Transcription performed by LeahTranscribesJACK: ¿Qué es un mercenario? Vamos a buscarlo. A ver. Hay dos acepciones. Un soldado contratado para servir a un ejército extranjero. Y la segunda, una persona que desempeña un empleo puramente por dinero. Entendiendo que no tendrán lealtad con nadie más que con quien les pague, supongo. Son mandados: les pagan, hacen el trabajo, y no deberían hacer muchas preguntas. Pero los mercenarios son personas. Y las personas, son complejas. Tienen emociones, y al final del día, tienen lealtad para algunas causas, aunque les paguen para olvidarlas. Si le pagas a un mercenario para hacer un trabajo que choca con su línea moral, es muy probable que se cree un conflicto… y que todo se desmorone. JACK (INTRO): [MÚSICA DE INICIO] Estas son historias reales del lado oscuro de internet. Esto es Darknet Diaries, en español. [FIN DE MÚSICA DE INICIO] JACK: Empezamos… ¿Estás listo? DAVID: Sí señor. JACK: ¿Nos dices tu nombre? O algún alias para nombrarte en el programa, y qué es lo que haces. DAVID: Hola, sí, me llamo David, y soy un tipo de analista de inteligencia ofensiva. Sigo la pista de hackeos de inteligencia extranjera en los Estados Unidos. A eso me dedico ahora.
JACK: Wow. Tengo muchísimas preguntas solo con esa respuesta. Dijiste “analista de inteligencia ofensivo“?
DAVID: Correcto.
JACK: Nunca había oído algo así. ¿Qué significa?
DAVID: Pues, si una organización de inteligencia extranjera consigue acceso a algún tipo de infraestructuras críticas estadounidenses, pues eso sería algo en lo que yo ayudaría a investigar.
JACK: Este episodio va a estar genial. Es muy emocionante para mí, porque David nos va a contar una historia que hasta hace poco era secreto, y aún hoy tiene mucho misterio. Entonces, vamos a ello. Todo empieza cuando David era adolescente. En bachillerato, no estaba metido para nada en temas de computadoras.
DAVID: Bueno, era corredor de fondo. Me involucraba mucho en todo tipo de actividades cocurriculares, en la delegación de alumnos y esas cosas.
JACK: Se graduó de bachiller, y luego de la universidad.
DAVID: De hecho en Religión y filosofía. JACK: Muy interesante. Tomemos nota. Los valores morales y la ética que debes considerar cuando cursas estudios universitarios en religión y filosofía.
DAVID: Mis objetivos en aquel momento eran plantear una carrera junto a compañeros con los que pudiera hacer un impacto positivo. Y sí que indagué en, “hey ¿a lo mejor puedo ser capellán?” Pero, ya sabes, hablando con gente de ese contexto: “bueno, yo ni siquiera he conocido a mi capellán” o “bueno, nunca he tenido una conversación real con él” o “no le conozco”. Me di cuenta de que si realmente quería, ¿marcar la diferencia?en la vida de las personas, no iba ser siendo capellán. JACK: Al graduarse, David se termina uniendo al ejército. A la marina.Hizo su bootcamp, los entrenamientos, y lo termina logrando con facilidad. Directamente, soldado de la marina. Pero no era suficiente…
DAVID: Mii formación inicial era en “BUDS”. Así que me apunté, ya sabes, al camino de ser un Navy Seal, y ver qué tal se me daba. JACK: Wow! BUDS. Basic Underwater Demolition Training, entrenamiento de demoliciones bajo el agua, debes pasar por ahí para ser un SEAL. Es el entrenamiento más intenso, riguroso y exigente del ejército. Le dicen Semana Infernal, pero es bastante más de una semana. Los que lo logran, prácticamente se convierten en hombres-rana, además de expertos en combate con armas.
DAVID: (MÚSICA) Cuando hablé con un Navy SEAL y su mentalidad era: “la última vez que me fui a una misión, había matado de todas las maneras posibles menos con un cuchillo”. Y fanfarroneaba de eso y realmente quería conseguir esa muerte a cuchillo. Y eso fue como, okay, ¿sabes qué? No es en lo que me quiero convertir. Como, no estoy diciendo que todos los Navy SEAL sean así; pero si potencialmente alguien se puede convertir en eso a mí también me puede pasar, y era algo que quería evitar. Es un trabajo importante, y les tengo mucho respecto a los Navy SEALS, pero, más o menos tenía esta inquietud de que, ya sabes, yo realmente no quiero convertirme en eso.
JACK: Es un entrenamiento muy intenso, y sí, definitivamente necesitarías re-pensar muchas cosas estando allí. Te cuestionas si realmente lo quieres, o si realmente tienes la capacidad físico de hacerlo siquiera. Es un tema de empujarte a ti mismo sobre tus propias expectativas de límite, algo que nunca pensaste que podrías hacer, y que si trabajas tanto por sobrepasar esos límites… es mejor que tengas ganas de hacerlo.
David no estaba seguro si ser un Navy SEAL era para él. Él sabía que los Navy SEAL no eran un montón de asesinos, pero sí que empezó a cuestionarse si lo quería de verdad. Tiró la toalla, y se salió del BUDS, para buscar alguna otra profesión dentro de la marina. Seguía sin interesarle las computadoras. Sabía chequear Facebook, emails y poco más. Es un tipo grande, muy fuerte, y que sabe mucho sobre religión y filosofía. Viendo sus opciones, hubo una que le guiñó el ojo. Cyber-warfare, entrenamiento de guerra cibernética. Se apuntó. Inmediatamente necesitaba formarse.
DAVID: Ah, bueno, este entrenamiento era bastante básico. Quiero decir, cuando digo “básico” no es que sea “básico,” es que, ya sabes, es el mismo tipo de entrenamiento que te darían en otro lado desde el punto de vista de ciberseguridad, pero aquí el ritmo es significativamente más rápido. Así que, así que en vez de en vez de, ya sabes, hacer un programa de 12 semanas para aprender a programar haces todo eso en una semana. Literalmente en una.
Y te ponen a aprender desde lenguajes de ensamblador, hasta todo tipo de lenguajes de más alto nivel, y cómo ellos interactúan con los lenguajes de ensamblador y cómo programar. Ya entiendes el proceso, cómo funciona todo más o menos. Y entonces, vas hasta ese punto, luego de vuelta a la capa de aplicación, y luego bajas hasta la capa de explotación. Ya sabes, la capa de explotación, en ese entorno, no se enseña, ya sabes, buffer overflows, exploitation analysis, eso no se te enseña hasta que te metes a trabajar o en otros departamentos.
