Tailored Access Operations

Tailored Access Operations
Acrónimo TAO
Tipo organización gubernamental
Objetivos

Ciberespionaje

Ciberguerra
Fundación c. 1997–2001
Sede central Fort Meade
Empresa matriz S3 Data Acquisition
Coordenadas 39°06′32″N 76°46′12″O / 39.109, -76.77
Idioma original Inglés
[editar datos en Wikidata]

La Oficina de Tailored Access Operations (español: Operaciones de Acceso a la medida o TAO por sus siglas en inglés), estructurada como S32,[1]​es una unidad élite de recopilación de inteligencia relacionada con la ciberguerra de la Agencia de Seguridad Nacional (NSA por sus siglas en inglés).[2][3][4][5]

La TAO identifica, vigila, infiltra y reúne información de los sistemas informáticos de manera doméstica, así como de los utilizados por entidades extranjeras a los Estados Unidos.[6][7][8][9]

Historia

Red Team

El Red Team fue creado en 1997 para llevar a cabo la Operación Eligible Receiver, buscaba ver los límites del daño que los hackers de ese entonces podrían hacer, donde humillaron al equipo de ciberseguridad del Departamento de Defensa, pero su operación fue detenida durante su funcionamiento para no interrumpir las operaciones de la milicia estadounidense. Por ello, 4 personas se enfocaron en volver este grupo una sección permanente de la NSA por lo valioso que era tener un equipo así de su lado, Michael V. Hayden, Bill Marshall, Bill Black y Ken Minihan. Los cuales fueron juntando diferente personal de varias ramas de la NSA, hasta que a finales del 2000 se consolidaron en la TAO; tras los ataques del 11-S pasaron a ser cientos de empleados encargados de la parte más importante de la NSA.[3][10][11]

Previo a 2013 la existencia de la oficina era un rumor a voces, donde nadie sabía a ciencia cierta qué era.[12]​Para este año ya habían alrededor de 1.000 hackers, que no eran necesariamente empleados de la propia NSA, ya que, al haber expandido operaciones, necesitaban más personal, así que contrataban de manera externa a expertos en ciberseguridad con experiencia previa en sectores de inteligencia, buscando a personas con atención obsesiva con los detalles.[3][13]

Snowden

Edward Snowden recibió una oferta de volverse parte de las TAO, pero rechazó la oferta,[14]​entrando a una agencia de inteligencia privada que era contratada de manera externa por la NSA, llamada Booz Allen. Al ver la vigilancia que hacía la NSA decidió filtrar varios archivos a The Guardian y The Washington Post el 9 de junio de 2013, donde las operaciones de vigilancia global de la TAO fueron el centro de la tormenta.[15]

Una referencia a la Oficina de Tailored Access Operations en una diapositiva acerca de XKeyscore. Uno de los archivos filtrados por Snowden.

En uno de los documentos filtrados por Snowden, describe el trabajo del centro de la siguiente manera "la TAO cuenta con plantillas de software que le permite infiltrarse en hardware de uso común, incluyendo routers, conmutadores y cortafuegos de múltiples proveedores".[16]​ Según The Washington Postlos ingenieros de la TAO prefieren intervenir redes en lugar de ordenadores aislados, ya que normalmente hay muchos dispositivos conectados a una única red.

Ante la cantidad de información filtrada, distintas compañías de seguridad buscaron maneras de capturar a las TAO en alguna de sus operaciones, con sólo una lográndolo, Kaspersky, con su reporte de 2015, “Equation Group: Questions And Answers”, donde nombraban a la TAO Equation Group por su uso preferido de algoritmos complejos para evitar la detección de sus métodos, siendo algo tan exagerado que era obvio que era un grupo muy selecto con altas capacidades, con el tiempo y recursos para poder hacer ataques así de sofisticados.[17][18]

The Shadow Brokers

Artículo principal: The Shadow Brokers

El 13 de agosto de 2016, un usuario llamado shadowbrokerss en Twitter o nombres similares en otras redes sociales como GitHub o pastebin, hicieron un anuncio de la subasta de herramientas usadas por el "Equation Group" (la TAO). Para demostrar legitimidad, en su post de pastebin[19]​ publicaron 2 ZIP protegidos con contraseña, uno de ellos venía con la contraseña en la publicación ("theequationgroup"), dentro del cual estaban las herramientas JETPLOW, EPICBANANA, EXTRABANANA, herramientas hechas para vulnerar cortafuegos de grado industrial, las cuales fueron usadas y comprobadas por Cisco como legítimas;[20]​ la contraseña del segundo archivo no había sido publicada y se planteaba que lo que estaba dentro era “mejor que Stuxnet”, el acceso estaba siendo subastado de manera pública con una dirección bitcoin por 1.000.000 de esa moneda.

Herramienta JETPLOW de la TAO.

El 31 de octubre de 2016 publicaron otro dump de información en el sitio Medium,[21]​ con el nombre Trick or Treat donde filtraron el los servidores de víctimas de la TAO, estos siendo así como los proxies usados para los ataques.[22]​ Estos eran 352 servidores que mostraban 49 países como objetivos, China, Japón y Corea siendo los primeros tres, 32 de las direcciones de las totales fueron institutos educativos de Taiwan y China.[23]​Así como la Secretaría de Gobernación, Secretaría de Desarrollo Social y Universidad Nacional Autónoma de México.[24]

Tras seguir sin un comprador de todos sus productos, por ahora 10.000 bitcoin, se hicieron una cuenta en una plataforma de la Darknet llamada ZeroNet, donde comenzaron a vender los archivos por separado, de 10 a 100 bitcoins por exploit, donde se encontraban archivos como DANDERSPRITZ y FUZZBUNCH, hechos para la infiltración y manipulación sin detección, así como otros exploits que habían sido descritos en los archivos publicados por Snowden.[25]​Con estas publicaciones provocaron una ola de parches masivos en diversas compañías.

