Inteligencia se basó en más fuentes que CrowdStrike para concluir que rusos robaron correos de DNC: fuente

Por Ivan Pentchoukov
10 de junio de 2020 3:49 PM Actualizado: 10 de junio de 2020 3:49 PM

La información proporcionada por la empresa de seguridad cibernética CrowdStrike no fue la prueba más convincente examinada por el Comité de Inteligencia de la Cámara de Representantes para llegar a la conclusión de que los hackers rusos robaron miles de correos electrónicos del servidor del Comité Nacional Demócrata (DNC) a finales de mayo de 2016, según un comité de inteligencia republicano que participó directamente en la investigación.

El Comité de Inteligencia de la Cámara de Representantes examinó múltiples fuentes independientes, todas ellas más convincentes que las pruebas entregadas por CrowdStrike, la empresa de seguridad cibernética que el DNC contrató para hacer frente a la violación de sus sistemas. La fuente le dijo a The Epoch Times que la evidencia de la exfiltración de los correos electrónicos del servidor del DNC era tan convincente como la evidencia del resto del ciberataque.

«La evidencia sobre la exfiltración no fue más débil que cualquier otra parte de la operación de hackeo. La evidencia de CrowdStrike no era lo más convincente que teníamos, eran las fuentes de información independientes que también indicaban la exfiltración rusa. Desafortunadamente esos detalles son clasificados y fueron suprimidos de los informes oficiales sobre el hackeo», dijo la fuente.

El comité reveló la nueva información en respuesta a las preguntas que surgieron del recientemente desclasificado testimonio de Shawn Henry, el presidente de CrowdStrike Services, una subsidiaria de CrowdStrike. Henry dijo al Comité de Inteligencia de la Cámara de Representantes en 2017 que CrowdStrike no tenía pruebas directas de que los hackers rusos exfiltraran correos electrónicos del servidor de correo del DNC.

Según el consejero especial Robert Mueller, los hackers rusos violaron el servidor de Microsoft Exchange del DNC y robaron miles de correos electrónicos en algún momento entre el 25 de mayo y el 1 de junio de 2016, más de tres semanas después de que el DNC contratara a CrowdStrike para protegerse de los hackers y expulsarlos de su red.

Las preguntas planteadas por el testimonio de Henry llevaron a CrowdStrike a publicar una voluminosa actualización la semana pasada de la declaración que emitió en junio de 2016 sobre su trabajo con el DNC. La actualización de 2400 palabras incluye una sola frase que se refiere a la admisión de Henry de no tener evidencia directa de que los datos hayan sido exfiltrados. La frase se refiere solo a una instancia separada de exfiltración en abril y omite el supuesto robo de los correos electrónicos que ocurrió un mes después.

«Shawn Henry declaró en su testimonio al Comité de Inteligencia de la Cámara de Representantes que CrowdStrike tenía indicadores de exfiltración (página 32) y que los datos claramente habían salido de la red», dice la declaración.

En la página 32 de la transcripción de su entrevista, Henry le dice al representante Adam Schiff (D-Calif.) que CrowdStrike tenía indicadores de exfiltración que ocurrieron en abril de 2016. Schiff, refiriéndose a un informe de CrowdStrike que la compañía se ha negado a hacer público, señaló la fecha como el 22 de abril.

En respuesta a las preguntas de Epoch Times sobre el supuesto robo de los correos electrónicos durante la exfiltración por separado a finales de mayo de 2016, cuando CrowdStrike ya estaba comprometido por el DNC, un portavoz de la compañía dijo en un comunicado: «No hay indicios de que haya habido una filtración en ningún servidor del DNC o computadora protegida por la tecnología de CrowdStrike».

La afirmación es notable porque el fundador de CrowdStrike, Dmitriy Alperovitch, le dijo a Esquire en 2016 que el DNC había instalado el software Falcon de CrowdStrike en sus sistemas el 5 de mayo de 2016, tres semanas antes de que el servidor de correo del DNC fuera supuestamente hackeado. CrowdStrike se negó a responder si el servidor de Microsoft Exchange del que supuestamente se robaron los correos electrónicos estaba protegido por Falcon. El sitio web de la compañía describe a Falcon como un software de prevención de filtraciones.

Si el servidor estaba protegido por el software de CrowdStrike, la declaración de la compañía contradiría las conclusiones del abogado especial Mueller, que alegó que los correos electrónicos fueron robados en una filtración separada a finales de mayo.