JACK: Es muy loco, ¿no? La marina enseña a sus soldados a hackear. Quiero decir, ya lo sabía, pero es una locura pensarlo. Así que se formó, y empezó a trabajar como analista de seguridad para la marina. DAVID: Sí, preparé mi solicitud durante tres o cuatro meses antes de darme cuenta de que - bueno, en ese momento cuando estaba aprendiendo cómo ser analista de ciberseguridad o de analista de exploits, o en general cómo dedicarme a los temas de informática, me di cuenta de que, más o menos me gustaba y que tenía- A ver, de ninguna manera era un experto en esto, desarrollo de exploits, pero, pero si entiendo los conceptos, y no me vengo abajo, pues así me animo a sacarlo adelante. Y en esa época de formación, pues lo que hice fue comprar un servidor de Mac Pro, por ejemplo, instalé ESXI, y comencé a montar stacks y voy aprendiendo esto del trabajo y, ya sabes, no voy a copiarlo, ni a tomar el mismo concepto exacto porque se supone que tampoco debemos hacer eso pero, yo puedo hacer un layout similar, diseños parecidos, y replicar esto en casa para seguir aprendiendo. Así que podría ser, “voy a, ya sabes, voy a aprender a hacer pivoting en una máquina” o “voy a explotar el active directory y dominios de confianza asociados y cosas así.” Poder construir cosas así, me permi-, más o menos hizo que creciera mi fascinación sobre ello. JACK: [MÚSICA] Esta es una de las cualidades importantes de David. No hacía su trabajo y se iba a casa a descansar. Se empeñaba, y construyó un estudio en casa para practicar en su tiempo libre y mejorar. Quien quiere ser el mejor en lo que hace, debe tener esa mentalidad y no conformarse con el mínimo. Y con la Marina enseñándole, y la práctica en casa, se volvió bastante bueno en el hackeo. De hecho su especialidad no era solo entrar, sino moverse lateralmente y rebuscar en los servidores para encontrar información valiosa. Después de 4 meses, se trasladó a la NSA. Lo reclutaron porque estaba haciendo un trabajo que era valioso para ellos, analista de exploits. Estuvo allí…DAVID: Diría que desde Agosto de 2011… hasta Agosto de 2014, unos tres años.
JACK: Y en ese momento, se abrió otra puerta. DAVID: Para ese momento ya estaba casado. Probablemente, mientras estaba allí, serían unos… casi 2 años los que yo llevaba casado. Y dije es hora de dejar el servicio. Me habían hecho una oferta para quedarme allí en el campus, digo en la NSA. Luego otra organización, bueno en realidad un recruiter me llamó y me dijo, “oye”. JACK: Había un recluta de la compañía CyberPoint. Esta compañía ejecutaba diferentes tipos de hackeos. Básicamente, si aceptase, sería un hacker mercenario. El gobierno americano le da permisos a ciertas compañías para hacer estas cosas. Los detalles son un poco misteriosos, pero a esta empresa, el gobierno la había aprobado para hacer estos trabajos. David escuchó los detalles de la oferta. DAVID: …que estaría haciendo, esto, todo tipo de trabajo ofensivo. Tal vez seguridad, tal vez inteligencia ofensiva. Y, eso sería, serían pues serían algunos de los objetivos. JACK: ¿Me darías un ejemplo del tipo de trabajo ofensivo que tendrías que hacer? DAVID: Bueno, en conversaciones previas si entendí bien, podías estar un día trackeando organizaciones terroristas para ayudar y agilizar el trabajo del gobierno de Estados Unidos. [MÚSICA] Y bueno estamos ayudando desde allí para proteger a su país. Nuestro planteamiento principal era, vamos allí y ayudamos a proteger su país. JACK: Sonaba demasiado bien para David. Ayudar a proteger el país, ¿luchar contra los terroristas para disminuir la carga de trabajo de las fuerzas estadounidenses? ¡Muy bien! La compañía se llamaba CyberPoint y estaba en Baltimore, en Estados Unidos. Como es típico, no te dan toda la información hasta que firmas un acuerdo de no divulgación, NDA. Pero había un punto más en ese contrato. Un detalle… Si aceptaba, tendría que mudarse a Abu Dabi en los Emiratos Árabes, durante los dos años de duración de su contrato. DAVID: Nunca habíamos viajado, no habíamos ido a ningún sitio… Quiero decir yo sí, antes, pero, estando casados, mi mujer no. Y así que, ya sabes, tomamos esa decisión juntos… JACK: Decidieron aceptar. Y se mudaron a Abu Dabi. [MÚSICA] Empacaron lo necesario, se despidieron de su familia, y se mudaron a los Emiratos Árabes Unidos, en el medio oriente. ¿El nombre de la unidad de hackeo a la que se unió David? Project Raven. DAVID: Durante los primeros 30 a 60 días, realmente estás viviendo en un hotel. Quiero decir, es, hum hay tantas “red flags” cuando vas para allá que te dices a ti mismo: “no debería estar haciendo esto”. JACK: ¿Me cuentas alguna? DAVID: Bueno, el hecho de que te dan dos informaciones distintas que explican la información confidencial. Esa es una de ellas. Te dicen “esto es lo que te dijimos que ibas a hacer, pero en realidad es esto otro lo que vas a terminar haciendo”.
JACK: Cuando se une alguien nuevo al Project Raven, tienen dos reuniones seguidas. La primera, la reunión Púrpura. En esta reunión púrpura te dan una carpeta con información. En ella dice que tu trabajo será estrictamente defensivo, aplicando medidas de ciber seguridad como firewalls, sistemas de detección de intrusos, y otras medidas de defensa. Y en cuanto termina esa reunión, te informan que todo es mentira. Es lo que le debes decir a tus amigos y familiares si te obligasen a decirles a lo que te dedicas. Y directamente pasas a la Reunión Negra, con una carpeta con información nueva. En esta reunión negra, la historia es muy distinta. Aquí te dicen que estarán apoyando a la NISSA a ejecutar operaciones ofensivas. Aquí explicaban que la NISSA es una parte secreta del gobierno de los Emiratos Arabes, similar a la NSA, y que estaría ayudando a explotar aparatos electrónicos y conseguir información de personas. Para cualquier persona, estas dos reuniones una detrás de la otra, es un red flag. Para alguien que viene del ámbito militar y la NSA, es más o menos común. Una historia para cubrirte, y luego lo que realmente sucede. Para David no era nada en lo que desconfiar. DAVID: El lugar desde el que trabajábamos era una casa de campo, una casa reconvertida. Así que, en teoría nuestras parejas no debían siquiera saber dónde estaba la casa, aunque eso es absurdo, porque a alguna gente le llevaba su pareja al trabajo. JACK: La casa donde trabajaban, no era una casa de campo normal. Conseguí ver unos planos, a ver si logro describirla. [MÚSICA] Era una mansión, bastante grande, pero reconvertida a unos espacios de oficina. Supongo que era una buena forma de esconderse, parecía un sitio bastante privado y silencioso, alejado del público. Definitivamente un buen sitio para una agencia de hackers espías. En esa mansión es donde se llevaba a cabo Project Raven. Tenía dos pisos, con una habitación de servidores, una oficina de administración, un cuarto de conferencias, el centro de operaciones y un par de cocinas. Y unos cuantos guardias de seguridad de aquí para allá. Docenas de personas trabajaban allí, o al menos tenían algo que hacer en el sitio, iban y venían. Imagino que serían unas 30 personas. Las operaciones funcionaban así: primero, una orden. La misión se le entregaba a la administración, y ellos localizaban los objetivos. Luego entraba el centro de operaciones. El equipo de infraestructuras usaba identidades falsas y bitcoin para alquilar servidores por el mundo. Una precaución por si el objetivo se diese cuenta de que está siendo espiado e intenta localizarlos, nunca podría llegar a la casa. Hay un vacío anónimo y sin información en el medio. Luego, otro equipo empezaba a crear una estrategia contra el objetivo usando sus redes sociales y toda la información que puedan conseguir en internet, cómo entrar en su computadora, en su teléfono… Una vez saben cuáles son las opciones, deciden un método de explotación, o crean uno. Eran buenos, muy buenos. Sabían que mientras más información sobre el objetivo tengas, más fácil es crear un método para entrar. Luego entraba el equipo de acción.