El 8 de abril de 2017 hicieron otra publicación en Medium, donde se quejaron del gobierno de Trump por haberlos traicionado, en un dump llamado Don’t Forget Your Base,[26]​al final de la publicación estaba la contraseña para el segundo archivo ZIP, el cual contenía herramientas para vulnerar prácticamente cualquier sistema operativo, desde populares hasta de nicho o militares, todo gratis y disponible.[27]​Una semana más tarde publicaron otro dump en Steemit, llamado Lost In Translation,[28]​que contenía herramientas específicamente dedicadas para vulnerar Windows y Swift, así como los reportes del uso de estas herramientas provenientes de dentro de la NSA sin censurar los nombres de las personas involucradas. Dentro de estas herramientas estaba ETERNALBLUE, el cual era en esencia una manera de acceder a cualquier dispositivo de Windows en el mundo sin ningún problema o detección y ser controlado de manera remota con DOUBLEPULSAR. Esto causó que se ocurrieran los ataques de ransomware de WannaCry y Not_Petya.[29]

Captura de Pantalla de varias de las herramientas filtradas por The Shadow Brokers.

Durante este mes comenzaron a responder a las cuentas de twitter de los empleados de la TAO, como por ejemplo, Jake Williams, un investigador de ciberseguridad que había estado trabajando en las TAO de manera clasificada,[13]​incluso amenazándolos con doxxearlos.[30]

En octubre hicieron su último comunicado quejándose de Estados Unidos y sus discursos. Tras eso desaparecieron.[30]

Muchas pistas que unan los hilos de estas historias y su relación con la TAO no son de conocimiento público. Pero hay indicadores que dirigen a posibles trabajadores dentro de Kaspersky, quienes ya tenían conocimiento y posesión de este tipo de herramientas, al estar buscando las herramientas de la TAO por medio de sus antivirus,[31][32]​que supuestamente fueron borradas por órdenes del director,[33]​pero las publicaciones de TSB coinciden con momentos clave durante la cobertura negativa occidental del gobierno Ruso durante disputas con Estados Unidos. Es claro que no actuaban por dinero porque existe el mercado de la venta de Zero-Day Exploits, y pudieron ir por ahí fácilmente de manera incógnito, pero decidieron buscar activamente la luz pública y que esta fuera la mayor posible al insultar a los medios de comunicación que cubriera los temas, así como crear polémicas con sus declaraciones. También se especula en si fue un trabajo desde dentro de la TAO. En ambas teorías el broken english de los comunicados se ve como algo performativo para señalar a Rusia.[10]

Esta filtración los atrasó años en trabajo y herramientas.[30][13]

Actualmente el centro se llama Computer Network Operations (español: Operaciones de Redes de Computadora).[34]

Organización

Artículo principal: Inteligencia de señales

En la actualidad, la TAO es "el componente más grande y más importante de la Signals Intelligence Directorate (en español, Dirección de Inteligencia de Señales o SID por sus siglas en inglés)[35]​de la NSA", que cuenta con más de 1000 piratas informáticos, militares y civiles, analistas de inteligencia, ingenieros eléctricos, especialistas en selección de objetivos y diseñadores de hardware y software.

La sede de la TAO se denomina Remote Operations Center (español: Centro de Operaciones Remoto o ROC por sus siglas en inglés) y se encuentra en la oficina central de la NSA en Fort Meade, Maryland. La TAO también se ha expandido a las instalaciones de NSA Hawái (Wahiawa, Oahu), NSA Georgia (Fuerte Gordon, Georgia), NSA Texas (San Antonio, Texas) y NSA Colorado (Base Buckley de la Fuerza Aérea, Denver).[4]

Está organizada de la siguiente manera:[36]

  • S321 – Centro de Operaciones Remotas (ROC): 600 empleados reunen información de alrededor del mundo.[37][4]
    • S321? – Centro de Operaciones de Redes (NOC)
    • S321? – División de Operativos Alistados (ORD)
    • S321? – División de Operaciones Interactivas (IOD)
    • S321? – División de Operaciones de Producción (POD)
    • S321? – División de Operaciones de Acceso (AOD)
  • S322 – Rama de Tecnología Avanzada de Redes (ANT)
    • S3221 – (Software de Persistencia)
    • S3222 – (Implantes de Software)
    • S3223 – (Implantes de Hardware)
    • S3224 – ?
      • S32241 – ?
      • S32242 – (señales GSM)
      • S32243 – (Radar retroreflector)
  • S323 – Rama de Tecnologías de Redes de Información (DNT): Desarrolla spyware automatizado.
    Logo de la DNT
    • S3231 – División de Acceso (ACD)
      • S32313 – Rama de Aplicación de Vulnerabilidades
    • S3232 – División de Tecnologías de Redes Cibernéticas (CNT)
    • S3234 – División de Tecnologías Computacionales (CTD)
    • S3235 – División de Tecnología de Redes (NTD)
      • S32354 – STDP (FASHIONCLEFT)
  • S324 – Rama de Tecnologías de Redes de Telecomunicación (TNT): Mejorar los métodos de hackeo de redes y computadoras.[38]
    • S32423 – ?
  • S325 – Rama de Tecnologías de Infraestructura de Misiones (MIT): Opera el software provisto arriba.[4]
  • S326 – Operaciones de Acceso
    • S3261 – Acceso y Desarrollo de Objetivos
  • S327 – Requisitos y Objetivos (R&T)
  • S328 – Rama de Operaciones de Tecnologías de Acceso (ATO): Supuestamente incluye personal secundado por la CIA y el FBI, que llevan acabo lo que son descritas como "operaciones fuera de línea", que significa que organizan a agentes de la CIA para plantar secretamente dispositivos de escucha en computadoras y sistemas de telecomunicaciones en ultramar, para que los hackers de la TAO puedan accederlas de manera remota desde el Fort Meade.[4]​ Submarinos especialmente equipados, actualmente el USS Jimmy Carter,[39]​ son usados para interceptar cables de fibra óptica alrededor del mundo.
    Logo de la ATO
    • S3283 – Operaciones de Acceso Expedicionario (EAO)
    • S3285 – División del equipo de Persistencia POLITERAIN
  • S32P – Integración del Planeo de Programas de la TAO
  • S32? – Equipo de Guerra en Redes (NWT)
  • S32X – ?

