Es posible que, de confirmarse, estemos ante la noticia de ciberseguridad de la década. Pero aún quedan muchas incógnitas por resolverse. Y con el paso de los días surgen nuevas informaciones que ponen en duda la veracidad del reporte original de Businessweek / Bloomberg. Según su artículo, alrededor de 30 compañías tecnológicas entre las que se encuentran Apple y Amazon, así como varias agencias gubernamentales y de seguridad estadounidenses habrían visto sus servidores comprometidos mediante un diminuto chip espía.
El chip, implantado en el proceso de fabricación de algunos contratistas asiáticos de Super Micro, compañía californiana que comercializa los servidores supuestamente afectados, permitiría acceder remotamente a las comunicaciones y datos de las compañías. Algo así como una especie de ventana secreta de la que nadie se había dado cuenta.
Este espionaje estaría dirigido desde los servicios secretos chinos y centrado en favorecer a sus empresas locales mediante el espionaje industrial. Por tanto, los datos de clientes no estarían en su punto de mira.
La rescisión de Super Micro que no encaja
Apple era un cliente importante de Super Micro y había planeado adquirir más de 30.000 de sus servidores en un periodo de dos años para su red global de centros de datos. Tres fuentes internas de Apple dicen que en verano de 2015, la compañía, también, encontró chips maliciosos en placas base de Super Micro. Apple rescindió el contrato con Super Micro el año siguiente, por razones no relacionadas según dijo en su momento.
Mientras leía este tramo del artículo de Bloomberg, una cosa llamó mi atención. Supuestamente, aquí es donde Apple se dio cuenta de la presencia del chip espía en sus servidores. Ahora bien, ¿descubres que tus servidores donde almacenas datos, comunicaciones y propiedad intelectual están comprometidos y rescindes el contrato con el proveedor un año después?
¿En qué cabeza cabe que una compañía mantenga al proveedor en nómina tras descubrir que sus productos están espiándote? Lo primero que haces es apagarlos, para después rescindir el contrato y luego avisar a los cuerpos y agencias de seguridad pertinentes. Apple ha desmentido toda la historia de Bloomberg por completo, afirmando que confunde un incidente no relacionado con esta historia:
Nuestra mejor suposición es que están confundiendo su historia con un incidente previo y ya informado de 2016, donde encontramos un Driver infectado en un único servidor de Super Micro en uno de nuestro laboratorios. Ese suceso único se determinó que fue de naturaleza accidental y no un ataque dirigido a Apple.
Como añadido, la compañía afirma que "los reporteros de Bloomberg no han estado abiertos a la posibilidad de que sus fuentes estuvieran mal informadas o equivocadas".
El caso sigue desarrollándose
Este caso de los chips espía que supuestamente salpica tanto a gigantes tecnológicos como bancos y agencias de inteligencia está lejos de cerrarse. De hecho, los hechos continúan sucediéndose. 24 horas después de publicarse el artículo, la agencia de seguridad británica GCHQ decía:
Somos conscientes de los informes de los medios de comunicación, pero en esta etapa no tenemos motivos para dudar de las evaluaciones detalladas realizadas por Amazon y Apple.
Horas después, el artículo de Reuters donde se recogen estas declaraciones actualizaba su contenido con unas palabras de Bruce Sewell. El antiguo consejero general de Apple estaba aún en la compañía cuando supuestamente se produjeron los hechos:
Me puse al teléfono para hablar con él [el consejero general del FBI de entonces] personalmente y le dije "¿Sabes algo acerca de esto?". "Nunca he oído hablar de esto, pero dame 24 horas para asegurarme". Me llamó 24 horas después para decirme "Aquí no hay nadie que sepa de lo que va este artículo".
El Departamento de Seguridad Nacional de EEUU ha emitido un comunicado que va en línea con el expuesto por el GCHQ británico (puede leerse íntegro aquí)
El Departamento de Seguridad Nacional está al corriente de los informes publicados en prensa sobre la ruptura de la cadena de suministros tecnológica. Como nuestros compañeros de Reino Unido, el GCHQ, en estos momentos no tenemos razones para dudar de las declaraciones hechas por las compañías nombradas en este reportaje.
