En septiembre de 2017, el gigante de informes crediticios Equifax vino limpio: Fue pirateado y la información personal confidencial de 143 millones de ciudadanos estadounidenses se vio comprometida, un número que la compañía luego revisó hasta 147.9 millones. Nombres, fechas de nacimiento, números de la Seguridad Social, todo en un atraco sin precedentes. El lunes, el Departamento de Justicia identificó al presunto culpable: China.

En una acusación de nueve cargos, el Departamento de Justicia alegó que cuatro miembros del Ejército Popular de Liberación de China estaban detrás del ataque de Equifax, la culminación de una investigación de muchos años. En términos de la cantidad de ciudadanos estadounidenses afectados, es uno de los mayores robos de información de identificación personal patrocinada por el estado. También intensifica aún más las tensas relaciones con China en múltiples frentes.

"Este tipo de ataque a la industria estadounidense es parte de otras adquisiciones ilegales chinas de datos personales confidenciales", dijo el fiscal general de Estados Unidos William Barr en una conferencia de prensa anunciando los cargos. "Durante años hemos sido testigos del apetito voraz de China por los datos personales de los estadounidenses".

Esa agresión se remonta a un pirateo de la Oficina de Gestión de Personal, revelado en 2015, en el que los piratas informáticos chinos supuestamente robaron una gran cantidad de datos altamente confidenciales relacionados con los trabajadores del gobierno, a través de los revelados más recientemente incumplimientos de la cadena hotelera Marriott y del seguro de salud de Anthem.

Incluso en ese grupo de ataques impactantes, Equifax destaca tanto por la gran cantidad de afectados como por el tipo de información que obtuvieron los piratas informáticos. Mientras que algunos habían previamente sospecha de la participación de China—Que ninguna de la información había llegado a la red oscura indicaba un actor estatal en lugar de un ladrón común — la acusación del Departamento de Justicia del lunes presenta un caso exhaustivo.

El 7 de marzo de 2017, la Apache Software Foundation anunció que algunas versiones de su software Apache Struts tenían una vulnerabilidad que podría permitir a los atacantes ejecutar código de forma remota en una aplicación web específica. Es un tipo de error grave, porque brinda a los piratas informáticos la oportunidad de entrometerse con un sistema desde cualquier parte del mundo. Como parte de su divulgación, Apache también ofreció un parche e instrucciones sobre cómo solucionar el problema.

Equifax, que utilizó el Marco Apache Struts en su sistema de resolución de disputas, ignorado ambos. En unas pocas semanas, dice el Departamento de Justicia, los hackers chinos estaban dentro de los sistemas de Equifax.

La vulnerabilidad Apache Struts había ofrecido un punto de apoyo. A partir de ahí, los cuatro presuntos piratas informáticos (Wu Zhiyong, Wang Qian, Xu Ke y Liu Lei) realizaron semanas de reconocimiento, realizando consultas para tener una mejor idea de la estructura de la base de datos de Equifax y cuántos registros contenía. El 13 de mayo, por ejemplo, la acusación dice que uno de los piratas informáticos ejecutó un comando de Lenguaje de consulta estructurado para identificar detalles generales sobre una tabla de datos Equifax, luego muestreó un número selecto de registros de la base de datos.

Finalmente, subieron los llamados shells web para obtener acceso al servidor web de Equifax. Usaron su posición para recopilar credenciales, dándoles acceso ilimitado a bases de datos de fondo. Piense en irrumpir en un edificio: es mucho más fácil hacerlo si los residentes dejan una ventana del primer piso sin seguro y logran robar las identificaciones de los empleados.

A partir de ahí, festejaron. La acusación alega que los piratas informáticos primero ejecutaron una serie de comandos SQL para encontrar datos especialmente valiosos. Finalmente, localizaron un repositorio de nombres, direcciones, números de Seguro Social y fechas de nacimiento. El Departamento de Justicia dice que los intrusos realizaron 9,000 consultas en total, sin detenerse hasta finales de julio.

Acumular tantos datos es una cosa; sacarlo sin ser detectado es otro. Los hackers de China supuestamente utilizaron algunas técnicas para mantener el acceso al motherlode.

Según el Departamento de Justicia, almacenaron los datos robados en archivos temporales; especialmente archivos grandes que comprimieron y se dividieron en tamaños más manejables. (En un momento, dice la acusación, dividieron un archivo que contiene 49 directorios en fragmentos de 600 megabytes). Eso mantuvo sus transmisiones lo suficientemente pequeñas como para evitar sospechas. Después de haber filtrado los datos, eliminaron los archivos comprimidos para minimizar el rastro. También ayudó que fueran lo suficientemente profundos dentro de la red de Equifax para poder utilizar los canales de comunicación cifrados existentes de la compañía para enviar sus consultas y comandos. Todo parecía actividad de red normal.

La acusación también detalla cómo el equipo de PLA supuestamente instaló 34 servidores en 20 países para infiltrarse en Equifax, lo que dificulta identificarlos como un problema potencial. Utilizaron protocolos de inicio de sesión cifrados para enmascarar su participación en esos servidores, y en al menos una instancia borraron los archivos de registro de un servidor todos los días. Eran efectivamente fantasmas.

Tome un incidente detallado por el Departamento de Justicia: el 6 de julio de 2017, uno de los piratas informáticos accedió a la red Equifax desde una dirección IP suiza. Luego usaron un nombre de usuario y contraseña robados para que una cuenta de servicio ingresara a una base de datos Equifax. Desde allí, consultaron en la base de datos los números de Seguridad Social, los nombres completos y las direcciones, y los almacenaron en archivos de salida. Crearon un archivo comprimido de los resultados, lo copiaron a un directorio diferente y lo descargaron. Datos de forma segura en la mano, luego eliminaron el archivo.

