, y las fuerzas de la ley empezaron el desalojo de los manifestantes alrededor de las 17:40. Una persona experta y con experiencia puede conseguir mucho en cuestión de minutos si va preparada, y la fuente de SOFREP afirma que es plausible que entre la turba que se manifestaba hubiera desde agentes rusos y chinos en calidad de observadores pero que podrían haber estado preparados para cualquier contingencia, hasta ciberdelincuentes esperando una oportunidad. El tiempo, pues, jugaba a favor de cualquier asaltante.
En manos de un ladrón convencional, estos ordenadores tienen poco valor, ya que difícilmente podrá llegar a saltarse todas las protecciones explicadas para acceder a la información, y difícilmente sabrá qué hacer con ella, aunque podría llegar a venderlo -por ejemplo, en la deep web- a alguien que sí sepa qué hacer exactamente con él.
Tareas de mantenimiento muy sospechosas
Tras el asalto al Capitolio, el mismo miércoles día 6 la red secreta SIPRNet fue cerrada durante unas horas para desplegar una actualización, y al día siguiente, jueves 7, el USASOC (United States Army Special Operations Command), comando que administra la red, emitió una circular por e-mail en la que informaba que cualquier ordenador que no pudiera ser inventariado antes de acabar el día, sería expulsado de la red.
Desde el USASOC, y preguntados por SOFREP, han negado que tal actualización y la posterior circular tengan nada que ver con los sucesos del día de Reyes, sino que son debidos a un “esfuerzo administrativo”, aunque la coincidencia en el tiempo y la premura de una acción de la que, parece, no se avisó antes, llevan a pensar que desde este organismo se busca paliar posibles problemas.
Desde dónde sí se han mostrado preocupados por la posibilidad que los ordenadores sustraídos puedan caer en malas manos, es desde el Departamento de Defensa, desde el cual no se descarta la posibilidad de que alguna información confidencial sobre defensa pueda haber sido comprometida.