Ubicaciones virtuales

Ilustración de la herramienta QUANTUMSQUIRREL

Detalles [40]​en un programa titulado QUANTUMSQUIRREL indican la habilidad de la NSA para suplantar a cualquier host routeable IPv4 o IPv6.[41]​Esto permite a una computadora de la NSA generar credenciales de ubicación geográfica e identificación personal falsas a la hora de acceder al Internet al utilizar QUANTUMSQUIRREL.[42]

Liderazgo

Desde 2013 hasta 2017, el director de la TAO ha sido Rob Joyce, un empleado con más de 25 años de experiencia que había trabajado previamente en la Information Assurance Directorate (Dirección para el Aseguramiento de la Información en español o IAD por sus siglas en inglés) de la NSA. En enero de 2016, Joyce hizo una aparición pública inusual cuando dio una presentación en la Conferencia Usenix's Enigma [43]​En 2019 comenzó a dirigir Anne Neuberger. [44]​En 2021, Rob Joyce regresó a su puesto, sólo para retirarse en 2024. [45]​A partir de enero de 2026 está bajo comando de David Imbordino.[46]​Pero no es claro el puesto al ser una de las agencias más clasificadas del mundo. Se asume que es la cabeza de la Directera de Ciberseguridad de la NSA, ya que es el puesto que Rob Joyce tenía cuando lo hizo público.[43]

Catálogo NSA ANT

Artículo principal: Catálogo ANT

El Catálogo NSA ANT es un documento clasificado de cincuenta páginas listando la tecnología disponible para la Oficina de Operaciones de Acceso a la Medida (TAO) de la Agencia de Seguridad Nacional de los Estados Unidos (NSA) hecha por la División de Tecnología Avanzada de Redes (ANT) para ayudar en la ciber vigilancia. La mayoría de los dispositivos son descritos como ya operacionales y disponibles para nacionales estadounidenses y miembros de la alianza de los Cinco Ojos. De acuerdo con Der Spiegel, quienes publicaron el catálogo al público el 30 de diciembre de 2013, "La lista se lee como un catálogo de venta por correo, uno del cual otros empleados de la NSA pueden ordenar tecnologías de la división ANT para intervenir la información de sus objetivos." El documento fue creado en 2008.[47]​ El investigador Jacob Appelbaum dio un discurso en el Chaos Communication Congress en Hamburgo, Alemania, en el que detalló las técnicas que publicó simultáneamente en el artículo de Der Spiegel del cual fue coautor, donde presentaba el catálogo.[47]

Ataques QUANTUM

La TAO ha desarrollado una suite de ataques que llaman QUANTUM. Depende de un router comprometido que duplica el tráfico del internet, típicamente solicitudes HTTP, para que vayan tanto al objetivo esperado como a un sitio de la NSA (indirectamente). El sitio de la NSA usa software FOXACID, el cual manda de vuelta exploits que cargan en el segundo plano del buscador del objetivo antes de que el destino haya tenido oportunidad de responder, aunque no es claro si el router facilita esta carrera en el viaje de regreso. Antes del desarrollo de esta tecnología, el software FOXACID hacía ataques de spear-phishing a los que la NSA se refería como spam. Si el buscador es exploiteable, se despliegan más "implantes" (rootkits, etc.) en la computadora del objetivo; por ejemplo OLYMPUSFIRE para Windows, el cual le da acceso remoto completo de la máquina infectada. Este tipo de ataque es parte de la familia de los ataque de intermediario, aunque más específicamente se le conoce como ataque por el costado. Es difícil de ejecutar sin controlar algo de la espina del internet.[48]

Ilustración de la herramienta FOXACID

Son numerosos los servicios que FOXACID puede exploitear de esta manera. Estos son unos de los nombres de algunos módulos de FOXACID:[49]

Por medio de colaboración con el GCHQ del Reino Unido (MUSCULAR), Google también podía ser atacado, incluyendo Gmail.[49]

Encontrar máquinas que sean exploiteables y que valgan la pena atacar es hecho usando bases de datos analíticas, como XKeyscore.[50]​ Un método específico de encontrar máquinas vulnerables es la intercepción del tráfico del Reporte de Errores de Windows, el cual es registrado dentro de XKeyscore.[4]

Los ataques QUANTUM lanzados desde los sitios de la NSA pueden llegar a ser muy lentos para algunas combinaciones de objetivos ya que tratan de, esencialmente, exploitear una condición de carrera, como por ejemplo, el servidor de la NSA tratando de ganarle al servidor legítimo con su respuesta. Para mediados de 2011, la NSA estaba haciendo un prototipo de una capacidad llamada en código QFIRE, la cual involucraba incrustar a sus servidores proveedores de exploits en máquinas virtuales (corriendo en VMware ESX) alojada más cerca del objetivo, dentro de los llamados "Sitios de Colección Especial" (SCS) en la red mundial. El objetivo de QFIRE era bajar la latencia de una respuesta suplantada, así subiendo la probabilidad de éxito.[51]

COMMENDEER [sic] es usado para comandar (o sea, comprometer) sistemas de computadora sin que sean objetivos. El software es usado como parte del QUANTUMNATION, el cual también incluye el escáner de vulnerabilidades de software VALIDATOR. La herramienta fue descrita por primera vez en el Chaos Communication Congress por Jacob Appelbaum en 2014, quien lo caracterizó de tiránico.[52][53][54]

QUANTUMCOOKIE es una forma de ataque más compleja que puede ser usada en contra de usuarios de Tor.[55]

Métodos, objetivos y colaboraciones

Desde su inicio se dejó en claro que las TAO no buscaban hacer defensa o ataque en cuestiones de ciberseguridad, sino encontrar y almacenar los exploits que puedan llegar a ser útiles en un futuro y usarlos de manera calculada para generar problemas internos, en vez de un ataque pleno.[10]

Su manera de operar es buscar cada uno de los exploits posibles y el más eficiente, adentrarse en el sistema de una manera que sea imposible revocar su acceso y conocer la profundidad entera de estos sistemas; una vez hecho esto perímetro, los agentes se infiltrarían por completo para conocer cada una de las rutinas y archivos de los sistemas y esperar al momento de ataque. Sus objetivos son principalmente hacia Estados-Nación o derivados para coleccionar inteligencia que le sirva a los policy makers y así gestionar sus objetivos de inteligencia.[10][17][13]

Usan principalmente encriptación RC5 dentro de su malware, así como RC6, RC4 o AES en algunos otros, aparte de hashes y funciones criptográficas.[17]

Se han confirmado como objetivos de espionaje y vigilancia de la TAO a entidades nacionales e internacionales, como Irán con Stuxnet, China, Brasil, la Universidad Politécnica del Noroeste,[56]Huawei, la OPEP,[57]​ la Secretaría de Seguridad Pública y presidencia de México, el internet entero, Siria, Afganistán, Rusia, Pakistán, India y Malí, entre otros. Pero es difícil saber por completo todas sus víctimas, así como su nivel de infiltración y número real de objetivos al ser el grupo más sofisticado de ciberataque, así como un protocolo de autodestrucción dentro de varios de sus malware.[18]

El grupo también ha atacado redes de comunicaciones global por medio de la SEA-ME-WE 4, un sistema de fibra óptica del cable de comunicaciones submarino que lleva a cabo las telecomunicaciones entre Singapur, Malasia, Tailandia, Bangladesh India, Sri Lanka, Pakistán, Emiratos Árabes Unidos, Arabia Saudita, Sudán, Egipto, Italia, Tunisia, Algeria y Francia.[54]​ Adicionalmente, el Establecimiento de Radio de Defensa Nacional de Suecia les da acceso a vínculos de fibra óptica para la cooperación de QUANTUM.[58][59]

La tecnología de la TAO de QUANTUM INSERT fue pasada a los servicios del Reino Unido, particularmente al MyNOC del GCHQ, el cual lo usó para atacar Belgacom y provedores de intercambio de roaming GPRS (GRX) como el Comfone, Syniverse, y Starhome. Belgacom, el cual provee servicios a la Comisión Europea, al Parlamento Europeo y al Consejo Europeo, descubrió el ataque.[60]

En coordinación con la CIA y el FBI, la TAO es usada para interceptar laptops compradas en línea, desviarlas a almacenes secretos donde se les instala spyware y hardware, y se les envía a los consumidores.[61]​La TAO también ha atacado a Tor y FireFox.[62]

De acuerdo con un artículo de 2013 en Foreign Policy, la TAO "se ha vuelto más enfocada en su misión, causado en parte por la cooperación de alto nivel que recibe de las "grandes tres" compañías de telecomunicaciones americanas (AT&T, Verizon y Sprint), la mayoría de los Proveedores de Servicios de Internet basadas en Estados Unidos, y varias de las mejores manufactureras de software de seguridad de computadoras o de consultoría."[63]​Un documento de presupuestos de la TAO de 2012 establece que estas compañías, por órdenes de la TAO, "insertan vulnerabilidades dentro de sistemas comerciales de encripción, sistemas informáticos, redes y dispositivos de comunicaciones de punto final usados por los objetivos."[63]​Subsecuentemente, un número de compañías estadounidenses, incluyendo Cisco y Dell, han hecho declaraciones públicas negando que insertan tales backdoors en sus productos.[64]Microsoft provee con advertencia anticipada a la NSA de vulnerabilidades de las que conoce, antes de que sean arregladas o informadas al público; esto permite a la TAO ejecutar tales ataques de día cero.[65]​ Un oficial de Microsoft, que declinó ser identificado por la prensa, confirmó que este caso es verdadero, pero declaró que Microsoft no puede ser considerado responsable por cómo es que la NSA usa esa información adelantada.[66]

Stuxnet

Artículo principal: Stuxnet

Stuxnet es un worm de computadora descubierto el 17 de junio de 2010. Tenía como objetivo los sistema de Control Supervisor y Adquisición de Datos (SCADA) y es el responsable de dañar de manera significativa el programa nuclear de Irán después de haber sido instalado en una computadora en la Instalación nuclear de Natanz en 2009. Hecho en conjunto por Estados Unidos (TAO) e Israel (NCSA) con la Operación Juegos Olímplicos.[67]

Ilustración del funcionamiento de Stuxnet.

