Muchos pensaban que internet traería la democracia a China. Pero la red se ha convertido en un arma del gobierno para oprimir a su ciudadanía y espiar y atacar a empresas, naciones y personas de cualquier parte del mundo que osen atentar contra las directrices de su censura
Un miércoles por la tarde de marzo de 2015, la alarma de las oficinas de la empresa de software con sede en San Francisco (EE.UU.) GitHub empezó a sonar. La sede de la compañía era un ejemplo del estilo escandinavo desalmado que se había extendido desde Silicon Valley (EE.UU.) y predominaba en los lugares de trabajo modernos: madera expuesta, espacios abiertos y mucha luz natural. La mayoría de los empleados se estaban preparando para irse, si no lo habían hecho ya. Afuera, el Sol había empezado a ponerse y hacía una tarde agradable y despejada.
Las alarmas no eran poco frecuentes en GitHub. La compañía afirmaba mantener el mayor depósito de códigos informáticos del mundo. En ese momento tenía unos 14 millones de usuarios y se alaba a sí misma por haber mantenido su servicio y permanecer online. El producto principal de GitHub es un conjunto de herramientas de edición que permite que un gran número de programadores colaboraren en un mismo software. También realiza un seguimiento de los cambios a medida que se solucionan algunos errores. En octubre de 2018, Microsoft compró esta compañía por unos 6.500 millones de euros.
Pero en 2015, GitHub todavía era una compañía prometedora e independiente cuyo éxito se debía a que ayudaba a otras personas a crear software informático de manera mucho más fácil. La primera alarma indicó la presencia de una gran cantidad de tráfico entrante a varios proyectos almacenados en GitHub. Esto podía ser algo inofensivo (tal vez una compañía acababa de lanzar una gran actualización nueva) o algo peor. En función del modo del agrupamiento del tráfico, sonarían más alarmas si la repentina afluencia afectara el servicio completo. Las alarmas sonaron. GitHub estaba sufriendo un ataque DDoS (un ataque distribuido de denegación de servicio ).
Una de las causas más frecuentes de la caída de una página web es un fuerte aumento de su tráfico. Los servidores acaban saturados con las solicitudes, lo que provoca que se bloqueen o se vuelvan más lentos. A veces esto sucede simplemente porque, de repente, una página web se vuelve popular. Otras veces, como en un ataque DDoS, el aumento del tráfico está diseñado de manera maliciosa. En los últimos años, este tipo de ataques se ha vuelto más común (ver El masivo ataque DDoS ya se había predicho y podría ser solo el principio): los hackers han empezado a infectar una gran cantidad de ordenadores con virus, que luego utilizan para tomar el control de los ordenadores y utilizarlos en un ataque coordinado DDoS.
Unas 24 horas después del inicio del ataque, el desarrollador sénior Jesse Newland escribió en un blog: "Actualmente estamos experimentando el mayor ataque DDoS en la historia de GitHub"s. Durante los siguientes cinco días, mientras los ingenieros llevaban 120 horas luchando contra el ataque se, GitHub cayó nueve veces. Era como una hidra: cada vez que el equipo pensaba que lo controlaba, el ataque se adaptaba y redoblaba sus esfuerzos. GitHub no quiso hacer comentarios públicos, pero un miembro del equipo que afirmó de forma anónima que era "muy obvio que se trataba de algo que nunca habíamos visto antes".
En el chat interno de la compañía, los ingenieros de GitHub se dieron cuenta de que "haría falta algún tiempo" para abordar el ataque. A medida que las horas se convertían en días, la situación se transformó en una especie de competición entre los ingenieros de GitHub y quienquiera que estuviera en el otro extremo del ataque. Tras largos y frenéticos turnos, el equipo no tenía mucho tiempo para especular sobre la identidad de los atacantes. Ante los rumores que se propagaban online, GitHub solo decía: "Creemos que la intención de este ataque es convencernos para eliminar una clase específica de contenido". A unos 20 minutos de viaje en coche, en la Bahía de San Francisco (EE.UU.), el experto en seguridad de redes en el Instituto Internacional de Informática del centro de investigación en Berkeley (EE.UU.) Nicholas Weaver creía conocer al culpable: China.
