Bullrun (estilizado como BULLRUN) es un programa clandestino y altamente clasificado para descodificar el cifrado de las comunicaciones y los datos en línea, dirigido por la Agencia de Seguridad Nacional de Estados Unidos (NSA) desde el 2000,[1][2] durante las presidencias de George W. Bush y Barack Obama. Según su Guía de Clasificación publicada por The Guardian, el programa utiliza múltiples métodos, entre ellos la explotación de redes informáticas,[3] la interdicción, las relaciones industriales, la colaboración con otras entidades de la comunidad de inteligencia y técnicas matemáticas avanzadas. Su homólogo sería el programa Edgehill del Cuartel General de Comunicaciones del Gobierno Británico (GCHQ);[4] ambos programas colaborarían en ciertos campos para la consecución de sus objetivos.
La información sobre la existencia del programa había sido filtrada en 2013 por el ex contratista Edward Snowden.[5] Aunque los documentos de Snowden no contienen información técnica sobre las capacidades criptoanalíticas exactas porque Snowden no tenía acceso autorizado a dicha información, sí contienen una presentación del GCHQ de 2010 en la que se afirma que «grandes cantidades de datos de Internet cifrados que hasta ahora se habían descartado son ahora explotables».[1] Una serie de detalles técnicos relativos al programa que se encuentran en los aproximadamente cincuenta mil documentos de Snowden fueron además censurados por la prensa —es decir, los periódicos The Guardian, The New York Times y ProPublica—[6] a instancias de los funcionarios de inteligencia estadounidenses,[7] quienes habían hecho la petición por motivos de seguridad nacional. De todos los programas filtrados por Snowden, el programa de desencriptación Bullrun es, con diferencia, el más caro. Snowden afirma que, desde 2011, los gastos dedicados a Bullrun ascienden a ochocientos millones de dólares, aunque el presupuesto anual desde el año 2000 es de alrededor de doscientos cincuenta millones.[8] Los documentos filtrados revelan que Bullrun busca «derrotar el cifrado utilizado en tecnologías específicas de comunicación en red». Debido a esto, la NSA ho ha emitido hasta hoy en día ninguna respuesta en relación con su presunta existencia.[9]
De acuerdo a la Guía de Clasificación de Bullrun de la NSA, Bullrun no es un sistema o compartimento de control de Información Compartida Sensible —SCI por sus siglas en inglés—, pero la palabra clave tiene que aparecer en la línea de clasificación, después de todas las demás marcas de clasificación y difusión. Además, se recomendó que los detalles sobre éxitos criptográficos específicos se restringieran adicionalmente (además de estar marcados como Top Secret//SI) con etiquetas de SCI; se dio una lista no exclusiva de posibles etiquetas SCI de Bullrun como: APERIODIC, AMBULANT, AUNTIE, PAINTEDEAGLE, PAWLEYS, PITCHFORD, PENDLETON, PICARESQUE y PIEDMONT, sin ningún detalle sobre el significado de estas etiquetas.[1][2]
El acceso al programa está limitado a un grupo de personal de alto nivel de los Cinco Ojos: la NSA y el GCHQ del Reino Unido (GCHQ), el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSE), la Dirección de Señales de Australia (ASD) y la Oficina de Seguridad de las Comunicaciones del Gobierno de Nueva Zelanda (GCSB).[10][11] Las señales que no puedan descifrarse con la tecnología actual podrán conservarse indefinidamente mientras las agencias siguen intentando descifrarlas.[2]
La base legal que ampararía la existencia programa sería el artículo 702 de la Ley de Vigilancia de la Inteligencia Extranjera. En él se establece que se puede requerir a un proveedor de servicios «que proporcione al Gobierno inmediatamente toda la información, medios o asistencia necesaria para completar la recopilación» de información de inteligencia foránea.[12] Empero el programa fue autorizado bajo el poder ejecutivo estatal sin pasar antes por el Congreso, por lo que se han hecho preguntas sobre si esta ley obliga a divulgar claves criptográficas pero no se ha recibido aclaración.[13]
Para la consecución de los objetivos del programa se han implementado distintas tácticas:[14][15][16]
Persuadiendo política y tecnológicamente el mercado: A través del chip Clipper diseñado por la NSA, que utilizaba el cifrado Skipjack con una puerta trasera intencionada, y utilizando varias leyes específicamente diseñadas como CALEA, CESA y las restricciones a la exportación de software de encriptación, tal y como se puso de manifiesto en el caso Bernstein contra Estados Unidos, el gobierno estadounidense había intentado públicamente en la década de los 90 garantizar su acceso a las comunicaciones y su capacidad de descifrado.[17][18] En particular, las medidas técnicas como la custodia de claves, un eufemismo para una puerta trasera, han sido criticadas y han tenido poco éxito.
