Tecnología

Nuevo documento de Snowden muestra que los espías saben lo que estás bajando

La agencia de espionaje electrónico canadiense ha estado operando un programa masivo de vigilancia cuyo blanco son los usuarios de populares sitios web de intercambio de archivos, de acuerdo a un nuevo reporte publicado el miércoles pasado por  ​The Intercept y la ​CBC.

El programa, cuyo nombre en código es LEVITATION, salió a la luz gracias a nuevos documentos obtenidos por el denunciante de la NSA, Edward Snowden. Fue creado por el establecimiento de seguridad comunicacional de Canadá (o CSE, por sus siglas en inglés) para identificar y localizar a usuarios alrededor del mundo que accedan a archivos como “propaganda Jihadista” o guías para hacer bombas en sitios como Rapidshare y el extinto Megaupload.

Videos by VICE

​De acuerdo con los documentos, los analistas de CSE “ven alrededor de 10 a 15 millones” de cargas y descargas cada día, pero sólo “350 descargas interesantes cada mes”, lo que es cerca del 0.0001 por ciento de todo el tráfico.

Diapositiva de la presentación obtenida por The Intercept gracias al denunciante Edward Snowden.  ​Photo: CBC and The Intercept

La información está en una presentación de PowerPoint del año 2012. De todas formas no está claro por cuanto ha existido LEVITATION, si aun está en uso y que agencias asociadas a Canadá tienen acceso al programa, un grupo que incluye a Estados Unidos, Gran Bretaña, Nueva Zelanda y Australia, conocidos como los “cinco ojos”.

Cómo funciona LEVITATION 

Este nombre en código apareció previamente en otro documento de Snowden del 2012, el que  ​fue publicado el 2013 en The Globe and Mail, describiendo el programa OLYMPIA de la CSE. OLYMPIA se refiere a una “máquina de conocimiento en red”, la que combina información de varios programa de vigilancia y otras bases de datos de la CSE para su análisis y focalización, incluyendo LEVITATION.

Una vez que ha sido identificado un usuario sospechoso por cargar o descargar archivos en los sitios web que monitorea la agencia a través de LEVITATION, los analistas de CSE pueden usar esa dirección IP en conjunto con otras bases de datos de vigilancia y averiguar sus actividades pasadas. Por ejemplo, el documento habla de un programa de vigilancia electrónica de la agencia inglesa GCHQ llamado MUTANT BROTH. El programa acumula billones de cookies interceptadas. “las que se usan para correlacionar una dirección IP y así poder determinar la identidad de una persona”  ​de acuerdo a un reporte anterior de The Intercept.

Diapositiva de la presentación obtenida por The Intercept gracias al denunciante Edward Snowden.  ​Photo: CBC and The Intercept

“La CSE está espiando las actividades en línea de millones de personas inocentes, incluyendo canadienses, pese a que el gobierno asegura lo contrario” dijo David Christopher a través de un comunicado, él es vocero del grupo de defensa de las políticas en Internet, OpenMedia. “Los usuarios de internet que respetan la ley y usan servicios de alojamiento de archivos, ahora se encuentran bajo el microscopio del gobierno”.

El año pasado otro documento de la CSE fue liberado y ahí se detallaban los esfuerzos de la agencia por identificar blancos que se conecten a redes WiFi públicas y monitorear sus pasos y futuros movimientos alrededor del mundo. El programa fue probado en un gran aeropuerto de Canadá y  ​fue criticado por su colección indiscriminada de datos de los usuarios.

De todas formas parece que la CSE recibió al menos dos piezas exitosas de inteligencia desde LEVITATION, de acuerdo a los documentos. En una instancia fue “el video de un rehén alemán desde un blanco previamente desconocido” y el otro fue la estrategia de rehenes de una organización terrorista.

“Es la primera vez que una historia reporteada implica a la CSE como una de las agencias líderes en programas de vigilancia masiva” le dijo Gleen Greenwald, un periodista de The Intercept, a la CBC.