Junto con otros investigadores, Weaver ayudó a identificar los objetivos del ataque: dos proyectos patrocinados por GitHub relacionados con GreatFire.org, una organización anticensura con sede en China. Los dos proyectos permitían que los usuarios ubicados en China visitaran tanto la página web de GreatFire como la versión china de The New York Times. Generalmente ambas páginas son inaccesibles para los usuarios ubicados en el país asiático. GreatFire, por al que la Administración del Ciberespacio de China denominada como la "organización extranjera antiChina", llevaba mucho tiempo siendo objetivo de ataques DDoS y de los hackers, por lo que trasladó algunos de sus servicios a GitHub, donde, en principio, estaban fuera de peligro.
China no solo estaba bloqueando los bits y bytes de datos que intentaban penetrar China, sino que también canalizaba el flujo de datos que salía desde China.
Cuando Weaver analizó el ataque, encontró algo nuevo y preocupante. En un texto coescribo con investigadores del Citizen Lab [un grupo de investigación activista de la Universidad de Toronto (Canadá)], Weaver describió la nueva ciberamenaza china como el "Gran Cañón" (Great Cannon). Ya se conocía bien el "Gran Cortafuegos" (Great Firewall): un elaborado esquema de tecnologías interrelacionadas para censurar el contenido de internet procedente de fuera de China. Weaver y los investigadores del Citizen Lab descubrieron que China no solo estaba bloqueando los datos que intentaban penetrar China, sino que también canalizaba el flujo de datos que salía desde China.
Quienquiera que controlara el Gran Cañón, lo usaba para insertar selectivamente el código malicioso de JavaScript en las consultas de búsqueda y en los anuncios publicados por Baidu, el popular motor de búsqueda chino. Ese código luego dirigía enormes cantidades de tráfico a los objetivos del ataque. Al enviar una serie de solicitudes a los servidores desde los cuales el Gran Cañón dirigía el tráfico, los investigadores pudieron reconstruir cómo se comportaba y obtener información sobre su funcionamiento interno. El cañón también se podía usar para otros ataques de malware además de los de negación de servicio. Se trataba de una nueva herramienta poderosa: "La implementación del Gran Cañón supone un cambio importante en las tácticas y tiene un impacto muy visible", escribieron Weaver y sus coautores.
El ataque se prolongó durante días. El equipo de Citizen Lab afirmó que sus efectos se mantuvieron hasta dos semanas después de que saltaran las alarmas de GitHub. Después, mientras los desarrolladores de GitHub luchaban por entender el ataque y encontrar una hoja de ruta para prevenir futuros incidentes, había mucha confusión dentro de la comunidad de ciberseguridad. ¿Por qué China lanzó un ataque tan público y tan contundente? Weaver me dijo: "Fue demasiado. Mantuvieron el ataque durante mucho tiempo incluso después de que dejara de funcionar".
Se trataba de un mensaje: un cañonazo de advertencia por parte de los arquitectos del Gran Cortafuegos, quienes, habiendo conquistado internet en casa, empezaban a dirigirse cada vez más hacia el extranjero para enfrentarse a los desafíos de su sistema de control y censura, independientemente de dónde vinieran.
El ataque a GitHub fue una rara muestra pública del poder del ciberestado de China, que generalmente prefería ejercer sus capacidades detrás de la escena. Algunas de estas capacidades se descubrieron por casualidad en enero de 2009.
