Memex: buscador en la Deep Web

Hace un ao, DARPA (Defense Advance Research Projects Agency) anunci MEMEX, un proyecto para crear un nuevo motor de bsqueda que pueda
encontrar cosas en la Deep web que no esten indexadas por ningn otro buscadores comercial.
El proyecto, denominado Memex Deep Web Search Engine, est en camino, y por primera vez el domingo por la noche el "motor de bsqueda de lucha
contra el crimen" en etr accin. La Agencia del Pentgono dio una vista previa sobre el software al programa 60 Minutos.

Memex fue diseado para superar los desafos anteriores de bsqueda mediante "la ampliacin del alcance de las capacidades de bsqueda para organizar
subconjuntos de informacin basada en intereses individuales".

El inventor de Memex, Chris White, explic cmo funciona este nuevo motor de bsqueda y cmo podra revolucionar las investigaciones de la ley. "El
internet es mucho ms grande de lo que la gente piensa: segn algunas estimaciones Google, Microsoft Bing y Yahoo! slo dan acceso a alrededor del 5%
del contenido en la Web. Eso deja mucho espacio para malos actores que operan libremente en las sombras".
Memex est siendo probado en estado Beta por las oficinas de distrito, una agencia del orden pblico y una organizacin no gubernamental. El siguiente
nivel de la prueba se har por un amplio grupo de beta-testers en unas semanas.
Uno de los principales objetivos de esta ronda es poner a prueba nuevas capacidades de bsqueda de imagenes, que puedan analizarse fotos incluso
cuando existan solo porciones o estn ofuscadas. Otro objetivo es probar las interfaces de usuario y experimentar con arquitecturas que evalan datos
sensibles.

Deteccin de botnet: anlisis de SPAM

10/02/2015, por David Cantn (INCIBE)

Una de las funcionalidades clsicas de las botnet ha sido el envo de spam, por lo que es lgico usar las metodologas de anlisis de spam a las tcnicas de
deteccin de botnets. Mediante estas tcnicas, en vez de observar y analizar todo el trfico de red, como se hace en la tcnica de anlisis de paquetes o en el anlisis
de flujos de red, solo se debe analizar comunicaciones relativas al envo de correos electrnicos, reducindose la cantidad de informacin a analizar.

-Tcnicas de Deteccin de Botnets-

Botnets y el SPAM
El envi de spam por parte de las botnets, utilizando los ordenadores comprometidos como nodos relay SMTP, tiene dos objetivos principales:

Expansin, utilizan el envo masivo de correo para aumentar el nmero de bots. Las direcciones de correos usadas pueden ser facilitadas por el C&C,
generadas aleatoriamente u obtenidas de las listas de correos de los ordenadores comprometidos. Los mtodos de infeccin suelen ser el envo de correos con
archivos adjuntos maliciosos o mensajes que incluyen direcciones a sitios maliciosos que aprovecharan vulnerabilidades de los usuarios para infectarlos. Ejemplos
de este tipo de botnets son Bamital

, Bankpatch

o Gamut

-Fuente: Botnet detection techniques: review, future trends and issues

Monetizacin, envo masivo de correos con el objetivo de vender diversos tipos de productos se ha convertido en un gran negocio para los creadores de
botnets. Hay estimaciones ya del ao 2008 donde las farmacuticas online ganaron 12.000 millones de dlares, ms del triple que el ao anterior. Gracias a este tipo
de negocio, los dueos de las botnets pueden alquilar los servicios de envo de correo o participar directamente en los programas de afiliacin. Aunque la tasa de

conversin de un correo de spam

es relativamente baja, la colosal cantidad de correos que son enviados diariamente hacen que se haya convertido en un negocio

muy rentable.

Ciclo econmico de Spam Farmacutico FUENTE: damballa

-El porcentaje de spam en el trfico de correo electrnico, 2013 (Fuente: securelist.com

)-

Tcnicas de deteccin
Motivado por esta casustica, se han desarrollado metodologas y funcionalidades a los sistemas de seguridad con el fin de dotarles de las capacidades necesarias
para identificar si un entorno est comprometido por un malware perteneciente a una botnet que enva spam y a la vez reducir la cantidad de datos a analizar al
centrarse.

Una caracterstica de las campaas de spam realizadas por las botnets es que los mensajes suelen seguir un patrn o incluso ser idnticos. Debido a estas
semejanzas, el anlisis estadstico de los diferentes datos del correo, tanto de la cabecera como del propio mensaje, en una comunicacin SMTP puede ser un
indicador para determinar una determinada red est infectada.

Como se indica en el informe de ENISA

, el uso de herramientas como los spamtraps

hace que la deteccin de correos de spam sea ms efectiva. Los

spamtraps son buzones de correo electrnico cuyo nico propsito es la recepcin de correo no solicitado. Para que sean efectivos estos correos deben ser
publicitados y registrados en mltiples sitios como foros, listas de noticias,. Los spamtraps son una especie de honeypots pero que si deben de ser publicitados, al
contrario de lo que pasa con los honeypots.

Algunos de los estudios o propuestas que se basan en el anlisis de spam para la deteccin y/o caracterizacin de botnets son:

BotGraph: Large Scale Spamming Botnet Detection

, se describe un nuevo sistema de deteccin de botnets, BotGraph, que tienen como objetivo realizar

ataques dirigidos contra los principales proveedores de correo electrnico Web. BotGraph detecta actividad sospechosa a partir del clculo de las correlaciones entre
las actividades de botnets mediante la construccin de grandes grafos usuario-usuario y buscando sub-grafos fuertemente conectados. Segn sus pruebas, esta
tcnica permite identificar a los usuarios de redes de bots furtivos que son difciles de detectar cuando son analizados de forma aislada.

Detection of Spam Hosts and Spam Bots Using Network Flow Traffic Modeling

, presenta una aproximacin para la deteccin de anfitriones de spam,

spam bots y sus correspondientes C&C basndose en el anlisis flujos de datos redes y en metadatos de DNS. Su propuesta consiste en establecer en primer lugar
los modelos de trafico SMTP legtimos frente a clientes SMTP que acten como spammer, para posteriormente clasificar clientes SMTP desconocidos en base a los
distancia con los dos modelos de trfico. En una primera fase se identificara los host que realizan el spam en base a la entropa, para despus analzalos con el
objetivo de determinar su centro de mando y control.

Spamcraft: An Inside Look At Spam Campaign Orchestration

, realiza un anlisis de la botnet Storm, describiendo su "modus operandi": recogida de

direcciones de correo electrnico de las vctimas, plantillas de correo y las modificaciones que realiza, as como las tasas de xito en diferentes tipos de campaas.

Podemos resumir que la deteccin de botnet mediante el anlisis del spam en una red es una tcnica til aunque limitada, ya que no todas las botnets envan spam
como actividad principal. Pero la utilidad de su anlisis radica en que actualmente el envo de spam es una forma de rentabilizar este tipo de amenazas, y por lo tanto
es previsible que sus creadores lo sigan utilizando ampliamente en el futuro. Por lo tanto y como se ha visto anteriormente, esta tcnica de deteccin de botnets es
un mtodo a tener en cuenta pero debe ser complementada por otros mtodos de deteccin.

Deteccin de botnets mediante anlisis de paquetes

08/10/2014, por David Cantn (INCIBE)

El gran problema que suponen las botnets a da de hoy, tanto para el anlisis de sistemas infectados como a las vctimas de sus acciones (ataques de denegacin de
servicio, spam,...) justifican el esfuerzo que se est realizando para desarrollar e implementar tcnicas para su deteccin y prevencin por parte de empresas de
seguridad informtica, universidades, CERTs, polica, etc.

Sin embargo, la lucha contra las Botnets no es un problema de fcil solucin ya que representa un desafo en constante evolucin, en el que los cibercriminales no
paran de evolucionar creando nuevas tcnicas para evadir los sistemas actuales de deteccin, y mantener estas redes de ordenadores zombies durante el mayor
tiempo posible y con la mxima rentabilidad. El uso de tcnicas como Fast Flux, la generacin dinmica de dominios (DGA), la ofuscacin de las comunicaciones, el
uso de comunicaciones P2P o la utilizacin de la red Tor, y la implementacin de medidas antireversing entre otras, intentan evitar o entorpecer la deteccin de este
tipo de malware

Servicio Antibotnet de la Oficina de Seguridad del Internauta

Aunque existen varias clasificaciones sobre tcnicas de deteccin de botnet, para hacer frente a las tcnicas anteriormente descritas, en este texto tomaremos como
base la realizada por la ENISA en el informe "Botnets: Detection, Measurement, Disinfection & Defence" El informe divide las tcnicas pasivas, y tcnicas activas.

Principales tcnicas de deteccin de Botnets

Tcnicas Pasivas

Este tipo de tcnicas agrupan todo sistema o procedimiento de deteccin de botnets que se basan en la simple observacin, sin interferir o modificar ninguno de los
elementos implicados, es decir, mtodos basados en el anlisis de comportamiento y en firmas. Aunque estas tcnicas tienen restricciones respecto a la informacin
que pueden obtener, tambin son ms difciles de detectar por los Bot Masters. Veamos las principales caractersticas y funcionamiento de la primera de las tcnicas
pasivas de deteccin de botnets:

Inspeccion de Paquetes (Packet Inspection)

Esta tcnica consiste en inspeccionar los paquetes del trfico de red en busca de patrones o caractersticas previamente definidas para para detectar posibles
amenazas. Ejemplos de uso de esta tcnica es comprobar las IP destino de los paquetes contra lista negras de IP clasificadas como C&C (centros de control) de
botnets, monitorizar conexiones a puertos diferentes de los habituales o la bsqueda de cadenas de caracteres especiales que puedan identificar una amenaza.

En funcin del tipo de anlisis de paquetes podramos distinguir entre inspeccin superficial de paquetes (Stateful Packet Inspection o SPI) e inspeccin a fondo de
los paquetes (Deep Packet Inspection o DPI). El anlisis SPI se centra exclusivamente en el los datos de cabecera (IPs, puertos, protocolos,) pero no entra a
analizar el contenido del paquete. Este tipo de anlisis SPI es el que realizan los normalmente los firewalls.

Por otro lado, en un anlisis DPI, adems de tenerse en cuenta los datos de cabecera de los paquetes, el sistema analiza el contenido o parte til del paquete. Este
tipo de anlisis es el ms interesante desde el punto de vista de deteccin de botnets, ya que utiliza una combinacin de tcnicas de anlisis basadas en firmas,
anlisis estadsticos y anlisis de anomalas para detectar posibles amenazas en la red monitorizada. Con una parametrizacin adecuada, estos sistemas pueden
detectar tanto amenazas conocidas e identificadas como amenazas nuevas al detectar patrones o trfico anmalo.

Los tipos de sistemas o aplicaciones existentes enfocados en realizar anlisis DPI pueden ser clasificados en IDS (Intrusion Detection Systems) e IPS (Intrusion
Prevention Systems). Los IDS son sistemas pasivos que solo generan alertas, mientras que los IPS toman medidas activas como cortar las conexiones sospechosas.

Un ejemplo de este tipo de software IDS/IPS son SNORT, desarrollado por SourceFire y que es el estndar de facto; Suricata, desarrollado por la Open Information
Security Foundation (OISF); y Bro, desarrollado actualmente por el International Computer Science Institute y el National Center for Supercomputing Applications. Los
tres sistemas son IDS/IPS de cdigo libre y tienen como misin analizar el trfico de red en base a un amplio conjunto de reglas para detectar amenazas y
minimizarlas en funcin de las medidas configuradas

Logotipos de los IDS SNORT, SURICATA y BRO

Estos IDS se pueden configurar para detectar unos eventos u otros utilizando reglas. Por ejemplo, a continuacin se muestra una regla de SNORT para detectar
conexiones establecidas por la botnet Zeus:
alert tcp $EXTERNAL_NET $HTTP_PORTS -> $HOME_NET any (msg:"MALWARE-OTHER Win.Trojan.Zeus Spam 2013 dated zip/exe HTTP Response - potential malware
download"; flow:to_client,established; content:"-2013.zip|0D 0A|"; fast_pattern:only; content:"-2013.zip|0D 0A|"; http_header; content:"-"; within:1; distance:-14; http_header; file_data;
content:"-2013.exe"; content:"-"; within:1; distance:-14; metadata:impact_flag red, policy balanced-ips drop, policy security-ips drop, ruleset community, service http;
reference:url,www.virustotal.com/en/file/2eff3ee6ac7f5bf85e4ebcbe51974d0708cef666581ef1385c628233614b22c0/analysis/; classtype:trojan-activity; sid:26470; rev:1;)

Ejemplo de regla de SNORT para deteccin botnet Zeus

Aunque esta tcnica de deteccin es til tiene de varios problemas:

Falta de escalabilidad, en redes con gran trfico la cantidad de informacin puede crear un cuello de botella si las reglas del sistema no estn definidas con
cuidado.

Alta tasa de falsos positivos.

Dificultades con el anlisis de paquetes si las comunicaciones estn cifradas, ya que no se podran descifrar el contenido de los paquetes a analizar.

Legalmente pueden existir problemas al analizar se la informacin enviada en los paquetes.

A favor el anlisis de paquetes tendra las siguientes ventajas:

Tiempo de reaccin bajo, "simplemente" actualizando las reglas se puede proteger al sistema frente a nuevas amenazas.

Flexibilidad, el sistema es capaz de detectar amenazas no definidas si descubre comportamiento anmalos.

Permite analizar ataques a posterior, si se registra el trfico de la red

Deteccin de botnets mediante anlisis de flujo

En la deteccin de botnets, otra tcnica usada es el anlisis de los registros de flujo de red. Esta tcnica se basa en analizar el trfico desde un punto de vista ms
abstracto, sin entrar a analizar los datos propiamente dichos. Bsicamente, la idea es caracterizar las comunicaciones a partir de datos como direcciones IP de origen
y destino, puertos de comunicacin, volumen de trfico transmitido o duracin de las sesiones. Con todos estos datos, el sistema de anlisis de flujo de red puede
detectar comportamientos estadsticamente anmalos o patrones de comportamiento mediante los cuales se detecten botnets u otro tipo de amenazas.

- Modelo de datos de NetFlow 5 (fuente: CISCO

System) -

Esta tcnica, al no analizar la carga til de los paquetes ("payload"), reduce la cantidad de datos que se deben de almacenar y examinar. Gracias a este hecho, se
evitan problemas que tienen otras tcnicas como por ejemplo:

Problemas de legalidad, al no inspeccionar los datos privados no se entra en conflicto con determinadas leyes sobre la privacidad de las comunicaciones.

Problemas de escalamiento, el tratamiento en tiempo real de los grandes volmenes de datos, que se generan en redes tamao mediano o grande, suele ser
un problema de gran complejidad y que necesita una gran cantidad de recursos. Al reducirse la cantidad de datos a manejar se atena en gran medida este
problema.
Sin embargo, este tipo de anlisis adolece de tener acceso directo a las evidencias de un comportamiento malicioso, puesto que no analiza los datos propiamente
dichos. Esta tcnica est limitada al anlisis de los metadatos de las comunicaciones, pero que suele ser bastante eficiente a la hora de identificar amenazas en una
red.

NetFlow
El protocolo de red que se ha convertido en estndar de facto para el anlisis de flujos de red es NetFlow
diseado por CISCO System

. NetFlow es un protocolo abierto (RFC 3954

y adoptado posteriormente por otros fabricantes como Juniper, Huawei o 3Com/HP. Este protocolo permite la recoleccin de

informacin sobre el trfico IP de una red para su posterior anlisis. Los routers y switches que soportan este protocolo, adems de distribuir el trfico por la red, se
encargan de enviar los metadatos de dicho trfico (IPs, puertos,) a un servidor especializado de recoleccin. En este servidor se realizan los anlisis
correspondientes con el fin de identificar patrones de trfico anmalos, comunicaciones con puertos en teora filtrados, conexiones a IPs maliciosas, exceso de
determinado tipo de trfico, sesiones demasiado largas o demasiado cortas, que pueden indicar que la red o alguno de sus integrantes han sido comprometidos.

- Ejemplo de arquitectura NetFlow (fuente: Cisco

)-

El anlisis de flujo de red puede detectar tanto amenazas desconocidas, al detectar comportamientos anmalos como por ejemplo una botnet no identificada, como
amenazas previamente identificadas, como son IPs conocidas de los centros de C&C de una botnet.
Otra ventaja de esta tcnica de anlisis es la posibilidad de almacenar los reducidos metadatos de las comunicaciones, gracias a lo cual se pueden realizar anlisis
retrospectivos de amenazas o de ataques con el objeto estudiar la respuesta del sistema y mejorar las contramedidas existentes. Por el contrario, esta tcnica genera
una sobrecarga de trfico considerable, ya que los dispositivos de enrutamiento envan los metadatos de las comunicaciones al servidor encargado de almacenar y
procesar esta informacin.
A continuacin veremos algunas publicaciones y estudios que desarrollan esta tcnica para la deteccin de botnets:

En Using machine learning techniques to identify botnet traffic

(Livadas C., Walsh, R., Lapsley, D., Strayer, T), se explic, ya en el ao 2006, cmo utilizar

mtodos de aprendizaje automtico para la deteccin del trfico de botnet IRC. El sistema propuesto analiza el trfico de una red estadsticamente, segregando en
una primera fase el trafico IRC del no IRC, para en una segunda fase ver qu trfico IRC corresponde a alguna botnet, para lo cual entre otros datos analiza el
nmero de bytes por paquete y su varianza en el tiempo.

DISCLOSURE: Detecting Botnet Command and Control. Servers Through Large-Scale NetFlow Analysis

(Bilge, Leyla; Balzarotti, Davide; Robertson,

William; Kirda, Engin; Kruegel, Christopher), en el cual proponen un sistema para la deteccin de los servidores C&C de las botnets mediante el anlisis de los
registros de NetFlow; este anlisis se realiza en base al tamao de los flujos, los patrones de acceso de los clientes y del comportamiento temporal.