Influyendo para que se promuevan y adopten estándares, protocolos o sistemas con debilidades: La NSA anima a los fabricantes de tecnología de seguridad a revelar puertas traseras en sus productos o claves de cifrado para poder acceder a los datos cifrados.[19] Sin embargo, temiendo la adopción generalizada de la encriptación, la NSA se propuso influir y debilitar sigilosamente los estándares de cifrado y obtener las claves maestras, ya sea por acuerdo, por la fuerza de la ley o mediante la explotación de la red informática (hacking).[7]
Buscando, y frecuentemente encontrando debilidades a la seguridad en distintos sistemas de comunicaciones: Por ejemplo se afirma que consiguen descifrar conexiones con el protocolo seguro de transferencia de hipertexto (HTTPS) o tener acceso a muchas de las comunicaciones peer-to-peer (P2P) de voz y de texto. Según un documento informativo de Bullrun, la agencia había logrado infiltrarse tanto en la capa de conexión segura (SSL) como en algunas redes privadas virtuales (VPN).[1][2] The New York Times informó de ello:
Pero en 2006, señala un documento de la NSA, la agencia había irrumpido en las comunicaciones de tres aerolíneas extranjeras, un sistema de reservas de viajes, el departamento nuclear de un gobierno extranjero y el servicio de Internet de otro, crackeando las redes privadas virtuales que las protegían. En 2010, el programa Edgehill, el esfuerzo británico de contraencriptación, estaba descifrando el tráfico de VPN de treinta objetivos y se había fijado el objetivo de otros trescientos.[7]
Trabajando con proveedores de software o hardware criptográfico para que liberen sistemas con errores: Implementando directamente puertas traseras o utilizando algoritmos criptográficos con debilidades. Como parte de Bullrun, la NSA también ha estado trabajando activamente para «insertar vulnerabilidades en los sistemas comerciales de cifrado, sistemas informáticos, redes y dispositivos de comunicación de punto final utilizados por los objetivos».[20] Como un ejemplo de esto, The New York Times informó de que el generador de números aleatorios Dual_EC_DRBG contiene una puerta trasera, que la NSA por medio del Instituto Nacional de Estándares y Tecnología (NIST), le permitiría romper las claves de cifrado creadas por el generador.[21] A pesar de que se sabía que este generador de números aleatorios era inseguro y lento poco después de que se publicara el estándar, y de que en 2007 se descubrió una posible puerta trasera cleptográfica de la NSA,[22] mientras que generadores de números aleatorios alternativos sin estos defectos estaban certificados y ampliamente disponibles, la empresa RSA Security, filial de Dell EMC, siguió utilizando Dual_EC_DRBG en el kit de herramientas BSAFE de la empresa y en el Data Protection Manager hasta septiembre de 2013. Aunque RSA Security ha negado haber insertado a sabiendas una puerta trasera en BSAFE, todavía no ha dado una explicación sobre el uso continuado de Dual_EC_DRBG después de que sus defectos se hicieran evidentes en 2006 y 2007.[23] El 20 de diciembre de 2013 se informó de que RSA había aceptado un pago de diez millones de dólares de la NSA para establecer el generador por defecto.[24] Los documentos filtrados de la NSA afirman que su esfuerzo fue «un reto de delicadeza» y que «finalmente, la NSA se convirtió en el único editor» del estándar.[7] Posteriormente el estándar fue adoptado como tal por la Organización Internacional de Estandarización (ISO); según Edward Snowden hay muchos más acuerdos de este tipo.[25][22]
