Vault 7 es una serie de documentos que WikiLeaks comenzó a lanzar el 7 de marzo de 2017 que detalla actividades de la Agencia Central de Inteligencia (CIA) para ejercer vigilancia electrónica y guerra informática. Los archivos, fechados entre 2013 y 2016, incluyen detalles sobre las prestaciones de software de la agencia, como la capacidad de comprometer televisores inteligentes, los sistemas operativos de teléfonos inteligentes (incluyendo iOS de Apple y Android de Google), como también otros sistemas operativos como Windows, macOS y Linux.[1]
WikiLeaks comenzó a insinuar el lanzamiento de Vault 7 a principios de febrero de 2017 con una serie de tuits crípticos.[2] El 16 de febrero de 2017, WikiLeaks publicó documentos de la CIA que describen cómo la CIA monitoreó la elección presidencial francesa de 2012.[3] El comunicado de prensa de esta fuga declaró que fue publicado «como contexto para su próxima serie de la CIA Vault 7».[4]
El 8 de marzo de 2017 funcionarios de la inteligencia y de la ley de los Estados Unidos dijeron a la agencia de noticias internacional Reuters que han estado enterados de la brecha de seguridad de la CIA, que condujo a Vault 7 desde finales de 2016. Los dos funcionarios dijeron que se estaban centrando en «contratistas» como la fuente más probable de la fuga.[5]
La primera tanda de documentos consistió en la liberación de 7818 páginas web con 943 adjuntos, supuestamente del Centro de Ciberinteligencia,[6] que ya son más páginas que las revelaciones sobre la red de vigilancia mundial de Edward Snowden.[7] WikiLeaks no mencionó su fuente pero dijo que los archivos han «circulado entre exhackers del gobierno estadounidense y contratistas de manera no autorizada, uno de quienes proveyeron a WikiLeaks con porciones del archivo».[1] De acuerdo a WikiLeaks, la fuente «desea iniciar un debate público sobre la seguridad, la creación, el uso, la proliferación y el control democrático de cíberarmas» ya que estas herramientas provocan preguntas que «necesitan ser urgentemente debatidas en público, incluyendo si las capacidades de hackeo de la CIA exceden sus poderes dados y el problema de la supervisión pública de la agencia».[1]
Wikileaks redactó nombres y otras informaciones identificatorias de los documentos antes de su lanzamiento,[1] mientras intenta permitir que las conexiones entre personas se realicen a través de identificadores únicos generados por WikiLeaks.[8] También dijo que pospondría publicar el código fuente de las cíberarmas, que según informó es de varios cientos de millones de líneas, «hasta que se consensúe sobre la naturaleza técnica y política del programa de la CIA y cómo tales ‘armas’ deberían ser analizadas, desarmadas y publicadas».[1] El fundador de WikiLeaks, Julian Assange, afirmó que esto era sólo parte de una serie más grande.[7]
La CIA publicó una declaración que decía: «El público estadounidense debería estar profundamente preocupado por cualquier revelación de WikiLeaks diseñada para dañar la capacidad de la Comunidad de Inteligencia de proteger a Estados Unidos contra terroristas u otros adversarios con herramientas e información para hacernos daño».[9]
Según Assange en un comunicado de prensa del 9 de marzo, sólo el 1 % de la fuga total se ha liberado. Afirma que gran parte del resto de la fuga incluía vulnerabilidades sin parches, pero que estaba trabajando con Microsoft, Apple y Google para corregir estas vulnerabilidades, ya que no publicaría información que pondría en riesgo al público, y que conforme las correcciones fueran publicadas por los fabricantes, él revelaría detalles de las vulnerabilidades. Como tal, ninguna de las vulnerabilidades actualmente publicadas son ataques de día cero. En este comunicado de prensa, Assange también leyó una declaración oficial de Microsoft en la que se afirmaba el deseo de Microsoft por «la próxima Convención de Ginebra», que protegería a las personas de las ciberarmas del gobierno de la misma manera que las anteriores Convenciones de Ginebra han protegido a los no combatientes de la guerra.[10]
