¿Por qué WikiLeaks guarda archivos maliciosos?

WikiLeaks truck at Occupy Wall Street, 2011. Photo by David Shankbone via Wikimedia Commons (CC BY 3.0)

Camión de WikiLeaks en Occupy Wall Street, 2011. Fotografía de David Shankbone via Wikimedia Commons (CC BY 3.0).

Desde el masivo hackeo en julio a la controvertida empresa italiana de vigilancia tecnológica Hacking Team, los periodistas y defensores de los derechos humanos han rastreado los 400 GB de datos filtrados que incluyen memos internos, documentación de productos, registros de ventas y correos electrónicos de los servidores de la compañía.

Hacking Team es sobre todo conocida por su «sistema de control remoto,» utilizado según las filtraciones, por varios regímenes opresores, desde el Ecuador EgiptoEtiopia, para vigilar e intimidar a oponentes políticos, periodistas y defensores de los derechos humanos. No en vano, ha sido un tema candente dentro de la comunidad de Global Voices.

Un pequeño grupo de escritores de Advox han trabajado muy duro en la lectura y análisis de los registros. Un par de semanas después del hackeo, WikiLeaks publicó más de un millón de de correos electrónicos de las filtraciones que han dejado claro el  modus operandi del equipo de la empresa, las comunicaciones con los clientes y los análisis habituales sobre la dinámica política en el Medio Oriente y otros lugares. Vimos encantados como WikiLeaks indexó y organizó fácilmente todos los correos en una base de datos que permitió que nuestra investigación fuera mucho más rápida y eficiente.

Muchos de los correos electrónicos que queríamos leer contenían archivos adjuntos. En su mayoría, los archivos eran documentos en Word que parecían incluir informes de reuniones entre el personal Hacking Team, agencias gubernamentales y compañías de terceros que negociaron la compra del software en nombre de los gobiernos. Nos parecían inofensivos y quisimos ver lo que decían, por lo que tratamos de abrirlos, aunque más tarde nos topamos con problemas.

Muchas veces, al usar el navegador de Chrome, aparecía la siguiente advertencia cuando seleccionábamos un archivo adjunto que queríamos ver:

Screenshot of Chrome malware warning on WikiLeaks, taken August 10, 2015.

Captura de pantalla de advertencia de Chrome de un programa malicioso en WikiLeaks, tomada el 10 de agosto del 2015.

Por poner un ejemplo, la siguiente advertencia acompaña a este correo electrónico, un mensaje interno entre el personal de Hacking Team en relación a un contrato con el gobierno libanés, enviado el 25 de julio del 2015.

Nota: si está leyendo este post en un navegador que no es Chrome, por favor, tenga cuidado antes de hacer clic en el enlace del correo electrónico. Abajo, encontrará una forma alternativa para leer archivos adjuntos como este de forma segura. 

Una búsqueda en el navegador seguro de Google sugería lo mismo:

Google safe browsing screenshot for Hacking Team leaks attachment from email ID: 11936. Taken Aug. 10, 2015.

Captura de pantalla del navegador seguro de Google para el archivo adjunto del correo electronico ID: 11936 filtrado de Hacking Team.  Tomada el 10 de agosto del 2015.

Nota: Esta es una buena manera de comprobar la seguridad de cualquier sitio en Internet.  Tan solo escriba la dirección de la URL dentro del navegador  [https://www.google.com/safebrowsing/diagnostic?site=]y añada la dirección completa de la URL del sitio web que quiere comprobar después de «sitio=».

También contactamos con Google (el operador del navegador de Chrome) y confirmó que su personal de seguridad, de hecho, había encontrado software malicioso en algunos de los archivos adjuntos de correos electrónicos publicados en WikiLeaks.

La solucion de Google Docs Viewer

Teníamos que encontrar una manera de publicar estas historias y el enlace a las pruebas sin poner en peligro a nuestros lectores o nosotros mismos. No queríamos publicar los enlaces a estos correos electrónicos en caso de incluir archivos adjuntos maliciosos porque sería una mala practica periodística que pondría en riesgo a cualquier lector que hiciera clic en el archivo adjunto. También podrían acabar con la confianza que tenemos con nuestros lectores.

Un compañero sugirió que podíamos revisar los archivos adjuntos con Google Docs Viewer, que  tiene una característica ligeramente oculta que hace más fácil ver cualquier documento en linea a través de la vista procesada de HTML de Google.