-----------------------------
En el ático de un gran edificio de ladrillo rojo en medio del campus de la Universidad de Toronto, justo al norte del centro de la ciudad, el estudiante Nart Villeneuve miró incrédulo la pantalla de su ordenador. Villeneuve era estudiante de posgrado e investigador en Citizen Lab. Estaba persiguiendo a un sofisticado grupo de ciberespionaje que se infiltraba en los ordenadores, en las cuentas de correo electrónico y en los servidores de todo el mundo, espiando a sus usuarios y al contenido. Los atacantes habían diseñado cuidadosamente unos correos electrónicos de phishing que parecían estar remitidos amigos y colegas, para convencer a las personas para que descargaran malware en sus máquinas para aceptar la vigilancia de forma inconsciente. Era una idea avanzada, pero sus creadores también parecían haber hecho algo bastante estúpido.
Villeneuve descolgó su teléfono y llamó a su supervisor y fundador de Citizen Lab, Ron Deibert. Tal y como relata Deibert en su libro Black Code: Inside the Battle for Cyberspace, Villeneuve había descubierto un servidor de mando y control para el malware que se había extendido por todo internet. "Estoy dentro", susurró Villeneuve por el teléfono.
Su investigación había empezado unos meses antes en Dharamsala (India), una ciudad india donde el Dalai Lama había huido en 1959, y que ahora es el centro de la comunidad de exiliados tibetanos. El investigador de campo de Citizen Lab Greg Walton lleva años visitando este lugar. A finales de la década de 1990 y principios de la década de 2000, Walton contribuyó a expandir el trabajo realizado por los pioneros tibetanos de internet Dan Haig y Thubten Samdup, quienes ayudaron a conectar Dharamsala a la World Wide Web cuando el resto de la India apenas estaba conectado. Walton creó páginas web para varias ONG y departamentos gubernamentales, impartió clases de informática y ayudó a las personas a crear sus cuentas de correo electrónico. Mirando hacia atrás, se dio cuenta de que todos estaban demasiado atrapados en los beneficios de internet y en su capacidad para conectarse y unir a la diáspora tibetana cada vez más extendida como para pensar en las desventajas. A pesar de que los primeros días fueron difíciles y la tecnología estaba desvencijada, internet se apoderó rápidamente de Dharamsala. Había poca preocupación por la seguridad.
Estas nuevas advertencias fueron mucho más efectivas y espeluznantes, porque se enviaban a los líderes extranjeros cuando los planes aún no se habían hecho públicos.
Los problemas de la temprana adopción de internet por parte del Tíbet no tardaron en evidentes rápidamente. El Gobierno chino enviaba misivas de enfado a los líderes extranjeros que intentaban reunirse con el Dalai Lama, incluso antes de que se comunicaran. Llevaba tiempo objetando públicamente cualquier relación con los "separatistas". Pero, según me dijo la gente de la comunidad tibetana, estas nuevas advertencias fueron mucho más efectivas y espeluznantes, porque se enviaban a los líderes extranjeros cuando los planes aún no se habían hecho públicos. El Gobierno chino quería que todos los interesados supieran que ellos estaban escuchando.
Los tibetanos de la diáspora que entraban al territorio controlado por los chinos eran detenidos en la frontera e interrogados. Si intentaban negar su participación política, sus propios correos electrónicos se presentaban como evidencia. Una mujer que trabajó en un programa de divulgación en Dharamsala y recibió fondos de la Voz de América, respaldada por el Gobierno de Estados Unidos, iba al Tíbet desde Nepal cuando fue detenida por la policía china. Recibió copias impresas de sus comunicaciones privadas con las personas dentro del Tíbet controlado por los chinos. Otra mujer, una profesora estadounidense que vivía en Beijing (China), recibió una invitación "a tomar el té" con los funcionarios de seguridad, algo que ocurre casi con regularidad a cualquier persona que trate con temas delicados en China. Al preguntarle por su correo electrónico, le dio a los oficiales de seguridad una cuenta ficticia que no usaba para nada más; dos días después, alguien intentó hackear esa dirección.