Cuando se les preguntó sobre su autenticidad, el exdirector de la Agencia Central de Inteligencia, Michael Hayden, respondió que la organización «no comenta sobre la autenticidad o el contenido de supuestos documentos de inteligencia».[1] Sin embargo, hablando bajo condición de anonimato, funcionarios de inteligencia actuales y antiguos dijeron que los documentos parecen ser auténticos.[11] Según Edward Snowden, los documentos «parecen auténticos».[12] Robert M. Chesney, profesor de derecho en la Universidad de Texas y director del Programa de Tecnología y Políticas Públicas del Centro de Estudios Estratégicos e Internacionales (CSIS), comparó el Vault 7 con las herramientas de hacking de la NSA reveladas en 2016 por un grupo que se llama a sí mismo The Shadow Brokers.[1]
El 15 de marzo de 2017, el presidente de los Estados Unidos Donald Trump declaró durante una entrevista que «la CIA fue hackeada y se tomaron muchas cosas».[13] Al día siguiente, en una declaración, el miembro de rango de la Comisión de Inteligencia de la Cámara de Representantes implicó que Trump, al tiempo que tenía el poder ejecutivo para desclasificar la inteligencia estatal a su discreción, había discutido imprudentemente la fuga.[14]
La motivación afirmada por WikiLeaks detrás del lanzamiento de Vault 7 sin tener historias ya escritas sobre ello, es que los periodistas busquen por sí mismos, para «crear experiencia en el área para las partes subsiguientes de la serie», agregando que las pistas son más que abundantes si los periodistas y los académicos se limitaran a mirar.[8]
WikiLeaks dijo que los documentos provienen de «una red aislada y de alta seguridad ubicada dentro del Centro de Ciberinteligencia de la CIA en Langley, Virginia».[15] Según los informes, la CCI tiene una unidad completa dedicada a los productos de Apple.[12]
La primera parte de los documentos publicados el 7 de marzo de 2017, Vault 7 «Year Zero», afirmó que una unidad secreta de la CIA utilizó la ciudad de Fráncfort en Alemania como punto de partida para ataques de hackeo en Europa, China y Oriente Medio. Según los documentos, Estados Unidos utiliza su consulado en esa ciudad como base para operaciones cibernéticas. Esta representación diplomática es conocida como el consulado más grande de los Estados Unidos en todo el mundo, tanto en términos de personal como de instalaciones, y durante años ha desempeñado un papel prominente en la arquitectura de inteligencia del gobierno estadounidense. El personal de inteligencia, incluidos agentes de la CIA, espías de la NSA, personal del servicio secreto militar, empleados del Departamento de Seguridad Nacional de los Estados Unidos y empleados del Servicio Secreto están trabajando en el complejo de edificios con altos muros y alambradas de púas en el norte de la ciudad. En un radio de alrededor de 40 kilómetros alrededor de Fráncfort, los estadounidenses también habían establecido una densa red de puestos de avanzada y compañías de prueba. Los documentos de WikiLeaks afirman que los hackers de Fráncfort, parte del Centro para la Ciberinteligencia Europa (CCIE), recibieron identidades de portada y pasaportes diplomáticos para ofuscar a los funcionarios de aduanas para entrar en Alemania.[12][16]
El fiscal general del Tribunal Federal de Justicia en Karlsruhe, Peter Frank, anunció el 8 de marzo de 2017 que el gobierno estaba llevando a cabo una investigación preliminar para ver si lanzaría una investigación importante sobre las actividades que se están llevando a cabo fuera del consulado y también más ampliamente si la gente en Alemania está siendo atacada por la CIA.[10][17] El ministro alemán de Relaciones Exteriores, Sigmar Gabriel, respondió diciendo que Alemania no tenía información sobre los ciberataques.[18]
Según los informes, los documentos revelaron que la agencia había reunido una gran colección de técnicas de ciberataque y malware producidos por otros hackers. Esta biblioteca fue mantenida por el grupo UMBRAGE de la Subdivisión de Dispositivos Remotos de la CIA, con ejemplos del uso de estas técnicas y código fuente contenidos en el repositorio git «Umbrage Component Library». De acuerdo con WikiLeaks, al reciclar las técnicas de terceros a través de UMBRAGE, la CIA no sólo puede aumentar su número total de ataques,[19] sino también puede engañar a investigadores forenses disfrazando estos ataques como el trabajo de otros grupos y naciones.[1][12] Entre las técnicas prestadas por UMBRAGE estaba la implementación de limpieza de archivos mediante el virus Shamoon. Según PC World, algunas de las técnicas y fragmentos de código han sido utilizados por la CIA en sus proyectos internos, cuyo resultado final no puede deducirse de las filtraciones. PC World señaló que la práctica de plantar «banderas falsas» para disuadir la atribución no era un nuevo desarrollo en ciberataques: grupos de hackers rusos, norcoreanos e israelíes están entre los sospechosos de usar banderas falsas.[20]