Repita en el transcurso de varias semanas, y terminará con la información de 147.9 millones de personas supuestamente en manos de un gobierno extranjero.

Si bien la operación tenía un cierto grado de complejidad, Equifax hizo su trabajo mucho más fácil de lo que debería. Debería haber parcheado esa vulnerabilidad inicial de Apache Struts, para empezar. Y un Queja de la FTC Desde el verano pasado también descubrió que la compañía almacenaba credenciales administrativas en un archivo no seguro en texto sin formato. También mantuvo 145 millones de números de la Seguridad Social y otros datos del consumidor en texto plano, en lugar de cifrarlos. No pudo segmentar las bases de datos, lo que habría limitado las consecuencias. Careceba de una supervisión adecuada de la integridad de los archivos y utilizaba certificados de seguridad de larga duración. La lista continua. Equifax no solo dejó entrar a los presuntos hackers chinos en la bóveda; dejó a la vista la llave maestra de cada caja de seguridad.

"Estamos agradecidos al Departamento de Justicia y al FBI por sus incansables esfuerzos para determinar que el brazo militar de China fue responsable del ataque cibernético a Equifax en 2017", dijo el CEO de Equifax, Mark Begor, en un comunicado. "Es tranquilizador que nuestras agencias federales de aplicación de la ley traten el cibercrimen, especialmente el crimen patrocinado por el estado, con la seriedad que merece".

"Nuestro objetivo colectivo aquí, además de estar seguros de que esto no nos volverá a pasar, es realmente ayudar en la mejor medida posible para ayudar a reducir la probabilidad de que suceda con otras organizaciones", Jamil Farshchi, jefe de seguridad de la información oficial de Equifax, le dijo a WIRED.

Algunos elementos del hack de Equifax, en particular el papel de la vulnerabilidad Apache Struts, habían sido públicos durante algún tiempo. Pero fijar el ataque a China agrega una nueva dimensión importante, tanto en términos del incidente de Equifax como de las relaciones internacionales.

Estados Unidos y China han pasado por unos años turbulentos en el frente de la seguridad cibernética. En 2014, el El DOJ acusó a cinco miembros del PLA con delitos de piratería informática contra empresas estadounidenses. Al año siguiente, los dos países firmaron lo que equivalía a una tregua digital, una que más o menos se mantuvo firme durante el resto de la administración de Obama.

Sin embargo, en los últimos años hemos visto indicios de que la distensión se está desmoronando. Los hacks de Marriott y Anthem comenzaron en 2014, antes de la tregua de Obama. Pero China se ha centrado cada vez más en ataques cibernéticos al servicio del espionaje corporativo. Eso incluye comprometiendo la herramienta de seguridad CCleaner para crear una puerta trasera en redes empresariales y usar su Los piratas informáticos APT10 se infiltrarán en los llamados proveedores de servicios gestionados como trampolín para docenas de empresas vulnerables.

Esa agresión, combinada con acusaciones de robo desenfrenado de propiedad intelectual y una guerra comercial en curso, han enfatizado aún más la relación entre Estados Unidos y China. Agregar Equifax a la pila es particularmente preocupante.

"Estos datos tienen valor económico, y estos robos pueden alimentar el desarrollo de herramientas de inteligencia artificial en China, así como la creación de paquetes de objetivos de inteligencia", dijo Barr. "Nuestros casos revelan un patrón de intrusión y robo de computadoras patrocinado por el estado por parte de China que apunta a secretos comerciales e información comercial confidencial".

El anuncio del lunes marca solo la segunda vez que Estados Unidos ha acusado a los hackers militares chinos por su nombre. (Vinculado con el Ministerio de Seguridad del Estado de China, APT10 se considera no militar). primera vez fue en 2014. Como entonces, y como ha sido cada vez más el caso de los piratas informáticos rusos nombrados en las acusaciones del Departamento de Justicia, el paso tiene posibles desventajas.

"Me preocupa que los chinos participen en un comportamiento de ojo por ojo", dice el ex analista de la Agencia de Seguridad Nacional Dave Aitel. "Sería bueno tener una señal clara en términos de doctrina".

También existe la practicidad de llevar a los acusados ​​a la justicia, dado que son ciudadanos chinos que trabajan al servicio de ese gobierno. "Algunos podrían preguntarse qué bien hace cuando estos piratas informáticos aparentemente están fuera de nuestro alcance", dijo el subdirector del FBI David Bowdich en la conferencia de prensa del lunes. "Utilizaremos nuestras autoridades únicas, nuestras experiencias y nuestras capacidades, con la ayuda de nuestros socios, tanto en casa como en el extranjero, para combatir esta amenaza todos los días, y continuaremos haciéndolo".

Para las víctimas del ataque de Equifax, casi la mitad de todos los ciudadanos estadounidenses, la aparente revelación de que China estaba detrás no cambia mucho a menos que seas alguien del país podría apuntar con fines de recopilación de inteligencia. La información de identificación personal es apalancamiento, después de todo. Pero para la mayoría de las personas, el libro de jugadas sigue siendo el mismo: vigile sus cuentas y obtener su dinero de liquidación.

La verdadera preocupación es más existencial. No está claro hasta qué punto esto exacerbará las relaciones ya problemáticas entre dos potencias globales. De todos modos, es inquietante lo aparentemente fácil que fue lograr un robo de datos de una proporción sin precedentes.

"Aquí hay muchas cosas interesantes y alucinantes", dice Aitel. "Así solo se necesitaron cuatro personas para reunir la información privada de la mitad de la población de los Estados Unidos".

Informes adicionales de Lily Hay Newman