Les daban las herramientas y la info. El equipo entraba a la computadora y al teléfono para sacar toda la información y tener más datos. Fotos, correos, llamadas, mensajes de texto, localizaciones… Todo en secreto y en silencio, y el objetivo nunca se daba cuenta. Luego esto se le entrega a la administración, y ellos a quien los hubiera contratado. Muy efectivo, en realidad, lo tenían controladísimo. Te preguntarás quién controlaba todo esto… Y la respuesta es, claro, el gobierno de los Emiratos Árabes Unidos. Parecía que los Emiratos querían crear su propio equipo de hackers, y contrataban un grupo de ex agentes de la NSA para que entrenaran a su personal. Aprenderían cómo operaban y cómo formar su propio equipo.
DAVID: En este punto, cuando empecé a trabajar, todo era bastante fiable, como que sabíamos qué es lo que estábamos haciendo, en qué estábamos trabajando, cuáles eran nuestros objetivos… Todos estábamos enfocados en lo mismo y entendíamos cual era el propósito de nuestro trabajo. JACK: Parecía que todos los objetivos que le asignaban a David eran parecidos, y todo iba correctamente.
DAVID: era ver qué se podría percibir como actividad terrorista, y estábamos protegiendo infraestructura local. JACK: Tiene sentido, ¿no? Cualquiera lo entendería. Hackeamos células terroristas e identificamos cualquier ataque posible a infraestructuras del gobierno para detenerlos antes de que sucedan. Y así lo hacían David y el equipo de Project Raven, averiguaban lo que planeaban los terroristas, y pasaban la información a los Emiratos Árabes.
Agregaré un punto importante a la historia. Todas las acciones eran ejecutadas, en realidad, por un grupo de emiratíes, que es el gentilicio para las personas de los Emiratos Árabes Unidos. David nunca tocó un teclado en la casa de campo, él solo se sentaba al lado de un emiratí y le decía qué teclas debía presionar y qué estrategias usar, y le daban tips para moverse en los servidores. El idioma no era un problema porque todos hablaban en inglés.
También suena normal, ¿no? Pero podría ser un red flag. Es un poco turbio definir si lo que hacían en Project Raven era legal. Bueno, es claramente ilegal compartir información clasificada, así que David no podía compartir secretos de la NSA con los emiratíes. Peero, David solo estaba compartiendo técnicas de ciberespionaje. Si no eran tácticas propias de la NSA, no había ninguna ley que le prohibiera enseñar a otros a hackear. Cómo crear un correo de phishing, por ejemplo, y usar metasploit para entrar en la máquina de la víctima. Estas cosas se aprenden hasta en Youtube. Esa parte, okay, esa parte era legal. Pero si te pones a pensar en que un emiratí entre al teléfono de otra persona, que también está en los emiratos árabes… Aunque sea un terrorista…
En Estados Unidos es casi seguramente ilegal, a menos de que te dé permiso el Departamento de Estado. ¿Pero allí? Ten en cuenta que esta compañía estaba completamente regularizada tanto en los Emiratos como en el Departamento de Estado. Supongo que sería más fácil conseguir permiso de un emiratí hackeando a otro emiratí. No sé qué pasaría si lo hiciera un americano… Es complicado cuanto menos. Pero bueno, supongo que no es algo que resolveremos aquí. A este punto, el gobierno de Emiratos Árabes estaba contento con el trabajo del Project Raven. DAVID: De los primeros 4 a 6 meses eso es lo que hacíamos. Cuando teníamos una alerta o red flag de un probable evento terrorista, o que podía suceder, entonces empezábamos el proceso de investigación para identificar si era una amenaza real o no.
JACK: Hay que decir que la extracción de datos que hacía David era solo eso: extracción de los datos. No hackeaba sus cuentas de banco ni desactivaba sus vehículos. Nada de irrumpir, degradar o destruir, cosa que otros hackers pueden hacer. Esto era un trabajo para conseguir comunicaciones… hasta que las solicitudes del gobierno emiratí se pusieron extrañas. DAVID: [MÚSICA] Sabes, lo que es desafortunado es que las cosas no empezaron a ponerse raras por un buen tiempo porque las peticiones eran bastante similares a las cosas que ya solíamos hacer antes. “Oye, parece que parte de sus fondos económicos pueden haber venido de aquí. ¿Podrías…? ¿Qué necesitarían ustedes para probar que un país está financiando actividades terroristas?” Y nuestra respuesta era que tendríamos que conseguir acceso al país y obtener acceso a este departamento o persona en particular. Y entendíamos esto desde la perspectiva de que estábamos autorizados a realizar estas actividades por el Departamento de Estado, y de nuevo, puede ser que todo esto fuera yo siendo ingenuo sobre estas cosas, sobre toda la situación. Ya sabes, lo más probable era que la gente que nos pedían estas cosas sabían la respuesta a si estábamos autorizados. Pero siendo yo siendo tan nuevo es esa comunidad y en este mundo, pensé “okey, esto está aprobado - no lo estarían preguntando a menos que estuviera aprobado”. JACK: Debemos tener en cuenta que Project Raven se comunicaba con el gobierno a través de NISSA, que era el homólogo de la NSA. NISSA les ordenaba acceder a gobiernos extranjeros para verificar que no estuvieran financiando terroristas. El equipo de David se ocupaba de escanear los IPs de los servidores del país seleccionado, y no creerías lo que encontraron… Cuando estaban escaneando enlaces .org del país, encontraron un portal VPN. Un sitio donde podías loguearte y conseguir acceso a los sistemas internos del servidor. Y, cómo no, se podía entrar con las credenciales por defecto. DAVID: No es difícil encontrar las credenciales por defecto. ¿Una búsqueda en Google? Así que, diría que el 95% de los accesos, ya sabes, se consiguen a través de algún tipo de cosa fácilmente averiguable, o credenciales por defecto. Quiero decir, mira a, ya sabes, el mundo IOT. Es exactamente lo que pasó. JACK: [MÚSICA] ¡Tomen nota! Cambien sus contraseñas, y nunca usen las 100 más comunes. QWERTY, 12345, nada de eso. Pónganle difícil a las personas entrar en sus cosas. Revisa tu router, tus firewalls, computadoras, correos, VPN, y que ninguno de ellos use contraseñas fáciles de adivinar. Cuando alguien de tu departamento se mete en esto, ahora es donde brillas, verdad, poder moverte de manera lateral en la red, hacer pivoting, encontrar las cosas. ¿Es así?
DAVID: Es más o menos una de las cosas para las que me había formado, y, y, de nuevo, se me suelen ocurrir buenas ideas; “hey hagamos esto”, y luego lleva mucha investigación si nadie lo ha hecho antes. JACK: La idea era empezar a leer los correos internos de esta organización del estado. Resultó ser que los servidores de la organización los manejaba un proveedor de servicios. Ellos no tenían la experiencia ni los empleados suficientes, así que externalizan toda la gestión de routers, firewalls, servidores, teléfonos, todo. Que alguien más se hiciera cargo. En este caso, parece que lo hicieron mal, porque habían dejado las contraseñas por defecto en su VPN, pero quién soy yo para juzgar? El equipo de David consiguió el acceso a un servidor con una herramienta llamada Managed Engine, básicamente para el monitoreo de la red.
DAVID: Las credenciales que estaban por defecto en esta plataforma – de nuevo, credenciales por defecto- eran “administrador/administrador”. Te logueas y, dentro hay una vulnerabilidad que es bastante conocida que es, pst, hum, creas un ticket, pero en el proceso de crear un ticket, puedes subir un documento. En el proceso de subir ese documento, como eres el administrador, vas de vuelta a la terminal del administrador y te pregunta que dónde quieres que se suba ese documento. Entonces tú lo puedes cambiar a una nueva ubicación.
Digamos por ejemplo, si tú sabes que tienes una parte pública alojada en /var/ta-ta-ta/html y sabes que, “hey, en realidad puedo subir los archivos aquí,” tú ya has averiguado cómo es la convención de nombres de cada uno de los números de ticket, y cuando vas a crear un ticket, entonces metes una webshell ASPX, lo subes como parte de ese ticket, y ahora ya puedes navegar a esa webshell, y ya tienes, o un webshell o si tu ASPX es un reverse, digamos sesión de meterpreter, entonces ya tienes acceso a ese servidor. Y dándome cuenta de que tenían las credenciales alojadas en la máquina a la que le hemos aplicado el proceso de encriptación, -la que acabábamos de desmontar, que hemos revertido su proceso de encriptación- de nuevo, otra persona mucho más lista que yo hizo esto, revirtió el proceso de encriptación manualmente para desencriptar las contraseñas de los administradores para las redes peer to peer de esta plataforma. JACK: Entonces… tienen usuarios y contraseñas de los administradores que entraban al servidor. Asumieron que algunos de ellos trabajaban para el Proveedor de Servicios, y consiguieron un túnel hacia su servidor. DAVID: [MÚSICA] Tienes dos formas de hacerlo. Si tienes las credenciales, utilizas tu- de nuevo, el ataque “living off the land”, tus netbios, tu SMB, tu pass the hash o incluso la contraseña en texto sí, y te logueas en remoto hasta que llegas al domain controller, tiras todas las credenciales y luego te aseguras de poder acceder permanentemente al entorno. JACK: Guau. No sé, o sea, es impresionante lo que consiguieron. Entraron en los servidores de este proveedor de servicios, una compañía que controla un montón de infraestructuras críticas de la organización gubernamental. Además de tener todas las contraseñas e IPs de todos los sistemas. Y no solo eran ellos, sino que la compañía llevaba los servidores de otras agencias del gobierno. Acababan de conseguir el acceso a decenas de servidores confidenciales de un país a través de un simple fallo de un proveedor.
Y una vez dentro, lo de la financiación de terroristas… ¿por dónde empiezas a buscar? ¿En qué correo? El gobierno de los Emiratos Árabes le pidió al Project Raven una actualización. ¿Encontraron algo?
DAVID: Ganamos acceso al Ministerio de Asuntos Exteriores, ya sabes, las aerolíneas de la Casa Real, alguna infraestructura militar…
JACK: Bastante interesante, ¿no? Les pidieron que siguieran al detalle los movimientos de vuelos de la familia real del país objetivo. DAVID: [MÚSICA] Sí, al menos mientras estaban volando. Entonces empezamos a recibir solicitudes diarias de actualización: queremos este flight tracker en concreto, a diario. De nuevo, esto era otra red flag de, ¿por qué esto es importante? Si simplemente estáis buscando pruebas de que están financiando a los Hermanos Musulmanes, ¿para qué necesitan toda esta información? Y, así que, otras conversaciones internas me hacían pensar que estábamos convirtiéndonos en un equipo de registro de recursos de inteligencia a favor de las agencias locales. Así que ya no estábamos realmente centrados en conseguir una clase de información particular y entonces fue cuando ya verdaderamente nos empezamos a cuestionar todo. ¿Por qué estamos haciendo esto? Quiero decir, ¿de qué sirve? En realidad, desde una perspectiva política, entendía que tenía sentido: querrían saber con quién se comunicaba este país, si les estaba mintiendo a sus espaldas, y todo eso. Pero son solo especulaciones. Pensaba que podrían estar haciendo esto pero en realidad no tenía ni idea. JACK: Pongámonos el gorro de la ética. Si te contratan en otro país como ciber mercenario, y aceptas, y vas a luchar contra el terrorismo y ganar mucho dinero, pero de repente te encuentras con que estás ayudando a los Emiratos Árabes Unidos a conseguir información de la familia real de otro país, ¿te lo cuestionas, o lo haces sin rechistar? Algo estaba fallando. Algo no era del todo correcto. Pero David seguía haciendo el trabajo. Entraba seguidamente en los servidores del gobierno extranjero, y buscaba evidencias de colaboraciones o financiaciones con entidades terroristas. A veces se encontraba con otras personas conectadas en la red, otros hackers. Quizá había otra agencia gubernamental que había hackeado, que entrando en el mismo sistema que él. Te hace parar a reflexionar. DAVID: No vamos a repasar todo el entorno solo porque hayamos entrado. Pero puedes ver lo que hay e investigar un poco y averiguar qué son esas cosas. Pero muchas veces en los entornos o no utilizas esas máquinas en concreto que puedan tener otra infraestructura instalada o simplemente haces lo posible por pasar desapercibido. Y, si tienes herramientas propias, entonces por ejemplo no utilizas esas herramientas sobre esa parte de la infraestructura. JACK: Bueno, tiene sentido, ¿no? Los exploits son armas, y si usas tu mejor arma para entrar en una computadora, todos en ese sistema la podrían ver, e incluso usarla ellos mismos. Es mejor usar las herramientas más comunes mientras puedas, porque no tienes ni idea de quién más quiere hackear el mismo servidor. Poco tiempo después, el gobierno de los Emiratos llamó de nuevo al Project Raven. DAVID: “Oye, ¿hay algún indicio de que haya habido soborno para cierto deporte en particular?” Querían saber si en un deporte, si había soborno, porque los dos hemos hecho una puja para que tuviera lugar en nuestro país y ellos lo han ganado. Nosotros creemos que hemos pujado más alto y que teníamos más probabilidad pero ganaron ellos. Entonces nos empezamos a dar cuenta de que todas las peticiones eran políticas. Quiero decir no… No había ninguna petición real sobre la financiación de los Hermanos Musulmanes. Digo simplemente eran peticiones un poco turbias diseñadas para conseguir acceso a sitios.
