Kim Zetter
Wired
Según informa The Washington Post, Google se ha asociado con la Agencia Nacional de Seguridad de Estados Unidos (NSA, National Security Agency) para investigar el reciente ataque cibernético que ha sufrido en su red, con la intención de evitarlos en el futuro.
El gigante de las búsquedas en Internet está preparando un acuerdo con la controvertida agencia para determinar cuáles son los métodos del atacante y qué puede hacer Google para reforzar su red.
Algunas fuentes han asegurado a The Washington Post que el acuerdo no significa que la NSA vaya a tener acceso a las búsquedas que hacen los usuarios, ni a sus comunicaciones y cuentas de correo electrónico. Ni tampoco que Google vaya a compartir datos personales con ese organismo.
Pero la medida está suscitando preocupación entre los defensores del derecho a la intimidad y los derechos civiles.
El Centro de Información sobre Intimidad Electrónica (EPIC, Electronic Privacy Information Center) ha presentado el jueves, poco después de que se hiciera público el acuerdo, una solicitud amparada en la Ley de Libertad de Información de Estados Unidos (FOIA, Freedom of Information Act) con la intención de obtener más información sobre el mismo (en formato pdf).
Marc Rotenber, Director Ejecutivo de EPIC, cree que el acuerdo abarca mucho más que el ataque a Google y que el gigante de las búsquedas y la agencia de inteligencia iniciaron las conversaciones antes de que Google descubriera que había sido atacada.
«Lo que le han dicho es que se trata de la investigación de un ataque en el que está involucrada China», declaró a Threat Level en una entrevista telefónica. «Creo, y tengo buenas razones para creer, que hay mucho más.»
Google ha declinado hacer comentarios. «En su momento [cuando anunciaron el ataque cibernético] dijimos que estamos trabajando con las autoridades estadounidenses competentes, y no tenemos nada más que decir», escribió en un correo electrónico Jay Nancarrow, portavoz de Google.
El amparo en la FOIA también pretende averiguar cuáles fueron las comunicaciones de la NSA con Google acerca del fracaso de ésta última a la hora de encriptar Gmail y los servicios de computación en nube. Rotenberg afirma que el EPIC quiere saber cuál es el papel que ha desempeñado la NSA en la confección de las normas sobre intimidad y seguridad en los servicios de Google.
El EPIC también presentó una demanda contra la NSA y el Consejo Nacional de Seguridad estadounidenses con la intención de obtener el documento clave que rige la política nacional de ciberseguridad del gobierno, rodeada del máximo secreto.
«No podemos permitirnos tener una política de ciberseguridad secreta que colisione con el derecho a la intimidad de millones de usuarios de Internet», señaló.
A principios de este mes, Google anunció que había sido blanco de un ataque pirata coordinado y «enormemente sofisticado» , apodado desde entonces «Operación Aurora», contra su propia red y las de otras empresas del sector de la defensa, la tecnología y las finanzas. Google afirmó que los piratas informáticos se habían apropiado de bienes sujetos a propiedad intelectual (presumiblemente, su código fuente) y habían tratado de acceder a cuentas de Gmail de defensores de los derechos humanos. Los ataques procedían de China, señaló Google.
La empresa de seguridad informática iDefense ha señalado que los atacantes, que buscaban principalmente códigos fuente , se habían fijado como objetivo 34 empresas. Un informe reciente ha aportado detalles sobre la naturaleza del ataque espía sostenido , según el cual eran un fiel reflejo de los sufridos por millares de empresas en los últimos años, a los que apenas se ha dado publicidad.
Las fuentes afirman que el acuerdo entre Google y la NSA, que todavía se está cerrando, permitiría a Google compartir con la agencia información sensible sobre los ataques y su red (como el código malicioso que se utilizó y sus configuraciones de red), sin quebrantar las normas de Google ni las leyes que preservan la seguridad de las comunicaciones de los usuarios.
Según The Wall Street Journal, el abogado asesor de la NSA empezó a redactar el acuerdo de cooperación para investigación y desarrollo el día que Google anunció que había sido atacada. El acuerdo quedó concluido en 24 horas, pero en aquel momento los intercambios de información eran limitados y solo permitían a la NSA examinar parte de los datos relacionados con el ataque. Casi todos los datos que se compartían afectaban a la naturaleza de la información robada, señalaba el periódico. Tanto el FBI como la NSA trabajaron directamente con Google en la investigación.
Se dice que el acuerdo entre Google y la NSA constituiría la primera vez que Google entabla semejante relación formal para compartir información, aparte de la cooperación general que brinda mediante citaciones oficiales y comunicaciones de la seguridad nacional.
Matthew Aid, historiador de la NSA y autor de The Secret Sentry , ha señalado que la medida le preocupaba. «Me incomoda un poco que Google coopere tan estrechamente con la agencia de inteligencia más grande del país, aun cuando sea con fines estrictamente defensivos», declaró a The Washington Post.
Desde el año 2005, la NSA se ha sido objeto de acusaciones de quebrantar la legislación federal al desarrollar labores de vigilancia ilegales de las comunicaciones telefónicas y de Internet de los estadounidenses. Conceder a la agencia autoridad sobre la coordinación del plan de ciberseguridad del gobierno (que incluiría trabajar con empresas de telecomunicaciones y de otros ámbitos esenciales del sector privado) podría otorgarle poder para realizar escuchas subrepticiamente.
Dennis Blair, el almirante retirado que el pasado año era Director de Inteligencia Nacional de Estados Unidos, provocó revuelo cuando informó al comité de inteligencia de la Congreso de Estados Unidos que era la NSA quien debería ser responsable de la seguridad en el ciberespacio para el gobierno y las infraestructuras esenciales, y no el Departamento de Seguridad Nacional (DHS, Department of Homeland Security), que es quien actualmente realiza estas labores.
«La Agencia de Seguridad Nacional estadounidense dispone del mayor almacén de cibertalento», afirmó Blair. «[P]or ahí, en Fort Meade,(1) hay magos capaces de hacer muchas cosas.»
El teniente general Keith Alexander, director de la NSA, rechazó las afirmaciones de que la agencia que dirige quisiera controlar el plan de ciberseguridad del gobierno y dijo que quería compartirlo con el DHS y otras instancias responsables de la seguridad de las redes. En una intervención realizada en la Conferencia sobre Seguridad del RSA (2) celebrada en San Francisco, informó a una audiencia de profesionales de la seguridad de que la NSA «no quiere ocuparse de la ciberseguridad para el gobierno de Estados Unidos».
Aludiendo al ataque sufrido por Google, Blair señaló esta semana que no se podía garantizar la seguridad en el ciberespacio sin «un esfuerzo de cooperación que incorpore tanto al sector privado estadounidense como a nuestros socios internacionales».
Judi Emmel, portavoz de la NSA, declaró a The Washington Post que «en el marco de su misión de asegurar la información, la NSA colabora con un amplio abanico de socios comerciales e investigadores que cooperan para garantizar la disponibilidad de soluciones a medida seguras para el Departamento de Defensa y los clientes de los sistemas de seguridad nacional».
_______________________
Notas:
(1) Base del Ejército de Estados Unidos y cuartel general de la Agencia Nacional de Seguridad estadounidense, en Maryland. (N. del T.)
(2) Algoritmo de encriptación y cifrado de clave pública, cuyas siglas provienen de sus creadores: Rivest, Shamir y Adleman. (N. del T.)
Fuente: