El pasado 18 de marzo, Google hizo público que a través de sus equipos de ciberseguridad interceptó un ataque de hackers de "nivel experto". Según la compañía californiana, los piratas informáticos explotaban 11 vulnerabilidades muy fuertes en Safari y Chrome que afectaban a dispositivos con iOS, Android y Windows.
Lo que Google omitió en su reporte fue que el ataque hacker era en realidad una operación antiterrorista llevada a cabo por aliados de Estados Unidos. La decisión unilateral del gigante de Mountain View comprometió una maniobra de inteligencia que llevaba nueve meses activa.
Un informe publicado por Technology Review, del MIT (Instituto Tecnológico de Massachusetts), asegura que la operación desmontada por Google, por medio de los equipos Project Zero y Threat Analysis Group, era llevada adelante por "agentes de gobiernos occidentales".
Pero la polémica más importante se dio en el interior de Google. La decisión de hacer pública la información tras la detención del hackeo provocó una división en la compañía. Un grupo de empleados sostenía que la divulgación de operaciones antiterroristas estaba fuera de los límites de la compañía.
Otra parte creía que el anuncio era clave para fomentar un internet más seguro y con usuarios protegidos, y que esto se encuadraba en los derechos de la empresa.
Google, hackers, antiterroristas y un informe plagado de omisiones
En su anuncio, Google omitió quiénes eran responsables del hackeo y quiénes resultaban blanco del mismo, así como información técnica más detallada del malware y los sitios utilizados para distribuirlos.
La falta de este tipo de información, que de un modo u otro siempre sale a la luz en situaciones 'normales', hizo arquear las cejas de expertos en seguridad. Uno de los más vocales fue Ryan Naraine, quien criticó el secretismo de Google y calificó el reporte sobre el ataque de los hackers como un "agujero oscuro".
La operación antiterrorista que detectó Google consistía en la distribución de malware a través de sitios web infectados. Lo que habría llamado la atención del equipo de ciberseguridad habría sido la escala, sofisticación y velocidad del ataque, usando técnicas "nunca antes vistas".
El equipo de ciberseguridad de Google se disparó en el pie
Project Zero se especializa en encontrar y reparar lo que se conoce como "zero-day exploits" o "ataques de día cero". Por su parte, el equipo Threat Analysis Group es el que se encarga de identificar a los hackers y atribuir los ataques. Como ambos trabajaron en conjunto para detener esta operación, los datos a disposición hacen entender que internamente Google sabía con quiénes estaban lidiando.
El informe de Technology Review cita a un exoficial de inteligencia de Estados Unidos remarcando que las operaciones realizadas por países occidentales son reconocibles. "Existen ciertos sellos en las operaciones occidentales que no aparecen en las de otras entidades. Se los puede ver traducidos en el código", manifestó.
No es la primera vez que equipos de seguridad de compañías privadas detienen hackeos realizados por agentes de países aliados. Lo que no es común es que se hagan públicas estas maniobras, menos si son de hackers de gobiernos allegados a su propio país. Si Google detenía la operación antiterrorista, pero no publicaba un informe al respecto, nada hubiese sucedido, al menos para el público. Puertas adentro se podía manejar de otra manera.
Las corporaciones tecnológicas están obligadas a brindar productos seguros para sus usuarios. El trabajo de equipos como Project Zero es fundamental para lograrlo, pero es cierto que las operaciones de inteligencia y contrainteligencia tienen límites muy borrosos (si es que poseen alguno). Tal es así que se generan discusiones éticas posiblemente interminables y más cuando existen situaciones de vida o muerte.
Si queda algún aprendizaje de este gran lío es que aún resta mucho por hacer para eliminar vulnerabilidades en productos de acceso masivo como Safari y Chrome. Y esto afecta tanto a ordenadores como a dispositivos móviles.