Operación Treasure Map

Artículo principal: Operación Treasure Map

“Bad guys are everywhere, good guys are somewhere” (los malos están en todas partes, los buenos están en algún lugar) es el lema con el cual funciona esta operación; la cual su objetivo es “tener la capacidad de construir un mapa en casi tiempo real e interactivo, del internet global.” Buscando monitorear la "Capa Lógica de Redes", así como las capas de Redes físicas y geográficas. Mapeando el tráfico del internet completo por direcciones IPv4 e IPv6, DNS, trazos de navegación, países e información de ubicación geográfica. Se desconoce si esta misión se terminó de llevar a cabo después de su filtración en 2013 dentro de los archivos de Snowden[68]

Descripción de la Operación TreasureMap

Infiltración de Huawei

La NSA se centró en conseguir información sobre el expresidente chino Hu Jintao, el Ministro de Comercio Chino, bancos y compañías de telecomunicaciones, pero hizo un especial esfuerzo de centrarse en Huawei.[69]

Comenzó en 2009 con una operación grande llamada “ShotGiant” por la importancia que tiene Huawei para que Estados Unidos logre un monopolio en el mercado de telecomunicaciones, con una unidad especial se infiltró en su red para conseguir una lista de 1.400 clientes y documentos internos sobre el entrenamiento de sus ingenieros y el uso de productos Huawei.[70][71][72]

Diapositiva "Por qué nos importa" de la Operación ShotGiant

No sólo consiguieron el archivo de correos, sino que también el código fuente de varios productos Huawei. Se infiltraron en uno de los puntos clave en Shenzhen, donde podían interceptar todo el tráfico de la red, desde enero de 2009. Su objetivo era encontrar alguna forma de involucramiento del gobierno chino, pero los mismos documentos internos no presentan que este haya sido el caso.[73][71]

Se condujo con dirección directa del coordinador de inteligencia de la Casa Blanca y el FBI.[71][10]

La agencia también declaró en un documento que “las estructuras de comunidad de inteligencia no son aptas para manejar problemáticas que combinan infraestructura económica, de contrainteligencia, de influencia militar y de telecomunicaciones de una sola entidad”[71]

Se enfocaron en sacarle provecho al usar la información para aprender del funcionamiento interno de empresas, ya que China se ha estado enfocando en sacar las empresas Estadounidenses del panorama. Así subiendo el estándar que antes era dictaminado por EEUU y controlando el flujo de información en el internet.[71][69]

Infiltración en México y Brasil

Durante los 2000 vigilaron el correo del presidente de México, Felipe Calderón, declarando su misión “FlatLiquid” completada en mayo del 2010, donde el reporte indica “la TAO exitosamente exploitearon un servidor de correos clave del dominio de la Presidencia mexicana dentro de la red mexicana presidencial para ganar acceso primordial de la cuenta de correo electrónico pública de Felipe Calderón”. Este dominio también era usado por miembros del gabinete y contenía “comunicaciones diplomáticas, económicas y de liderazgo que continúan proveyendo conocimiento del Sistema Político Mexicano y su estabilidad interna.”, considerando la oficina del presidente como una “fuente lucrativa.” También se registró que monitorearon al candidato presidencial Enrique Peña Nieto y a su círculo en el verano de 2012, esto por un reporte de TV Globo de Brasil.[74]

Trasfondo de la Operación WhiteTamale

Varios documentos demuestran que México y Brasil no son intereses de paso, son objetivos importantes para la NSA, siendo los 2 países más importantes para espiar, de acuerdo a una lista secreta de prioridades de inteligencia de la NSA desclasificada por la Casa Blanca, donde se categorizan los intereses relacionados con ese país del 1 al 5, 1, top, 5, low priority (alta y baja prioridad); el tráfico de drogas era 1, liderazgo del país 3, estabilidad económica, capacidades militares, derechos humanos y comercio exterior internacional 3 y contraespionaje 4. Brasil tiene puestos similares, sólo que su programa nuclear está al tope. La Casa Blanca se habría concentrado en espiar a la presidenta Dilma Rousseff y sus asesores, y comunicaciones de Petrobras, principalmente para defender sus intereses económicos.[74]

La NSA no sólo espió al presidente y su gabinete, en una operación paralela, “WhiteTamale”, durante agosto de 2009 la agencia obtuvo acceso a los correos de varios secretarios de alto comando de la Secretaría de Seguridad Pública, lo cual les funcionó para entender el funcionamiento de los cárteles y tener “puntos de retórica diplomáticos”. En un año se generaron 260 reportes clasificados para que el gobierno estadounidense tuviera mejores juntas diplomáticas e inversiones internacionales.[74][75][76]

Presentación de la Operación WhiteTamale

La agencia determinó estas intrusiones como de “éxito tremendo”, donde “estos accesos de la TAO a las agencias del gobierno mexicano son sólo el comienzo – tenemos la intención de ir más lejos en contra de este objetivo importante”. Estas operaciones fueron hechas principalmente en San Antonio, Texas (donde se ubica la sede de la NSA), pero habría estaciones de espionaje secretas en las embajadas de los Estados Unidos en México y Brasilia.[74]

El programa fue hecho en coordinación con la CIA, de nombre “Special Collection Service” (Servicio de Colección Especial), donde "los equipos tienen a su servicio una amplia selección de métodos y equipamiento de alta tecnología que les permite interceptar todas las formas de comunicación electrónica. La NSA conduce su vigilancia de comunicaciones telefónicas y mensajes de texto transmitidos a través de la red celular mexicana bajo el código interno de nombre “EveningEasel”. Funciona de una manera similar en el monitoreo de comunicaciones satelitales de Brasilia.[74]

Dadas las elecciones presidenciales de 2012 en México, subieron la intensidad y alcance de sus operaciones, porque aunque tuvieran acceso a la red presidencial, no sabían mucho de Enrique Peña Nieto, el candidato más probable a ganar. Washington estaba confuso con él, porque dentro de sus discursos políticos hablaba de cómo cambiaría sus políticas de seguridad, desmilitarizando, terminando la Guerra Contra el Narco y financiando programas sociales, pero EPN personalmente le aseguró a la Casa Blanca que no habría cambios de políticas de seguridad a la establecida por Felipe Calderón. [74][75]