El proceso es bastante sencillo:

1. Copiar esta URL en una pestaña nueva: https://docs.google.com/viewer?url=

2. Copiar la dirección del documento que queremos ver en linea.

3. El documento aparecerá en el navegador  a través del doc viewer, y podemos leer el contenido sin realmente descargar el archivo o poner en riesgo el equipo.

Por lo tanto, esto fue lo que hicimos. Optamos por tomar capturas de pantalla de lo que veíamos y después convertirlas en unos archivos de PDF que alojamos en la web. Finalmente, pudimos mostrar a los lectores todas las pruebas que necesitábamos para apoyar nuestra historia, sin ningún programa maligno adjunto.

¿Es normal esto?

Nathan Freitas del Guardian Project, que tiene mucha experiencia en el uso de los gobiernos de este tipo de software malicioso, nos dijo que era normal algunos de estos archivos maliciosos en la descarga de un documento de un tamaño tan grande como este. Pero también señaló que debería ofrecerse una versión limpia, mediante una limpieza automática o sencillamente con la vista de un «texto simple», de todos los documentos, lo cual no era difícil de realizar. Nos explicó un poco más:

Some people may still want to have access to the full original documents in order to see all trace metadata, history, etc in the documents themselves. That is how you can de-censor PDFs, or find hidden originator data in DOC files for instance, or look for modification artifacts in JPEGs. There is value to having the real, source files.

Algunas personas puede que quieran tener acceso a la documentación original completa para ver todos los metadatos de seguimiento, historia, etc., en los propios documentos. Así, por ejemplo, se pueden des-censurar los PDF,  encontrar datos de un remitente oculto en archivos DOC o buscar modificaciones en  los JPEG. Es muy valioso tener los archivos reales del código fuente original.

Claramente, para los técnicos especialistas es de gran valor para la investigación contar con la información de los archivos originales de un sistema como este, porque supondrá un gran beneficio para el interés publico. Pero para los periodistas y no especialistas que sencillamente quieren leer los archivos, podría existir un riesgo involucrado en el proceso.

¿Por qué WikiLeaks contiene archivos maliciosos?

Para nosotros, la pregunta sigue en el aire: ¿Por qué WikiLeaks almacena archivos maliciosos sin avisar a los usuarios? Al parecer, no es la primera vez que WikiLeaks ha almacenado material malicioso en su página web. En marzo del 2015, el bloguero y administrador de sistemas Josh Wieder se percató de un programa malicioso entre el gran número de archivos filtrados de Global Intelligence publicados en WikiLeaks. Esto es lo que escribió:

…a significant number of the files included in the leak contain malicious files that are designed to, among other things, retrieve detailed information about the computers which have downloaded them and send them to a variety of remote systems.

Un gran numero de los archivos incluidos en las filtraciones contienen archivos maliciosos que están designados, entre otras cosas, a recuperar información detallada de los equipos sobre los que se han descargado y enviarla a diferentes sistemas remotos.

En Julio, Wieder escribió una entrada actualizada en la que describía como se podían encontrar programas maliciosos no solo en la gran avalancha de archivos filtrados, sino también en el contenido comisariado del propio WikiLeaks. The Register siguió la historia y verificó que varios de los archivos en la filtración de Stratfor contenían habitualmente programas maliciosos bajo la aparente e inofensiva forma de archivos de Excel, PDF, enlaces e incluso antiguos archivos de imágenes.

Chris Williams de Register escribió: «Infelizmente, parece que nadie tiene tiempo para limpiar los cinco millones de correos electrónicos de Stratford, fechados en 2001, de programas maliciosos».

Nos alegra que nuestra comunidad no sea la única en hacer frente este problema, pero necesitamos ayuda. Nos gustaría que WikiLeaks diera respuesta a estas preocupaciones y explicara públicamente cómo procesan los datos filtrados antes de cargarlos en su web. En el futuro, esperamos que la comunidad de derechos digitales y los periodistas que trabajan en estos temas unan sus esfuerzos para encontrar una solución más contundente y segura a este problema, para poder mostrar las pruebas y animar a los usuarios a investigar por su propia cuenta sin poner en peligro a nadie.

Inicia la conversación

Autores, por favor Conectarse »

Guías

  • Por favor, trata a los demás con respeto. No se aprobarán los comentarios que contengan ofensas, groserías y ataque personales.