- Arquitectura de DISCLOSURE

Una aplicacin real es el Cisco Cyber Threat Defense Solution

. Este sistema utiliza el anlisis de los datos obtenidos mediante NetFlow para identificar

posibles patrones sospechosos de trfico de red. Adems del anlisis de patrones, este sistema incorpora otros mtodos para la deteccin de amenazas:

Blacklist, deteccin de botnets mediante el uso de lista negras. El sistema comprueba las conexiones de la red contra mltiples fuentes de informacin que
registran direcciones IP de posibles amenazas, como por ejemplo comohttps://zeustracker.abuse.ch/

Monitorizacin de conexiones unidireccionales peridicas de muy corta duracin hacia el exterior de la red monitorizada. Este tipo de conexiones podran ser
un indicio de conexiones maliciosas.

Backtracking, cuando se descubre un nuevo servidor de C&C se comprueba la existencia de comunicaciones antiguas contra este servidor en base al
histrico que almacena.
Por supuesto, esta tcnica de deteccin es fcilmente evadible si es la nica medida que se aplica para detectar botnets. Existen tcnicas, como Algoritmo de
generacin de dominios (DGA) o covert channel, son utilizadas para evitar su deteccin, intentando que las conexiones realizadas por tipo de amenazas pasen
desapercibidas. Por lo tanto, aunque til esta tcnica no puede ser la nica a usar en un sistema y deber ser complementada con otras como anlisis de paquetes,
anlisis de log, anlisis de DNS,

La resiliencia de las botnets: "redes duras de pelar"

21/10/2014, por Asier Martnez (INCIBE)

De manera general, y ms en el caso del malware relacionado con las botnets, buscan pasar desapercibidos con el fin de ser persistentes y as obtener el mayor
beneficio posible: por ejemplo, a travs de la exfiltracin de informacin relevante, el envo masivo de spam, o de la subcontratacin de la botnet para llevar a cabo
ataques de denegacin de servicio.

A lo largo de todo este tiempo, las botnets han ido incluyendo una serie de medidas y protecciones para aumentar su nivel de resiliencia, es decir, han ido
implementando mecanismos para mantenerse funcionales el mayor tiempo posible. Es importante conocer este tipo de mecanismos para poder hacerse una idea
aproximada del nivel de sofisticacin y de la amenaza que suponen: Conoce a tu enemigo y concete a ti mismo; en cien batallas, nunca saldrs derrotado. (El
arte de la guerra - Sun Tzu).

Algoritmo de generacin de dominios (DGA)

En lugar de tener en el cdigo del malware los dominios con los que se comunican los nodos, muchas botnets incorporan un sistema DGA, mediante el cual se
generan peridicamente gran cantidad de dominios en base a ciertos criterios, llegando incluso a ms de 1.000 dominios diarios.

De este modo, el malware comprueba si esos dominios estn accesibles, y en el caso de que lo estn, se conecta a ellos con el fin de recibir actualizaciones o
instrucciones. El bot master, al haber creado el algoritmo, es capaz de predecir los dominios que se generarn, por lo que se anticipa y registra aleatoriamente
algunos de ellos, los activa, realiza la comunicacin con los nodos y finalmente los desactiva.

Este mecanismo dificulta el trabajo de los analistas de malware y de las empresas de seguridad, ya que se debe realizar ingeniera inversa con el fin de comprender
el funcionamiento de dicho algoritmo y as evitar que el malware se conecte con el servidor C&C, o adelantarse al bot master y registrar algn dominio para poder
establecer la comunicacin con los nodos.

De manera habitual, utilizan el timestamp como base para generar los dominios, pero en ocasiones son ms originales, como es el caso de la botnet Torpig, que
utiliza los trending topics de Twitter como base para la generacin de dominios.

Adems, con el fin de ocultar este trfico fraudulento, realizan peticiones a sitios legtimos.

Polimorfismo
Una gran parte de las detecciones que realizan los antivirus y suites de seguridad se hacen mediante deteccin por hashes, es decir, se crean detecciones nicas
para cada uno de los ficheros catalogados como malware.

Con el fin de evadir este tipo de detecciones, los creadores de malware crean malware polimrfico, es decir, varan ligeramente el cdigo con el fin de que cambie el
hash del fichero y as invalidar su deteccin. Algunos de los mtodos ms habituales consisten en insertar cdigo basura, reorganizar el cdigo ya existente o la
utilizacin de diferentes packers.

Anti-Crawling
Crawlear una botnet consiste en identificar todos los nodos pertenecientes a la misma. De este modo, se puede obtener una idea aproximada de su propagacin y
alcance, permitiendo notificar a los usuarios afectados que sus equipos estn comprometidos, y los pasos que deben seguir para desinfectarse.

Con el fin de prevenir esto, en muchos casos los nodos de las botnets se envan nicamente listas parciales del resto de nodos de la botnet, es decir, envan
nicamente el listado de nodos que conocen (peerlist), e incluso lo hacen de manera fragmentada. Adems, algunas, como es el caso de Zeus, implementan
mecanismos mediante los cuales bloquean los nodos que solicitan frecuentemente peerlist. De este modo, se consigue que crawlear la botnet resulte muy costoso.

Anti-Sinkhole

A grandes rasgos, Sinkhole es el trmino que describe el proceso de tomar el control de una botnet infiltrndose en la misma. Esta toma de poder se realiza
provocando que los nodos se conecten para recibir instrucciones a uno que est bajo nuestro control. De este modo, es posible enviar peerlist manipuladas o
instrucciones para desmantelar la red.

Con el fin de prevenir esta tcnica, las botnets incorporan esquemas de reputacin para determinar qu nodos dentro de la botnet son confiables y cules no, y
bloquean los nodos que identifican que han sido sinkholeados.

As mismo, utilizan sistemas de backup de los servidores C&C.

Comprobacin del entorno

Algunas botnets analizan diferentes aspectos del entorno en el que se ejecutan, con el fin de determinar si lo estn haciendo en sandboxes o entornos de anlisis de
malware. En el caso de identificar estos entornos, su comportamiento es distinto con el fin de parecer goodware.

Incluso, en ocasiones, generan blacklists con las IPs de las sandboxes y entornos de anlisis de malware con el fin de que otros malware utilicen ese conocimiento
para evitar ser detectados.

Compartimentacin de las funciones

De manera habitual, las botnets estn formadas por gran cantidad de malware y con diferentes funcionalidades. Existen los droppers o downloaders encargados de
introducir el payload en el sistema, que es el que contiene realmente la funcionalidad. De este modo, puede ocurrir que se detecten los droppers y downloaders, y no
el payload, o al revs.

Fast Flux

Como se indicaba en el post Uso y abuso de DNS, Fast Flux es una tcnica que consiste en la asignacin de mltiples direcciones IPs a un determinado dominio.
De este modo, cada vez que se realiza una consulta DNS sobre ese dominio, se resuelve una direccin IP distinta. Las redes Fast Flux estn formadas por nodos
comprometidos de la propia botnet, y actan como proxy entre los clientes y los servidores donde se almacena el contenido. Esta tcnica permite ocultar la ubicacin
real del servidor desde el que se controla la botnet.

Descentralizacin de la estructura de una botnet

La utilizacin de botnets con estructura descentralizada, como es el caso de las P2P, dificulta significativamente su desmantelamiento.

En algunos casos, utilizan mltiples servidores C&C con distintas versiones del malware.

As mismo, la utilizacin de servicios alojados en la red Tor, permite enmascarar la localizacin real de los servidores C&C.

Comunicacin
Las botnets se comunican de diferentes maneras:

A travs de redes sociales: Facebook, Twitter o LinkedIn.

A travs de diferentes servicios: Google Groups, Google Calendar o Reddit.

A travs de IRC o programas de mensajera como Skype.

A travs de P2P.

A travs de esteganografa: habitualmente en imgenes con texto oculto aprovechando los metadatos, como es el caso de Zeus y Bredolab.

As mismo, acostumbran a ofuscar los comandos que transmiten, de modo que pueden evadir las firmas de los sistemas de deteccin de intrusos (IDS) y similares.

Exfiltracin de informacin

Dentro del proceso de comunicacin, es importante tener en cuenta que utilizan diversas tcnicas para llevar a cabo el proceso de exfiltracin de informacin
sensible:

Diferentes mtodos: HTTP, FTP, SSH, SMTP, etc.

Dividen la informacin en un gran nmero de ficheros de tamao pequeo, en lugar de enviar nicamente uno de gran tamao.

De manera habitual, utilizan algoritmos de cifrado simtrico por sustitucin para cifrar la informacin: los ms habituales son Cesar o ROT13. No es habitual
la utilizacin del cifrado asimtrico ya que tiene un coste computacional alto.

En el proceso de comunicacin, merecen especial atencin los covert channels, es decir, las tcnicas que permiten enviar informacin empleando para ello las
cabeceras de los protocolos de comunicacin. Mediante estas tcnicas es posible tanto enviar instrucciones a los nodos de la botnet como exfiltrar informacin
sensible.

Al llegar los paquetes a su correspondiente destino, se procesan los valores de las cabeceras de modo que se obtiene informacin que el bot master puede
comprender.

Algunos de los ejemplos ms habituales de covert channels son: Timing Covert Channel o Storage Covert Channel.

Uso y abuso de DNS

02/10/2014, por Antonio Lpez (INCIBE)

DNS es uno de los protocolos con mayor presencia en las comunicaciones de Internet. Gracias a DNS usamos nombres en lugar de direcciones IP, lo que
proporciona una va mucho ms sencilla para identificar y recordar otras mquinas o dispositivos de la red. Por otra parte, su omnipresencia y caractersticas lo
hacen especialmente atractivo para emplearlo con otros fines no legtimos, como ataques de denegacin de servicio por amplificacin DNS , suplantacin de sitios,
phising, etc.

En este artculo se resumen los principales usos y "malos usos" que se dan a este importante protocolo.

Fast flux o el don de la ubiquidad.

La tcnica conocida como fast-flux es un mecanismo de evasin ampliamente utilizado por malware y botnets. Los ordenadores integrantes de una botnet (bots o
zombies) suelen conectarse a servidores denominados centros de comando y control (C&C) o con otros bots con objeto de recibir rdenes y/o configuraciones, as
como enviar informacin. Los centros de comando y control tratan de ocultar su ubicacin e IP para evitar ser localizados y neutralizados y para ello cambian de

direccin IP constantemente. La tcnica de fast flux consiste en registrar un nombre de dominio y cambiar frecuentemente la IP asociada en los servidores de
nombres que mantienen el registro. Adems, a estos registros se les asigna un tiempo de "caducidad" o time-to-live o TTL muy bajo (o nulo) para evitar sea
almacenado en cach de los clientes DNS. De este modo se consigue que dos solicitudes DNS consecutivas devuelvan IP distintas dificultando la localizacin del
servidor. El fast flux de direcciones IP se combina frecuentemente con el rotado de los servidores de nombres propietarios del dominio (nameservers, NS). Con este
doble fast flux se incrementa la dificultad de localizar los centros de comando y control. Por otra parte, fast flux tambin puede ser empleado legtimamente con el
objetivo de repartir carga o multiplexar los recursos asociados a un dominio para reforzar su disponibilidad

- Fast Flux de IP -

Passive DNS
Passive DNS aparece en escena como mecanismo para detectar comportamientos anmalos entre ellos, el secuestro de dominios o el fast flux. Consiste en
monitorizar y almacenar consultas DNS en una base de datos y comparar, en las sucesivas peticiones que se realizan, si hay diferencias inesperadas con lo

almacenado anteriormente en la base de datos. Cambios como el propietario del dominio o las IPs asociadas en un tiempo corto, podran ser indicativo de algn tipo
de anomala

Sinkholing
El sinkholing de dominios es una estrategia defensiva para evitar que los dominios con contenido malicioso puedan ser visitados. Para ello es necesario una vez
identificado el dominio, localizar el registrador del mismo y solicitar su cesin, de modo que se pueda asignar a ese dominio una IP controlada o no vlida. De esta
forma, las vctimas nunca llegarn a acceder al sitio malicioso o centro de control en caso de una botnet. Adems de ofrecer proteccin y evitar que mquinas
infectadas se comuniquen con los centros de control, el sinkholing puede utilizarse para estudiar el comportamiento de una botnet dirigiendo las comunicaciones
hacia un servidor que simule ser el centro de control y que se encargue de analizar el trfico recibido.

Domain Generation Algorithm (DGA)

Una vez ms, hecha la ley, hecha la trampa. El malware adopta contramedidas contra sink holing mediante la generacin de una gran cantidad de nombres de
dominio a travs de un algoritmo. Por ejemplo, en el caso de conficker, una de las amenazas ms comunes, se generan hasta 50000 nombres de dominio al da. El
atacante registrar peridicamente una serie de dominios, de entre los generados por el algoritmo y as estar accesible por sus vctimas. Lgicamente la frecuencia y
nmero de conexiones entre vctima y centro de control se reduce, pero en contrapartida, complica muchsimo el sink holing de sus dominios puesto que para ello,
deberan registrarse todos los dominios generados por el algoritmo, o bien solicitar al registrador un control de los mismos.

Denegacin de Servicio. DDoS

Es uno de los usos ilegtimos de DNS ms extendido y utilizado para causar perjuicio con ataques de denegacin de servicio. Como se explica en el artculo "DNS,
open resolvers y denegacin de servicio por amplificacin DNS", las caractersticas del protocolo DNS y su base en capa de transporte UDP permiten el falseo o

spoofing de direcciones IP, es decir, enviar al servidor paquetes con una IP falseada y que ste conteste a esa IP al no hacer ningn tipo de comprobacin sobre el
origen. A este resultado de "reflejar" las respuestas hacia la IP vctima, se une al factor de amplificacin ya que, ciertas consultas DNS consiguen generar una
respuesta del servidor de tamao mucho mayor que el paquete emitido. Uniendo ambos factores, amplificacin y reflexin, un atacante que use un buen nmero de
los servidores DNS pblicos puede llevar a cabo un ataque de denegacin de servicio contra una IP vctima dirigiendo contra ella un gran volumen de trfico. Este y
otros aspectos de seguridad en DNS se describen detalladamente en la "Gua de Seguridad en Servicios DNS" publicada por INTECO.

- Pico de trfico en un ataque DDoS -

Typosquatting, cibersquatting y otros

Sin llegar al nivel de sofisticacin de las anteriores pero igualmente efectivas, las estrategias basadas en sacar provecho de errores humanos aparecen
frecuentemente. Entre estas, el typosquatting, consiste en registrar dominios con nombre muy parecido al nombre al que se quiere suplantar. Este nombre se escoge
cuidadosamente de tal forma que coincida con el resultado de escribir el nombre original con un error tipogrfico, por ejemplo www.goole.com en lugar
de www.google.com . Con ello se dirige a alguien que cometa el error hacia un sitio que simule ser el original y tratar de obtener credenciales, robar datos, instalar
software no deseado o infectar el visitante.

- Dominio typosquatting -

El cibersquatting es otra forma oportunista para beneficiarse del registro de nombres principalmente con motivos de extorsin . Se basa en registrar dominios que
hagan referencia a personas, compaias, marcas comerciales, etc con la intencin de que la parte perjudicada acceda a recuperar el dominio a cambio de una
compensacin econmica. Muy frecuente hace unos aos, a da de hoy es menos habitual gracias a normativas y procedimientos legales que dificultan la posibilidad
de registrar un dominio en conflicto con derechos intelectuales y/o de propiedad. La ICANN (Internet Corporation for Assigned Names and Numbers ) coordina la
gestin de dominios e IPs y a travs de la seccin "Poltica de Resolucin de Disputas de Nombres de Dominio", establece una va para la proteccin de los derechos
del propietario de la marca.

DNS, open resolvers y denegacin de servicio por amplificacin DNS

16/01/2014, por Antonio Lpez (INCIBE)

Como se ya explic en el artculo publicado en el blog de INTECO, Hemos echado el cierre o nos estn haciendo un DDoS?, una de las principales amenazas que
afectan a empresas o compaas con servicios accesibles pblicamente en Internet son los ataques de denegacin de servicio , a travs de cualquiera de las
variantes all descritas. En este artculo hablamos de uno de esos tipos de ataque, en concreto, la denegacin de servicio por amplificacin de respuestas DNS.

En marzo de 2013, se produjo uno de los ataques de denegacin de servicio ms grandes de los ltimos tiempos, llegndose a detectar picos de trfico superiores a
100 Gbps. Los objetivos del ataque fueron las compaas Spamhaus, organizacin dedicada a la identificacin y proteccin de fuentes de spam anti-spam a nivel
mundial, y Cloudfare, su proveedor de servicios de mitigacin de ataques DDos (Distibuted Denial of Service).

Ilustracion 1. Trfico observado en los routers de Cloudfare dirigido contra Spammhaus

Un ataque DDoS aunque focalizado en un objetivo concreto, se lanza simultneamente desde multitud de orgenes y as, el volumen de trfico es tal que los efectos
colaterales pueden dejarse notar en los puntos intermedios de enrutamiento, donde el trfico confluye en su trayecto hacia el destino final. En estos puntos, la
convergencia del mismo crea cuellos de botella que pueden superar la capacidad del dispositivo enrutador.

Ilustracin 2. Ataque DoS.Sobrepasando la capacidad de respuesta de un dispositivo.

DNS, una navaja suiza en ataques DDoS. Amplificacin

DNS, el protocolo de resolucin de nombres que nos permite identificar recursos en internet con nombres fcilmente manejables y as obtener su direccin IP, es muy
frecuentemente utilizado para generar ataques de DDoS. Por qu? Bien, DNS, adems de ser un protocolo omnipresente en internet cuenta con una serie de
caractersticas que lo hacen especialmente til para generar trfico y dirigirlo a un objetivo, siendo por otra parte, complicado de detener. Estas caractersticas son:

Transporte de mensajes sobre UDP. Realmente la base del problema. Aunque es posible el uso de TCP para consultas/respuestas DNS, por motivos de
rendimiento y compatibilidad histrica es UDP el protocolo generalmente usado en el transporte de mensajes DNS. UDP es un protocolo de red no orientado a
conexin donde se envan paquetes (datagramas) sin esperar una confirmacin por parte del receptor. Es por lo tanto un protocolo fcilmente spoofleable, es decir,
podemos enviar paquetes con una direccin IP origen falseada puesto que no se establece una verificacin del emisor. Igualmente en la recepcin de los datagramas
no se hacen comprobaciones sobre el origen de la conexin.

Con DNS es posible obtener, a partir de un mensaje de consulta de pequeo tamao una respuesta mucho mayor. Un servidor DNS se convierte entonces
en un amplificador de trfico. La especificacin (Extension Mechanisms for DNS) EDNS0 permite el envo de mensajes DNS con tamao superior al definido para
mensajes estndar DNS sobre UDP (512 bytes). As, usando esta funcionalidad es posible a partir de una consulta de escasos bytes, provocar una respuesta de gran
tamao, pudiendo llegar hasta buffers de 4096 bytes. De este modo, lanzando una gran cantidad de consultas y sobre mltiples servidores, se conseguir provocar
un flujo de respuestas de gran tamao dirgida a la mquina objetivo del ataque.

Open Resolvers. Otro asunto que facilita este tipo de ataques basados en DNS es el enorme nmero de Open Resolvers accesiblespblicamente en
Internet. Por open resolver se entiende aqul servidor recursivo que permite consultas y ofrece resolucin DNS a cualquier solicitante.

Unido a lo anterior, existe el problema con configuracines y reglas de filtrado de trfico que no contemplan las medidas necesarias para contrarrestar, en la
medida de lo posible, el spoofing de direcciones IP.

Funcionamiento de un ataque de amplificacin con DNS

Sacando partido de las debilidades arriba descritas, es relativamente sencillo generar un ataque dirigido contra una vctima escogida. Basta con localizar open
resolvers, cuantos ms mejor, que se usarn de lanzaderas amplificadoras y construir consultas haciendo uso de la funcionalidad EDNS0 que provoquen una
respuesta de tamao mucho mayor que el de la consulta en s. Dichas consultas se preparan falseando la IP origen con la direccin de la vctima, para conseguir de
este modo, que todas las respuestas generadas se dirigirn hacia la misma.

Ilustracin 3. Ataque de amplificacin DNS

Contramedidas
Lo realmente deseable es prevenir los ataques, puesto que la mejor forma de solventar un problema es atacar su origen. Con este fin, las siguientes medidas son deseables:

Limitar recursin. Una concienciacin global para que los propietarios de open resolvers limiten la recursin nicamente a clientes o redes bajo bajo su
responsabilidad. La iniciativa Open Resolver Project trabaja en este aspecto. De este modo evitamos ser un punto lanzadera de posibles ataques.

Filtrado de trfico. Tambin resulta recomendable adoptar las medidas especificadas en el documento de la IETF BCP-38 : Network Ingress Filtering:
Defeating Denial of Service Attacks which employ IP Source Address Spoofing.

Adicionalmente, y desde el punto de vista del servidor DNS, implementar medidas consideradas en el RFC2671 que van destinadas a proporcionar mayor
control sobre las consultas/respuestas como puede ser, especificar un lmite mximo de respuestas idnticas por segundo. Por ejemplo, si el software usado en el
servidor DNS es BIND, se dispone desde su versin 9.9.4 la funcionalidad Response Rate Limiting (RRL) donde a travs de una clasula rate-limit se puede limitar el
nmero de consultas por segundo si se detecta un flujo de consultas sospechoso de formar parte de un ataque de flooding

Tails es vulnerable: te enseamos a evitar el fallo de I2P

Estamos seguros de que muchos conoceris la distribucin Linux Tails. No en vano, era recomendada hace unos meses por Edward Snowden,
quien comentaba que era la ms segura y, por lo tanto, la que l utilizaba para navegar por Internet. Un software que nos permita estar en la
red sin dejar rastro y sin la necesidad de realizar complicadas configuraciones.
Sin embargo, los encargados del paquete han anunciado recientemente que uno de los paquetes incluidos est provocando que la distribucin
ya no sea todo lo segura que pareca. Concretamente,I2P tiene un fallo de seguridad que, en el caso de ser aprovechado, puede provocar
que a lo usuarios se les quite la anonimizacin que se promete. Un error que resulta bastante grave.
Bsicamente, lo que permite el bug es sacar la direccin IP verdadera de los usuarios, identificndonos tal y como somos. De esta forma, si
utilizamos TOR Browser para navegar por una pgina web convenientemente modificada, el software podra ser vulnerado, revelando datos
sensibles. Oficialmente no se sabe con exactitud la manera de explotar la vulnerabilidad, aunque existen algunos crackers que conocen
determinadas formas de ponernos en peligro.

Solucionando el fallo

El primer lugar, tenemos que decir que el fallo se encuentra en el paquete I2P, incluido en el sistema. Aunque no est activado por defecto, lo
cierto es que si no nos andamos con ojo podramos caer en una trampa cibernticamente mortal, por lo que lo mejor es desinstalar el
paquete para no utilizarlo sin querer.
A continuacin tenis los pasos necesarios para hacerlo:

1.

Le ponemos una contrasea al usuario root. Lo nico que deberemos hacer ser abrir la terminal y ejecutar el comando sudo -i.

2.

Desinstalamos I2P con el comando apt-get purge i2p.

En el caso de que tengis que usar el paquete de forma obligatoria, os recomendamos que instalis el plugin NoScript en TOR Browser,
antes de iniciar el servicio I2P, evitando as que se pueda ejecutar cdigo remoto en vuestro ordenador.

La vulnerabilidad ser corregida prximamente

Aunque la versin 1.1 de Tails fue publicada hace unos das, lo cierto es que el fallo todava no ha sido solucionado, por lo que es necesaria
una solucin temporal, hasta que el paquete se modifique de la manera necesaria para cerrar la brecha de seguridad. Algo que debera de
hacerse durante losprximos das.
Debemos tener en cuenta que un bug de este tipo puede comprometer seriamente a los usuarios que utilicen Tails por lo que, si es vuestro
caso, os recomendamos que, directamente, no usis I2P hasta que exista alguna actualizacin que arregle el paquete. Hasta entonces,
deberis tener mucho cuidado cuando naveguis por Internet.
Por lo dems, mencionar que Tails es una distribucin Linux centrada en hacer que podamos navegar por Internet de una manera segura y
completamente annima. Aunque la ltima versin sea la 1.1, lo cierto es que se espera que pronto est disponible una nueva versin con el
fallo arreglado

El ejrcito estadounidense libera bajo cdigo

abierto la herramienta Dshell

Dshell es una herramienta de anlisis forense de redes desarrollada en el laboratorio de investigacin del ejrcito USA. Programada en Python y
corriendo en Linux, ha sido liberada en GitHub bajo cdigo abierto.

Dshell es un framework que los usuarios pueden utilizar para desarrollar mdulos de anlisis personalizadosbasados en los compromisos
de las redes de su entorno. El objetivo al liberarlo de cdigo abierto es animar a los desarrolladores y analistas externos a desarrollar y contribuir con
sus propios mdulos, basados en sus experiencias.
Fuera del gobierno, en la industria o el mundo acadmico, hay una amplia variedad de amenazas informticas similares a las que
nos enfrentamos aqu, explica el jefe de seguridad de este laboratorio del ejrcito estadounidense, con la idea de aumentar la
colaboracin para mejorar la deteccin y compresin de los ataques cibernticos:

Durante mucho tiempo, hemos estado buscando la manera de participar e interactuar con la comunidad de respuesta
forense e incidentes digitales a travs de una plataforma mejorada de colaboracin La forma tradicional de compartir
software, incluso entre las entidades del gobierno, puede ser un reto. Hemos comenzado con DSHELL porque la
funcionalidad central es similar a las herramientas disponibles para el pblico, pero proporciona un mtodo ms simple
para desarrollar funcionalidades adicionales.
La liberacin de de DSHELL se produce poco despus que Cisco publicara en GitHub su propio marco de anlisis de seguridad OpenSOC,
diseado especficamente para grandes entornos de red.

Revelaciones sobre la red de vigilancia mundial (2013-2014)

Los datos acerca de la vigilancia mundial son una serie de revelaciones sacadas a la luz por la prensa internacional entre 2013 y 2014, que
demuestran la vigilancia que principalmente las agencias de inteligencia de Estados Unidos, en colaboracin con otros pases aliados, han estado
ejerciendo de manera masiva sobre la poblacin mundial. 1 Las vctimas potenciales de este espionaje podran cuantificarse en miles de millones de
personas alrededor del mundo, adems, los peridicos revelaron que cientos de lderes mundiales, incluyendo jefes de Estado e importantes
empresarios, fueron o estn siendo vigilados. La informacin sali a la luz gracias al ex contratista de la NSA y la CIA, Edward Snowden, que rob y
posteriormente filtr miles de documentos clasificados dealto secreto (Top Secret) mientras trabajaba para Booz Allen Hamilton, uno de los mayores
contratistas militares y de inteligencia delgobierno de Estados Unidos.2 Los documentos extrados por Snowden, que en conjunto superaran los 1,7
millones, adems de miles de documentos secretos de las agencias de inteligencia de Estados Unidos, tambin contendran miles de archivos
secretos de pases como Australia, Canad o Reino Unido, gracias a su acceso a la exclusiva red Five Eyes o Cinco Ojos.
Los informes destaparon y demostraron la existencia de una compleja red de colaboracin entre decenas de agencias de inteligencia de varios pases
con el objetivo de expandir y consolidar una vigilancia globalizada. Los informes sacaron a la luz la existencia de tratados secretos y otros acuerdos
bilaterales para la transferencia masiva de metadatos, registros y otras informaciones a la Agencia de Seguridad Nacional (NSA) de Estados Unidos,
que se mostr como la agencia que capitanea los esfuerzos de vigilancia. Se descubri que la NSA opera programas secretos de vigilancia masiva

como PRISM o XKeyscore.3 4 5 6 Para la vigilancia y recogida masiva de datos las agencias han recurrido a mtodos tan diversos como la introduccin
de software espa en aplicaciones mviles muy populares como Angry Birds o Google Maps, la ruptura de la seguridad de los sistema
operativos iOS, Android, o la violacin de los cifrados de las BlackBerry. La NSA tambin infecto cientos de miles de redes informticas con malware
a nivel internacional e incluso espa los correos electrnicos Hotmail, Outlook o Gmail. La inteligencia internacional tambin vigila y almacena miles de
millones de llamadas y registros telefnicos. Gracias a esto, las agencias capitaneadas por la NSA son capaces de conseguir los contactos,
geolocalizacin, fotografas, aplicaciones o mensajes, datos que les permiten crear perfiles de prcticamente cualquier individuo, pues a partir de esto
pueden deducir su modo de vida, pas de origen, edad, sexo, ingresos, etc. La NSA tambin intercepta y almacena los datos de millones de
transacciones financieras electrnicas, pudiendo tener acceso prcticamente a cualquier dato bancario. Segn los documentos filtrados, las ms
importantes empresas de telecomunicaciones, tecnologa y de Internet colaboran con la NSA de manera voluntaria o a cambio de millones de dlares
para la cesin masiva de datos de sus clientes, adems del acceso a sus servidores. Entre estas empresas se
encuentran: Microsoft, Google,Apple, Facebook, Yahoo!, AOL, Verizon, Vodafone, Global Crossing o British Telecommunications, entre otras.7
En junio del 2013, el primero de los documentos de Snowden se public simultneamente en The Washington Post y en The Guardian, lo que capt
la atencin de muchsimos lectores.8 La revelacin de informacin continu durante todo el 2013 y los documentos fueron obtenidos y publicados
posteriormente por muchos otros medios de comunicacin internacionales, sobre todo por The New York Times (Estados Unidos), Der
Spiegel (Alemania), la Australian Broadcasting Corporation (Australia), O Globo(Brasil), la Canadian Broadcasting Corporation (Canad), Le
Monde (Francia), L'espresso (Italia), NRC Handelsblad (Pases Bajos), Dagbladet (Noruega), El Pas (Espaa) ySveriges Television (Suecia).9 De
manera simultnea tambin se descubri que si bien el peso de la vigilancia lo soportan pases anglosajones, mediante acuerdos y tratados secretos
las agencias de inteligencia de diversos pases tambin han cooperado con Estados Unidos mediante el espionaje directo a sus propios ciudadanos o
la transferencia de datos e informaciones. Entre estos pases se encuentran: Italia, Pases
Bajos, Espaa, Suiza, Suecia, Alemania, Francia o Noruega.10 11 12 13 14 15 16 17
Estas revelaciones generaron movimientos sociales en contra de la vigilancia masiva como Restore the Fourth u acciones como The Day We Fight
Back. En el mbito legal, una coalicin de diversos grupos demandaron a la NSA. Varias organizaciones de derechos humanos como Amnista
Internacional, Human Rights Watch o Transparencia Internacional han presionado a la administracin Obama para que, en vez de perseguir, proteja
al sopln Snowden.18 19 20 21 El 14 de junio del 2013, fiscales de los Estados Unidos acusaron, con base en la Ley de Espionaje de 1917, a Edward

Snowden de espionaje y de robo de propiedad gubernamental.22 Edward Snowden se vio obligado a exiliarse y a finales de julio de 2013 el Gobierno
de la Federacin de Rusia le otorg el derecho de asilo, lo que contribuy al deterioro de las relaciones entre Rusia y Estados Unidos.23 24 La
posibilidad de que Snowden pudiera escapar a Sudamrica deriv en el conflicto diplomtico entre Sudamrica y Europa de 2013. Por otra parte, el
presidenteBarack Obama critic el supuesto sensacionalismo con que las revelaciones haban salido a la luz, al tiempo que defendi que no se est
espiando a la ciudadana estadounidense y que EE.UU. no posee un programa nacional de espionaje.25 En el Reino Unido, el gobierno conservador
de David Cameron amenaz a The Guardian y le inst a que no publicara ms documentos de los sustrados.26 En una evaluacin inicial acerca de
estas revelaciones, el Pentgono determin que Snowden cometi el mayorrobo de secretos en la historia de los Estados Unidos.27 Sir David Omand,
ex director del GCHQ, dijo que las revelaciones de Snowden son la prdida ms catastrfica que haya tenido jams la inteligencia britnica. 28 A raz
de esto se gener un debate an vigente acerca de qu tan responsable ha sido la informacin periodstica para la opinin pblica y la necesidad de
esta vigilancia en contraposicin al derecho a la privacidad.

Antecedentes[editar]
Barton Gellman, periodista ganador del Premio Pulitzer que condujo la cobertura de The Washington Post acerca de las revelaciones de Snowden,
resumi lo ocurrido de esta manera:
En conjunto, las revelaciones han trado a la luz un sistema de vigilancia mundial que se ha liberado de muchas de sus restricciones histricas despus de
los ataques del 11 de septiembre del 2001. Autoridades legales secretas facultaron a la NSA para revisar los registros telefnicos, de Internet y la localizacin de
grandes grupos humanos.
The Washington Post29

Las revelaciones pusieron a la luz detalles especficos acerca de la ntima cooperacin de la NSA con instancias del gobierno federal tales como
el Bur Federal de Investigaciones (FBI)30 31 y la Agencia Central de Inteligencia (CIA),32 33 adems de los pagos, hasta entonces desconocidos, que
haba hecho la agencia a numerosos socios comerciales y a compaas de telecomunicaciones, 34 35 36 y las relaciones hasta entonces desconocidas
con socios internacionales como Gran Bretaa37 38 Francia,39Alemania40 y los tratados secretos que firmaron recientemente con gobiernos extranjeros
para compartir informacin interceptada de los ciudadanos de ambos.41 42 Toda esta informacin la hizo pblica la prensa de varios pases durante

varios meses desde junio del 2013 a partir del tesoro oculto que filtr el ex contratista de la NSA Edward J. Snowden, 43 quien obtuvo la informacin
mientras trabajaba para Booz Allen Hamilton, uno de los mayores contratistas para defensa e inteligencia en los Estados Unidos. 44
George Brandis, el procurador general de Australia, asegur que la informacin revelada por Snowden es el ms grave revs para la inteligencia
de Occidente desde laSegunda Guerra Mundial.45

Vigilancia global[editar]
Artculo principal: Vigilancia global

Programas de vigilancia global

Programa

PRISM

Colaboradores o socios internacionales

Australia: ASD/DSD46

Reino Unido: Cuartel General de Comunicaciones del

Gobierno (GCHQ)47

Socios comerciales

Pases Bajos: Algemene Inlichtingen en

Veiligheidsdienst (AIVD)48

Estados Unidos XKeyscore

Alemania: Bundesnachrichtendienst (BND)53 54

Microsoft49 50 51 52

Alemania: Bundesamt fr Verfassungsschutz (BfV)55 54

Suecia: Frsvarets radioanstalt (FRA)56 57

British
Telecommunications (cdigo Remedy)7

Reino UnidoTempora

AlemaniaProject 6

Interoute (cdigo Streetcar)7

Level 3 (cdigo Little)7

Global Crossing (cdigo Pinnage)7

Verizon Business (cdigo Dacron)7

Viatel (cdigo Vitreous)7

Vodafone Cable (cdigo Gerontic)7

Estados Unidos: Agencia de Seguridad

Nacional (NSA)58 59

Reino Unido:Muscular

Estados Unidos: NSA60

Estados Unidos: Agencia Central de Inteligencia (CIA)61

Australia: DSD62 63

Canad: Communications Security Establishment

Stateroom

Canada (CSEC)63 64

Reino Unido: GCHQ63 65

Estados Unidos: Special Collection Service (SCS)63 65 66

Estados Unidos: NSA67 68

Francia: Direction Gnrale de la Scurit

Lustre
Extrieure (DGSE)67 68
ltima actualizacin: diciembre 2013

Informacin revelada[editar]

Documentos secretos de 2012 con las proyecciones presupuestarias y cuentas consolidadas de 2011 a 2017 de las agencias de inteligencia, ramas del ejrcito de
Estados Unidos (marina, ejrcito terrestre, marines y fuerzas areas) y otras agencias de seguridad estadounidenses (ver en PDF aqu)

El tamao exacto del paquete de documentos revelado por Snowden se desconoce, pero varios funcionarios gubernamentales han presentado las
siguientes cifras aproximadas:

Al menos 15.000 archivos de la inteligencia australiana, segn los funcionarios de ese pas;69

Al menos 58.000 archivos de la inteligencia britnica, segn los funcionarios de ese pas 70

Aproximadamente 1,7 millones de archivos de la inteligencia estadounidense, segn funcionarios de ese pas 71

Como ex contratista de la NSA, Snowden tena asegurado el acceso a los documentos del gobierno estadounidense y tambin ainformacin
clasificada relativa a varios gobiernos aliados occidentales, a travs de la exclusiva alianza Five Eyes.72 Snowden afirma que actualmente no posee
fsicamente ninguno de estos documentos, despus de haber entregado todas las copias a los periodistas con quienes se reuni en Hong Kong.73
Segn su abogado, Snowden se ha comprometido a no liberar ningn documento mientras se halle en Rusia, y la responsabilidad de la liberacin de
ms documentos la ha dejado en manos nicamente de los periodistas. 74 Hasta el 2014, los siguientes medios informativos han tenido acceso a
algunos de los documentos entregados por Snowden: Australian Broadcasting Corporation,Canadian Broadcasting Corporation, Channel 4, Der
Spiegel, El Pas, El Mundo, L'espresso, Le Monde, NBC, NRC Handelsblad,Dagbladet, O Globo, South China Morning Post, Sddeutsche
Zeitung, Sveriges Television, The Guardian, The New York Times y The Washington Post.