Diapositiva de la Operación WhiteTamale

Ante esto la NSA aprobó un tipo de operación inusual, un espionaje estructural, donde, por dos semanas del verano temprano de 2012, la unidad especializada se dedicó a monitorear toda la información relacionada a las telecomunicaciones de Peña Nieto y 9 de sus asociados cercanos, de acuerdo a una presentación de junio del 2012, usaron un software para ingresar todos los contactos y datos relacionados y este organizó sus relaciones para filtrar a los más importantes, poniendo a todos en un banco de datos llamado “DishFire”. En total se interceptaron 85.489 mensajes enviados y recibidos, “encontrando una aguja en un pajar” múltiples y repetibles veces.[74]

La revelación de esto causó revuelo y planes de mejores políticas para mejorar su privacidad en Brasil; en México, nada similar, sólo discursos de desaprobación y confianza en el debido proceso para aquellos que hayan abusado del poder y una investigación interna que no llegó a nada.[74][77]

Véase también

Referencias

  1. Nakashima, Ellen (2 de diciembre de 2017). «NSA employee who worked on hacking tools at home pleads guilty to spy charge». The Washington Post (en inglés estadounidense). ISSN 0190-8286. Consultado el 26 de mayo de 2026. 
  2. Loleski, Steven (18 de octubre de 2018). «From cold to cyber warriors: the origins and expansion of NSA’s Tailored Access Operations (TAO) to Shadow Brokers». Intelligence and National Security. doi:10.1080/02684527.2018.1532627. 
  3. a b c Hayden, Michael V. (2016). Playing to the Edge: American Intelligence in the Age of Terror. Penguin Press. ISBN 978-1594206566. 
  4. a b c d e f Aid, Matthew M. (10 de junio de 2013). «Inside the NSA's Ultra-Secret China Hacking Group». Foreign Policy. Consultado el 11 de junio de 2013. 
  5. Paterson, Andrea (30 de agosto de 2013). «The NSA has its own team of elite hackers». The Washington Post. Consultado el 31 de agosto de 2013. 
  6. Kingsbury, Alex (19 de junio de 2009). «The Secret History of the National Security Agency». U.S. News & World Report. Consultado el 22 de mayo de 2013. 
  7. Kingsbury, Alex; Anna Mulrine (18 de noviembre de 2009). «U.S. is Striking Back in the Global Cyberwar». U.S. News & World Report. Consultado el 22 de mayo de 2013. 
  8. Riley, Michael (23 de mayo de 2013). «How the U.S. Government Hacks the World». Bloomberg Businessweek. Consultado el 23 de mayo de 2013. 
  9. Aid, Matthew M. (8 de junio de 2010). The Secret Sentry: The Untold History of the National Security Agency. Bloomsbury USA. p. 311. ISBN 978-1-60819-096-6. Consultado el 22 de mayo de 2013. 
  10. a b c d e Cybernews (3 de julio de 2025), The Biggest Hacking Mystery of Our Time: Shadow Brokers, consultado el 26 de mayo de 2026 .
  11. The TAO of Cyber Warfare: Dark Territory
  12. Kingsbury, Alex (19 de junio de 2009). «The Secret History of the National Security Agency». U.S. News & World Report. 
  13. a b c d Cybernews (10 de julio de 2025), Ex-NSA Hacker on Being Exposed by Russian Intelligence | Jake Williams #002, consultado el 26 de mayo de 2026 .
  14. Kaplan, Fred (16 de septiembre de 2016). «The Leaky Myths of Snowden». Slate (en inglés estadounidense). ISSN 1091-2339. Consultado el 26 de mayo de 2026. 
  15. Walters, Joanna (29 de diciembre de 2013). «NSA 'hacking unit' infiltrates computers around the world – report». The Guardian (en inglés británico). ISSN 0261-3077. Consultado el 26 de mayo de 2026. 
  16. Barton Gellman (30 de agosto de 2013). «U.S. spy agencies mounted 231 offensive cyber-operations in 2011, documents show». Consultado el 7 de septiembre de 2013. «Much more often, an implant is coded entirely in software by an NSA group called, Tailored Access Operations (TAO). As its name suggests, TAO builds attack tools that are custom-fitted to their targets. The NSA unit's software engineers would rather tap into networks than individual computers because there are usually many devices on each network. Tailored Access Operations has software templates to break into common brands and models of "routers, switches, and firewalls from multiple product vendor lines," according to one document describing its work.» 
  17. a b c Lab, Kaspersky (Febrero de 2015). Equation Group: Questions And Answers. 
  18. a b Goodin, Dan (16 de febrero de 2015). «How “omnipotent” hackers tied to NSA hid for 14 years—and were found at last». Ars Technica (en inglés). Consultado el 26 de mayo de 2026. 
  19. Equation Group - Cyber Weapons Auction
  20. Santos, Omar (17 de agosto de 2016). «The Shadow Brokers EPICBANANA and EXTRABACON Exploits». Cisco Blogs (en inglés estadounidense). Consultado el 26 de mayo de 2026. 
  21. theshadowbrokers (31 de octubre de 2016). «Message#5 — Trick or Treat?». Medium (en inglés). Consultado el 2 de junio de 2026. 
  22. November 1, Jeremy Kirk•. «Shadow Brokers Says 'Trick or Treat' Over Attack Tool Leak». www.bankinfosecurity.com (en inglés). Consultado el 2 de junio de 2026. 
