En los últimos días, la «descontrolada» [**NSA**](http://alt1040.com/tag/nsa) ha vuelto a situarse en el centro de todas las noticias tras conocerse los casos de [espionaje a países aliados](http://alt1040.com/2013/10/greenwald-espionaje-nsa-eeuu); un nuevo escándalo que está enturbiando las relaciones de Estados Unidos con países como Alemania, Francia o España. [**Edward Snowden**](http://alt1040.com/tag/edward-snowden) y sus filtraciones han conseguido destapar algunos de los programas de espionaje de la NSA, una verdad incómoda que nos ha mostrado una agencia que ha machacado la privacidad de los usuarios con sus programas masivos de espionaje en Internet. Siguiendo por esta senda del espionaje masivo en la red, The Washington Post ha destapado hoy un nuevo programa de la NSA: [**MUSCULAR**](http://apps.washingtonpost.com/g/page/world/how-the-nsas-muscular-program-collects-too-much-data-from-yahoo-and-google/543/), un programa con el que la NSA se habría **infiltrado en las comunicaciones internas de los *data centers* de Google y Yahoo!**.

¿Infiltrarse en las comunicaciones de los *data centers*? Puede sonarnos extraño pero, en base a los últimos documentos publicados por el Washington Post (y que tienen como fuente a Edward Snowden), la NSA habría conseguido infriltrarse dentro del *core* de Google y Yahoo!; es decir, la NSA habría podido extraer datos de la nube privada que forma la infraestructura de los dos grandes proveedores de servicios de Internet de Estados Unidos (Google y Yahoo!).

## El programa MUSCULAR
En base a estas nuevas filtraciones de documentos, la NSA habría tenido acceso a los enlaces que conectan los distintos *data centers* que tienen tanto Google como Yahoo! distribuidos por el mundo; unos enlaces que conectan su infraestructura y que forman su gran nube privada. Estos circuitos cumplen la función de conectar toda la red de servicios de *back-end* de estos proveedores y, por tanto, cursan grandes volúmenes de información de los usuarios, teóricamente, a nivel interno.

Que la NSA se haya colado en estas comunicaciones privadas implica que la Agencia ha tenido acceso a un **gran *buffet* libre de información**, datos de cientos de millones de usuarios que viajan por estos circuitos, por ejemplo, para sincronizar o refrescar la información en la infraestructura distribuida de la «gran CDN» de estos servicios.

Imagen: The Washington Post

Aunque nos pueda parecer ciencia-ficción, las pruebas que aporta el Washington Post tienen una fecha reciente. Concretamente, el 9 de enero de este año 2013, la NSA habría estado extrayendo millones de registros de Google y Yahoo! para, posteriormente, analizarlos en los supercomputadores de la Agencia y, de ahí, extraer los famosos **metadatos** que se usan para conocer qué usuarios se envían mensajes entre sí, en qué lugares se ubican o qué información se están intercambiando. Según este informe, durante el mes de diciembre de 2012, **la NSA podría haber obtenido más de 180 millones de registros de metadatos gracias al programa MUSCULAR** y su intromisión en las redes privadas de Google y Yahoo!.

Para «mejorar» las cosas, la NSA no habría estado sola en esta tarea; el GCHQ de Reino Unido también habría colaborado en este propósito. En el fondo, este tipo de colaboraciones no son nuevas y no nos sorprenden; Reino Unido y Estados Unidos intercambian este tipo de información (junto a Canadá, Australia y Nueva Zelanda) pero creo que es especialmente relevante que recordemos que el GCHQ desarrolló el programa [**TEMPORA**](http://alt1040.com/2013/06/tempora-reino-unido-pincha-cables-de-fibra-optica) para interceptar, precisamente, comunicaciones en cables de fibra óptica.

Imagen: Google

## Entendiendo el programa MUSCULAR
El programa **MUSCULAR** sería la prueba de que **los tentáculos de la NSA son extremadamente largos**.

Si bien Google nos ofrece conexiones cifradas (vía SSL) a sus servicios (accedemos por https a Gmail o a Google+) para garantizar que la comunicación «extremo a extremo» es segura; una vez que estamos dentro de Google, las comunicaciones no tienen por qué estar cifradas. De hecho, es práctica habitual que se usen conexiones cifradas entre los usuarios y los *front-ends* de los servicios (los servidores que reciben nuestras peticiones) pero, por agilidad y simplicidad, se dejen sin cifrar las conexiones entre *back-ends* (servidores internos que alojan realmente nuestros datos).

Cuando tenemos una **infraestructura distribuida** (por ejemplo, varios *data centers* con los que balanceamos tráfico y con los que replicamos la información), la conexión la podemos realizar mediante infraestructuras propias, alquilando circuitos dedicados a uno o varios operadores (para que hagan de *carriers*) o mediante circuitos virtuales cuando nuestros datos viajan una red compartida con otros clientes.

Si controlamos toda la red (y todos los emplazamientos), infiltrarse quizás sea complicado; sin embargo, cuando dependemos de infraestructuras de terceros (o están compartidas), el riesgo aumenta. El GCHQ mantenía equipos en los nodos en los que recalaban cables de fibra óptica en Reino Unido y, en Estados Unidos, un antiguo empleado de la AT&T se hizo famoso por denunciar la existencia de [«habitaciones secretas»](http://www.wired.com/science/discoveries/news/2006/04/70621) en los centros de conmutación de este operador estadounidense (y donde la NSA también tenía equipos para extraer datos).

Tanto Google como Yahoo! no suelen compartir los cables de fibra óptica con terceros y, por tanto, **los enlaces que usan son dedicados** (Google suele invertir en [consorcios de cables submarinos](http://www.techinasia.com/new-submarine-cable-can-support-3-million-high-def-internet-videos-simultaneously/)); esta dedicación de recursos les posibilitaba la simplificación de su esquema de conexionado y, al contar con una red privada, no se cifraba el intercambio de información dentro de la nube y los enlaces, por tanto, están sin cifrar.

Four 12 en Flickr

## ¿Podrá Obama seguir defendiendo lo indefendible?
Si con **PRISM** la NSA se infiltraba en el *front-end* de servicios como Google, Yahoo! o Microsoft; **con MUSCULAR han conseguido colarse en el *core* de los servicios**. ¿El problema de todo esto? Con un espionaje tan masivo, y tan descontrolado, lo más seguro es que la NSA haya violado por enésima vez el principio de no espiar a ciudadanos de Estados Unidos.

Como nos podemos imaginar, el General Keith Alexander (director de la NSA) ha negado inmediatamente la existencia del programa MUSCULAR pero, la verdad, es que a estas alturas es muy difícil creer la información oficial de esta agencia (por mucho que se empeñen en negarlo todo o en hacer promesas de que adoptarán una política algo más transparente).

Google sí que anunció que trabajan en la mejora de la seguridad de sus comunicaciones y cifrará el tráfico de su red de *back-end*; un aspecto fundamental si tomamos en cuenta este nuevo escándalo de espionaje masivo en la red.

Ahora en Hipertextual

Suscríbete gratis a Hipertextual

Estamos más ocupados que nunca y hay demasiada información, lo sabemos. Déjanos ayudarte. Enviaremos todas las mañanas un correo electrócnio con las historias y artículos que realmente importan de la tecnología, ciencia y cultura digital.