En los últimos días, la "descontrolada" NSA ha vuelto a situarse en el centro de todas las noticias tras conocerse los casos de espionaje a países aliados; un nuevo escándalo que está enturbiando las relaciones de Estados Unidos con países como Alemania, Francia o España. Edward Snowden y sus filtraciones han conseguido destapar algunos de los programas de espionaje de la NSA, una verdad incómoda que nos ha mostrado una agencia que ha machacado la privacidad de los usuarios con sus programas masivos de espionaje en Internet. Siguiendo por esta senda del espionaje masivo en la red, The Washington Post ha destapado hoy un nuevo programa de la NSA: MUSCULAR, un programa con el que la NSA se habría infiltrado en las comunicaciones internas de los data centers de Google y Yahoo!.

¿Infiltrarse en las comunicaciones de los data centers? Puede sonarnos extraño pero, en base a los últimos documentos publicados por el Washington Post (y que tienen como fuente a Edward Snowden), la NSA habría conseguido infriltrarse dentro del core de Google y Yahoo!; es decir, la NSA habría podido extraer datos de la nube privada que forma la infraestructura de los dos grandes proveedores de servicios de Internet de Estados Unidos (Google y Yahoo!).

Router

El programa MUSCULAR

En base a estas nuevas filtraciones de documentos, la NSA habría tenido acceso a los enlaces que conectan los distintos data centers que tienen tanto Google como Yahoo! distribuidos por el mundo; unos enlaces que conectan su infraestructura y que forman su gran nube privada. Estos circuitos cumplen la función de conectar toda la red de servicios de back-end de estos proveedores y, por tanto, cursan grandes volúmenes de información de los usuarios, teóricamente, a nivel interno.

Que la NSA se haya colado en estas comunicaciones privadas implica que la Agencia ha tenido acceso a un gran buffet libre de información, datos de cientos de millones de usuarios que viajan por estos circuitos, por ejemplo, para sincronizar o refrescar la información en la infraestructura distribuida de la "gran CDN" de estos servicios.

Aunque nos pueda parecer ciencia-ficción, las pruebas que aporta el Washington Post tienen una fecha reciente. Concretamente, el 9 de enero de este año 2013, la NSA habría estado extrayendo millones de registros de Google y Yahoo! para, posteriormente, analizarlos en los supercomputadores de la Agencia y, de ahí, extraer los famosos metadatos que se usan para conocer qué usuarios se envían mensajes entre sí, en qué lugares se ubican o qué información se están intercambiando. Según este informe, durante el mes de diciembre de 2012, la NSA podría haber obtenido más de 180 millones de registros de metadatos gracias al programa MUSCULAR y su intromisión en las redes privadas de Google y Yahoo!.

Para "mejorar" las cosas, la NSA no habría estado sola en esta tarea; el GCHQ de Reino Unido también habría colaborado en este propósito. En el fondo, este tipo de colaboraciones no son nuevas y no nos sorprenden; Reino Unido y Estados Unidos intercambian este tipo de información (junto a Canadá, Australia y Nueva Zelanda) pero creo que es especialmente relevante que recordemos que el GCHQ desarrolló el programa TEMPORA para interceptar, precisamente, comunicaciones en cables de fibra óptica.

Google Data Center
Imagen: Google

Entendiendo el programa MUSCULAR

El programa MUSCULAR sería la prueba de que los tentáculos de la NSA son extremadamente largos.

Si bien Google nos ofrece conexiones cifradas (vía SSL) a sus servicios (accedemos por https a Gmail o a Google+) para garantizar que la comunicación "extremo a extremo" es segura; una vez que estamos dentro de Google, las comunicaciones no tienen por qué estar cifradas. De hecho, es práctica habitual que se usen conexiones cifradas entre los usuarios y los front-ends de los servicios (los servidores que reciben nuestras peticiones) pero, por agilidad y simplicidad, se dejen sin cifrar las conexiones entre back-ends (servidores internos que alojan realmente nuestros datos).

Cuando tenemos una infraestructura distribuida (por ejemplo, varios data centers con los que balanceamos tráfico y con los que replicamos la información), la conexión la podemos realizar mediante infraestructuras propias, alquilando circuitos dedicados a uno o varios operadores (para que hagan de carriers) o mediante circuitos virtuales cuando nuestros datos viajan una red compartida con otros clientes.

Si controlamos toda la red (y todos los emplazamientos), infiltrarse quizás sea complicado; sin embargo, cuando dependemos de infraestructuras de terceros (o están compartidas), el riesgo aumenta. El GCHQ mantenía equipos en los nodos en los que recalaban cables de fibra óptica en Reino Unido y, en Estados Unidos, un antiguo empleado de la AT&T se hizo famoso por denunciar la existencia de "habitaciones secretas" en los centros de conmutación de este operador estadounidense (y donde la NSA también tenía equipos para extraer datos).

Tanto Google como Yahoo! no suelen compartir los cables de fibra óptica con terceros y, por tanto, los enlaces que usan son dedicados (Google suele invertir en consorcios de cables submarinos); esta dedicación de recursos les posibilitaba la simplificación de su esquema de conexionado y, al contar con una red privada, no se cifraba el intercambio de información dentro de la nube y los enlaces, por tanto, están sin cifrar.

Fibra-optica
Four 12 en Flickr

¿Podrá Obama seguir defendiendo lo indefendible?

Si con PRISM la NSA se infiltraba en el front-end de servicios como Google, Yahoo! o Microsoft; con MUSCULAR han conseguido colarse en el core de los servicios. ¿El problema de todo esto? Con un espionaje tan masivo, y tan descontrolado, lo más seguro es que la NSA haya violado por enésima vez el principio de no espiar a ciudadanos de Estados Unidos.

Como nos podemos imaginar, el General Keith Alexander (director de la NSA) ha negado inmediatamente la existencia del programa MUSCULAR pero, la verdad, es que a estas alturas es muy difícil creer la información oficial de esta agencia (por mucho que se empeñen en negarlo todo o en hacer promesas de que adoptarán una política algo más transparente).

Google sí que anunció que trabajan en la mejora de la seguridad de sus comunicaciones y cifrará el tráfico de su red de back-end; un aspecto fundamental si tomamos en cuenta este nuevo escándalo de espionaje masivo en la red.