Contexto histrico[editar]
Artculo principal: Datos acerca de la vigilancia mundial (1970-2013)

En la dcada de 1970, el analista de la NSA Perry Fellwock (con el seudnimo Winslow Peck) hizo pblica la existencia del Acuerdo UKUSA, que
conforma la base de la red ECHELON, cuya existencia fue revelada en 1988 por Margaret Newsham, empleada deLockheed Corporation.75 76 Meses
antes de los ataques del 11 de septiembre y durante los das posteriores, el periodista y ex funcionario del MI5 britnico David Shayler y el
periodista James Bamford, entre otras personas, revelaron detalles acerca del aparato de vigilancia mundial, 77 78 y despus de ellos se presentaron
otros casos:

William Binney y Thomas Andrews Drake, empleados de la NSA, declararon que la NSA est expandiendo aceleradamente sus operaciones
de vigilancia.79 80

Katharine Gun, traductora que trabajaba para GCHQ, hizo pblico en el 2003, a travs del peridico The Observer, un plan de la NSA para
colocar micrfonos escondidos en las personas de los representantes de varios pases ante las Naciones Unidas poco antes de la guerra de

Irak (seis pases cuyos votos resultaban decisivos para que la ONU aprobara la invasin estadounidense en
Irak: Angola, Bulgaria, Camern, Chile, Guinea y Pakistn). Despus de su revelacin, GCHQ dio por terminada la relacin laboral, y el gobierno
britnico la acus, el 13 de noviembre del 2003, conforme a la seccin 1 de la Ley de Secretos Oficiales de 1989. El caso lleg a los tribunales
el 25 de febrero del 2004; por causas que an se desconocen, la parte acusadora no present evidencias, y ella qued libre en tan solo media
hora.81 82 83 84 85 86 87 88 89 90 91

Clare Short, miembro del gabinete britnico de mayo de 1997 a mayo del 2003, declar en el 2004 que el Reino Unido haba espiado al
secretario general de la ONU Kofi Annan.92

Russ Tice, empleado de la NSA, dispar la controversia acerca de la vigilancia sin garantas de la NSA despus de haber dicho que la
administracin de George W. Bushhaba espiado a los ciudadanos estadounidenses sin la autorizacin de la corte. 93 94

La periodista Leslie Cauley, de USA Today, revel en el 2006 que la NSA lleva una base de datos masiva de la llamadas telefnicas de los
ciudadanos de los Estados Unidos95

Mark Klein hizo pblica, en el 2006, dos aos despus de haberse retirado de su empleo en AT&T, la existencia del llamado Room
641A (Cuarto 641A), una instalacin de intercepcin de telecomunicaciones de la NSA que inici sus operaciones en el 2003.96

Los activistas Julian Assange y Chelsea Manning revelaron en el 2011 la existencia de la industria de la vigilancia masiva ver mass
surveillance industry97

El periodista Michael Hastings public en el 2012 que los manifestantes del movimiento Ocupa Wall Street estaban siendo vigilados98

Despus de las revelaciones de Snowden, el Pentgono concluy que l cometi el robo ms grande de secretos de los Estados Unidos en
la historia de ese pas.99 En Australia, el gobierno de coalicin declar que las filtraciones haban sido el dao ms grave a la inteligencia

australiana en la historia.100 Sir David Omand, ex director del GCHQ, afirm que los actos de Snowden haban sido la prdida ms catastrfica jams
ocurrida a la inteligencia britnica.101

Cronologa[editar]
Vase tambin: :en:Timeline of global surveillance disclosures (2013present)

Hotel Mira de Hong Kong, en donde Edward Snowden se cit por vez primera con Glenn Greenwald, Laura Poitras y el periodista Ewen MacAskillde The Guardian102

En abril del 2012, el entonces contratista de la NSA Edward Snowden comenz a bajar documentos.103 Ese ao, contact por vez primera con el
periodista Glenn Greenwald, de The Guardian; en enero del 2013 contact con la directora de cine documental Laura Poitras.104 105
En mayo del 2013, Snowden abandon temporalmente su trabajo en la NSA, con el pretexto de que estaba recibiendo tratamiento para su epilepsia.
Hacia finales de mayo, viaj a Hong Kong.106 107 Greenwald, Poitras y el corresponsal de defensa e inteligencia de The Guardian, Ewen MacAskill,
volaron a Hong Kong para citarse con Snowden.

2013[editar]

Junio[editar]
Despus de varias reuniones del editor de The Guardian en Nueva York (sus oficinas se hallan en los Estados Unidos), se decidi que Greenwald,
Poitras y el corresponsal de defensa e inteligencia del peridico Ewen MacAskill volaran a Hong Kong para reunirse con Snowden. El 5 de junio, en
la primera nota periodstica relativa al material filtrado, 108 The Guardian hizo pblica una orden judicialconfidencial que demostraba que la NSA haba
recolectado grabaciones telefnicas de ms de 120 millones de suscriptores de Verizon.109 Segn la orden, los nmeros telefnicos de quienes
participaban en las llamadas, los datos de su localizacin, los identificadores nicos, la hora de la llamada y la duracin de la llamada eran enviados a
la FBI, la que a su vez reenviaba los registros a la NSA.110 Segn el Wall Street Journal, la orden forma parte de un controvertido programa de datos
que intenta almacenar registros de todas las llamadas realizadas en los Estados Unidos pero que no recolecta informacin directamente de T-Mobile
US y deVerizon Wireless, en parte debido a que se trata de compaas que tienen acciones en el extranjero. 111
El 6 de junio del 2013, la segunda revelacin en los medios, relativa al programa de vigilancia PRISM (que recolecta el correo electrnico, la voz, el
texto y las conversaciones en video de extranjer@s y de una cantidad desconocida de ciudadan@s estadounidenses
en Microsoft, Google, Yahoo, Apple y otros gigantes de la tecnologa),112 113 114 115 se public de manera simultnea en los peridicos The
Guardian y The Washington Post.116 117
El diario Der Spiegel revel el espionaje llevado a cabo por la NSA en mltiples misiones diplomticas de la Unin Europea (UE) y en la sede de la
Organizacin de las Naciones Unidas en Nueva York.118 119 Durante episodios especficos en un lapso de cuatro aos, la NSA hacke a varias
compaas chinas de telefona celular,120 the Universidad China de Hong Kong y la Universidad Tsinghua en Pekn,121 y Pacnet, el operador asitico
de redes de fibra ptica.122 nicamente Australia, Canad, Nueva Zelanda y el Reino Unidose hallan exentos de manera explcita de los ataques de la
NSA, cuyo principal blanco en la Unin Europea es Alemania.123 Un mtodo para intervenir mquinas de fax encriptadas utilizado en la embajada
estadounidense se conoce con el nombre clave Dropmire.124
Durante la Cumbre del G-20 de Londres, la agencia britnica de inteligencia GCHQ intercept las comunicaciones
de diplomticos extranjeros.125 Adems, la GCHQ ha estado interceptando y almacenando, a travs de Tempora, cantidades masivas de informacin

transmitida por fibra ptica.126 Dos componentes principales de Tempora se denominan Mastering the Internet (MTI) y Global Telecoms
Exploitation.127 Los datos permanecen tres das, y los metadatos duran treinta das.128 La informacin recolectada por GCHQ a travs de Tempora se
comparte con la NSA.129
Del 2001 al 2011, la NSA recolect grandes cantidades de registros de metadatos que detallaban el uso que haca la ciudadana estadounidense del
correo electrnico y de Internet a travs de Stellar Wind,130 que ms tarde se dio por terminada, debido a limitaciones operativas y de recursos. Fue
reemplazada posteriormente por nuevos programas de vigilancia tales como ShellTrumpet, que proces su registro de un trillonsimo
de metadatos para finales de diciembre del 2012.131
Segn el Boundless Informant, se recolectaron ms de 97 000 millones de datos de inteligencia durante un periodo de 30 das que finaliz en marzo
del 2013. De un total de 97 000 millones de conjuntos de datos, aproximadamente 3 000 millones provenan de redes de cmputo de los Estados
Unidos132 y alrededor de 500 millones de registros de metadatos se recolectaron de las redes alemanas. 133
Varias semanas despus, se descubri que el Servicio Federal de Inteligencia alemn (BND) transfiere cantidades masivas de registros de metadatos
a la NSA.134

El 11 de junio del 2013 The Guardian public una instantnea del mapa global de la NSA de la recoleccin de datos electrnicos para el mes de marzo del 2013.
Conocido con el nombre de Boundless Informant, la NSA lo utiliza para rastrear la cantidad de datos analizados durante periodos especficos. El esquema a colores
va del verde (el menor nivel de vigilancia) hasta el amarillo y el naranja y rojo (el mayor nivel de vigilancia). Por fuera del Medio Oriente, nicamente China, Alemania,
la India,Kenia y los Estados Unidos muestran un color naranja o amarillo.

Julio[editar]

El edificio Justus Lipsius, sede delConsejo de la Unin Europea fue atacado por personal de la NSA que trabajaba en una cercana oficina de la OTAN, segn revel
un documento de 2010

Segn el peridico brasileo O Globo, la NSA espi millones de correos electrnicos y llamadas de ciudadanos de ese pas; 135 136 por otra parte,
Australia y Nueva Zelanda participaron en la operacin conjunta del sistema analtico global XKeyscore de la NSA.137 138Entre las numerosas
instalaciones de los aliados occidentales que contribuyeron a XKeyscore se hallan cuatro instalaciones enAustralia y una en Nueva Zelanda:

Pine Gap, cerca de Alice Springs, Australia, es adiministrada parcialmente por la Agencia Central de Inteligencia de los Estados Unidos;139

la Estacin Receptora de Shoal Bay, cerca de Darwin, Australia, es dirigida por el ASD;140

la Estacin de Comunicaciones Satelitales para Defensa de Australia, cerca de Geraldton, Australia, es administrada por el ASD;141

HMAS Harman, fuera de Canberra, Australia, es administrado por el ASD;142

la Estacin Waihopai, cerca de Blenheim, Nueva Zelanda, es administrada por GCSB (Nueva Zelanda).143

O Globo public un documento de la NSA intitulado Primary FORNSAT Collection Operations, que revelaba las localizaciones y nombres de cdigo
especficos de las estaciones de intercepcin de FORNSAT en el 2002.144
Segn Edward Snowden, la NSA ha creado convenios secretos de inteligencia con muchos gobiernos del mundo occidental.145
El FAD de la NSA est a cargo de estos convenios que, segn Snowden, estn organizados de tal manera que los gobiernos extranjeros pueden
aislar a sus lderes polticos del reclamo social, en caso de que estos convenios de vigilancia global sean objeto de filtraciones.146
En una entrevista publicada por Der Spiegel, Snowden acus a la NSA de estar ntimamente asociada con Alemania. 147 La NSA les dio a las
agencias de inteligencia alemanas (la BND (inteligencia extranjera) y la BfV (inteligencia interior)) acceso a su controvertido sistema XKeyscore.148 A
cambio, la BND entreg copias de dos sistemas llamados Mira4 y Veras que, se dice, exceden las posibilidades del SIGINT en algunas
reas.149 Todos los das, la BND recolecta cantidades masivas de registros de metadatosy los transfiere a la NSA a travs de la Bad Aibling Station,
cerca de Munich, Alemania.150 Tan solo en diciembre del 2012 la BND entreg ms de 500 millones de registros de metadatos a la NSA. 151 152
En un documento fechado en enero 2013, la NSA reconoci los esfuerzos de la BND por debilitar la legislacin relativa a la privacidad:
La BND ha estado intentando influir sobre el gobierno alemn para relajar la interpretacin de las leyes de privacidad y ofrecer mayores oportunidades para que se
intercambie la informacin de inteligencia.153

Segn un documento de la NSA fechado en abril del 2013, Alemania se ha convertido en el socio ms productivo de la NSA. 154 En un fragmento de
un documento independiente filtrado por Snowden, intitulado Success Stories (historias de xito), la NSA reconoci los esfuerzos realizados por el
gobierno alemn para acrecentar el intercambio internacional de informacin de la BND con sus socios:
El gobierno alemn modifica su interpretacin de la ley de privacidad G-10 para darle al BND ms flexibilidad al compartir informacin compartida con socios
extranjeros.155

Adems, el gobierno alemn estaba muy al tanto del programa de vigilancia PRISM mucho antes de que Edward Snowden hiciera pblicos los
detalles. Segn Steffen Seibert, vocero de Angela Merkel, hay dos programas PRISM distintos: uno es utilizado por la NSA y el otro es utilizado por
las fuerzas de la OTAN en Afganistn.156 Ambos programas de vigilancia no son idnticos. 157
The Guardian revel ms detalles de la herramienta XKeyscore de la NSA, que permite a los analistas del gobieerno hacer una bsqueda a travs de
amplias bases de datos que contienen correos electrnicos, conversaciones en lnea y la navegacin por las historias de millones de individuos sin
autorizacin previa.158 159 160 Microsoft desarroll una funcin de vigilancia para poder trabajar con la intercepcin de
conversaciones encriptadas en Outlook.com, en los cinco meses posteriores a la fecha en la que el servicio se puso a prueba. La NSA tuvo acceso a
los correos Outlook.com porque Prism recolecta estos datos antes del cifrado.161
Adems, Microsoft trabaj con el FBI para permitir que la NSA tenga acceso a su servicio de alojamiento de archivos SkyDrive. Un documento interno
de la NSA fechado el 3 de agosto del 2012 describi el programa de vigilancia PRISM como un deporte de equipo.162
Aunque no haya razones para pensar mal de los ciudadanos estadounidenses, el Centro Nacional Antiterrorismo de la CIA est autorizado para
revisar los archivos del gobierno federal en busca de posibles comportamientos criminales. Antes a la NTC se le haba prohibido hacerlo, a menos
que una persona fuese sospechosa de terrorismo o que estuviese relacionada con una investigacin. 163
Snowden tambin confirm que Stuxnet se desarroll de manera conjunta por los Estados Unidos y por Israel. 164 En un informe no relacionado con
Edward Snowden, el peridico francs Le Monde revel que la Direccin General de Seguridad Exterior de Francia tambin estaba llevando a cabo
actividades de vigilancia masiva, que describi como ilegales y fuera de cualquier medida seria de control. 165 166

Agosto[editar]

Presentacin de los presupuestos fiscales de los servicios de inteligencia de los Estados Unidos, clasificados de Top Secret. Estos presupuestos siempre haban sido
restringidos. (Para ver el PDF completo, pinche en la imagen 2 veces)

Los documentos filtrados por Edward Snowden que fueron vistos por el Sddeutsche Zeitung (SZ) y el Norddeutscher Rundfunkrevelaron que el
papel de varios operadores de telecomunicaciones ha sido fundamental para ayudar a la GCHQ a tener acceso a las comunicaciones por fibra ptica.
Los operadores de telecomunicaciones son:

Verizon Business (nombre clave Dacron)7 167

British Telecommunications (nombre clave Remedy)7 168

Vodafone Cable (nombre clave Gerontic)7 169

Global Crossing (nombre clave Pinnage)7 170

Level 3 (nombre clave Little)7 171

Viatel (nombre clave Vitreous)7 172

Interoute (nombre clave Streetcar)7 173

A cada uno de ellos se le asign el rea especfica de la red de fibra ptica de la que estaba a cargo. Las siguientes redes han sido infiltradas por la
GCHQ: TAT-14 (Europa-Estados Unidos), Atlantic Crossing 1 (Europa-Estados Unidos), Circe South (Francia-Reino Unido), Circe North (Pases
Bajos-Reino Unido), FLAG Atlantic-1, FLAG Europa-Asia, SEA-ME-WE 3 (Sudeste Asitico-Medio Oriente-Europa Occidental), SEA-ME-WE
4 (Sudeste Asitico-Medio Oriente-Europa Occidental), Solas (Irlanda-Reino Unido), UK-France 3, UK-Netherlands 14, el sistema de
cable ULYSSES (Europa-Reino Unido), Yellow (Reino Unido-Estados Unidos) y elsistema de cable PEC (Pan European Crossing).174
Las compaas de telecomunicaciones que participaron se vieron obligadas a hacerlo y no podan decidir en el asunto. 175Algunas de las
compaas recibieron posteriormente un pago de GCHQ por su participacin en la infiltracin de los cables. 176 Segn el Sddeutsche Zeitung, GCHQ
tiene acceso a la mayora de los mensajes en Internet que circulan por toda Europa, puede escuchar las llamadas telefnicas, leer los correos
electrnicos y los mensajes de texto, ver los sitios web que estn visitando los usuarios en Internet en todo el planeta. Tambin puede retener y
analizar casi todo el trfico de Internet.177
GCHQ est recolectando toda la informacin transmitida hacia y desde el Reino Unido y el norte de Europa a travs del cable de
telecomunicaciones SEA-ME-WE 3. La Divisin de Seguridad e Inteligencia (SID) de Singapur coopera con Australia para tener acceso y compartir

comunicaciones llevadas a cabo por el cable SEA-ME-WE-3. La ASD) tambin est asociada con agencias de inteligencia britnicas,
estadounidenses y de Singapur para intervenir cables de telecomunicaciones submarinos de fibra ptica que vinculan a Asia, al Medio Oriente y que
transmiten gran parte del trfico de Internet y telefnico internacional de Australia. 178
Estados Unidos tiene un sistema de vigilancia y espionaje de alto secreto conocido como Servicio de Recogida Especial (Special Collection
Service, SCS) que opera en ms de 80 consulados y embajadas de Estados Unidos en todo el mundo. 179 180 La NSA hackeo el sistema de vdeo
conferencia de las Naciones Unidas (ONU) en el verano de 2012, en una clara violacin de los acuerdos de la ONU. 179 180
La NSA no solo ha estado interceptado las comunicaciones de estadounidense en el extranjero que estn en contacto directo con extranjeros, sino
que tambin posee grandes cantidades de correos electrnicos y comunicaciones procedentes de estadounidenses de tanto dentro como fuera de
EE.UU que estn en contacto con extranjeros vigilados.181La NSA tambin espi a la cadena Al Jazeera y sus sistemas de comunicacin interna.182
Se estima que gracias a la red de vigilancia que pose la NSA, el gobierno de Estados Unidos tiene acceso a aproximadamente el 75% de todo el
trfico de Internet en Estados Unidos.183 184 185 Los organismos policiales del pas utilizan herramientas empleadas por piratas informticos para
obtener informacin de sus sospechosos.186 187 Unaauditora interna de la NSA de mayo de 2012 identific un total de 2776 incidentes, es decir, se
detectaron 2776 violaciones de las normas u rdenes judiciales en materia de vigilancia de estadounidenses y extranjeros residentes en EE.UU.
desde abril de 2011 a marzo de 2012. Los funcionarios salieron al paso de las crticas insistiendo en que estos errores no son
intencionados.188 189 190 191 192 193 194
El tribunal FISA, que se supone, debe supervisar desde un punto de vista crtico los vastos programas de espionaje y vigilancia del gobierno de
Estados Unidos, ha ido limitando sus funciones y tiene que confiar en la informacin del propio gobierno. 195 Una sentencia jurdica desclasificada del
21 de agosto de 2013 revel que la NSA intercept durante tres aos un mximo de 56.000 comunicaciones electrnicas anuales de estadounidenses
que no eran sospechosos de estar vnculados con el terrorismo. El tribunal encargado de supervisar estas actividades, el Tribunal de Vigilancia de
Inteligencia Extranjera de los Estados Unidos (United States Foreign Intelligence Surveillance Court, FISC), encontr, en 2011, que estas operaciones
eran inconstitucionales.196 197 198 199 200 Bajo el llamado proyecto Corporate Partner Access, los principales proveedores de telecomunicaciones de

Estados Unidos reciben cada ao cientos de millones de dlares procedentes de la NSA. 201 La cooperacin voluntaria entre la agencia y los
proveedores de comunicaciones mundiales empez en la dcada de 1970 bajo el nombre en clave BLARNEY.201
Un carta redactada por el gobierno de Barack Obama dirigida al Congreso para informar sobre los programas de recogida masiva de datos del
gobierno, fue retenida por los legisladores que conforman la Comisin Permanente Selecta sobre Inteligencia de la Cmara de los
Representantes (United States House Permanent Select Committee on Intelligence) en los meses previos a la votacin clave que decidira el futuro
de estas actividades.202 203
La NSA pag al GCHQ ms de 100 millones de libras entre 2009 y 2012 a cambio de la colaboracin del GCHQ (must pull its weight and be seen to
pull its weight...).204 Varios documentos que hacen referencia a estos hechos sealan que las lagunas legales que existen en las leyes britnicas son
explotadas por el GCHQ en nombre de la NSA a cambio de dinero, lo que los documentos llaman un punto de venta (a selling point). El GCHQ
britnico est desarrollando tecnologas que le permitan acceder a cualquier mvil en cualquier momento. La NSA tiene una puerta trasera en las
bases de datos de todas las grandes empresas de Internet, lo que le permite acceder a correos electrnicos y llamadas de los ciudadanos
estadounidenses sin que exista una orden judicial. 205 206

La Agencia de Seguridad Nacional(NSA) hacke los sistemas informticos de reserva de billetes de vuelo de la compaa rusa Aeroflot207

La Junta de Supervisin de Privacidad y las Libertades Civiles (The Privacy and Civil Liberties Oversight Board) inst a los jefes de inteligencia de
Estados Unidos a elaborar directrices ms duras sobre la vigilancia y el espionaje interno, pues algunas de estas normas no se han actualizado en los
ltimos 30 aos.208 209 Los analistas estadounidenses, usando el enorme poder de las agencias de espionaje, han roto deliberadamente las leyes
diseadas para evitar el espionaje a estadounidenses, que tratan de proteger la privacidad de los usuarios. 210 211

Despus de que el Tribunal de Vigilancia de Inteligencia Extranjera de los Estados Unidos dictaminara en octubre de 2011 que algunas de las
actividades de la NSA eran inconstitucionales, la agencia pag millones de dlares a las principales compaas de Internet para cubrir costes
adicionales y posibles multas por su participacin en el programa de vigilancia masiva PRISM.212
El gobierno britnico, como parte de su llamado Programa de Modernizacin de Intercepcin (Interception Modernisation Programme, IMP), est
desarrollando un proyecto de vigilancia masiva llamado Mastering the Internet (en espaol: dominar Internet, MTI). La operacin consiste en la
insercin de miles de DPI (deep packet inspection, en espaol: Inspeccin profunda de paquete) en los servidores de los proveedores de red, segn
lo revelado por los medios britnicos en 2009.213 En 2013, los papeles de Snowden revelaron que la NSA haba ayudado financieramente al desarrollo
del proyecto con 17,2 millones de libras y que el sistema era capaz de aspirar la seal de hasta 200 cables de fibra ptica en cualquier punto fsico
de entrada en Reino Unido.214
Septiembre[editar]
The Guardian y The New York Times informaron, a partir de los documentos filtrados, que la NSA ha estado colaborando con las empresas
tecnolgicas como parte de un agresivo esfuerzo multifactico para romper los cifrados incorporados en los software comerciales. Tambin sali a la
luz que el GCHQ tiene un equipo dedicado a formar grietas en el trfico de datos de Hotmail, Google, Yahoo!
y Facebook.215 216 217 218 219 220 Israel, Suecia e Italia colaboran con las agencias de inteligencia estadounidenses y britnicas. Con la firma de un tratado
secreto bajo el nombre en cdigo Lustre, las agencias de inteligencia francesas transfirieron millones de registros y metadatos a la NSA. 6768 221 222
En el ao 2011, la Administracin de Barack Obama consigui en secreto el permiso del Tribunal de Vigilancia de Inteligencia Extranjera para quitar
las restricciones a la vigilancia de llamadas y correos electrnicos pon parte de la NSA, lo que permite a la agencia reunir de manera sistemtica
enormes depsitos de datos de estadounidenses. Las bsquedas para la recoleccin de datos se realizan en virtud de un programa de vigilancia
autorizado en 2008 por el Congreso bajo la seccin 702 de la Ley de Vigilancia de Inteligencia Extranjera. Esto permite espiar a estadounidenses sin
autorizacin de los tribunales si existe una causa probable de que la persona se comunique con terroristas, espas o potencias extranjeras.
El FISC extendi el perodo de tiempo que la NSA tiene permitido retener las comunicaciones interceptadas de cinco aos a seis aos, con una

prrroga adicional si son por razones de inteligencia o de contrainteligencia extranjera. Ambas medidas se llevaron a cabo sin debate pblico o una
autoridad expresa del Congreso.223

Vodafone (nombre en clave Gerontic) permit el acceso de las agencias a sus redes de comunicacin. Orange S.A.tambin cedi datos de clientes y sus acciones, al
igual que otras compaas del sector.224

La agencia de inteligencia alemana, la Bundesverfassungsschutz (BfV), transfiere de manera sistemtica, datos personales de residentes
en Alemania a la NSA, la CIA y otros siete miembros de la Comunidad de Inteligencia de Estados Unidos a cambio de otras informaciones y software
de espionaje. 225 226 227
Una rama especial de la NSA, llamada Follow the Money (FTM), supervisa los pagos internacionales, transacciones bancarias y a travs de tarjetas
de crdito y compras y ventas en lnea;228 todos estos datos son recogidos y almacenados en una base de datos financiera a cargo de la propia NSA
conocida como Tracfin.229 La NSA supervis las comunicaciones de la presidenta de Brasil,Dilma Rousseff, y sus principales colaboradores. La
agencia tambin espi al gigante petrolero brasileo estatal Petrobras, as como a diplomticos franceses, y tuvo acceso a la red privada
del Ministerio de Asuntos Exteriores de Francia, la red SWIFT.230

En los Estados Unidos, la NSA utiliza el anlisis de los registros de llamadas telefnicas y mensajes de correo electrnico de los ciudadanos para
crear representaciones grficas sofisticadas acerca de sus conexiones sociales que pueden identificar a sus socios, sus localizaciones en momentos
especficos, sus compaer@s de viaje y otros datos personales.231 La NSA comparte de manera rutinaria informacin de inteligencia con Israel sin
eliminar previamente datos acerca de los ciudadanos estadounidenses. 232
En un esfuerzo cuyo nombre clave es GENIE, l@s especialistas de cmputo pueden controlar redes de cmputo extranjeras usando implantes
encubiertos, una forma de malware transmitido de maneraremota con decenas de miles de dispositivos al ao. 233 234235 236 Conforme las ventas
mundiales de los telfonos inteligentes comenzaron a superar las de los telfonos mviles tradicionales, la NSA decidi aprovechar el xito de los
primeros. Esto resulta especialmente ventajoso porque el telfono inteligente combina muchsimos datos que podran interesar a un servicio de
inteligencia como, por ejemplo, los contactos sociales, el comportamiento de los usuarios, sus intereses, su localizacin, sus fotografas y los datos
(nmero de cuenta y contraseas) de su tarjeta de crdito.237
Un informe interno de la NSA fechado en el 2010 revel que a la agencia le preocupaba la rpida propagacin y desarrollo de los telfonos
inteligentes, lo que complicaba el anlisis objetivo tradicional de la informacin.238 Segn el documento, la NSA tiene grupos de trabajo dedicados a
estudiar y descifrar los distintos modelos y sistemas.239 Los modelos, marcas o sistemas para los que existen estos grupos de trabajo incluyen
los iPhone de Apple y su sistema operativo iOS o el sistema operativo de Google, Android.240Mientras que la NSA se encarga de los anteriormente
mencionados, el GCHQ britnico posee un equipo dedicado a estudiar y descifrar las BlackBerry.241
Bajo el ttulo iPhone capability, se descubri que la NSA tena pequeos programas conocidos como scripts que permitan a la agencia vigilar a los
usuarios de las distintas versiones del sistema iOS (en aquel momento la versin iOS 3 era la ms reciente), su geolocalizacin, notas de voz, fotos y
otras aplicaciones como Google Earth, Facebook oYahoo! Messenger.242
Der Spiegel filtr una presentacin de la NSA de septiembre de 2009 acerca de cmo la agencia tena acceso a los sistemas de los iPhone (vanse
aqu)243

Segn documentos vistos por Der Spiegel, la NSA tiene acceso a diversas funciones de los telfonos inteligentes, como la geolocalizacin; resalta el caso de
los iPhone deApple, aunque otros como lasBlackberry tampoco estn libres.

La NSA describa a Steve Jobscomo un Gran Hermano, ya que la agencia tiene acceso a sus productos y puede violar fcilmente su privacidad (lo demostraba
enseando una foto robada del mvil de untalibn afgano).

En una de sus presentaciones secretas, la NSA se burlaba de los usuarios de iPhone, al ironizar con que ellos son los causantes o cmplices de su propia vigilancia
al comprar estos mviles.

La NSA se jactaba de su capacidad de vigilancia mundial y en uno de sus documentos se comparaba con el libro1984 de George Orwell (Who knew in 1984... that is
would be big brother... and the zombies would be paying customers) y la icnica publicidad de Apple de la final de la Super Bowl del ao 1984, que tambin haca
referencia al libro.

Octubre[editar]

Presentacin de la NSA sobre los mvilesBlackBerry en la que se lee: Your target is using a BlackBerry? Now what? (su objetivo est utilizando una BlackBerry? y
ahora qu?). Esta diapositiva muestra unemail enviado por el gobierno mexicano a una BlackBerry y que fue interceptado por la NSA

El 4 de octubre del 2013 The Washington Post y The Guardian informaron de manera conjunta acerca de los repetidos intentos de la NSA y el GCHQ
para espiar a usuarios annimos de Internet quienes se han estado comunicando en secreto a travs de la red Tor (The Onion Router). Varias de
estas operaciones de vigilancia incluyen la implantacin de cdigos malignos en las computadoras de los usuarios de Tor que visiten sitios web
especficos. La NSA y el GCHQ han logrado bloquear el acceso a esta red annima, desviando a los usuarios de Tor hacia canales inseguros. Las
agencias gubernamentales tambin pudieron descubrir la identidad de algunos usuarios annimos de Internet. 244 245 246 247 248 249 250 251 252
La Direccin de Seguridad en las Comunicaciones de Canad (CSEC) ha estado utilizando un programa llamado Olympia para registrar las
comunicaciones del Ministerio de Minas y Energa de Brasil: los metadatos de las llamadas telefnicas y los mensajes de correo electrnico que enva
y recibe este ministerio.253 254
El gobierno federal de Australia saba acerca del programa de vigilancia PRISM meses antes de que Edward Snowden hiciera pblicos los
detalles.255 256

La NSA monitore la cuenta pblica de correo electrnico del entonces presidente mexicano Felipe Caldern Hinojosa (con lo que tuvo acceso a las
comunicaciones de miembros de alto rango de su gabinete), los mensajes de correo electrnico de varios miembros de alto rango de las fuerzas de
seguridad de ese pas y los mensajes de texto y de telfono mvil del ahora presidenteEnrique Pea Nieto.257 258 La NSA trata de recolectar los
nmeros telefnicos fijos y mviles -obtenindolos a menudo a travs de diplomticos estadounidenses- del mayor nmero posible de funcionarios
extranjeros. El contenido de las llamadas telefnicas se almacena en bases de datos de computadoras que pueden ser analizadas con regularidad
utilizando palabras clave.259 260
La NSA monitorea o monitore las conversaciones telefnicas de 35 lderes mundiales. 261 A finales de marzo de 2014, sali a la luz que la agencia
haba espiado a un total de 122 lderes de todo el mundo. La primera vez que el gran pblico fue consciente de esta situacin fue el 28 de octubre de
2013, con un artculo del Wall Street Journal que relataba que una auditora interna del gobierno estadounidense haba arrojado la cifra de 35 lderes
espiados.262 Por su parte, el GCHQ trat de mantener en secreto sus programas de vigilancia masiva pues tema un debate pblico daino que
condujera a acciones legales contra la agencia y sus actividades. 263
The Guardian revel que la NSA empez a monitorizar las conversaciones telefnicas de estos lderes despus de que los nmeros de telfono le
fueran facilitados gracias a unfuncionario de otro departamento del gobierno estadounidense. Un memorando confidencial de la NSA animaba a altos
funcionarios de la Casa Blanca, el Estado y el Pentgonoa compartir sus agendas electrnicas, lo que permitira a la agencia tener acceso a los
nmeros de telfono de los principales polticos o empresarios extranjeros de todo el mundo y as implementar sus sistemas de vigilancia. Como
reaccin a estas noticias, Angela Merkel, canciller de Alemania, en una cumbre entre la Unin Europea y Estados Unidos acus a este ltimo de
abuso de confianza, diciendo que debemos confiar en nuestros aliados y socios, pero el espionaje entre amigos no es en absoluto aceptable sin
importar de quien venga o contra quien vaya, y esto se debe aplicar a todos los ciudadanos de Alemania. 261 La NSA tambin se dedic a recoger en
2010 datos sobre la ubicacin de mviles de estadounidenses comunes y corrientes, pero ms tarde suspendi esta actividad por su bajo valor
operativo.264

Segn el programa britnico de vigilancia Muscular, la NSA y el GCHQ se han descompuesto en las principales ligas de comunicaciones que
conectan los centros de datos deYahoo y de Google en todo el planeta y gan as la habilidad de recolectar metadatos y contenido a voluntad a partir
de cientos de millones de cuentas de usuarios.265 266 267268 269
El telfono mvil de Angela Merkel fue vigilado por la inteligencia estadounidense.270 271 272 273 274 275 276 Segn Der Spiegel, esta vigilancia empez en el
2002277 278 279 y finaliz en el verano de 2013, justo cuando comenzaron las filtraciones sobre la vigilancia mundial. 262 En cambio The New York
Times inform que Alemania tena pruebas que demostraran que la vigilancia a Merkel habra comenzado durante el mandato de George W. Bush, o
sea, en algn momento entre el ao 2000 y 2008. Despus de enterarse de las prcticas de espionaje a su persona, Merkel compar las prcticas de
la NSA con la ya desaparecida Stasi.280 281
El 31 de octubre de 2013, Hans-Christian Strbele, miembro del Bundestag alemn, se reuni con Snowden en Mosc y declar la disposicin del
antiguo contratista a informar al gobierno alemn sobre el espionaje de la NSA. 282
Estados Unidos posee un programa de recoleccin de seales altamente sensible conocido como Stateroom (camarote), que permite la intercepcin
de seales de radio, telecomunicaciones y el trfico de Internet. Se enmarca fuera de las operaciones conjuntas de la alanza Five Eyes y se utiliza en
numerosos lugares de todo el mundo. El programa se utiliza en las misiones diplomticas de Estados Unidos y es ejecutado por la NSA, la CIA y un
grupo de empresas colaboradoras, este grupo se denomina Servicio de Recogida especial (SCS). Sus miembros trabajan de incgnito en reas
protegidas por el derecho internacional como embajas y consulados, donde al acreditarse como diplomticos disfrutan de privilegios especiales. Bajo
esta proteccin, son capaces de espiar sin prcticamente trabas. Se descubri que, por ejemplo, el SCS utiliza la embajada de Estados Unidos
en Berln, que est cerca de la Puerta de Brandenburgo, para vigilar las comunicaciones del distrito gubernamental de Alemania, de su sede de
gobierno y de su parlamento.276 283 284 285
Dentro del programa Stateroom, Australia opera instalaciones clandestinas para la vigilancia y la intercepcin de llamadas telefnicas en gran parte
del continente asitico.284 286

En Francia la NSA ha dirigido sus actividades de vigilancia a personas del mundo de los negocios, polticos y funcionarios de la administracin del
Estado francs.287 288 La ejecucin sobre el terreno de los planes de vigilancia corrieron (o corren) a cargo de las agencias de inteligencia francesas en
nombre de la NSA.67 289 La cooperacin entre Francia y la NSA fue confirmada por el director de la NSA, Keith B. Alexander, quien asegur que los
servicios de inteligencia extranjeros recogan registros telefnicos en zonas de guerra y otras reas fuera de nuestras fronteras y luego las
compartan con la NSA.290
El peridico francs Le Monde tambin revel nuevas diapositivas de PRISM y Upstream (Ver pginas 4, 7 y 8) procedentes de la presentacin
PRISM/US-984XN Overview.291
En Espaa, la NSA intercepta y espa millones de conversaciones telefnicas, mensajes de texto y correos electrnicos de millones de espaoles,
adems de vigilar a numerosos miembros del gobierno, al menos hasta el momento en que Snowden filtr los distintos documentos. Solo entre el 10
de diciembre de 2012 y el 8 de enero de 2013, una franja de 29 das, la NSA recogi los metadatos de 60 millones de llamadas telefnicas realizadas
en Espaa.292 293
De acuerdo con los documentos filtrados por Snowden, la vigilancia los ciudadanos espaoles se realiza de forma conjunta por la NSA en
colaboracin con las propias agencias de inteligencia de Espaa, como el CNI.294 295

El 4 de octubre de 2013, el Washington Post public una presentacin PowerPoint que mostraba como la NSA ha puesto en peligro la red encriptada Tor, red que
permite el anonimato en la red y que es empleada por millones de personas para eludir las leyes internas de los distintos estados. Gracias a la explotacin de un
plug-in de JavaScript, la NSA es capaz de descubrir la indentidas de usuarios que buscan el anonimato, como disidentes, enemigos del Estado, terroristas u otros
objetivos.

