Por qu¨¦ China roba datos privados de decenas de millones de estadounidenses

En 2017, la empresa Equifax denunci¨® el robo de datos personales de 145 millones de estadounidenses de sus servidores. Los datos inclu¨ªan nombre completo, direcci¨®n, fecha de nacimiento, n¨²mero de la seguridad social y del carn¨¦ de conducir, datos clave en Estados Unidos. Hace unos d¨ªas, el Departamento de Justicia norteamericano sorprendi¨® acusando del robo?a cuatro soldados chinos. No es la primera vez que China roba datos personales de millones de americanos.

Equifax es un data broker, vive de los datos: recopila informaci¨®n sobre consumidores y negocios que sirve para averiguar su fiabilidad financiera. Los intrusos tambi¨¦n se llevaron los modelos predictivos que Equifax usaba para valorar a millones de ciudadanos.

El relato del hackeo es impresionante: emplearon 34 servidores en cerca de 20 pa¨ªses para disimular sus pasos

El relato del hackeo que hace el Departamento de Justicia es impresionante: emplearon 34 servidores en cerca de 20 pa¨ªses para disimular sus pasos. Troceaban los archivos que robaban, los descargaban y los borraban para no dejar rastro. Mandaron unas 9.000 peticiones a Equifax para comprobar qu¨¦ hab¨ªa en sus bases de datos. Eran claramente profesionales.

Equifax, sin embargo, se lo puso f¨¢cil. La empresa usaba un software llamado Apache Struts. En marzo de 2017, Apache anunci¨® una vulnerabilidad que permit¨ªa acceder en remoto a sus sistemas y manejarlos. Equifax no tap¨® el agujero, seg¨²n el Departamento de Justicia. Era como si un equipo de ladrones preparados para robar un valioso picasso llegasen al museo y se encontraran la puerta abierta con las llaves puestas: cada noche regresaban sin ser vistos a mirar qu¨¦ m¨¢s llevarse, y cuando cog¨ªan un cuadro colgaban una copia en su lugar; acabaron por llevarse docenas de pinturas.

?Pero para qu¨¦ quiere China tantos datos personales? Probablemente para m¨¢s de una cosa, pero la m¨¢s clara es para convertir a funcionarios o empresarios estadounidenses en esp¨ªas para China. El m¨¦todo tradicional de convertir a un agente doble era detectarlo, y luego en persona observarlo, contactarlo y convencerle. Todos los pasos son delicados y suelen hacerlos agentes distintos para no quemarlos a todos si algo sale mal.

La CIA y otras agencias explican los motivos m¨¢s habituales de un agente doble para traicionar a su pa¨ªs con el acr¨®nimo MICE: son las iniciales en ingl¨¦s de "dinero, ideolog¨ªa, coerci¨®n y ego". En datos privados financieros puede haber informaci¨®n para saber si alguien tiene deudas e incluso si esas deudas lo son por motivos deshonestos, con lo que se le puede coaccionar.

"Una opci¨®n ahora es ver si hay personas en la base de datos con valor para ellos y trabajar la informaci¨®n", dice Carlos Seisdedos, responsable de ciberinteligencia en IsecAuditors. "Si hab¨ªa datos financieros pod¨ªan filtrar por puesto de trabajo para ver d¨®nde trabajan. En funci¨®n del tipo de informaci¨®n crediticia, pueden marcarse objetivos. Es una forma de aproximaci¨®n a un objetivo, para chantajearle o lo que sea", a?ade.

Hay otra diferencia sustancial en este m¨¦todo: la aproximaci¨®n al objetivo puede ser online, no es necesario que sea real. Y, por tanto, puede ser masiva: "Hemos visto a los servicios de inteligencia chinos hacerlo en una escala enorme", dijo William Evanina, director del?Centro Nacional de Contrainteligencia y Seguridad de los Estados Unidos, el pasado agosto a?The New York Times. "En lugar de mandar a sus esp¨ªas a Estados Unidos a reclutar un solo objetivo, es m¨¢s eficaz sentarse ante un ordenador en China y mandar miles de peticiones de amistad a objetivos con perfiles falsos", a?adi¨®.

¡°En lugar de mandar a sus esp¨ªas a Estados Unidos a reclutar un solo objetivo, es m¨¢s eficaz sentarse ante un ordenador en China¡±

Cuanta m¨¢s informaci¨®n sobre esos objetivos, m¨¢s probable es que funcione. En los ¨²ltimos a?os, el Departamento de Justicia ha acusado a tres exagentes de colaborar con China. En Alemania, los servicios de inteligencia han denunciado 10.000 aproximaciones, mientras en que Francia, 4.000. Todos estos intentos no son ¨²nicamente a funcionarios de los servicios de inteligencia. China puede tener inter¨¦s en numerosas empresas que trabajan en industrias de seguridad o en otros ¨¢mbitos punteros. La variedad es enorme.

La red social profesional LinkedIn, propiedad de Microsoft, es el recurso perfecto para este tipo de acercamientos. La unidad de ciberespionaje china tiene 100.000 agentes. Es f¨¢cil imaginar cu¨¢ntos recursos tienen para este tipo de operaciones.

Otro de los hackeos singulares que se han atribuido al ej¨¦rcito chino es la Oficina de Direcci¨®n de Personal del Gobierno de Estados Unidos. Es uno de los objetivos m¨¢s jugosos, all¨ª hay millones de ex¨¢menes a futuros funcionarios, llenos de preguntas sobre drogas, dinero, enfermedades mentales o comportamientos sexuales raros.

Por si fuera poco, este solo es uno de los recursos que ofrece el robo de millones de datos personales. Otro es su uso para modelar mejor algoritmos de inteligencia artificial. China tiene millones de datos sobre sus ciudadanos, pero todos son chinos. Para ampliar la variedad, es ¨²til buscar datos con perfiles de ciudadanos de otros pa¨ªses.

"Los datos son muy diferentes, depende de d¨®nde los recoges. Si China solo puede obtener datos de sus ciudadanos, el resultado no es extrapolable a toda la poblaci¨®n del planeta", dice Marga Robles, profesora de Derecho Internacional P¨²blico y coordinadora del m¨¢ster en Ciberseguridad de la Universidad de Granada. "China es la gran potencia de la inteligencia artificial. Hay algoritmos que puede usar cuando vende productos a ciudadanos occidentales", a?ade.

Adem¨¢s de la b¨²squeda de agentes dobles y del uso para inteligencia artificial puede haber un tercer motivo para llevar a cabo una operaci¨®n de este calibre: "Tienen bases de datos que pueden perfilar con informaci¨®n de redes sociales. Son datos que pueden servir para extorsionar, pero tambi¨¦n para elaborar perfiles sociales para campa?as de desinformaci¨®n", explica ?ngel G¨®mez de ?greda, autor del libro Mundo Orwell y responsable del ¨¢rea de seguridad y defensa de la plataforma OdiseIA.

Estos usos tienen que ver con los intereses geopol¨ªticos de un Estado. Pero ese tipo de informaci¨®n es a¨²n m¨¢s valiosa en manos del cibercrimen: "Una vez tienes datos, es una mercanc¨ªa m¨¢s. Igual que los chinos pueden comprar a los rusos los planos de un caza, tambi¨¦n pueden venderles la informaci¨®n de los estadounidenses", a?ade G¨®mez de ?greda.