Me he levantado hoy con esa sensación extraña que te queda cuando terminas de ver una película de suspense y el asesino se escapa en el último segundo. Ya sabéis, ese regusto amargo de no tener todas las piezas del puzle. Estaba aquí, con mi tercer café en la mano mirando hacia el puerto de Cartagena, pensando que, a veces, la realidad supera con creces a cualquier guion de Hollywood. Especialmente cuando hablamos de unos y ceros.
La verdad es que en el mundo de la ciberseguridad estamos acostumbrados a los finales cerrados. Cae un grupo de chavales en el Reino Unido (como pasó con LAPSUS$), detienen a un operador de ransomware en algún país del este, o el FBI pone cara y ojos a un oficial del GRU ruso. Pero hay un caso que me quita el sueño, uno que parece sacado de una novela de espías de la Guerra Fría pero con teclados mecánicos de por medio: los Shadow Brokers. Estos tipos son los verdaderos fantasmas del sistema. Aparecieron, pusieron el mundo patas arriba, humillaron a la agencia de inteligencia más potente del planeta y, después, se esfumaron como el humo de un cigarrillo en una noche de levante aquí en la costa.
Para entender la magnitud del desastre, hay que ponerse en situación. Verano de 2016. Mientras medio mundo estaba cazando Pokémon en la calle, en los rincones más oscuros de internet aparecía una cuenta de Twitter y un blog en Tumblr. Se hacían llamar «The Shadow Brokers». Su mensaje era directo, escrito en un inglés algo roto, casi forzado, como si quisieran parecer extranjeros (o quizás lo eran, quién sabe). Decían tener en su poder las herramientas de hackeo de la NSA. Sí, habéis leído bien. No las contraseñas del correo de un becario, sino las joyas de la corona del Equation Group, el brazo armado digital de la Agencia de Seguridad Nacional de Estados Unidos.
Al principio, la comunidad técnica se lo tomó con escepticismo. «Venga ya, ¿quién va a robarle a la NSA?», pensábamos muchos. Pero entonces empezaron a soltar «muestras». Y ahí es cuando a más de uno se le cayó el café al teclado. Lo que estaban filtrando no era código de aficionados. Eran exploits de «día cero» (vulnerabilidades que nadie más conocía) diseñados para saltarse las defensas de firewalls de empresas como Cisco, Juniper o Fortinet. Era como si alguien hubiera entrado en el arsenal secreto de un ejército y hubiera empezado a repartir misiles inteligentes en un mercadillo de barrio.
Lo curioso es que intentaron subastar el resto del botín por un millón de bitcoins. Una cifra absurda para la época (y para ahora, ni te cuento). Como nadie pujó —porque, seamos sinceros, ¿quién se arriesga a comprarle armas robadas a la NSA de forma pública?—, empezaron a liberar el contenido gratis, por puro despecho o siguiendo una agenda política que todavía hoy nos tiene rascándonos la cabeza.
El día que España se detuvo: El efecto WannaCry
Seguramente recordáis aquel viernes de mayo de 2017. Yo estaba trabajando cuando empezaron a llegar noticias de que en las oficinas de Telefónica en Madrid la gente estaba apagando los ordenadores a toda prisa. No era un simulacro. Una pantalla azul con un texto en rojo pedía un rescate en criptomonedas. El caos se extendió a hospitales en el Reino Unido, fábricas de coches en Francia y empresas de logística en todo el globo.
¿Qué tiene que ver esto con nuestros «hackers fantasma»? Todo. El motor que permitía que ese virus, el famoso WannaCry, se propagara solo por las redes como la pólvora era un exploit llamado EternalBlue. Y sí, EternalBlue era una de las herramientas que los Shadow Brokers habían robado a la NSA y publicado meses antes.
La ironía es cruel: una herramienta creada por un gobierno para espiar a sus enemigos terminó en manos de cibercriminales comunes (presuntamente vinculados a Corea del Norte, pero esa es otra historia) que la usaron para paralizar medio mundo. Fue el momento en que la ciberseguridad dejó de ser algo de «frikis» encerrados en un sótano para convertirse en un problema de seguridad nacional en España. Recuerdo hablar con compañeros del sector aquí en la Región de Murcia; las empresas estaban aterrorizadas. Y es que, si la propia NSA no podía custodiar sus armas, ¿qué esperanza teníamos los demás?