De vuelta en Dharamsala, un ordenador tras otro se iba deshabilitando por un malware agresivo diseñado no para espiar, sino para sabotear. No había dudas de que alguien estaba atacando a los tibetanos. Todas las señales apuntaban a China, pero la fuente de la operación no estaba clara. ¿Los tibetanos recibían ataques por parte de los servicios de seguridad, por los militares, por los llamados "hackers patrióticos" o por una combinación de los tres?
En colaboración con los expertos en seguridad tibetanos, Walton comenzó a recopilar muestras de correos electrónicos y malware. Uno de esos expertos locales era Lobsang Gyatso Sither, que nació en Dharamsala en 1982 y pertenecía a una generación de exiliados que nunca habían vivido en Tíbet. Estudió informática en la India y Reino Unido, y tenía muy abandonado a Dharamsala cuando se reunió con Walton en Londres (Reino Unido) a finales de la década de 2000 y se enteró de los ataques a los tibetanos. Entonces regresó con Walton al Himalaya, y los dos comenzaron a trabajar con la oficina del Dalai Lama y con cualquier otro objetivo obvio, para contrarrestar los hackeos y los ciberataques.
Al principio, los ataques eran bastante poco sofisticados: correos electrónicos en un mal inglés invitaban a los usuarios a abrir algunos archivos. Si fuera solo por eso, no hubieran generado demasiada alarma, pero a medida que Walton, Sither y otros reunían cada vez más muestras, empezaron a darse cuenta de la escala de la campaña. Toda la comunidad estaba siendo atacada, aunque la mayoría tenía poco interés para los hackers, me contó Sither. Pero incluso las personas que no están relacionadas directamente con un objetivo clave pueden ser útiles para los hackers. Igual que la policía procesa un caso de mafia, los hackers pueden ascender en cadena, usando cuentas afectadas para perseguir a los objetivos finales y a sus asociados con los ataques de phishing cada vez más creíbles.
Los atacantes seguían de cerca el éxito de su operación. Cuando se lanzó una importante campaña educativa para explicar a los tibetanos que no debían abrir los archivos adjuntos pero sí confiar en los servicios basados en la nube como Google Drive para compartir sus documentos, rápidamente apareció un nuevo malware, dirigido específicamente a los servicios recomendados por la campaña educativa.
Antes de que Villeneuve descubriera el servidor de comando y control, el equipo solo era capaz de encontrar los objetivos de la campaña de malware, no los propios atacantes. Ahora Villeneuve podía ver exactamente qué estaban haciendo los atacantes en los ordenadores a los que accedían. El arma principal en el kit de herramientas de los hackers era una pieza única de malware, desarrollada originalmente por programadores chinos y que luego se implementaba en inglés, llamada Gh0st Remote Administration Tool o Gh0st Rat.
A través de sus investigaciones en Dharamsala, el equipo de Citizen Lab comprobó que el malware dirigido a los tibetanos se estaba comunicando con servidores ubicados en Hainan, una isla del sur de China. El hackeo estaba dirigido a los oficiales militares, a los legisladores, periodistas y a cientos de otras personas en Dharamsala, en toda India y en otras partes de Asia, cuya actividad era supervisada por los hackers. En su informe, el equipo escribió: "Es casi seguro que se eliminaban documentos sin previo conocimiento de los objetivos, se registraban pulsaciones de teclas, las cámaras web se encendían silenciosamente y las entradas de audio se activaban de forma encubierta." Aunque Citizen Lab no pudo identificar a quién estaba detrás del hackeo, el informe concluyó que lo más probable era que "este conjunto de objetivos de alto perfil haya sido explotado por el estado chino con fines militares y de inteligencia estratégica".