JACK: Esto era raro para David. Le habían dicho que iba a hacer otra cosa. Renunció a la NSA y se mudó al otro lado del mundo para luchar contra el terrorismo. Y se empezó a dar cuenta de que no era del todo así. Su rol había cambiado, y era difícil de aceptar. Si lo hubiera sabido desde antes, quizás no se hubiera mudado. Creo que es cuando se empezó a cuestionar todo más seriamente. Habían otros equipos trabajando en esta mansión, como comentaba.
David extraía información de los objetivos, y luego su equipo le daba esa data a un equipo de análisis que estaba en otra habitación. Una de ellas se llamaba Lori Stroud. Lori intentaba darle una estructura y un sentido a la información que conseguían, y luego se lo entregaba a la administración para que se hicieran responsables ante los oficiales de los Emiratos Árabes Unidos. Antes de Project Raven, Lori era consultora de tecnología para una compañía llamada Booz Allen Hamilton. Luego la contrató la NSA. Y ahora está en esta casa de campo con David, y también tenía sospechas sobre las motivaciones de sus jefes.
DAVID: Empezamos a recibir peticiones de ir por, siendo sinceros, periodistas; y activistas por los derechos humanos. (MÚSICA) Y, nuestro, de nuevo, eso hizo que empezásemos a sospechar aún más. JACK: Habían periodistas y activistas en la lista de personas críticas para el gobierno emiratí. Los consideraban amenazas a la nación, y solicitaban al equipo conseguir cualquier información sobre ellos. ¿Qué historias estaban investigando? ¿A quienes apoyaban? ¿Dónde se encontraban? ¿De qué hablaban en sus conversaciones telefónicas? En los Estados Unidos esto está muy mal visto, por decirlo de alguna manera. La primera enmienda y la constitución protege a todos los ciudadanos de ello. Dice directamente que el congreso nunca podrá violar el derecho a la libre prensa, o la organización pacífica de personas. No estaba bien ni moral, ni éticamente. Como decía David, era pasarse de la raya. Una red flag como una casa.
DAVID: No había ningún tipo de amenaza en potencia. La única amenaza en potencia era política. Se convirtió en algo a lo que ninguno de los dos realmente, ninguno habíamos accedido a hacer. Ninguno de nosotros pensaba que esta era la dirección correcta hacia la que había que ir y empezamos a hacer preguntas, empezamos a reclamar, a decir, hey, no creo que esto esté bien. JACK: El gobierno les pedía más y más, y cada vez quedaba más claro que las motivaciones eran políticas y no un problema nacional. En un punto les dijeron que si un terrorista estuviese usando computadoras americanas, en territorio americano, ellos necesitaban toda la información de esa computadora. David tenía un entrenamiento militar, estuvo en la NSA. Recuerda claramente que en la FISA, el Acta de Servicios de Inteligencia Extranjera, en la sección OVSC 1203, dice claramente que en el momento de encontrar un objetivo americano, debes dejarlo a un lado con prioridad de emergencia. Era cruzar la línea claramente, y David pidió a la administración que no aceptara esa demanda.
DAVID: Les dijimos que, de verdad, no les recomendamos para nada hacer esto.
JACK: Conversaciones iban y venían desde la compañía, a David, a Lori, y al gobierno de los Emiratos. En un punto, Lori descubrió que parte de los datos que estaba analizando venían de ciudadanos estadounidenses. Decidió que lo que estaba haciendo estaba mal, y dijo: “no creo que un Americano debería hacerle esto a otro Americano. Soy espía, lo entiendo, soy una oficial de inteligencia, pero no soy de las malas“. No estaba contenta con ello, y eso desató más dudas. Cada vez se mostraban más las costuras de lo que era el Project Raven. Los empleados preguntaban cosas, y dudaban sobre el trabajo que estaban haciendo.
DAVID: Probablemente para entonces, alrededor de Octubre, Noviembre, había bastantes indicios sospechosos. Y luego, mi mujer y yo nos fuimos de vacaciones de navidad, de vuelta a Estados Unidos por Navidad. Y creo que era como el 16 o 17 de Diciembre, cuando recibí un email que decía - por parte de nuestra agencia de contratación de los Estados Unidos - que iban a “indultarnos”, por así decirlo, de nuestro contrato. Que si queríamos volver a Estados Unidos, nos ayudarían a poner todo en orden para irnos y volver a casa sin coste alguno. Y decidimos aceptar. Y mucha, digo, mucha, quiero decir, mucha gente aceptó. Otra mucha gente decidió quedarse, pero mucha de la gente con los que yo trabajaba en el día a día decidieron que – Yo no me quedo aquí. Y nos fuimos. JACK: David se fue, pero el Project Raven siguió adelante. Nuevas operaciones y nuevos objetivos para ellos. Y en un cambio radical de las cosas, voy a invitar a alguien nuevo para que hablemos sobre el Project Raven desde otra perspectiva.
RORI: Me llamo Rori Donaghy y en 2012, empecé un grupo de defensa de los derechos humanos que consistía en una web hecha con Wordpress y en un blog donde podía publicar notas de prensa. Se llamaba el Emirate Center of Human Rights, el Centro de Derechos Humanos de los Emiratos. Escribía sobre cosas como abusos de los derechos humanos en Emiratos Árabes Unidos porque sentía que no se le estaba dedicando suficiente cobertura, y había también hecho bastantes contactos que me ayudaban para informar sobre lo que pasaba allí. JACK: Rori vivía en Londres. Creó este pequeño blog en WordPress para llamar la atención de las cosas turbias que estaba haciendo el gobierno de los Emiratos Arabes. Pero empezó a ganar popularidad, y lo descubrieron algunos periodistas de mayor renombre.
RORI: Estaba teniendo bastante cobertura y acceso a grandes plataformas. Por ejemplo, la BBC en inglés y también algunas plataformas árabes. Además, mi trabajo fue cubierto por el Financial Times y The Guardian, medios en los que no se hablaba nunca de Dubai a no ser que fuese para hablar de turismo o de negocios. De repente empezaban a aparecer historias de tortura y de cómo estaban tratando a personas en la cárcel. Son activistas políticos, y cómo se estaba censurando la libertad de expresión. Estaba cambiando, poco a poco, la imagen internacional de Emiratos Árabes Unidos por entonces. JACK: Este es un clip de Rori en la BBC: PRESENTADOR: Estoy con Rori Donaghy, jefe de campaña del Centro de Derechos Humanos de los Emiratos. Rori, ¿por qué es importante esto?
RORI: Es importante porque han sido torturados y algunos han sido retenidos durante siete meses. Hemos visto que el Parlamento Europeo condenar los abusos de derechos humanos en Emiratos Árabes Unidos en las últimas dos semanas.
PRESENTADOR: Te contaré lo que dice el juzgado general sobre esto. Dice que quienes lo hicieron fueron arrestados por controlar una organización que cometía crímenes contra la seguridad nacional.
RORI: Bueno, no hay ninguna evidencia que lo demuestre.
PRESENTADOR: Tampoco han ido a juicio hasta ahora.