Noviembre[editar]

Para el gobierno de Estados Unidos el gigante petrolero del Estado brasileo, Petrobras, es un "objetivo prominente". La NSA espi a la compaa. 296

The New York Times inform que la NSA puso en marcha la llamada Operacin Dreadnought para espiar al ayatol y lder iran Al Jamenei. Durante
una visita de este al Kurdistn iran, la agencia, en colaboracin con el GCHQ y la Agencia Nacional de Inteligencia-Geoespacial de Estados Unidos,
intercept comunicaciones de radio entre las aeronaves y los aeropuertos de destino, adems, examin la delegacin de Jamenei a travs de
imgenes de satlite y radares de estalaciones militares. Segn las informaciones, el objetivo de la operacin era que las agencias fueran capaces de
distinguir y filtrar las comunicaciones de Jamenei del resto de iranes.297
Una historia similar sucedi en operacin de nombre en clave Ironavenger, donde la NSA intercept correos electrnicos procedentes de pases
aliados de Estados Unidos y con destino a pases adversarios. Los correos aliados llevaban un malware que la NSA utiliz para reunir documentos,
claves y credenciales pertenecientes a pases enemigos.297
Segn el diario britnico The Independent, la agencia de inteligencia britnica GCHQ tiene un puesto de escucha en la azotea de la embajada
britnica en Berln capaz de interceptar las llamadas desde telfonos mviles, datos wi-fi y comunicaciones de larga distancia de toda la capital
de Alemania, incluyendo los edificios del gobierno adyacentes como el Reichstag (sede del Parlamento alemn) y la Cancillera (sede del jefe de
gobierno de Alemania) agrupadas en torno a la Puerta de Brandenburgo.298

Operando bajo el nombre en clave Quantum Insert, el GCHQ cre una pgina web falsa hacindose pasar por LinkedIn, la famosa red social para
profesionales, en un esfuerzo para instalar software espa en los ordenadores de la operadora de telecomunicaciones Belgacom.299 Tambin fue
atacada la sede de la OPEP por infiltrados de la NSA y el GCHQ, infectando los ordenadores de nueve empleados y vigilando al Secretario General
de la OPEP.299
Desde el ao 2010, el GCHQ ha estado utilizando un sistema automatizado de control, cuyo nombre en clave es Royal Concierge, para infiltrarse en
los sistemas informticos de al menos 350 hoteles de lujo de todo el mundo con el fin de buscar, analizar y detectar reservas de diplomticos y
funcionarios gubernamentales.300 Las primeras pruebas, en 2010, consisteron en descubrir los planes de viaje de una serie de diplomticos. Este
sistema se complementa con mtodos de vigilancia tradicionales, como espas humanos (HUMINT). Otras operaciones encubiertas incluyen la
vigilancia de los telfonos de las habitaciones, mquinas de fax, y el seguimiento de los ordenadores conectados a las redes de los hoteles. 300
En noviembre de 2013, la Australian Broadcasting Corporation y el diario The Guardian revel que la Australian Signals Directorate (DSD) haba
intentado espiar las conversaciones telefnicas privadas del presidente de Indonesia y su esposa. El Ministro de Relaciones Exteriores de Indonesia,
Marty Natalegawa, confirm que l y el presidente se haban comunicado con el embajador en Canberra. Natalegawa dijo que cualquier vigilancia de
los telfonos personales de los polticos de Indonesia viola todas las leyes e instrumentos legales que se me ocurren, tanto de Indonesia, como de
Australia o a nivel internacional.301
Otros polticos indonesios de alto rango que fueron o intentaron ser vigilados por el DDS, estn:

Boediono (Vicepresidente)302

Andi Mallarangeng (portavoz del gobierno)302

Jusuf Kalla (ex vicepresidente)302

Hatta Rajasa (Secretario de Estado)302

Dino Patti Djalal (embajador de Indonesia en Estados Unidos)302

Widodo Adi Sutjipto (ex Comandante en Jefe de las

fuerzas armadas)302

Sri Mulyani Indrawati (ex Ministro de Finanzas y actual jefe

Sofyan Djalil (asesor senior del gobierno)302

del Banco Mundial)302

Bajo el ttulo 3G impact and update, una presentacin de alto secreto filtrada por Snowden revel los intentos de la CIA y el DDS para seguir el ritmo
de avance y penetracin de la tecnologa 3G en Indonesia y todo el sudeste asitico. Junto a la leyenda ASD/DDS colocado en la parte inferior de la
pgina se puede leer: Reveal their secretsprotect our own. [revelar sus secretos, proteger a los nuestros.] 302
En virtud de un acuerdo secreto aprobado por funcionarios de inteligencia britnico, la NSA almacena y analiza los registros de Internet de los
ciudadanos del Reino Unidodesde 2007. La NSA tambin propuso ya en 2005 distintos procedimiento para espiar a los britnicos y ciudadanos de
otras naciones de la alianza Cinco Ojos, an cuando gobiernos de los pases socios se negaron explcitamente a autorizar estas actividades de
EE.UU. Segn la propuesta, los pases no deban ser informados de la vigilancia ni de sus procedimientos. 303
Hacia finales de noviembre, The New York Times public un informe interno que describa todos los esfuerzos de la NSA y las dems agencias para
ampliar sus capacidades de vigilancia.304 El documento, de cinco pgina, afirma que las leyes de Estados Unidos no se han actualizado conforme a
las necesidades de la NSA y sus actividades de vigilancia masiva. La NSA describa, en 2013, que la era de la informacin y el avance de Internet y
otras tecnologas, como los smartphones, son la edad de oro de la inteligencia de seales y que adems hay razones para el optimismo sobre
nuevas legislaciones favorables a la vigilancia; en palabras de la propia NSA:
Nuestra cultura del cumplimiento es lo que ha permitido al pueblo estadounidense confiar en la NSA y las autoridades, cuyo trabajo no se ver comprometido a pesar
de tantas exigencias y los agresivos ataques contra las autoridades... 305

En un informe titulado SIGNT Strategy 20122016, se revel que Estados Unidos est tratando de influir en el mercado mundial de encriptacin
comercial a travs de relaciones comerciales, haciendo hincapi en la necesidad de revolucionar el anlisis y recopilacin de datos para
aumentar radicalmente el impacto operativo.304

El 23 de noviembre de 2013, el diario neerlands NRC Handelsblad inform que los Pases Bajos haban estado bajo la lupa de las agencias de
inteligencia de Estados Unidos durante ms de 20 aos desde el final de la Segunda Guerra Mundial, concretamente entre 1946 y 1968. Estas
operaciones de inteligencia tambin se dedicaron a interceptar comunicaciones de pases europeos vecinos, como Blgica, Francia, Alemania
Occidental y Noruega, todos aliados de Estados Unidos.306 307 El peridico tambin inform que la NSA infect ms de 50.000 redes de ordenadores
por todo el mundo, a menudo en secreto y con la colaboracin de las autoridades locales, con un software espa malicioso diseado para el robo de
informacin sensible.308 309

El 23 de noviembre de 2013, el diario neerlands NRC Handelsblad public una presentacin secreta de la NSA, filtrada por Snowden, donde se muestran las cinco
clases de acceso que la NSA utiliza en sus operaciones mundiales de inteligencia. Estas son las cinco clases de acceso:

3rd PARTY/LIAISON: datos

proporcionados por los socios internacionales de la NSA; se enmarcan dentro del Acuerdo UKUSA, a estos socios se les conoce como terceros.

REGIONAL: se refiere a ms de 80

servicios regionales especiales de recoleccin (SCS). Al parecer el SCS es un programa secreto financiado con fondos no declarados o de dudosa procedencia operado por la NSA y
la CIA, con centros de operaciones en muchas ciudades como Atenas, Bangkok, Berln, Brasilia, Budapest, Frankfurt, Ginebra, Lagos, Miln, Nueva Delhi, Pars, Praga, Viena y Zagreb,
adems de otros lugares como Amrica Central, la Pennsula arbiga, el este de Asia y Europa Continental.

CNE: abreviatura de Computer Network Exploitation. El PDF revelaba que

la NSA utilizaba un sofisticado malware que infect ms de 50.000 redes. El malware tena la capacidad de permanecer oculto durante aos, pudiendo ser activado en cualquier
momento para comenzar la recopilacin masiva de informacin confidencial. Segn las revelaciones, el malware habra sido desarrollado por Tailored Access Operations(TAO), uno de
los departamentos de lite de la NSA que emplea a un millar de hackers altamente cualificados. Sus centros de direccin se localizan en Brasil, China, Egipto, India, Mxico, Arabia
Saud y algunos pases de Europa del Este.

LARGE CABLE: los 20 principales puntos de acceso, la mayora de ellos ubicados en Estados Unidos.

FORNSAT: abreviatura

de Foreign Satellite Collection (coleccin de satlites extranjeros). Se refiere a los datos que la NSA interceptaba de una serie de satlites espaciales de pases como Gran
Bretaa, Noruega, Japn y Filipinas.

Diciembre[editar]
De acuerdo con los documentos filtrados por Snowden, la Australian Signals Directorate, antes llamada Defence Signals Directorate, ofreci compartir
informacin sobre los ciudadanos australianos con los dems organismos de inteligencia de los pases de UKUSA. Los datos compartidos con estos
pases extranjeros habran sido a granel, es decir, sin que previamente hubiera existido alguna seleccin previa; adems los datos contenan
informacin mdica, legal o religiosa (privada) de los ciudadanos. 310
The Washington Post revel que la NSA ha estado rastreando la ubicacin de telfonos mviles en todo el mundo gracias a los cables que conectan
las redes mviles a nivel mundial y que dan servicio a los telfonos celulares de Estados Unidos, as como a los extranjeros. En este proceso, la NSA
recoge diariamente ms de 5000 millones de registros sobre ubicaciones. Esto permite a los analistas de la NSA mapear los movimientos de los
propietarios de los telfonos mediante sus patrones de movimiento, a la vez que los datos son cruzados con miles o millones de datos de otros
usuarios. 311 312 313 314 315 316 317 318

GOPHERSET: implante de software destinado a revelar el mdulo de identificacin de abonado (SIM) (en ingls:subscriber identity module) que se obtiene a partir de
la libreta de direcciones, losSMS, los mensajes de texto y los registros de llamadas almacenados en los mviles

The Washington Post tambin inform que la NSA hace uso de los datos de localizacin y archivos de seguimiento de la publicidad generada a travs
de herramientas de navegacin por Internet, herramientas que permiten a los anunciantes de Internet rastrear a los consumidores que utilicen
buscadores como Google. La NSA usa estos datos para obtener informacin sobre posibles objetivos, establecer claramente los objetivos para
el gobierno y vigilar a posibles piratas informrticos. 319 320 321
El Servicio de Inteligencia de Noruega (SIN), que coopera con la NSA, tiene acceso a objetivos rusos de la pennsula de Kola y otros objetivos civiles.
En general, el SIN proporciona informacin a la NSA sobre polticos, energa y armamento. 322 En un memorndum secreto de la NSA se

enumeran por ao los hitos conseguidos gracias al acuerdo de cooperacin entre Noruega y Estados Unidos (formalmente llamado en ingls
Norway-United States of America SIGINT agreement), conocido como Acuerdo NORUS:

1952: ao en que dio comienzo una cierta cooperacin informal entre el SIN y la NSA. 323

1954: formalizacin del acuerdo.323

1963: ampliacin del acuerdo para dar cobertura a las agencias extranjeras en inteligencia de seales (FISINT).323

1970: ampliacin del acuerdo para dar cobertura en inteligencia electrnica (ELINT).323

1994: ampliacin del acuerdo para dar cobertura a la inteligencia de comunicaciones (COMINT).323

La NSA considera al SIN uno de sus socios ms fiables. Ambos organismos cooperan para la ruptura de sistemas encriptados. De acuerdo con la
NSA, Noruega nunca ha hecho objecin alguna a sus peticiones.323
El 5 de diciembre, Sveriges Television (la televisin sueca) inform que la agencia de inteligencia del pas, la Frsvarets radioanstalt(FRA) realiz
operaciones de vigilancia clandestina a la poltica interna de Rusia. La operacin se realiz en nombre de la NSA, que recibi los datos recopilados
por la FRA.324 325 En la relacin sueco-estadounidense radica el inters por los recursos energticos de Rusia y los estados blticos.326 En el marco
del Acuerdo UKUSA, Suecia firm un tratado secreto en 1954 con Estados Unidos, Reino Unido, Australia, Canad y Nueva Zelanda
comprometindose a colaborar e intercambiar datos de inteligencia. 327
Como resultado de las revelaciones de Snowden, el calificar a Suecia como un pas neutral a nivel internacional, posicin defendida por el pas, ha
sido puesta en duda. En un documento interno fechado en 2006, la NSA reconoca su relacin con Suecia, aunque esta relacin se mantena en el
ms absoluto secreto debido a la neutralidad sueca en el panorama internacional. 328 Los detalles desvelados acerca de la cooperacin de Suecia con
los miembros del acuerdo UKUSA incluyeron revelaciones como que:

El FRA sueco tiene acceso a XKeyscore, una base de datos analtica de la NSA.329

El gobierno de Suecia promulg diversos cambios en la legislacin del pas para el intercambio de informacin entre sus servicios de
inteligencia y la NSA.57

Desde enero de 2013, un analista de contra terrorismo de la NSA ha estado destino en la capital sueca, Estocolmo.57

Varios aos antes de que el Riksdag, el parlamento sueco, aprobara la controvertida ley que permita a la FRA vigilar o pinchar sin orden
judicial todo el trfico de internet y telefnico que cruzara las fronteras suecas, la NSA, el GCHQ y la FRA firmaron un acuerdo en 2004 que
permita a la FRA a colaborar con la NSA sin la intermediacin del GCHQ. 57

Con el fin de identificar los objetivos gubernamentales para su vigilancia o ataque, tanto el GCHQ como la NSA usan cookies publicitarias operadas
por Google conocidas comoPref para identificar los objetivos. De acuerdo con los documentos filtrados por Snowden, la NSA ha estado reuniendo
informacin sobre los inicios de sesin, cookies y GooglePREFID a travs de su divisin TAO (Tailored Access Operations) en colaboracin con
el GCHQ britnico.330
Durante la cumbre del G-20 en Toronto de 2010, la embajada de Estados Unidos en Ottawa se transform en un puesto de mando donde durante
seis das se realizaron operaciones de espionaje y seguridad coordinadas por la NSA en estrecha colaboracin con la Communications Security
Establishment Canada (CSEC) canadiense. El objetivo de las operaciones fueron, entre otros, la obtencin de informacin sobre los planes de
desarrollo internacional y reformas bancarias, en un intento por contrarrestar los planes de proteccionismo comercial, negativos para los objetivos de
la poltica estadounidense.331 El CSEC, en nombre de la NSA, ha establecido puestos de espionaje en ms de 20 pases en todo el mundo. 332
En Italia, El Servicio de Recoleccin Especial de la NSA (Special Collection Service of the NSA) mantiene dos bases de vigilancia independientes
entre s en Roma y Miln.333Segn un memorando secreto de la NSA fechado en septiembre de 2010, la embajada de Italia en Washington DC ha
sido blanco de dos operaciones de espionaje de la NSA:

Bajo el nombre en clave Bruneau, que forma parte de la misin Lifesaver (salvavidas), la NSA roba la informacin almacenada en los
ordenadores de la embajada y crea imgenes electrnicas de unidades del disco duro. 333

Bajo el nombre en clave Hemlock, que forma parte de la misin Highlands (tierras altas), la NSA tiene acceso a las comunicaciones de la
embajada a travs de implantesfsicos.333