Un vistazo rápido al código (para que nos entendamos)
Para los que os gusta mancharos las manos con un poco de lógica, el problema de EternalBlue radicaba en el protocolo SMBv1 de Windows. Básicamente, había un fallo en cómo el sistema gestionaba ciertos paquetes de red especialmente diseñados. Imagina que llamas a una puerta y, en lugar de esperar a que te abran, envías una señal tan confusa que la cerradura decide que lo mejor es dejarte pasar y darte las llaves de toda la casa.
# Esto es una simplificación extrema de la lógica de un exploit SMB
def exploit_buffer_overflow(target_ip):
# Creamos un paquete malformado que confunda al servicio
payload = b"A" * 1024 + b"x90" * 20 + shellcode
# Enviamos el paquete al puerto 445 (SMB)
socket.sendto(payload, (target_ip, 445))
# Si el sistema no valida el tamaño del buffer...
# ¡BINGO! Tenemos ejecución remota de código.
Vaya, que no era una vulnerabilidad cualquiera. Era la llave maestra. Y los Shadow Brokers la lanzaron al aire para que cualquiera la recogiera del suelo.
El misterio de la identidad: ¿Quién aprieta las teclas?
Aquí es donde la cosa se pone interesante y donde entramos en el terreno de las teorías de la conspiración que tanto nos gustan. Si mal no recuerdo, hubo un nombre que sonó con mucha fuerza: Harold T. Martin III. Un contratista de la NSA que acumulaba en su casa de Maryland toneladas de información clasificada (literalmente, toneladas de papel y discos duros). Lo detuvieron, sí, pero nunca se pudo demostrar al 100% que él fuera «The Shadow Brokers». De hecho, el modus operandi de las filtraciones continuó incluso después de su arresto.
La verdad es que hay varias hipótesis circulando por los mentideros de la red:
- La pista rusa: Muchos analistas apuntan a que los Shadow Brokers eran una tapadera de la inteligencia rusa (el famoso APT28 o Fancy Bear). El objetivo sería humillar a EE. UU. en un momento de tensión política máxima. El lenguaje «roto» del blog sería una maniobra de distracción, un «falso positivo» lingüístico.
- El topo interno: Otra teoría, que a mí personalmente me da más escalofríos, es que se trataba de un grupo de empleados o ex-empleados de la propia NSA descontentos. Alguien que conocía los servidores internos (el famoso servidor «DNT») y sabía exactamente qué archivos llevarse sin activar las alarmas.
- Un error humano catastrófico: Se dice que el Equation Group cometió el error de dejar sus herramientas en un servidor de «staging» (un servidor de pruebas) que estaba conectado a internet por un descuido. Alguien lo escaneó, lo encontró y se llevó el tesoro.
Sea como sea, lo que me fascina es que, a día de hoy, no hay una respuesta definitiva. Los Shadow Brokers dejaron de publicar en 2017 con un mensaje críptico y se desvanecieron. No hubo errores de OPSEC (seguridad operativa) que permitieran rastrearlos. No usaron IPs que pudieran vincularse a una casa física, no presumieron en foros donde pudieran ser infiltrados. Fueron profesionales hasta el final.
¿Por qué esto sigue siendo relevante hoy?
Podríais pensar: «Oye, que esto pasó hace casi diez años, ya habrá llovido». Y sí, ha llovido, pero las cicatrices siguen ahí. Este caso cambió las reglas del juego por varios motivos que nos afectan directamente aquí en España y en toda Europa.
Primero, obligó a las grandes tecnológicas a replantearse su relación con los gobiernos. Microsoft, por ejemplo, se puso muy seria con el tema de que las agencias de inteligencia «almacenaran» vulnerabilidades en lugar de reportarlas para que se arreglaran. Es como si la policía supiera que hay un modelo de cerradura que se abre con un clip y no dijera nada para poder entrar en casa de los sospechosos, dejando a todos los ciudadanos desprotegidos frente a los ladrones.
Segundo, la sombra de los Shadow Brokers ha dado alas a una nueva generación de «hackers fantasma». Grupos que ya no buscan solo dinero, sino impacto geopolítico o simplemente demostrar que el emperador está desnudo. Y aquí es donde entra en juego nuestra querida Inteligencia Artificial.
