Los servicios de inteligencia de los Estados Unidos, al parecer y según se ha filtrado, están desarrollando un nuevo sistema de defensa que permitiría detectar instantáneamente ataques a los sistemas informáticos estadounidenses, neutralizarlos e, incluso, contraatacar. El programa tiene por nombre MonsterMind y así lo ha revelado Edward Snowden a Wired en una extensa entrevista.
Este programa funcionaría analizando ingentes cantidades de metadatos para diferenciar tráfico normal de tráfico anómalo, producido maliciosamente. La NSA extraería patrones a partir de ataques conocidos para saber cuándo cierto tráfico no es normal. Información sobre un flujo de información no dice nada; información sobre cientos o miles flujos de información con la misma pinta sí que permite intuir.
Lo que llama la atención es que, según indica Snowden, MonsterMind está siendo desarrollado para poder contraatacar sin intervención humana. Aunque no se especifica qué tipo de contraataque es el que se está planteando. No obstante Snowden también identifica dos problemas graves con un programa de este tipo.
El primero es que los atacantes no suelen conectarse directamente a los sistemas atacados; suelen conseguir enviar sus ataques desde de equipos de inocentes que, muchas veces, ni siquiera saben que están siendo parte de una botnet que está llevando a cabo un ataque de denegación de servicio. Tenemos un precedente muy cercano: el apagado de una botnet por parte de Microsoft se llevó por delante dominios que no tenían nada que ver con la actividad maliciosa que apagaron.
Si MonsterMind existe y llega a contratacar, seguramente habrá daños colaterales.
Aunque el que más llama la atención (y a la vez el que menos sorprende) es que, para que MonsterMind pudiera funcionar, debería poder bucear por todas las comunicaciones, entrantes y salientes, de los Estados Unidos para, de ese modo, poder identificar los patrones. Snowden dice que esto iría contra la cuarta enmienda: allí nadie puede husmear en las comunicaciones privadas de estadounidenses sin una orden, sin causa probable o sospecha fundada.
Este programa tiene, al parecer, cierto parecido con un proyecto de DARPA que estaba enfocado en servidores, así como con dos proyectos del gobierno estadounidense (Einstein 2 y Einstein 3), que estaba enfocado en introducir sensores en los puntos clave de Internet. Snowden dice que MonsterMind ya estaba gestándose cuando dejó su trabajo en la NSA y, por supuesto, la NSA no ha hecho declaraciones al respecto.
Más información | Wired
En Genbeta | La NSA, preparada para infectar "millones" de ordenadores con malware espía
Ver 6 comentarios