¿Desde dónde provienen todos estos datos?

En vez de monitorear cada compañía de intercambio de archivos individualmente, el documento alude a una “fuente especial” conocida sólo por el nombre en código ATOMIC BANJO, que es responsable de una colección de “metadatos HTTP” desde 102 conocidos sitios de intercambio de archivos (Sendspace, Rapidshare y el fallecido Megaupload eran los únicos identificados por su nombre).

“Una ‘fuente especial’ se refieres típicamente al acceso a almacenes de datos corporativos o flujos de datos corporativos, pueden ser proveedores de acceso a internet o centros de datos, algo como eso. Cables transatlánticos también” dice Christopher Parsons, un estudiante de postdoctorado en Citizen Lab, quien estudia vigilancia y otras políticas digitales problemáticas para el Munk School of Global Affairs de la universidad de Toronto. “El acceso se basa en un acuerdo contractual, un pago monetario o algo por estilo. Podemos decir que algunos individuos en la organización conocida como ‘fuente especial’ saben lo que está sucediendo”.

Un ejemplo es la relación de la NSA con AT&T y Verizon en los Estados Unidos.  ​Estas dos compañías fueron cómplices de entregar datos de sus usuarios.

De hecho la frase “fuente especial” ha sido usado por las agencias de inteligencia de “los cinco ojos” en documentos anteriores de Snowden y se refiere a un código para acceder a la infraestructura de las comunicaciones globales, como los cables de fibra óptica. Por ejemplo, ​ un documento de la NSA decía que RAMPART (un programa que se basa en “operaciones de fuentes secretas”) funciona gracias a que “socios internacionales proveen acceso a los cables y alojan equipamiento de Estados Unidos… para transporte, proceso y análisis”.

​De acuerdo a un reporte de The Guardian del 2013, un programa de GCHQ llamado Tempora tenia la habilidad de archivar “grandes volúmenes de datos extraídos desde cables de fibra óptica para que pudiera ser examinados y analizados hasta por 30 días”.

Diapositiva de la presentación obtenida por Edward Snowden,  ​y publicada por Der Spiegel el mes pasado. ​​Photo: Der Spiegel​

En el caso de la CSE,  ​un documento publicado por el diario alemán Der Spiegel a comienzos del mes pasado, describe una “plataforma de detección de amenazas cibernéticas” llamada EONBLUE. De acuerdo al documento, EONBLUE estuvo en desarrollo por 8 años para noviembre del 2010 (la fecha en que fue publicado el documento) y está conformado por más de 200 sensores desplegados alrededor del globo, los que usan “​programas de recolección de datos, incluyendo fuentes especiales“.

Lo que hace importante a EONBLUE, dice Parsons, es que ahora sabemos que “Canadá tiene sitios alrededor del mundo. Y basados en los documentos previos sobre las operaciones con fuentes especiales, hemos visto que se tiene acceso a grandes volúmenes de datos. Es probable que EONBLUE también sea usado para acceder a grandes cantidades de datos”.

Una de las capacidades de EONBLUE es la recolección de metadatos. No está claro si los metadatos recolectados por ATOMIC BANJO estén relacionados con los metadatos de EONBLUE.

“Es posible pero no haya evidencia que indique una correlación directa” dice Parsons.

De acuerdo a un email del vocero de CSE, Ryan Foreman, “Las señales extranjeras de inteligencia del CSE han jugado un papel vital en el descubrimiento de células extremistas en el extranjero dedicadas a atraer, radicalizar y entrenar individuos para que lleven a cabo ataques en Canadá y otros países. De acuerdo a la ley, la inteligencia exterior y las actividades de ciber defensa están enfocadas en entidades extranjeras para poder proteger a los canadienses contra amenazas, incluyendo terrorismo y ciber ataques”.

La agencia no respondió preguntas sobre LEVITATION y sobre cuáles programas aun están en uso.