Según un estudio de Kim Zetter en The Intercept, UMBRAGE estaba probablemente mucho más centrado en acelerar el desarrollo reutilizando las herramientas existentes, en lugar de plantar banderas falsas.[19] Robert Graham, director ejecutivo de Errata Security, dijo a The Intercept que el código fuente mencionado en los documentos de UMBRAGE es «extremadamente público», y es probable que sea usado por una multitud de grupos y actores estatales. Graham añadió: «Lo que podemos conclusivamente decir de la evidencia en los documentos es que están creando fragmentos de código para su uso en otros proyectos y están reutilizando métodos en código que encuentran en Internet. Hablan de oscurecer los ataques para que no vean de dónde viene, pero no hay un plan concreto para hacer una operación de bandera falsa, no están tratando de decir 'Vamos a hacer que esto se parezca a Rusia'».[21]
En el día en que los documentos Vault 7 fueron primero lanzados, WikiLeaks describió UMBRAGE como «una biblioteca substancial de técnicas del ataque» robadas «del malware producido en otros estados incluyendo la Federación Rusa», y escribió en Twitter, «CIA roba otros virus y malware del grupo que facilitan ataques de bandera falsa».[22] Pronto surgió una teoría de conspiración cuya hipótesis alega que la CIA inculpó al gobierno ruso por interferir en las elecciones estadounidenses de 2016. Comentaristas conservadores como Sean Hannity y Ann Coulter especularon sobre esta posibilidad en Twitter, y Rush Limbaugh lo discutió en su programa de radio.[23] El ministro ruso de Relaciones Exteriores, Serguéi Lavrov, dijo que Vault 7 mostró que «la CIA podría tener acceso a tales "huellas dactilares" y luego usarlas».[22]
Escritores de ciberseguridad tales como Ben Buchanan y Kevin Poulsen fueron escépticos de estas teorías.[3][24] Poulsen escribió: «El catálogo no está organizado por país de origen, y el malware específico utilizado por los hackers rusos del [Comité Nacional Demócrata] no está en ninguna parte de la lista».[3]
Las herramientas electrónicas podrían comprometer tanto al iOS de Apple como a Android de Google. Al agregar malware al sistema operativo Android, la agencia podría tener acceso a comunicaciones seguras realizadas en un dispositivo.[25]
Apple dijo que «muchos de los problemas que se filtraron hoy ya estaban parchados en el último iOS», y que la compañía «continuará tratando cualquier vulnerabilidad identificada».[26]
Según WikiLeaks, una vez que un teléfono Android es penetrado, la agencia puede recopilar «tráfico de audio y mensajes antes de que se aplique el cifrado».[1] Según las alegaciones, algunos de los programas de la agencia pueden acceder a los mensajes enviados por los servicios de mensajería instantánea.[1] Este método de acceso a los mensajes es diferente accediendo al descifrado de un mensaje ya cifrado.[25] Mientras que el cifrado de mensajeros que ofrecen cifrado de extremo a extremo, como Telegram, WhatsApp y Signal, no se informó que sufriera filtraciones, su cifrado se puede pasar por la captura de entrada antes de que su codificación se aplique, por métodos tales como registro de teclas y grabación de la entrada táctil del usuario.[25] Comentaristas, entre ellos Snowden y el criptógrafo Bruce Schneier, observaron que WikiLeaks implicó incorrectamente que las aplicaciones de mensajería en sí y su cifrado subyacente habían sido comprometidas, una implicación que a su vez fue reportada por un período por The New York Times y otros principales medios de comunicación.[1][27]
Un documento supuestamente mostró que la CIA estaba investigando formas de infectar sistemas de control de vehículos. WikiLeaks afirmó que «el propósito de tal control no está especificado, pero permitiría a la CIA participar en asesinatos casi indetectables».[12][28] Esto trajo una atención renovada a la muerte de Michael Hastings.[28][29]