RORI: Aún no han ido a juicio, no se han presentado cargos todavía…(CONTINUA HABLANDO DE FONDO)
JACK: Al gobierno de los Emiratos Árabes Unidos no les gustaba que Rori hablase de ellos. Y le pidieron al Project Raven que entrara en su computadora, y lo espiase.
RORI: (MÚSICA) Un día en el trabajo en Oriente Medio, recibí un correo preguntándome si podía formar parte de un panel sobre los derechos humanos, y que si quería podía hacer click en un enlace y comentar sobre un texto. El enlace parecía que llevaba a una página de Al Jazeera, una página en inglés. Pero sin embargo el email era muy raro, era un poco extraño y el inglés era muy pobre. Estaba bastante mal escrito. Sin embargo, me dejé llevar e hice click en el enlace. Pero no me llevó a ningún sitio. Y pensé que era muy raro así que se lo reenvié a Citizen Lab y a Bill Marczark, a quien conocía por el trabajo. Se puso a trabajar en ello porque, en ese punto, cuando le envié el correo, aún no se me había ocurrido que me estaban espiando. Simplemente pensé que todo esto empezaba a ser muy extraño. No tenía ni idea de qué estaba pasando.
JACK: Rori pasó el correo a Citizen Lab. Ellos investigan casos de espionaje hacia la sociedad civil. Si un periodista o un activista piensa que es objetivo de malware, o de espionaje gubernamental, pueden pedir ayuda a Citizen Lab.RORI: Después de un tiempo, Bill me respondió y me contó que era software malicioso. JACK: Aparte del enlace lleno de spyware, resulta que había un montón de gente tuiteando cosas a Rori. Citizen Lab encontró 31 tuits públicos sospechosos que mencionaban a Rori. Era tuits que hablaban sobre los derechos humanos en los Emiratos, y tenían enlaces abreviados que tenían spyware. Eran tuits públicos, y lo curioso es que algunos de esos tuits fueron enviados por ciudadanos emiratíes reales, excepto que habían sido arrestados. Y los tuits habían sido enviados después de su arresto.
RORI: Si, es una táctica común en Emiratos, que consiste en que, cuando han arrestado a un disidente o a un activista político, toman el control de sus redes sociales y los utilizan para tratar de tentar a otras personas a las que quieran espiar a que hagan click, porque obviamente a mí no me podían arrestar a mí, porque estaba viviendo en Londres. Es una técnica muy común. Y la verdad, da bastante miedo. JACK: Una táctica excéntrica, pero muy efectiva. Porque de hecho consiguieron el acceso infiltrado al teléfono y la computadora de Rori. Fue Bill quien le dio la mala noticia desde Citizen Lab. RORI: Él me dijo que el gobierno de Emiratos quería espiarme, y escuchar y leer mis comunicaciones. No estaban simplemente espiándome a mí, sino también a mis padres, a mi hermano pequeño que tiene necesidades especiales y que no es ningún tipo de amenaza para nadie, el colegio al que fui, a mi pareja… Realmente me sentí violado. Creo que lo que lo más destacable de esta historia cuando se lo cuento a la gente es que todo sucede en silencio. Yo seguía trabajando y haciendo mi vida como si nada. Cuando pienso en la experiencia de ser espiado, es como que realmente no existe. Todo sucede en silencio. Realmente es muy efectivo espiar a alguien, que no sepa cuánto de invasivo está siendo para ti, o a qué tienen acceso en tu vida. Así, ni siquiera te das cuenta. Es algo que sucede, pero que solo te das cuenta bastante más tarde. Es bastante difícil sentir algo de forma retroactiva, porque cuando te has dado cuenta eso ya ha sucedido. La verdad es que es bastante raro. JACK: No sé… Si yo me enterase que un gobierno extranjero se ha infiltrado en mi computadora, y está revisando mis correos, mis mensajes privados, sms, y saben cada historia en la que estoy trabajando, yo me volvería loco. Me parece extraño que Rori no entrase un poco más en pánico.
RORI: Cuando dices que mi respuesta a ello es extraña, es porque creo que me sentía a salvo en Londres. Si hubiera vivido en los Emiratos, bajo el pavor a un gobierno autoritario que es capaz de torturarme y meterme en la cárcel durante mucho tiempo, la verdad es que me hubiese sentido muy diferente. JACK: También tiene sentido. Si comparas tortura y arresto con espionaje, creo que consiguió la mejor de las opciones. Limpió su computadora y formateó el disco con el spyware, con cuidado de no infectarlo de nuevo. Pero mirando hacia atrás aún es impresionante.
RORI: Ya, el hecho de que hubiera todo un equipo y que deben de haber gastado una enorme cantidad de dinero en todo esto, eso sí me asusta porque, sigue sucediendo ahora, pero con otra persona, supongo. JACK: Mientras Rori escribía sobre los derechos humanos desde Londres, había otro activista hablando sobre lo mismo, pero él era emiratí. Se llamaba Ahmed Mansoor, y Rori solía hablar con él a menudo.
RORI: Sí, Ahmed era un contacto estrecho y, es más, yo diría que un amigo durante el tiempo que estuve cubriendo todos estos abusos a los derechos humanos en Emiratos. Ahmed era el activista político y de derechos humanos número uno en Emiratos. JACK: Este clip de Youtube muestra a Ahmed hablando sobre derechos humanos.