  23. «'Shadow Brokers' Reveal List Of Servers Hacked By The NSA; China, Japan, And Korea The Top 3 Targeted Countries; 49 Total Countries, Including: China, Japan, Germany, Korea, India, Italy, Mexico, Spain, Taiwan, & Russia - Fortuna's Corner». Fortuna's Corner (en inglés estadounidense). 1 de noviembre de 2016. Archivado desde el original el 16 de enero de 2017. Consultado el 26 de mayo de 2026. 
  24. ejecentral, Redacción (1 de noviembre de 2016). «NSA espió Segob, Sedesol y la UNAM». Eje Central. Consultado el 2 de junio de 2026. 
  25. Agudo, Sergio (15 de diciembre de 2016). «Shadow Brokers vuelve a la carga: exploits de la NSA en venta directa». Genbeta. Consultado el 26 de mayo de 2026. 
  26. theshadowbrokers (8 de abril de 2017). «Don’t Forget Your Base». Medium (en inglés). Consultado el 26 de mayo de 2026. 
  27. Cox, Joseph (8 de abril de 2017). «They're Back: The Shadow Brokers Release More Alleged Exploits». VICE (en inglés estadounidense). Consultado el 26 de mayo de 2026. 
  28. Años, Theshadowbrokersen #shadowbrokers • Hace 9 (14 de abril de 2017). «Lost in Translation». Steemit (en inglés). Consultado el 26 de mayo de 2026. 
  29. «Historia de los Shadow Brokers | KeepCoding Bootcamps». 10 de octubre de 2022. Consultado el 26 de mayo de 2026. 
  30. a b c Shane, Scott (12 de noviembre de 2017). «Security Breach and Spilled Secrets Have Shaken the N.S.A. to Its Core». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 26 de mayo de 2026. 
  31. «Investigation Report for the September 2014 Equation malware detection incident in the US». Securelist (en inglés estadounidense). 16 de noviembre de 2017. Consultado el 26 de mayo de 2026. 
  32. Lubold, Gordon (5 de octubre de 2017). «Russian Hackers Stole NSA Data on U.S. Cyber Defense». Wall Street Journal (en inglés estadounidense). ISSN 0099-9660. Consultado el 26 de mayo de 2026. 
  33. «Kaspersky defends its role in NSA breach» (en inglés británico). 16 de noviembre de 2017. Consultado el 26 de mayo de 2026. 
  34. Ellen, Nakashima (1 de diciembre de 2017). «NSA employee who worked on hacking tools at home pleads guilty to spy charge». WashingtonPost.com. Consultado el 4 de diciembre de 2017. 
  35. [https://www.aclu.org/files/assets/eo12333/NSA/Signals%20Intelligence%20Directorate%20%28SID%29%20Management%20Directive%20422%20United%20States%20SIGINT%20System%20Mission%20Delegation.pdf FOIA #70809 (publicado el 19-09-2014)
  36. P/K. «NSA's organizational designations» (en inglés). Consultado el 27 de mayo de 2026. 
  37. Storm, Darlene. «Secret NSA hackers from TAO Office have been pwning China for nearly 15 years». Computerworld (en inglés). Archivado desde el original el 25 de enero de 2014. Consultado el 26 de mayo de 2026. 
  38. «Die Speerspitze des amerikanischen Hackings». Tages-Anzeiger (en alemán). 18 de junio de 2013. Consultado el 26 de mayo de 2026. 
  39. «JIMMY CARTER: SUPER SPY?». Defense Tech (en inglés estadounidense). Archivado desde el original el 20 de febrero de 2014. Consultado el 26 de mayo de 2026. 
  40. https://www.eff.org/files/2014/04/09/20140312-intercept-the_nsa_and_gchqs_quantumtheory_hacking_tactics.pdf
  41. Dealer, Hacker, Lawyer, Spy. Modern Techniques and Legal Boundaries of Counter-cybercrime Operations
  42. «The NSA and GCHQ's QUANTUMTHEORY Hacking Tactics - The Intercept». The Intercept (en inglés estadounidense). Archivado desde el original el 20 de julio de 2015. Consultado el 26 de mayo de 2026. 
  43. a b The Register: NSA’s top hacking boss explains how to protect your network from his attack squads, 28 de enero de 2016
  44. Myre, Greg (26 de agosto de 2019). «'Persistent Engagement': The Phrase Driving A More Assertive U.S. Spy Agency». NPR (en inglés). Consultado el 25 de mayo de 2026. 
  45. NSA (20 de febrero de 2024). «National Security Agency Announces Retirement of Cybersecurity Director». 
  46. «NSA cyber directorate gets new acting leadership». therecord.media (en inglés). Consultado el 25 de mayo de 2026. 
  47. a b Esta sección fue copiada de Catálogo NSA ANT; las fuentes correspondientes se encuentran ahí.
  48. «How the NSA Attacks Tor/Firefox Users With QUANTUM and FOXACID». Schneier on Security (en inglés estadounidense). 7 de octubre de 2013. Consultado el 26 de mayo de 2026. 
  49. a b «NSA-Dokumente: So knackt der Geheimdienst Internetkonten». Der Spiegel (en alemán). 30 de diciembre de 2013. ISSN 2195-1349. Consultado el 26 de mayo de 2026. 
  50. Gallagher, Sean (1 de agosto de 2013). «NSA’s Internet taps can find systems to hack, track VPNs and Word docs». Ars Technica (en inglés). Consultado el 26 de mayo de 2026. 
  51. «QFIRE - die "Vorwärtsverteidigng" der NSA». Der Spiegel (en alemán). 30 de diciembre de 2013. ISSN 2195-1349. Consultado el 26 de mayo de 2026. 
  52. «30c3: To Protect And Infect, Part 2». YouTube (en inglés). Archivado desde el original el 9 de septiembre de 2014. Consultado el 26 de mayo de 2026. 
  53. «DailyTech - Tax and Spy: How the NSA Can Hack Any American, Stores Data 15 Years». www.dailytech.com. Archivado desde el original el 24 de agosto de 2014. Consultado el 26 de mayo de 2026. 