Puede que el DHS no sea el ejemplo perfecto de veracidad. Pero si la historia fuera cierta (cosa que debería poder demostrarse en algún momento) estaría metiéndose en medio de la línea de fuego. ¿Para qué decir nada entonces?
Apple tampoco se ha quedado satisfecha con sus declaraciones del jueves y viernes. Ayer domingo, el vicepresidente de información y seguridad de Apple George Stathakopoulos escribió una carta al Congreso de EEUU diciendo:
Las herramientas de seguridad desarrolladas por Apple están continuamente escaneando en busca de precisamente este tipo de tráfico hacia fuera, ya que indica la existencia de malware u otra actividad maliciosa. Nunca se ha encontrado nada.
La carta la ha obtenido Reuters, donde la publicación afirma que el experto en seguridad de Apple que la compañía "jamás había encontrado chips maliciosos o vulnerabilidades en ningún servidor y que jamás ha sido contactada por el FBI acerca de estas preocupaciones".
Buzzfeed arroja aún más dudas acerca de la veracidad de la historia
Como es lógico, numerosas publicaciones han querido corroborar por su lado la historia de Bloomberg. BuzzFeed es una de las que últimamente tiene bastante acceso a ejecutivos de Apple de alto nivel y esta vez también han aportado sus fuentes. Según fuentes múltiples, incluyendo tres empleados de alto rango en los equipos legal y de seguridad, afirman lo siguiente:
Estas personas describieron una investigación masiva, granular y compartimentalizada no solo sobre las afirmaciones de la historia sino también sobre incidentes no relacionados que podrían haberla inspirado.
"Intentamos averiguar si había algo, lo que sea, que hubiera transpirado algo remotamente cercano a esto", un ejecutivo de seguridad senior dijo a BuzzFeed. "No encontramos nada".
Un ingeniero de seguridad senior directamente involucrado en la investigación interna de Apple describió el proceso como una endoscopio, indicando que jamás habían visto un chip como el que se describe en la historia, mucho menos encontrado uno. "No sé si algo como esto siquiera existe", dijo esta persona, indicando que Apple no había recibido ninguna placa base o chip malicioso para investigar. "No nos dieron nada. Nada de hardware. Nada de chips. Nada de emails".
El artículo de BuzzFeed es bastante exhaustivo. A continuación indican que su fuente "senior" en el departamento legal de Apple afirma que Apple no había contactado nunca con el FBI, ni había sido contactada por el FBI, la CIA, la NSA o cualquier agencia gubernamental de acuerdo a los incidentes relatados en la historia de Bloomberg.
La absurdez de una "gag order" que somete a Apple
Ante las continuas negativas de Apple sobre esta historia, hay quienes han afirmado que la compañía podría estar bajo una gag order. Según esta figura legal, un juzgado o un gobierno pueden ordenar a un individuo o compañía a restringir la información sobre un tema o a no comentar sobre él.
Esta orden restringe hablar del tema. Pero lo que está haciendo Apple es justo al contrario, está dando toda la información que puede al respecto. En su propia respuesta a Bloomberg, al final, Apple añade:
Finalmente y en respuesta a las preguntas que hemos recibido de otras publicaciones desde el artículo de Businessweek, no estamos bajo ninguna clase de "gag order" o cualquier otra obligación de confidencialidad.
Sinceramente, Apple ha ido demasiado lejos como para que sus afirmaciones sean parte de un intento por esconder la historia o escurrir el bulto. Todas estas declaraciones van a quedar ahí fuera para siempre, a la vista de todos.
Y, por otro lado, Bloomberg sigue manteniendo su historia (recordemos que Bloomberg se inventó que Apple había rebajado la fiabilidad de Face ID para mejorar la producción del iPhone X el año pasado, cosa que se demostró era mentira). Es como si una fuerza imparable se encontrase con un objeto inamovible. Por eso, esta historia aún no ha llegado a su fin. Faltan muchos más capítulos por conocerse.
Imágenes | Brian Wong y Fritzchens Fritz.
Ver 7 comentarios