AHMED: Saludos, damas y caballeros. Me llamo Ahmed Mansoor, de Emiratos Árabes Unidos. Me centraré en las últimas acciones que se han desarrollado en tema de violación de los derechos humanos en Emiratos. El primer punto que mencionaremos será el de las detenciones arbitrarias. JACK: Esta es otra persona a la que el gobierno de los Emiratos Arabes Unidos perseguía, y le fue asignado al Project Raven. Mismas tácticas: email de phishing de falsos activistas, tuits de personas arrestadas, y entraron también en el telefono y la computadora de Ahmed, pudiendo ver todo lo que él gestionaba. Pero lo que le pasó a Ahmed fue muchísimo peor. RORI: A Ahmed lo arrestaron las autoridades Emiratís, acusado de un crimen que no existiría nunca en un estado democrático. Creo que era comunicación con un enemigo extranjero, o algo por el estilo. JACK: Lo acusaron de dañar la unión del país, que a mí personalmente me suena como algo inventado. RORI: Y sentenciado a 10 años de prisión. Hay reportes veraces de la tortura a la que lo sometieron, y las condiciones terribles en que lo tenían en la prisión de los Emiratos. JACK: Wow. ¿Te imaginas? Si hablas mal de tu gobierno, y éste contrata un montón de ex-agentes de inteligencia americana para que te espíen, ellos consiguen dónde vives y qué estás haciendo, y entonces te arrestan. Te meten 10 años en prisión y en confinamiento solitario en condiciones terribles. Y tampoco debemos dejar a un lado su familia, que también estaba siendo espiada. La esposa de Ahmed tenía el teléfono hackeado, y ahora vive con miedo, completamente aislada socialmente. RORI: Ahmed sufrió de estos abusos porque fue el único que se atrevió a cubrir el tema de los abusos humanitarios en su país durante un montón años, de hecho ganó varios premios de prestigio como el premio a Defensor del Año de Martin Ennals. Su crecimiento como defensor de los derechos humanos fue lo que lo llevó a ser arrestado, porque en realidad el era conocido como– quiero decir, no estaba afiliado a ningún movimiento político ni religioso más allá de lo humanitario, porque el sabía que esto le restaría credibilidad. Ahmed era respetado por su activismo en derechos humanos. Hablar de su valentía y coraje es decir poco. Vamos a ver, hacer un trabajo como ese en un país donde tienes todo el riesgo de ser arrestado, porque además es inevitable, y luego lo atrapan y lo tratan y torturan de esa manera. Es más, mira: antes de su arresto lo espiaban de la manera más perniciosa posible. Se hecho, imagino que lo sabrás, llevó a que Apple actualizara parte de su software por lo que sucedió, porque fue a través de su iPhone por donde descubrieron el agujero. JACK: Ah, bueno, ¡claro! ¡El iPhone! Hablemos sobre eso. Project Raven tenía acceso a una herramienta de hack llamada Karma. Cuando me enteré de Karma, sonaba como un invento de Hollywood, tan simple que era absurdo. En 2016, Emiratos había comprado una herramienta de hackeo de un vendedor foráneo. No sabemos quién la hizo ni dónde la compraron. Pero llegaron y le dijeron a Project Raven: “miren, tenemos una herramienta nueva y con ella pueden atacar iPhones directamente”. Y esa era su única limitación, iPhones. Si tenías un iPhone y te seleccionaban en Project Raven, podían decidir usar Karma, solo tenías que meter su número de teléfono o su correo electrónico. Ahí se le enviaba automáticamente un SMS, y lo más loco de todo: el usuario no tenía que abrir ningún enlace ni hacer nada para que funcionara el exploit. Solo tenía que llegar el mensaje de texto. Una vez ahí, el exploit podía robar todas las fotos, emails, mensajes y localizaciones sin interacción del usuario. Era un herramienta impresionante para sacar la información de los objetivos, incluso demasiado fácil de usar. No sabemos exactamente cómo funcionaba, pero parece que tenía que ver con una falla en el código de iMessage de Apple. Una vez llegaba el mensaje de texto a iMessage, se ejecutaba. En 2017 Apple sacó una actualización que hizo el exploit mucho menos efectivo, pero a día de hoy no sabemos mucho sobre la herramienta, más que sus capacidades y el nivel con el que trabajaban desde Project Raven. David me dijo que él nunca usó Karma directamente, me pregunto si eso significa que le dijo a otras personas que lo utilizaran. El gobierno emiratí dio por finalizado el contrato con Project Raven, y trajo a un nuevo proveedor llamado Dark Matter. Es una empresa de Emiratos, operada por Emiratíes. Quienes participaban en Project Raven, tenían la opción de entrar en DarkMatter o irse a casa. Un cuarto de ellos renunció, y el resto entró en DarkMatter.
Debemos entender que Lori estaba trabajando para proveedores del gobierno desde hacía bastante, incluso con la NSA. Estaba acostumbrada al trabajo clandestino, y le encantaba el ciberespionaje. Se sentía productiva y buena en ello, y le pagaban bastante bien, así que continuó con ellos. Al menos por un tiempo. En un punto recibió una lista de objetivos que le dio qué pensar… Todos eran americanos. [MÚSICA] Buscó información, y resultaron ser periodistas estado unidenses. Se le revolvía el estómago de pensarlo, y le hizo tener más dudas aún y sentir que no estaba bien. Le dieron una baja laboral. Y le revocaron el pasaporte. Debe ser una situación muy difícil de afrontar. Estar en Emiratos, molesta con el gobierno, y te quitan tu pasaporte. Se sentía como una de los objetivos que ella misma vigilaba, y ahora la estarían espiando a ella. Estaba atrapada en el país sin manera de escapar. Seguramente fue un momento duro. Dos meses después le permitieron volver a Estados Unidos. Al llegar al destino, el FBI la interrogó sobre los objetivos americanos que le habían asignado, pero ella no dijo nada. Seguramente pensaba que la estarían vigilando, y mejor callarse ante esa situación.
A día de hoy, el FBI aún está investigando este caso. Quieren saber si se divulgó información clasificada, y si efectivamente algún ciudadano americano había sido objeto de espionaje, ya que ambas cosas son altamente ilegales. Aún así, DarkMatter sigue trabajando con NISSA y Emiratos Árabes Unidos. Te preguntarás cómo lo sé, y claro, David nos acaba de contar todo esto, no? Pero David nos contó solo una parte. En enero de 2019 Lori le contó toda la historia a Reuters. Christopher Bing y Joel Schectman, periodistas del medio, la verificaron con otras 8 personas involucradas, y la publicaron.
Yo mismo verifiqué su historia con llamadas telefónicas y correos electrónicos, y conseguí tener muchas conversaciones interesantes al respecto. Incluso llamé a otro ex-agente de la NSA que tiene contactos en DarkMatter. Reuters hizo un trabajo genial, causó un revuelo en los medios cuando salió. Sin embargo, en esa historia, la única que permitió publicar su nombre fue Lori. Es aquí donde escuchamos por primera vez el testimonio de una segunda persona, David. No había hablado publicamente al respecto, y es muy emocionante oír una segunda historia interna. Es importante. [MÚSICA] Le pregunté a Rori qué opinaba de la historia cuando salió.
RORI: Recuerdo contarle a mi pareja sobre esta historia antes de que saliera en los medios. Obviamente ella no creía que yo fuera un mentiroso, pero sí que sonaba un poco loco y que tal vez me había metido demasiado en pensar que esto podría haber sucedido, por lo loco que suena. De hecho yo mismo sentí esa misma respuesta cuando la gente de Reuters me llamaron por teléfono. Al principio, sentí que incluso en ese momento, incluso con todo mi conocimiento y experiencia sobre Emiratos y el Golfo, yo sentí que todo esto había ido demasiado lejos. Como, ¿de verdad está pasando? ¿De verdad habían invertido todo este esfuerzo para vigilarme? Estaba muy sorprendido por todo.
Me alegró que saliera al público, la gente tenía que saber la verdad sobre todo lo que estaba pasando. No deja de ser un país que invierte una cantidad impensable de dinero para dar una imagen amigable y tolerante, y no es más que una fachada de una dictadura con miles de millones de dólares que se mantiene en el poder por la fuerza y metiendo presos a todos aquellos se oponen. Es importante porque se trata de un aliado, un importante aliado no sólo de mi país, el Reino Unido, sino también de Estados Unidos y de toda Europa.
JACK: ¿Crees que volverás alguna vez a Emiratos?