El informe llegó a esta conclusión porque la isla de Hainan albergaba las instalaciones de inteligencia de señales de Lingshui y una división del Tercer Departamento Técnico del Ejército Popular de Liberación (EPL), el homólogo chino de la Agencia de Seguridad Nacional estadounidense. El ataque GhostNet, como lo bautizó el equipo de Citizen Lab, fue uno de los primeros signos de las supuestas capacidades de hackeo del EPL. Después de unos años, el FBI acusó a varios importantes oficiales militares de atacar a compañías e instituciones estadounidenses, tanto por espionaje industrial como por militar. El EPL también fue acusado de hackear a la Oficina de Administración de Personal (OPM, por sus siglas en inglés), una gran agencia federal de recursos humanos de EE.UU., con los datos personales de hasta 18 millones de empleados federales actuales, anteriores y potenciales de EE.UU.
El ataque a la OPM se hizo público en junio de 2015. Unos meses después, el entonces presidente estadounidense, Barack Obama, recibió al líder chino, Xi Jinping, en la Casa Blanca para firmar un acuerdo bilateral en el que prometían que "ningún gobierno de ambos países realizará o apoyará a sabiendas el ciberrobo de la propiedad intelectual, incluidos los secretos comerciales u otra información confidencial". El acuerdo fue un gran triunfo diplomático para Obama cuando se acercaba al final de su segundo mandato, y los primeros signos de progreso eran buenos, pero el correcto análisis se detuvo en gran medida en 2016 con las elecciones presidenciales de EE.UU. y el consiguiente furor sobre el supuesto ataque hacker ruso al Partido Demócrata. A medida que las preocupaciones sobre los misteriosos hackers que socavaban las instituciones estadounidenses se trasladaron de Beijing a Moscú (Rusia), se dejó de prestar atención al papel del Gobierno chino en los siguientes ataques.
Desde entonces, los hackers continúan atacando a la comunidad de exiliados tibetanos, y los de la diáspora siguen luchando. En las aulas y salas de reuniones de Dharamsala, Sither y otros expertos en seguridad realizan talleres sobre el cifrado de correos electrónicos, aplicaciones de mensajería segura y otras formas de mantener la seguridad online. Las personas con las que Sither trabaja responden a la constante ciberamenaza de dos formas: con ambivalencia o con paranoia. A él no le gusta ninguna de las dos. Algunas personas insisten en que no tienen "nada que ocultar"; pero si sus cuentas están en peligro, eso podría afectar a quienes sí tienen muchas cosas que quieren ocultar del Gobierno chino. A otros les asusta la idea de que los espías chinos estén observándoles y por eso no hacen nada: exactamente el tipo de efecto escalofriante que esperaban los censores. Sither afirma: "Tratamos de encontrar el equilibrio entre la seguridad y no asustar a la gente. A veces es un desafío".
Muchos pensaron que internet traería la democracia a China. Pero en lugar de eso, favorece la vigilancia y el control del Gobierno más allá de lo que Mao Zedong podría soñar.
-----------------------------
GitHub y los tibetanos como Lobsang Sither fueron algunas de las primeras víctimas de un nuevo frente de la guerra de China en internet, iniciado por una nueva generación de censores decididos a perseguir a los enemigos del país dondequiera que estén, utilizando los medios que hagan falta.
En diciembre, se informó de que en 2014 unos actores chinos llevaron a cabo un ataque hacker contra la cadena internacional de hoteles Marriott. Ese ataque se hizo público cuatro años después de que se produjera. Muchos más ataques aún no han sido reconocidos públicamente porque las compañías los ocultan para no dañar sus relaciones con China.
Marriott también ha sufrido la peor parte de otra campaña de censura china. En enero de 2018, la página web de Marriott fue bloqueada en China, y la empresa se vio obligada a emitir una disculpa humillante, después de haber incluido en un formulario al Tíbet y Hong Kong como países separados. Alentados por su éxito al doblegar a Marriott, los funcionarios chinos han perseguido a las aerolíneas y otras compañías por cuestiones como la "identificación errónea" de Taiwán.
Muchos pensaron que internet traería la democracia a China. Pero en lugar de eso, favorece la vigilancia y el control del Gobierno más allá de lo que Mao Zedong podría soñar. Ahora, los censores dirigen su atención hacia el resto del mundo.