  54. a b Thomson, Iain (31 de diciembre de 2013). «How the NSA hacks PCs, phones, routers, hard disks 'at speed of light': Spy tech catalog leaks». theregister (en inglés estadounidense). Consultado el 26 de mayo de 2026. 
  55. Weaver, Nicolas. «Our Government Has Weaponized the Internet. Here's How They Did It». Wired (en inglés estadounidense). ISSN 1059-1028. Consultado el 26 de mayo de 2026. 
  56. Zheng, Sarah (4 de septiembre de 2022). «China Says US Hacked Aeronautics, Space Research University». Bloomberg. 
  57. Gallagher, Sean (12 de noviembre de 2013). «Quantum of pwnness: How NSA and GCHQ hacked OPEC and others». Ars Technica (en inglés). Consultado el 27 de mayo de 2026. 
  58. Sveriges Television AB, Stockholm, Sweden. «Läs dokumenten om Sverige från Edward Snowden». svt.se (en sueco). Archivado desde el original el 23 de febrero de 2014. Consultado el 27 de mayo de 2026. 
  59. What You Wanted To Know, SI//NOFORN
  60. Constantin, Lucian. «British spies reportedly spoofed LinkedIn, Slashdot to target network engineers». Network World (en inglés). Archivado desde el original el 15 de enero de 2014. Consultado el 27 de mayo de 2026. 
  61. Staff, SPIEGEL (29 de diciembre de 2013). «The NSA Uses Powerful Toolbox in Effort to Spy on Global Networks». Der Spiegel (en inglés). ISSN 2195-1349. Consultado el 27 de mayo de 2026. 
  62. «How the NSA Attacks Tor/Firefox Users With QUANTUM and FOXACID». Schneier on Security (en inglés estadounidense). 7 de octubre de 2013. Consultado el 27 de mayo de 2026. 
  63. a b Aid, Matthew M. (27 de mayo de 2026). «The NSA's New Code Breakers». Foreign Policy (en inglés estadounidense). Consultado el 27 de mayo de 2026. 
  64. «NSA reportedly planted spyware on electronics equipment». CNET (en inglés). Archivado desde el original el 25 de enero de 2014. Consultado el 27 de mayo de 2026. 
  65. Schneier, Bruce (4 de octubre de 2013). «How the NSA Thinks About Secrecy and Risk». The Atlantic (en inglés). Consultado el 27 de mayo de 2026. 
  66. «U.S. Agencies Said to Swap Intelligence With Thousands of Firms». Bloomberg.com (en inglés). Archivado desde el original el 18 de marzo de 2026. Consultado el 27 de mayo de 2026. 
  67. Esta sección fue copiada del artículo Stuxnet. Para las fuentes, visitar ahí.
  68. «NSA/CSS Threat Operations Center, TREASURE MAP: Bad guys are everywhere, good guys are somewhere!, undated. TS//SI//REL TO USA, FVEY | National Security Archive». nsarchive.gwu.edu. Consultado el 27 de mayo de 2026. 
  69. a b Cybernews (17 de julio de 2025), How the NSA Hacked Huawei: Operation Shotgiant, consultado el 27 de mayo de 2026 .
  70. Sanger, David E. (22 de marzo de 2014). «N.S.A. Breached Chinese Servers Seen as Security Threat». The New York Times (en inglés estadounidense). ISSN 0362-4331. Consultado el 27 de mayo de 2026. 
  71. a b c d e «NSA Spied on Chinese Government and Networking Firm Huawei». Der Spiegel (en inglés). 22 de marzo de 2014. ISSN 2195-1349. Consultado el 27 de mayo de 2026. 
  72. «Slides Describe Mission Involving Huawei». The New York Times (en inglés estadounidense). 22 de marzo de 2014. ISSN 0362-4331. Consultado el 27 de mayo de 2026. 
  73. López, Juan Carlos (23 de marzo de 2014). ««Operación Shotgiant»: la NSA espía a la compañía china Huawei desde 2009». Xataka Móvil. Consultado el 27 de mayo de 2026. 
  74. a b c d e f g h Glüsing, Jens (20 de octubre de 2013). «NSA Hacked Email Account of Mexican President». Der Spiegel (en inglés). ISSN 2195-1349. Consultado el 27 de mayo de 2026. 
  75. a b Louv, Jason (25 de febrero de 2014). «La NSA de EU tiene una oficina en México». VICE. Consultado el 27 de mayo de 2026. 
  76. «NSA's TAO Unit Introduces Itself». Der Spiegel (en inglés). 17 de febrero de 2014. ISSN 2195-1349. Consultado el 27 de mayo de 2026. 
  77. CNNMéxico, | Otra fuente: (22 de octubre de 2013). «El gobierno de México abre una investigación interna por espionaje de EU». Expansión. Consultado el 27 de mayo de 2026. 

Content Disclaimer

Informasi ini disarikan dari Wikipedia dan disajikan kembali untuk tujuan edukasi. Konten tersedia di bawah lisensi CC BY-SA 3.0. Kami tidak bertanggung jawab atas ketidakakuratan data yang bersumber dari kontribusi publik tersebut.

  1. The information displayed on this website is sourced in part or in whole from Wikipedia and has been adapted for the purpose of restating it. We strive to provide accurate and relevant information, however:
  2. There is no guarantee of absolute accuracy. Wikipedia is an open, collaborative project that can be edited by anyone, so information is subject to change.
  3. It is not intended to constitute professional advice. The content displayed is for informational and educational purposes only. For important decisions (e.g., medical, legal, or financial), please consult a professional.
  4. Content copyright. Wikipedia is licensed under the Creative Commons Attribution-ShareAlike License (CC BY-SA). This means that content may be reused with appropriate attribution and shared under a similar license.
  5. Responsible use. Any risk arising from the use of information from this website is entirely the responsibility of the user.