La IA: ¿El nuevo aliado de los fantasmas?
Si los Shadow Brokers aparecieran hoy, no necesitarían escribir en un inglés chapucero para ocultar su origen. Usarían un modelo de lenguaje para redactar comunicados en un español perfecto de Valladolid o en un inglés técnico impecable. La IA está facilitando que los atacantes borren sus huellas culturales y lingüísticas, haciendo que la atribución (saber quién ha sido) sea casi una misión imposible.
Ojo con esto, porque en empresas españolas ya estamos viendo ataques de phishing generados por IA que son indistinguibles de un correo real de un compañero de oficina. Si a eso le sumas la capacidad de la IA para analizar código y encontrar vulnerabilidades de forma automatizada, el escenario que dejaron los Shadow Brokers parece un juego de niños comparado con lo que viene.
Una anécdota desde las murallas de Cartagena
A veces, cuando paseo por la Muralla del Mar aquí en Cartagena, miro los barcos y pienso en la historia de esta ciudad. Ha sido escenario de batallas, espionaje y estrategias militares durante milenios. Los romanos, los cartagineses… todos tenían sus secretos y sus formas de asaltar las defensas del enemigo.
Lo que hicieron los Shadow Brokers fue el equivalente moderno a robar los planos de las defensas de una fortaleza y repartirlos entre todos los ejércitos enemigos. Pero con una diferencia clave: en el mundo físico, si alguien roba un cañón, el cañón desaparece de su sitio. En el mundo digital, puedes robar el cañón, hacer un millón de copias y que el dueño original ni siquiera se entere de que ya no tiene la exclusividad de su arma.
La verdad es que, cada vez que paso por delante del Navantia y veo los submarinos S-80, no puedo evitar pensar en la cantidad de software que llevan dentro. Software que, como todo en esta vida, tiene fallos. Y me pregunto si ahora mismo habrá algún «fantasma» rastreando alguna línea de código, esperando el momento justo para salir a la luz.
Lecciones aprendidas (o eso espero)
Al final del día, el misterio de los Shadow Brokers nos deja un par de lecciones que deberíamos tatuarnos en la frente, tanto si eres un desarrollador senior como si solo usas el ordenador para ver Netflix:
- La seguridad absoluta es un mito: Si la NSA, con sus presupuestos infinitos y sus búnkeres, pudo ser hackeada, tú también puedes serlo. No es para entrar en pánico, pero sí para ser humildes y proactivos.
- Actualiza, por lo que más quieras: WannaCry se cebó con sistemas que no estaban actualizados. El parche existía, pero muchas empresas no lo habían instalado por pereza o por miedo a que «se rompiera algo». Al final, lo que se rompió fue todo lo demás.
- La atribución es un juego de espejos: En internet, nada es lo que parece. Un ataque que parece venir de China puede estar siendo lanzado por un tipo en pijama desde un pueblo de Cuenca, o viceversa. No te creas los primeros titulares.
Vaya, que el caso de los Shadow Brokers sigue siendo la gran asignatura pendiente de la ciberseguridad moderna. Es ese expediente X que todos conocemos pero del que nadie tiene la clave final. ¿Fue un espía ruso con mucho talento? ¿Un empleado de la NSA harto de su jefe? ¿O quizás un grupo de hackers independientes que simplemente querían ver el mundo arder?
La conclusión que saco de todo esto es que, en el mundo digital, las sombras son mucho más largas de lo que parecen. Y mientras no sepamos quiénes fueron, siempre nos quedará esa duda de si volverán a aparecer con un nuevo botín bajo el brazo. Por si acaso, yo voy a ir instalando las actualizaciones pendientes de mi sistema, que nunca se sabe cuándo puede saltar la próxima sorpresa.
Y vosotros, ¿qué pensáis? ¿Creéis que algún día sabremos la verdad o este secreto se quedará enterrado en los servidores de Maryland para siempre? La verdad es que, viendo cómo se mueven estas cosas, me inclino por lo segundo. Pero oye, soñar con un final de película donde se descubre todo es gratis. Mientras tanto, seguiremos vigilando las sombras, café en mano, desde esta esquina del Mediterráneo.
Deja una respuesta