Seguridad

La CIA también espiaba masivamente a través de routers comprometidos

El 15% de los routers son inseguros por la debilidad de las contraseñas

Wikileaks ha desvelado más prácticas de dudosa legalidad por parte de la CIA, entidad que espió indiscriminadamente a través de firmware manipulado para routers.

Como si de un capítulo de ‘Black Mirror’ se tratara, la CIA no deja de sorprendernos con sus planes secretos de espionaje masivos. Lo último que hemos conocido, a partir de la filtración del programa ‘Cherryblossom’, es que la agencia de inteligencia norteamericana poseía una estrategia completa para desarrollar y desplegar firmware comprometido para routers de distintas marcas.

Con este planteamiento, desvelado por Wikileaks en el marco del grupo de filtraciones ‘Vault7’, la CIA pretendía vigilar y manipular el tráfico web, así como instalar y explotar virus y sistemas de acceso remoto. Para ello, los agentes de la agencia debían tener acceso físico al router y adivinar la contraseña del administrador… siempre y cuando las marcas no ofrecieran actualizaciones de firmware de manera inalámbrica.

Después de la reprogramación con éxito del router, este dispositivo comenzaba a comunicarse con un servidor de comando y control llamado ‘Cherrytree’, que registraba todos los datos y el estado del equipo. A través de una interfaz -denominada a su vez ‘CherryWeb’, los espías podían acceder a todas las funcionalidades del router y los distintos ordenadores asociados a esa red.

Al parecer, prácticamente ningún fabricante se libra de este firmware manipulado por el gobierno estadounidense en colaboración con el Stanford Research Institute International, cuya creación data de 2006 y fue discontinuado en 2012. Grandes nombres como 3Com, Accton, Cisco, Allied Telesyn, Apple, Asustek, Belkin, D-Link, Linksys, Motorola, US Robotics, Z-Com figuran entre los documentos desvelados por el portal de Julian Assange.

Se desconoce si en estos momentos existe algún programa similar o cuál fue el alcance de estas prácticas de dudosa legalidad en términos de frecuencia o cantidad de datos comprometidos.

Sobre el autor de este artículo

Alberto Iglesias Fraga

Periodista especializado en tecnología e innovación que ha dejado su impronta en medios como TICbeat, El Mundo, ComputerWorld, CIO España, Kelisto, Todrone, Movilonia, iPhonizate o el blog Think Big de Telefónica, entre otros. También ha sido consultor de comunicación en Indie PR. Ganador del XVI Premio Accenture de Periodismo y Finalista en los European Digital Mindset Awards 2016.