Debido a las preocupaciones de que las redes terroristas u otros criminales puedan comunicarse en secreto a travs de juegos de ordenador, la NSA,
el GCHQ, la CIA y el FBIhan estado vigilando y recogiendo datos de muchos juegos en lnea, incluyendo juegos en lnea multijugador de carcter
masivo (MMORPG) tales como el clebre World of Warcraft (WOW), otros mundos virtuales como Second Life y videojuegos de la
consola Xbox de Microsoft.334 335 336 337
La NSA ha roto la tecnologa de encriptado mvil ms utilizada, la A5/1. De acuerdo con un documento clasificado filtrado por Snowden, la agencia
puede romper el cdigo an sin conocer las claves de cifrado.338 Adems, la NSA utiliza diversos tipos de infraestructuras mviles, tales como
vnculos entre las redes de los operadores, para determinar la ubicacin de un usuario. 339
El 16 de diciembre de 2013, el Juez de Distrito del Distrito de Columbia de los Estados Unidos, Richard Len, decret que la recogida en masa
de metadatos y registros telefnicos por parte de la Agencia de Seguridad Nacional, probablemente viola la cuarta enmienda a la Constitucin, que
prohbe las pesquisas y aprehensiones arbitrarias.340341 342 343 344 345 Len dict la paralizacin de la recogida masiva de datos y orden al gobierno la
destruccin de todos los registros reunidos hasta la fecha a peticin de dos demandantes particulares: Larry Klayman, un abogado conservador, y
Charles Strange, padre de un criptgrafo muerto en Afganistn cuando el helicptero en el que viajaba fue derribado en 2011. Por contra, el juez
decidi esperar la apelacin del gobierno, reconociendo en su auto de 68 pginas los intereses en seguridad nacional que hay en juego y las
posibles violaciones del derecho constitucional.346
Sin embargo, el juez federal William H. Pauley III de la ciudad de Nueva York dictamin la necesidad de implementar un sistema mundial para la
recopilacin de datos por parte del gobierno de Estados Unidos para hacer frente a posibles ataques terroristas, sistema que solo puede funcionar si

son interceptadas todas las llamadas a nivel mundial.347Por su parte, el Juez de Distrito de Estados Unidos, Pauley, tambin dictamin que
el Congreso haba autorizado los programas de vigilancia y que estos no violaban los derechos constitucionales de nadie. El juez concluy que los
datos telefnicos interceptados por la NSA no pertenecan a los usuarios, sino a las compaas telefnicas. Se resolvi, adems, que la NSA obtiene
sus datos de las compaas telfonicas y que posteriormente estos datos son cruzados para localizar terroristas y establecer vnculos, por lo que el
uso de estos datos no violaba la Cuarta enmienda. El juez Pauley tambin escribi (refirindose al caso Smith v. Maryland) que: una persona que
facilita y acepta compartir informacin con terceras partes, no debe tener expectatica alguna de mantener su privacidad. La Unin Estadounidense
por las Libertades Civiles declar el 2 de enero de 2012, su intencin de apelar el fallo del juez Pauley, que fall a favor de la NSA y sus programas.
El director de la ACLU, Jameel Jaffer, declar que: el gobierno tiene un inters legtimo en el seguimiento de personas y asociaciones sospechosas
de terrorismo, pero que este seguimiento no puede extenderse a todos los ciudadanos a travs de una vigilancia permanente.348 349 350 351
En los aos inmediatamente precedentes a 2013, las agencias de inteligencia estadounidenses y britnicas se concentraron en la vigilancia de unos
1100 objetivos, incluida la oficina del Primer Ministro israel, jefes de organizaciones internacionales, empresas energticas extranjeras e incluso un
alto funcionario de la Unin Europea que en ese momento participaba en una batalla legal contra varias empresas tecnolgicas estadounidenses
acusadas de monopolio.352
Un catlogo de aparatos de alta tecnologa y software desarrollados por la divisin TAO de la NSA fue filtrado por la revista alemana Der
Spiegel.353 Fechado en 2008, el catlogo revelaba la existencia de aparatos especiales modificados para realizar capturas de pantalla a ordenadores
y unidades flash USB en secreto y transmitir los datos robados a travs de transmisores de ondas de radio a estaciones que operan bajo falsa
bandera.

HALLUXWATER: instala una puerta trasera (backdoor) en los cortafuegosEudemon de los aparatos marca Huawei

La divisin de lite de la NSA, la Tailored Access Operations (TAO) intercept entregas de ordenadores y porttiles pedidos por Internet con el fin de
instalar spyware (software espa) y otros aparatos electrnicos fsicos. Como colaboradores se encontraban la Agencia Nacional de Inteligencia (CIA)
y el FBI.353 354 355 356 357 358 359 Funcionarios de la NSA respondieron al diario Spiegel que: Tailored Access Operations (TAO) es un bien nacional nico
que se encuentra a la vanguardia de la labor de la NSA en defensa de la nacin y sus aliados. Su trabajo [el de TAO] se centra en la explotacin de
las redes informticas para la recoleccin de datos procedentes de la inteligencia extranjera. 360
En otra revelacin, no relacionada con las de Snowden, el Tesoro pblico francs, que dirige la concesin de certificaciones, encontr que se haban
expedido certificados falsos hacindose pasar por Google con el fin de facilitar las labores de espionaje a funcionarios del gobierno francs a travs
de ataques man-in-the-middle.361

El 4 de diciembre de 2013, el Washington Post public un documento interno de la NSA que ilustra la extensin de la recogida en masa de metadatos procedentes de
telfonos mviles, con una recoleccin diaria de unos 5000 millones de registros. 311 Estos registros se almacenan en una gigantesca base de datos llamada FASCIA,
que solo en un plazo de siete meses en 2012 recibi ms de 27 terabytes. 362

2014[editar]
Enero[editar]
Segn datos de enero de 2014, la NSA est trabajando en un ordenador cuntico de gran alcance que sera capaz de romper todo tipo de cdigos de
cifrado y dems sistemas de seguridad similares.363 364 365 366 367 Este proyecto es parte de un programa de investigacin estadounidense dotado con
un presupuesto de 79,7 millones de dlares conocido como Penetrating Hard Targets. Se trata de una extensa investigacin llevada a cabo en
habitculos blindados conocidos como Jaulas de Faraday, diseados para evitar la entrada o salida de radiacin electromagntica.364 En la
actualidad, la NSA est cerca de producir bloques de este tipo que permitiran a la agencia tener un control cuntico total en
dos qubits semiconductores.364 Una vez que se tenga lo anterior, la NSA podra completar con xito su ordenador cuntico, lo que permitira a las
agencias de inteligencia desbloquear y tener acceso a todos los datos en poder de bancos, compaas de seguro y tarjetas de crdito, minoristas,
corredores de bolsa, gobiernos, historiales mdicos, etc.363
Segn el New York Times la NSA estara controlando aproximadamente 100.000 ordenadores en todo el mundo con un software espa
llamado Quantum. Quantum permitira a la NSA vigilar esos equipos y por otro lado crear una autopista digital para desde all, realizar ataques
cibernticos. Entre los objetivos de estos ataques estn el ejrcito chinoy ruso, pero tambin socios de Estados Unidos como las instituciones de
la Unin Europea. El New York Times tambin inform que la NSA puede acceder y modificar los ordenadores que no estn conectados
a Internet mediante una tecnologa secreta utilizada por la NSA desde 2008. Para ello sera necesario la insercin fsica de un hardware de radio de
alta frecuencia por un espa, un fabricante o un usuario cualquiera, tanto de manera voluntaria como involuntaria. La tecnologa se basa en la
existencia de un canal secreto en las ondas de radio que se puede transmitir de las placas de circuitos pequeos a tarjetas o

dispositivos USB insertadas en las computadoras. En algunos casos, las rdenes tambin podran enviarse a una estacin receptora establecida por
las agencias de inteligencia a kilmetros de distancia. La tecnologa tambin puede transmitir el nuevo malware al ordenador ya infectado. 308
Channel 4 y The Guardian revelaron la existencia de Dishfire, una enorme base de datos de la NSA que recoge diariamente cientos de millones de
mensajes de texto.368 Segn las revelaciones, la inteligencia britnica (GCHQ) tiene acceso total a la base de datos, que utiliza para obtener
informacin privada de los britnicos gracias a una laguna legal en las leyes del pas. 369
Cada da la base de datos recibe y almacena los siguiente volmenes de datos:

Los datos geolocalizados de ms de 76.000 mensajes de texto y otras informaciones tiles. 370

Ms de 110.000 nombres de personas, obtenidos a travs de tarjetas electrnicas. 370

Ms de 800.000 transacciones financieras, ya sea de pagos por transferencia o mediante la vinculacin de tarjetas de crdito de los distintos
usuarios con sus mviles.370

Detalles de ms de 1,6 millones de cruces fronterizos a partir de la itinerancia de datos. 370

Ms de 5 millones de avisos de llamadas perdidas.370

Alrededor de 200 millones de mensajes de texto en todo el mundo. 371

La base de datos tiene un complemento que consiste en una herramienta de anlisis conocida como Prefer Program (programa Prefiero) que
procesa los mensajes SMS para extraer distintos tipos de informacin adicional, como avisos de llamadas prdidas de los distintos contactos. 370

Segn una publicacin conjunta de los diarios New York Times, The Guardian y ProPublica,372 373 374 375 376 la NSA estadounidense y el GCHQ britnico
comenzaron a trabajar juntos para recoger y almacenar datos gracias al uso de software instalados en aplicaciones para telfonos inteligentes
(smartphones). Estas prcticas habran empezado, como muy tarde, en 2007. Un informe filtrado por Snowden del GCHQ fechado en 2008 afirma
que cualquier persona que utilice Google Maps en un smartphone est trabajando y apoyando los sistemas del GCHQ. La NSA y el GCHQ utilizan
distintos mtodos para el acaparamiento masivo de datos de localizacin, planes de viaje a partir de los destino seleccionados en Google Maps,
libretas de direcciones, listas de amigos, registros telefnicos y datos geolocalizados de imgenes publicadas en las versiones mviles de redes
sociales como Facebook, Flickr, Linkedln y Twitter, entre otros. En un informe de 20 pginas fechado en 2012, el GCHQ cit como ejemplo de
aplicacin espa utilizada para extraer datos a los usuarios al popular juego para mvil Angry Birds. Los datos recogidos en este tipo de
aplicaciones permitiran a las agencias de inteligencias recoger informacin suficiente como para conocer el modo de vida de un usuario, su pas de
origen, localizacin exacta, edad, sexo, cdigo postal, estado civil, ingresos financieros, etnia, orientacin sexual, nivel educativo, nmero de hijos,
etc.377 378
Un documento del GCHQ fechado en agosto de 2012 proporcion detalles sobre el programa de vigilancia Squeaky Dolphin, que permite al GCHQ
un amplio seguimiento y en tiempo real de las distintas caractersticas de pginas y redes sociales, como su trfico, visitas a vdeos de YouTube e
incluso control del botn me gusta de Facebook yBlogspot, todo sin consentimiento o conocimiento de las empresas que prestan estos servicios.
Squeaky Dolphin permite reunir, analizar y utilizar datos en tiempo real obtenidos de YouTube, Facebook y Blogger con fines analticos. El programa
es capaz de recoger direcciones de ms de 1000 millones de vdeos vistos a diario, as como datos de usuarios. 222 379 380
Durante la Conferencia sobre el Cambio Climtico de Naciones Unidas de 2009, celebrado en Copenhague, Dinamarca, la NSA y sus socios de la
alianza Cinco Ojos pincharon y vigilaron las comunicaciones de los delegados de numerosos pases. Esto se hizo para obtener ventajas a la hora de
negociar con los distintos legisladores. 381 382
La Communications Security Establishment Canada (CSEC) realiz seguimientos a los pasajeros canadienses en aeropuertos gracias a servicios de
conexin Wi-Fi. Los pasajeros que ms tarde abandonaban los aeropuertos seguan siendo vigilados, ya que accedan a otras redes Wi-Fi en otras
partes de Canad. En un documento fechado en mayo de 2012, el CSEC canadiense describa que tena accesos a dos sistemas de comunicaciones

con ms de 300.000 usuarios con el fin de identificar blancos especficos imaginarios. La operacin fue ejecutada en nombre de la NSA como una
especie de ensayo para probar nuevas tecnologas capaces de rastrear cualquier objetivo que haga incursiones ocasionales en ciudades o regiones.
Esta tecnologa fue posteriomente compartida con el resto de socios de Cinco Ojos: Australia, Nueve Zelanda, Reino Unido y Estados Unidos. 383 384 385

El 27 de enero de 2014, The New York Times public este documento374 interno de la NSA de una reunin de 2010, donde se detalla el alcance de la vigilancia de las
agencias de inteligencia sobre lostelfonos inteligentes (smartphones). Los datos espiados por la NSA incluyen la configuracin del telfono, sus conexiones de red,
historiales de bsqueda web, listas de contactos, documentos descargados y otros. Observe en la parte inferior de la imagen: TOP SECRET//COMINT//REL TO
USA, FVEY, estas claves se utilizan para indicar que el documento que esta viendo es (o era) de alto secreto (TOP SECRET) y que se trata de un documento de
inteligencia (COMIT) al que tenan acceso los pases de la alianza Cinco Ojos (FVEY), Australia, Gran Bretaa, Canad y Nueva Zelanda y Estados Unidos.

Febrero[editar]
Segn una investigacin de Sddeutsche Zeitung y la cadena de televisin NDR, el telfono mvil del antiguo canciller alemn, Gerhard Schrder, fue
monitorizado desde el ao 2002, al parecer debido a la oposicin de su gobierno a la intervencin militar en Irak. Esta investigacin estara
respaldada y confirmada por uno de los documentos de la NSA filtrados por Snowden. En ese documento se encuentra informacin de la National
Sigint Requirement List (NSRL), donde los investigadores dedujeron que esta solo se refera al espionaje a Angela Merkel. Sin embargo Sddeutsche
Zeitung y la NDR afirman que la orden de espionaje, dada en 2002, abarcara tambin a Schrder. Segn estos medios, Schrder era el nmero 388
en la lista de espiados, lista que contena los nombres de las personas e instituciones puestas bajo la vigilancia de la NSA. 386 387 388 389
El servicio de inteligencia britnico GCHQ lanz un ataque ciberntico a la red de activistas Anonymous utilizando un ataque de denegacin de
servicio (DoS) para cerrar una sala de chat frecuentado por miembros de esta red y espiarlos. El ataque, conocido como Rolling Thunder, fue llevado
a cabo por una unidad del GCHQ conocida como Joint Threat Research Intelligence Group (JTRIG). Sin embargo, la unidad no logr revelar las
identidades de varios de los miembros de Anonymous. 390 391 392 393
El programa de recogida de metadatos de la NSA, conocido como Section 215, que tiene como objetivo acumular registros de todas las llamadas
realizadas en Estados Unidos, esta actualmente recogiendo, segn The Washington Post, menos de un 30% de las llamadas de los estadounidenses
a causa de su an incompleta operabilidad. Este controvertido programa de la NSA fue autorizado por la secreta Foreign Intelligence Surveillane
Court, dando permiso para registrar los nmero de telfono y la ubicacin del emisor y receptor de cada llamada. 394 395

Marzo[editar]
The NSA has built an infrastructure which enables it to covertly hack into computers on a mass scale by using automated systems that reduce the
level of human oversight in the process. The NSA relies on an automated system codenamed TURBINE which in essence enables the automated
management and control of a large network of implants (a form of remotely transmitted malware on selected individual computer devices or en bulk on
tens of thousands of devices). As quoted by The Intercept, TURBINE is designed to "allow the current implant network to scale to large size (millions of
implants) by creating a system that does automated control implants by groups instead of individually." 396 The NSA has shared many of its files on the
use of implants with its counterparts in the so-called Five Eyes surveillance alliance the United Kingdom, Canada, New Zealand, and Australia.
Among other things due to TURBINE and its control over the implants the NSA is capable of:

breaking into targeted computers and to siphoning out data from foreign Internet and phone networks

infecting a target's computer and exfiltrating files from a hard drive

covertly recording audio from a computers microphone and taking snapshots with its webcam

launching cyberattacks by corrupting and disrupting file downloads or denying access to websites

exfiltrating data from removable flash drives that connect to an infected computer

The TURBINE implants are linked to, and relies upon, a large network of clandestine surveillance "sensors" that the NSA has installed at locations
across the world including the agency's headquarters in Maryland and eavesdropping bases used by the agency in Misawa, Japan and Menwith Hill,
England. Codenamed as TURMOIL the sensors operate as a sort of high-tech surveillance dragnet, monitoring packets of data as they are sent across
the Internet. When TURBINE implants exfiltrate data from infected computer systems, the TURMOIL sensors automatically identify the data and return
it to the NSA for analysis. And when targets are communicating, the TURMOIL system can be used to send alerts or "tips" to TURBINE, enabling the

initiation of a malware attack. To identify surveillance targets the NSA uses a series of data "selectors" as they flow across Internet cables. These
selectors can include email addresses, IP addresses, or the unique "cookies" containing a username or other identifying information that are sent to a
user's computer by websites such as Google, Facebook, Hotmail, Yahoo, and Twitter, unique Google advertising cookies that track browsing habits,
unique encryption key fingerprints that can be traced to a specific user, and computer IDs that are sent across the Internet when a Windows computer
crashes or updates.396 397 398 399 400 401 402 403 404 405 406 407 408 409 410411
The CIA was accused by U.S. Senate Intelligence Committee Chairwoman Dianne Feinstein of spying on a stand-alone computer network established
for the committee in its investigation of allegations of CIA abuse in a George W. Bush-era detention and interrogation program. 412
A voice interception program codenamed MYSTIC began in 2009. Along with RETRO, short for "retrospective retrieval" (RETRO is voice audio
recording buffer that allows retrieval of captured content up to 30 days into the past), the MYSTIC program is capable of recording "100 percent" of a
foreign country's telephone calls, enabling the NSA to rewind and review conversations up to 30 days and the relating metadata. With the capability to
store up to 30 days of recorded conversations MYSTIC enables the NSA to pull an instant history of the person's movements, associates and
plans.413 414 415 416 417 418
On March 21, Le Monde published slides from an internal presentation of the Communications Security Establishment Canada, which attributed a
piece of malicious software to French intelligence. The CSEC presentation concluded that the list of malware victims matched French intelligence
priorities and found French cultural reference in the malware's code, including the name Babar, a popular French children's character, and the
developer name "Titi".419
The French telecommunications corporation Orange S.A. shares its call data with the French intelligence agency DGSE, which hands over the
intercepted data to GCHQ.420
The NSA has spied on the Chinese technology company Huawei.421 422 423 Huawei is a leading manufacturer of smartphones, tablets, mobile phone
infrastructure, and WLAN routers and installs fiber optic cable. According to Der Spiegel this "kind of technology [...] is decisive in the NSA's battle for
data supremacy."424 The NSA, in an operation named "Shotgiant", was able to access Huawei's email archive and the source code for Huawei's

communications products.424 The US government has had longstanding concerns that Huawei may not be independent of the People's Liberation
Army and that the Chinese government might use equipment manufactured by Huawei to conduct cyberespionage or cyberwarfare. The goals of the
NSA operation were to assess the relationship between Huawei and the PLA, to learn more the Chinese government's plans and to use information
from Huawei to spy on Huawei's customers, including Iran, Afghanistan, Pakistan, Kenya, and Cuba. Former Chinese President Hu Jintao, the
Chinese Trade Ministry, banks, as well as telecommunications companies were also targeted by the NSA. 421 424
The Intercept published a document of an NSA employee discussing how to build a database of IP addresses, webmail, and Facebook accounts
associated with system administrators so that the NSA can gain access to the networks and systems they administer.425 426
At the end of March 2014, Der Spiegel and The Intercept published, based on a series of classified files from the archive provided to reporters by NSA
whistleblower Edward Snowden, articles related to espionage efforts by the GCHQ and NSA in Germany.427 428 The British GCHQ targeted three
German internet firms for information about Internet traffic passing through internet exchange points, important customers of the German internet
providers, their technology suppliers as well as future technical trends in their business sector and company employees. 427 428 The NSA was granted by
the Foreign Intelligence Surveillance Court the authority for blanket surveillance of Germany, its people and institutions, regardless whether those
affected are suspected of having committed an offense or not, without an individualized court order specifying on March 7, 2013. 428 In addition
Germany's chancellor Angela Merkel was listed in a surveillance search machine and database named Nymrod alongside with 121 others foreign
leaders.427 428 As The Intercept wrote: "The NSA uses the Nymrod system to 'find information relating to targets that would otherwise be tough to track
down,' according to internal NSA documents. Nymrod sifts through secret reports based on intercepted communications as well as full transcripts of
faxes, phone calls, and communications collected from computer systems. More than 300 'cites' for Merkel are listed as available in intelligence
reports and transcripts for NSA operatives to read."427

Abril[editar]

El New York Times, citando documentos filtrados por Snowden, inform en septiembre de 2013 que la NSA empez a explotar de manera masiva los datos
telefnicos y correos electrnicos de los estadounidenses despus de que se levantara la ley que lo prohiba en 2010. Esto permite el anlisis grfico a gran escala
de grandes conjuntos de metadatos. La diapositiva muestra uno de los mtodo usados por la agencia para obtener material procedente de fuentes pblicas o
comerciales, como cdigos bancarios, seguros, perfiles de Facebook, padrones electorales, listas de pasajeros, informacin GPS, etc. Estas acciones se hacen tanto
contra estadounidenses como personas extranjeras.