Una de las suites de software, que supuestamente lleva el nombre código «Weeping Angel» («ángel lloroso»), se dice que es capaz de usar las televisiones inteligentes de Samsung como dispositivos de escucha encubiertos. En junio de 2014, la CIA con el MI5 de la inteligencia británica celebró un taller conjunto para mejorar el hack «Weeping Angel», que parece haber sido dirigido específicamente a los televisores de la serie F8000 de Samsung lanzados en 2013. De ser cierto, eso permitiría que una televisión inteligente infectada se utilice «como un dispositivo de escucha, grabando conversaciones en la sala y enviándolas por Internet a un servidor secreto de CIA», aunque parezca estar apagada.[1]
Los documentos se refieren a la vulnerabilidad de «Windows FAX DLL injection» en los sistemas operativos Windows XP, Windows Vista y Windows 7.[6] Un portavoz de Microsoft dijo: «Somos conscientes del informe y lo estamos investigando».[30]
También se incluyeron en las fugas un código de copiar y pegar que permitiría una escalada de privilegios en un entorno Windows 7. Este código permite a un atacante pasar por alto la ventana normal de control de cuentas de usuario (UAC) que se muestra cuando un programa intenta ejecutarse con privilegios administrativos, lo que permite que el código arbitrario se ejecute con privilegios administrativos sin el conocimiento del usuario final.[31]
Un código de copiar y pegar se incluyó en las filtraciones que permite la explotación de los sistemas de arranque basados en UEFI al alterar el núcleo del sistema operativo que se carga en la memoria antes de salir de la secuencia de arranque UEFI. El código de copiar y pegar permite a un atacante insertar un hook personalizado que puede usarse para alterar arbitrariamente el núcleo del sistema operativo en la memoria inmediatamente antes de que el control de ejecución sea entregado al núcleo.[32]
Lee Mathews, colaborador de Forbes, escribió que la mayoría de las técnicas de hacking descritas en Vault 7 ya eran conocidas por muchos expertos en seguridad cibernética.[33]
Algunos observaron que las técnicas y herramientas reveladas son más probables a ser utilizadas para vigilancia dirigida a personas específicas,[34][35] a diferencia de las técnicas de vigilancia masiva de la NSA reveladas por Edward Snowden.[36] En una conferencia de prensa, Assange afirmó que si bien el contenido de las fugas «por lo menos significa que tienen que participar en ataques dirigidos que son más caros y podrían tener más rastro de orden», afirma también que han expuesto la «rama automatizada de implantes» de la CIA que no sólo desarrolla y utiliza virus «sino también automatiza cómo se hace», que puede acercarse al nivel de intersección a granel.[10]
Edward Snowden comentó sobre la importancia de la liberación, afirmando que revela que el Gobierno de los Estados Unidos está «desarrollando agujeros de seguridad en los productos estadounidenses» y «luego intencionalmente mantiene los agujeros abiertos», lo que considera altamente imprudente.[37]
Nathan White, gerente legislativo superior de Access Now, señaló:[38]
Hoy en día, nuestra seguridad digital se ha visto comprometida porque la CIA ha estado acumulando vulnerabilidades en lugar de trabajar con compañías para parchearlas. Se supone que Estados Unidos tiene un proceso que ayuda a proteger nuestros dispositivos y servicios digitales, el ‘Proceso de Equidad de Vulnerabilidades’. Muchas de estas vulnerabilidades podrían haber sido divulgadas y remendadas responsablemente. Esta filtración demuestra el riesgo digital inherente de almacenar vulnerabilidades en lugar de repararlas.
Cindy Cohn, directora ejecutiva de Electronic Frontier Foundation, un grupo internacional de derechos digitales sin fines de lucro con sede en San Francisco, California, dijo que la CIA había «fallado en evaluar con precisión el riesgo de no revelar vulnerabilidades. Incluso las agencias de espionaje como la CIA tienen la responsabilidad de proteger la seguridad y la privacidad de los estadounidenses».[39] «La libertad de tener una conversación privada - libre de la preocupación de que un gobierno hostil, un agente del gobierno o un competidor o un criminal esté escuchando - es fundamental para una sociedad libre». Aunque no es tan estricta como las leyes de privacidad en Europa, la Cuarta Enmienda a la Constitución de los Estados Unidos garantiza el derecho a no sufrir búsquedas ni incautaciones irrazonables.[40]