Identificando y rompiendo claves que resguardan la seguridad de sistemas: En 2010, los documentos filtrados afirman que la NSA había desarrollado «capacidades revolucionarias» contra el tráfico cifrado de Internet.[5][26] Sin embargo, un documento del GCHQ advertía: «Estas capacidades se encuentran entre las más frágiles de la comunidad SIGINT, y la divulgación inadvertida del simple "hecho de" podría alertar al adversario y provocar la pérdida inmediata de la capacidad».[7] Otro documento interno afirmaba que «no habrá "necesidad de saber"».[7] Varios expertos, entre ellos Bruce Schneier y Christopher Soghoian, habían especulado que un ataque exitoso contra RC4, un algoritmo de cifrado usado en al menos el 50 % de todo el tráfico SSL/TLS en ese momento, era una vía plausible, dadas varias debilidades públicamente conocidas de RC4.[27] Otros han especulado con que la NSA ha adquirido la capacidad de descifrar claves RSA/DH de 1024 bits.[28] Desde entonces, RC4 ha sido prohibido para todas las versiones de TLS por el RFC 7465 en 2015, debido a los ataques a RC4 que debilitan o rompen RC4 utilizado en SSL/TLS.
Estableciendo una red de infiltrados en la industria de las telecomunicaciones que estén dispuestos a proporcionarles información.
A raíz de las revelaciones de Bullrun, varios expertos suponen que la NSA explota principalmente los fallos identificados en la implementación del software de cifrado como Microsoft CryptoAPI, más que en los algoritmos.[29][30][14][31] Mientras tanto, algunos proyectos de código abierto, como FreeBSD y OpenSSL, han visto aumentar su reticencia a confiar (plenamente) en las primitivas criptográficas basadas en hardware.[32][33]
Muchos otros proyectos de software, empresas y organizaciones respondieron con un aumento de la evaluación de sus procesos de seguridad y cifrado. Por ejemplo, Google duplicó el tamaño de sus certificados TLS de 1024 bits a 2048 bits.[34]
Tres días después de estos descubrimientos, el NIST recomendó encarecidamente que se dejara de utilizar su norma para el generador de bits aleatorios determinista de curva elíptica dual (Dual_EC_DRBG). El NIST, bajo el nombre de «Special Publication 800-90A», ha devuelto así esta norma al estado de «borrador», seis años después de su publicación oficial como estándar.[35] Por el mismo caso, el 20 de septiembre de 2013, RSA Security recomendó oficialmente no utilizar sus productos BSAFE tras la instalación de una puerta trasera en el estándar.[36][37]
El sitio web de Cryptome publicó copias de los artículos de prensa que revelaron la existencia de Bullrun.[38][39][40]
Las revelaciones sobre las puertas traseras de la NSA y la complicación deliberada de las normas han provocado una reacción en su participación en los organismos de estándares.[41] Antes de las revelaciones, la presencia de la NSA en estos comités se consideraba una ventaja dada su experiencia en materia de cifrado.[42] También se ha especulado con la posibilidad de que la NSA estuviera al tanto del fallo de Heartbleed, que provocaba que los principales sitios web fueran vulnerables al robo de contraseñas, pero no reveló esta información para explotarlo ellos mismos.[43]
↑Godwin, Mike (1 de mayo de 2000). «Rendering Unto CESA» [Explorando al CESA]. Reason (revista)(en inglés). Consultado el 22 de febrero de 2022. «[...] there was an effort to regulate the use and sale of encryption tools, domestically and abroad. [...] By 1996, the administration had abandoned the Clipper Chip as such, but it continued to lobby both at home and abroad for software-based "key escrow" encryption standards.»