RORI: No me sentiría cómodo yendo a Emiratos incluso si el presidente de mi país me asegurase personalmente que nada me pasaría durante mi estancia allí. De nuevo, no es porque me sienta importante ni nada, es simplemente que no confío en que las autoridades no me quisieran hacer daño porque ya lo han hecho a un montón de gente sin importancia, que tienen cargos de drogas, o que han escrito un cheque falso, o activistas políticos. Nunca más me sentiría cómodo y seguro en Emiratos Árabes Unidos. JACK: Project Raven era una unidad de hackeo que trabajaba para la compañía Cyber Point con base en Baltimore. El CEO de Cyber Point fue interrogado al respecto, y directamente dijo que la misión era ayudar a los emiratíes a defender su red, un discurso parecido al de la Reunión Púrpura. Pero, quizás el CEO en realidad no sabía lo real. Quizás esa unidad había sido planificada con un propósito que fue mutando con el tiempo a ser ofensiva sin la supervisión de Cyber Point. David lo mencionó, las misiones fueron cambiando con el tiempo. Era una operación secreta que se ejecutaba en Emiratos Árabes Unidos, ¿qué tanto tendrían que reportar de vuelta a Baltimore? DarkMatter dijo públicamente que la historia publicada en Reuters era completamente falsa, un invento difamatorio e insubstancial, y niegan haber hecho nada ilegal.
Ah, por cierto… Es posible que tengas un certificado de DarkMatter instalado en tu navegador. En 2017 esta compañía aplicó para ser una especie de autoridad en certificados web. Querían expedir certificados SSL para páginas web que confirmaran su seguridad, y así todos los navegadores importantes le dieron permiso a DarkMatter de instalar estos certificados. Más de 275 páginas web utilizaron ese servicio, pero en 2019 cambió. En el momento en que Reuters publicó la historia, Firefox y Google revocaron el permiso de DarkMatter, y todos sus certificados dejaron de ser de confianza.
Yo mismo ayudé a otros navegadores con esto. Cuando estaba investigando sobre este episodio, tuve oportunidad de ir a Black Hat, una conferencia de seguridad en Las Vegas. Ahí, Natalie Silvanovich presentó una charla sobre explotación de iMessage. Natalie es una genio. Trabaja para Project Zero, que es un proyecto impresionante también. Es un proyecto de Google, en el que van a la búsqueda de vulnerabilidades en software de cualquier tipo. Sea de Google, o de Microsoft o de Apple. Natalie y su equipo tienen una obsesión por encontrar vulnerabilidades de software. Al escuchar sobre Karma y lo que estaba haciendo el Project Raven, decidió entrar de lleno y descubrir cómo Karma hacía lo que hacía. Enviar un mensaje a un iPhone y recibir toda su información de vuelta, sin ni siquiera tocarlo.
Natalie buscó la forma de hacer funcionar un exploit parecido en iMessage. No voy a explicar exactamente lo que hizo, pero consiguió 3 bugs que hacían vulnerable los iPhones. Cuando Project Zero encuentra una vulnerabilidad, le informan al responsable del software y le dan 90 días para arreglarlo. Si no lo hacen en ese tiempo, Project Zero se hace cargo de publicar los bugs al mundo. Natalie le informó a Apple de las vulnerabilidades que había encontrado, y poco después Apple envió una actualización a todos sus teléfonos. Luego de eso Natalie publicó su reporte de vulnerabilidades y presentó su charla en Black Hat. Había encontrado algo muy interesante… No es prueba de nada, y no es evidencia de que así funcionase Karma, pero es una posibilidad.
Básicamente, Natalie se dio cuenta de que si envías un archivo .zip a un iPhone, él va a intentar entrar para mostrarte una previsualización de lo que hay dentro. Lo hace automáticamente, para que todo sea más fluido para el usuario. Lo loco es que cuando el iPhone entra, puede haber un archivo que le indique buscar directamente en una página web. Ya esto le da información útil al hacker: una dirección IP, metadatos del navegador, incluso podría localizarte. Pero además, el iPhone le está solicitando información a esa página web, así que puede ser configurado para enviarte de vuelta una carga maliciosa, software que se ejecutaría y que haría lo que quisiera con tu teléfono.
Es impresionante lo que puede hacer, pero no enviaba los textos y las fotos. Aunque también es cierto que Apple parcheó iMessage en 2017, lo que hacía Karma menos efectivo. Esperemos que Natalie encontrase las vulnerabilidades que faltaban, y así eliminar Karma por completo. No lo sabremos hasta que lo sepamos.
Ahora, quisiera darle las últimas palabras a David. Una de las razones por las que aceptó participar era por advertir a quien esté considerando aceptar un trabajo de contratación extranjera. Si un reclutador te contacta para un trabajo muy bien pagado en el extranjero, quizás quieras pensartelo dos veces.
DAVID: Supongo que mi consejo desde esa perspectiva es que, si estás haciendo la transición desde un espacio técnico u ofensivo y escuchas sobre un trabajo de monitoreo, adelante, toma ese trabajo y hazlo, porque eso significará que es una posición de redes de bajo nivel. Solo entiende y ten en cuenta que lo que estás aceptando puede no ser realmente lo que vas a hacer. Donde vayas, lo que te prometen o la descripción del trabajo es – si vas al extranjero, lo más probable es que no sea lo que vayas a hacer. Crear una red de seguridad para ti mismo es realmente la forma correcta de proceder. Por ejemplo, si estás casado y vas a aceptar un trabajo en el extranjero y no sabes exactamente lo que vas a hacer, entonces ve sin tu cónyuge las primeras semanas. Ve, examina la situación y evalúala. De esa manera, si tienes que irte y tienes que irte rápidamente, no estarás comprando dos boletos de avión para salir de un país; solo estarás comprando uno. O si decides que este no es el lugar adecuado para ti, entonces podrás irte mucho más rápido. Si estás yendo a un lugar determinado y tienes experiencia haciendo cosas y personas que no conoces y de las que nunca has oído hablar te contactan, especialmente si es una empresa contratista extranjera, si no es una empresa contratista estadounidense, eso, por supuesto, debería ser una señal de alerta significativa. Si estás siendo reclutado por DarkMatter y tienes algún tipo de experiencia en ciberseguridad o en ofensiva cibernética, lo más probable es que no vayas a hacer lo que piensas que vas a hacer.
JACK (FINAL): [MÚSICA DE FIN] Mil gracias a David, por ser valiente y presentar su historia aquí. ¡Grandísimo! Gracias también a Rori Donaghy por compartir su historia. También a Christopher Bing y a Joel Schectman de Reuters. Su artículo se llama “Inside the UAE’s Secret Hacking Team of American Mercenaries“. Es buenísimo, y si te interesa esta historia deberías buscarlo. Tienen un plano de la mansión, y entra mucho en los detalles del caso. Ah, y claro, muchas gracias a Lori Stroud. Nada de esto se sabría de no ser por tu valentía en darle luz a este caso. Si quieres ver las notas y enlaces, entra en darknetdiaries.com. Aprovechando que estás allí, revisa la tienda, tenemos stickers y camisetas y otros productos que harán que tus amigos estén celosos. Y además te verías muy bien en esas camisetas.
Y aunque DarkMatter nos ponga en una lista… Este programa fue creado por Jack Rhysider, traducido y narrado en español por Armando D. Hernández, la voz de David fue locutada por MA, la de Rori por Jesús Vega, Ahmed por Jorge Rojas.
[FIN DE MÚSICA DE FIN] [FIN DE LA GRABACIÓN]