Hacia finales de abril, Edward Snowden dijo que los sistemas de vigilancia de Estados Unidos espan a la poblacin estadounidense ms que a nadie
en el mundo, lo que pona en entredicho todo lo defendido por el gobierno de EE.UU. hasta ese momento. 429
Mayo[editar]
Un artculo publicado por Ars Technica mostr imgenes de empleados de la Tailored Access Operations (TAO) de la NSA interceptando un
router Cisco.430

The Intercept y Wikileaks revelaron informacin sobre qu pases estaban recogiendo comunicaciones como parte del programa de
vigilancia MYSTIC. El 19 de mayo The Intercept inform que la NSA graba y archiva casi todas las conversaciones de telfonos mviles en
las Bahamas gracias a un sistema llamado SOMALGET, que forma parte del programa MYSTIC.431 Esta vigilancia masiva se ha estado produciendo
sin el permiso del gobierno de la Bahamas. El peridico tambin inform que esta prctica tambin se realiza en Kenia, Filipinas, Mxico y un quinto
pas, aunque no se dio el nombre debido, segn The Intercept, a las preocupaciones crebles sobre un aumento de la violencia en ese pas de
conocerse. Wikileaks public el da 23 que el pas sin nombre era Afganistn.432
En respuesta a las nuevas revelaciones, la NSA declar que las informaciones sobre la recoleccin de inteligencia exterior arbitraria y sin
restricciones de la NSA es falso.431
Las millones de imgenes, correos electrnicos, mensajes de texto, redes sociales o videoconferencias que las operaciones mundiales de vigilancia
de la NSA explotan, se utilizan en sofisticados programas de reconocimiento facial para rastrear a sospechosos de terrorismo y otros objetivos de
la inteligencia estadounidense.433
Junio[editar]
Vodafone reconoci que haba permitido a las agencias gubernamentales acceder a sus cables submarinos.434Vodafone seal que seis pases
haban demandado acceso a estas redes, aunque no dijo sus nombres. 434
Los documentos de alto secreto de un programa de vigilancia encubierto llamado Overseas Processing Centre 1 (OPC-1) (nombre en
cdigo CIRCUIT) por el GCHQ fue sacado a la luz por The Register. Tomando como referencia los documentos de Edward Snowden, tambin se
seal las grietas provocadas por el GCHQ en la fibra pticasubmarina en el estrecho de Ormuz de Yemen. British Telecommunications y Vodafone
tambin estaban implicacas.435
El peridico dans Dagbladet Information y The Intercept revelaron el 19 de junio que la NSA posea un programa de vigilancia de nombre en
cdigo MURALLA-A, que permita intervenir e instalar equipos de vigilancia en los cables de cifra ptica de "terceros" pases, responsables de la

mayora del trfico de comunicaciones electrnicas en el mundo. Los socios extranjeros dan a la NSA grandes cantidades de datos en contenidos de
llamadas telefnicas, faxes, correos, chats y archivos de voz procedentes del software deSkype. A cambio, los socios de la NSA reciben equipos de
vigilancia avanzada de la NSA, para poder espiar la masa de datos que fluye hacia y desde sus respectivos territorios. En estos socios se
encuentra Alemania y Dinamarca.436 437 438
Julio[editar]
Durante la primera semana de julio, un empleado de sexo masculino de 31 aos de edad de los servicios de inteligencia alemanes, el BND, fue
arrestado bajo la acusacin de espiar para Estados Unidos. Se sospechaba que podra haber espiado a la Comisin Parlamentaria alemana que
investigaba el espionaje de la NSA.439
El antiguo funcionario de la NSA y denunciante, William Binney, dijo en una conferencia en Londres del Centro de Periodismo de Investigacin que
al menos el 80% de todas las llamadas, no slo metadatos, estn registradas y almacenadas en los Estados Unidos. La NSA miente. Tambin
afirm que la mayora de los cables de fibra ptica atraviesan Estados Unidos, lo que no es una mera casualidad, sino una forma de que EE.UU.
pueda acceder a todas las comunicaciones.440
The Washington Post public una revisin de los archivos proporcionados por Snowden, que contenan aproximadamente 160 000 mensajes de texto
y correos electrnicos interceptados por la NSA entre 2009 y 2012. El peridico concluy que nueve de cada diez titulares de cuentas cuyas
conversaciones haban sido grabadas no eran un objetivo a espiar, sino que haban quedado atrapados en la red de vigilancia. En su anlisis,
el Post seal que muchas de esas personas vigiladas eran estadounidenses. 441
El 9 de julio, un soldado que trabajaba en el Ministerio Federal de Defensa de Alemania cay bajo sospecha de espiar para Estados Unidos.442 Como
resultado de la anterior detencin del 4 de julio y esta, el gobierno alemn expuls del pas al jefe de la CIA en Alemania el 17 de julio.443

El 18 de julio, el ex funcionario del Departamento de Estado de los Estados Unidos, John Tye, public una editorial en el Washington Post, donde
destacaba las preocupaciones que tena sobre la recopilacin de datos que se realizaba en virtud de la Orden Ejecutiva 12333, material clasificado al
que habra tenido acceso desde el Departamento, aunque no dio a conocer pblicamente ese material. 444
Agosto[editar]
El diario The Intercept inform en agosto de 2014 de que la NSA est suministrando en secreto gran cantidad de datos a casi dos docenas de
agencias del gobierno de Estados Unidos 23 concrtamente gracias a un motor de bsqueda similar a Google llamado ICREACH. Tambin inform
que la base de datos a la que pueden acceder estas agencias, encargadas de hacer cumplir la ley como el FBI y la Administracin para el Control de
Drogas, fue creada para mantener los cerca de 850.000 millones de registros demetadatos de llamadas telefnicas, correos electrnicos,
localizaciones y mensajes de texto que la NSA ya tena almacenados en esas fechas. 445 446

Reaccin[editar]
Artculo principal: Reacciones a las revelaciones de vigilancia mundial

Reaccin de los lderes polticos[editar]

Estados Unidos

El 7 de junio de 2013 en un intento por calmar los nimos, el presidente estadounidense Obama argument que la vigilancia masiva era clave para impedir ataques
terroristas

En poltica interior, el presidente Barack Obama asegur que no se ha espiado a los estadounidenses; 447 448 adems, el secretario de prensa de
la Casa Blanca afirm que los programas de vigilancia revelados por Snowden haban sido autorizados por el Congreso. 449En el plano
internacional, el Fiscal General de Estados Unidos, Eric Holder, asegur a los extranjeros que no podemos espiar a personas extranjeras en el
extranjero si no hay un propsito vlido.450
Reino Unido
El primer ministro britnico, David Cameron, amenaz a los periodistas con que si no demuestran alguna responsabilidad social va a ser muy difcil
para el gobierno dar un paso atrs y no actuar. 451 El viceprimer ministro Nick Clegg hizo hincapi en que los medios de comunicacin deban
defender por encima de todo los secretos de las agencias de inteligencia. 452 El Secretario de Relaciones Exteriores, William Hague, declar que
tenemos mucho cuidado en el equilibrio entre la privacidad de los individuos y nuestro deber de salvaguardar la seguridad nacional y pblica del
Reino Unido.453 Hague defendi la alianza Cinco Ojos y reiter que la colaboracin britnico-estadounidense en labores de inteligencia debe
mantenerse, pues ha salvado muchas vidas, segn sus propias palabras. 454
Australia
El primer ministro australiano, Tony Abbott, declar que cada agencia gubernamental de Australia y cada oficial de Australia en el pas y en el
extranjero, opera de acuerdo a la ley.455 Abbot critic a la Australian Broadcasting Corporation, tildndola de antipatriota, debido a que haban
sacado a la luz parte de los documentos aportados por Snowden, a quien Abbott describi como un traidor. 456 457 El canciller Julie Bishop tambin
denomin a Snowden como un traidor y lo acus de traicin sin precedentes. 458 Bishop defendi la alianza Cinco Ojos y reiter que Australia,
Estados Unidos y su relacin en servicios de inteligencia no deba ser cuestionada, pues salva vidas. 459
La canciller alemana Angela Merkeljunto al Secretario de Estado de Estados Unidos, John Kerry, en enero de 2014

Alemania
En julio de 2013, la canciller alemana, Angela Merkel, defendi las prcticas de la NSA y describi a Estados Unidos como nuestro ms fiel aliado de
las ltimas dcadas.460 461 Despus de que se destapara que la NSA haba estado espiando a Merkel, la canciller cambi radicalmente sus
declaraciones, comparando a la NSA con la Stasi, los antiguos servicios de inteligencia de la RDA.462 Segn The Guardian, Alemania estara intentado
utilizar esta polmica sobre el espionaje de la NSA como excusa para poder ingresar en la hermtica alianza de los Cinco Ojos.463 El Ministro del
Interior alemn, Hans-Peter Friedrich, declar que los estadounidenses toman muchas preocupaciones para mantener la privacidad de los datos
interceptados. Al testificar ante el Parlamento alemn, Friedrich defendi la actuacin de la NSA, citando cinco supuestos ataques terroristas en
suelo alemn abortados gracias a la NSA.464
Suecia
El Ministro de Relaciones Exteriores sueco, Carl Bildt, defendi a los Servicios de Inteligencia de Suecia y describi sus prcticas de vigilancia como
una necesidad nacional.465

Revisin de las agencias de inteligencia[editar]

En julio de 2013, el gobierno alemn anunci una amplia revisin de los servicios de inteligencia de Alemania. 466 467

En agosto de 2013, el gobierno estadounidense anunci una amplia revisin de los servicios de inteligencia de Estados Unidos. 468 469

En octubre de 2013, el gobierno britnico anunci una extensa revisin de los servicios de inteligencia del Reino Unido. 470

En diciembre de 2013, el gobierno canadiense anunci una amplia revisin de los servicios de inteligencia de Canad. 471

Crticas[editar]

En enero de 2014, el presidente de Estados Unidos, Barack Obama, declar que a menudo las revelaciones sobre vigilancia se han hecho en un tono
sensacionalista, lo que hace que muchas veces hayan arrojado ms calor que luz.472 Otros crticos como Sean Wilentz afirmaron que la NSA
probablemente haya actuado con mucha ms responsabilidad que la revelada por las filtraciones y las distintas publicaciones en la prensa. Segn
Wilentz las filtraciones han desatado una alarma por unos supuestos abusos que estn justitificados; adems, la mayora de los documentos filtrados
por Snowden poco tienen que ver con la vigilancia nacional o interna.473 Edward Lucas, ex jefe de la seccin en Mosc de la revista britnica The
Economist, estuvo de acuerdo con la opinin de Wilentz, argumentando que las revelaciones de Snowden favorecen de forma clara y sospechosa a
los intereses de un pas: Rusia. Adems, citando a Masha Gessen declar que la mquina de propaganda rusa no haba apoyado tanto a un
ciudadano estadounidense desde el juicio a la comunista Angela Davis en 1971.474
Bob Cesca se opus a que el New York Times revelara el nombre de un empleado de la NSA y el lugar exacto donde un grupo de Al Qaeda estaba
siendo objeto de una serie de slides filtrados.475
El periodista ruso Andrei Soldatov argument que las revelaciones de Edward Snowden haban tenido consecuencias negativas para la libertad de
Internet en Rusia, ya que desde las filtraciones las autoridades rusas habran aumentado la vigilancia sobre las pginas y servicios localizados en
Estados Unidos, como Google y Facebook, bajo el pretexto de proteger la privacidad de los usuarios rusos. Soldatov tambin dijo que como
resultado de las revelaciones, los gobiernos nacionales tendern a apoderarse de las competencias que actualmente poseen las organizaciones que
participan en la mejora de la arquitectura global de Internet, lo que producira la balcanizacin de Internet con la regionalizacin y restricciones al libre
acceso global de la informacin.476 La Declaracin de Montevideo sobre el Futuro de la Cooperacin en Internet, emitida en octubre de 2013 por
la ICANN y otras organizaciones, advirti de la fragmentacin de Internet a nivel nacional y expres su profunda preocupacin por el brusco
descenso de la confianza de los usuarios en Internet a nivel mundial debido a las recientes revelaciones. 477

Informacin Excepcionalmente Controlada (ECI) [editar]

Segn el diario The Guardian, los documentos clasificados bajo el nombre Informacin Excepcionalmente Controlada, Exceptionally Controlled
Information (ECI) en ingls, se refiere a aquellos cuyo nivel de clasificacin o secreto es todava mayor que los documentos catalogados como Top
Secret, clasificacin que reciban la mayora de los filtrados por Snowden. 478 Los documentos clasificados como ICE contienen las identidades reales
de las empresas y socios colaboradores de la NSA que operan la red de vigilancia mundial: los nombres en clave Artifice, Lithium y Serenade.478 El
nombre de las instalaciones de los socios comerciales de la NSA est clasificado como ECI y por tanto estas instalaciones se ocultan bajo el nombre
en clave Steelknight.478 Los papeles de Snowden revelaron que las empresas colaboradoras jugaban y juegan un papel fundamental en la
recopilacin de datos

Lo que todava se le resiste a la NSA: PGP,

TrueCrypt, Tor y mensajera OTR

Ya ha pasado ms de un ao desde que Snowden empezase con las filtraciones sobre el programa de espionaje de la NSA. Durante este
tiempo, hemos conocido cmo se infiltraron en redes privadas de compaas de Internet, cmo espiaron llamadas en pases europeos e
incluso cmo trataban de atacar a usuarios de Tor.

Lo que no nos ha quedado tan claro es dnde no han conseguido llegar, qu tecnologas se les han resistido. Tenamos una cierta intuicin de
qu segua siendo seguro, pero hace unas horas Der Spiegel ha publicado ms filtraciones que nos revelan algunas tecnologas que siguen
siendo seguras.
Por ejemplo, tienen muchas dificultades para descifrar los mensajes enviados por servicios comoZoho o para monitorizar los usuarios de Tor.
De hecho, ya vimos en su momento que aunque haban logrado monitorizar a algunos usuarios, en general las tcnicas no eran especialmente
efectivas y no les permitan atacar objetivos a voluntad.

En mayo de este ao, TrueCrypt

desapareca con un aviso as de extrao.
TrueCrypt es otro programa que se le resiste a la NSA, o por lo menos lo haca antes de su misteriosa desparicin. La historia de TrueCrypt
siempre ha sido turbulenta, con desarrolladores desconocidos y ahora con sospechas de haber cerrado por presiones de agencias
gubernamentales, lo que toma bastante sentido si la NSA no ha logrado romper su criptografa.

Las comunicaciones instantneas tambin se ven protegidas por el protocolo OTR (mensajes de texto) y por ZRTP (voz sobre IP): la NSA no
ha logrado romper ninguno de los dos. Estos son los protocolos usados por RedPhone y Signal, aplicaciones para Android y iPhone que
parece que protegen bien las comunicaciones. Como curiosidad, cuando Whatsapp integr cifrado de extremo a extremo lo hizo con los
desarrolladores de RedPhone y con un protocolo similar a OTR, as que puede que este sea otro servicio a prueba de NSA.
Un viejo conocido de la seguridad y el cifrado tambin es un gran reto para la NSA: PGP (Pretty Good Privacy). Este programa para cifrar
archivos y correos, creado en 1991, sigue siendo irrompible para la NSA.

Lo que no se le resiste: HTTPS, VPNs e incluso SSH

Por supuesto, a la NSA hay cosas que no se le resisten. Entre sus propias tcnicas y el debilitamiento de estndares de seguridad, sus
analistas pueden llegar a interceptar y descifrar 10 millones de conexiones HTTPS al da, y eso en 2012. Una de las posibles herramientas
pueden ser ataques desconocidos (como Heartbleed), o quizs el uso de certificados comprometidos.
Las redes privadas tampoco son especialmente robustas. La NSA es capaz de descifrar el 20% de las conexiones VPN que intercepta, o al
menos esos eran sus planes en 2009.
SSH, un protocolo ampliamente usado de acceso remoto a ordenadores, tambin puede haber sido vulnerado por la NSA en algunos casos,
pudiendo sacar usuarios y contraseas. Los documentos filtrados no aclaran si es un ataque efectivo contra todas las versiones o si slo
funciona con las antiguas.

En cierto sentido, lo que comenta Der Spiegel son "buenas noticias", entre muchas comillas, tal y como dice este comentario en Hacker
News: parece que la NSA tiene, a grandes rasgos, la misma informacin que el pblico sobre qu protocolos son seguros y cules no. De
momento, la tecnologa que creamos ms confiable parece seguir sindolo.