Si el servidor no estaba protegido, se plantearía la cuestión de si la DNC era consciente de que sus sistemas estaban sujetos a más filtraciones y robos de correos electrónicos después de haber contratado a CrowdStrike para protegerse de los hackers.

CrowdStrike no confirmará si existía un entendimiento con el DNC sobre si los sistemas del comité estaban protegidos contra el robo después de que CrowdStrike fuera contratado. Henry testificó en 2017 que la protección era el objetivo.

«Para ser claros, nuestro objetivo, mi objetivo era proteger al cliente. Fuimos contratados para proteger al cliente. Identificamos un adversario allí. El objetivo era asegurarnos de que el adversario fuera eliminado y que el cliente tuviera un entorno limpio con el que trabajar», dijo Henry a los legisladores.

La nueva declaración de CrowdStrike y la cronología de los hechos muestran que la empresa comenzó su investigación de la filtración el 1 y 2 de mayo de 2016, aproximadamente tres semanas antes de la supuesta filtración y robo de correos electrónicos del servidor de correo de la DNC.

La nueva línea de tiempo choca con la que Alperovitch proporcionó a Esquire en 2016. El fundador de la compañía dijo a la revista que el DNC había contratado a CrowdStrike el 5 de mayo por la noche. CrowdStrike no respondió a la petición para explicar la contradicción.

Según la nueva línea de tiempo, la empresa estaba planeando un «evento de reparación» en el momento del presunto robo de los correos electrónicos. La reparación se llevó a cabo durante tres días a partir del 10 de junio y consistió en el abandono de los servidores hackeados y la configuración de los sistemas de la DNC desde cero. CrowdStrike no respondió a la petición de explicar por qué se tardó 40 días en prepararse para esta tarea relativamente sencilla.

Al representante Devin Nunes (R-California), que presidió el Comité de Inteligencia de la Cámara de Representantes cuando investigó la violación del DNC como parte de una investigación más amplia en Rusia, se le preguntó directamente sobre la afirmación de CrowdStrike de no tener pruebas directas de la exfiltración de correos electrónicos en una entrevista en Fox News el 13 de mayo. Nunes no abordó la pregunta y dijo que «Rusia, China, Corea del Norte, Irán, todos los días, están tratando de entrar y entrar en estos registros oficiales».

«No creo que sea ninguna ciencia pensar que varios países podrían estar irrumpiendo en las agencias gubernamentales a todas horas del día», dijo Nunes.

Wikileaks publicó decenas de miles de correos electrónicos robados del DNC durante el candente ciclo de elecciones presidenciales de 2016, dándole un golpe a la candidatura de Hillary Clinton. Wikileaks ha afirmado repetidamente que Rusia no fue la fuente de los correos electrónicos.

Las publicaciones de Wikileaks sirvieron como parte del predicado para la apertura de la investigación de la campaña de Trump, una investigación del FBI que finalmente se convirtió en la investigación de Rusia por Mueller. El abogado especial no encontró pruebas de colusión entre la campaña de Trump y Rusia.

La nueva información de los republicanos en el Comité de Inteligencia de la Cámara de Representantes llegó en un momento en que las pruebas de la exfiltración de los correos electrónicos por parte de Rusia empezaban a parecer cada vez más inestables.

El abogado especial acusó a los hackers rusos en julio de 2018 por supuestamente hackear un servidor Microsoft Exchange del DNC y robar miles de correos electrónicos. La única evidencia ofrecida en la acusación es que un presunto operativo ruso buscó comandos de Microsoft Exchange Server alrededor del mismo tiempo.

Mueller suavizó el lenguaje en torno al supuesto robo para cuando emitió su informe final en marzo de 2018, afirmando que los operativos rusos «parecen haber robado miles de correos electrónicos y archivos adjuntos».

Antes de la acusación y el informe de Mueller, tres fuentes de pruebas afirmaron que los operativos rusos robaron los correos electrónicos: El informe de CrowdStrike del 14 de junio de 2016 sobre la intrusión; el informe de análisis del 30 de diciembre de 2016 (pdf) sobre la actividad cibernética maliciosa rusa por parte del FBI y el Departamento de Seguridad Nacional; y la evaluación de la comunidad de inteligencia del 6 de enero de 2017 (pdf).

El informe de CrowdStrike sobre el asunto, cuyo autor es Alperovitch, no hace mención alguna a los datos robados, aunque Henry dijo a The Washington Post en un artículo publicado el mismo día que los rusos supuestamente «robaron dos archivos».

En el informe del análisis conjunto se afirmaba que los hackers rusos eran «capaces de obtener acceso y robar contenido, lo que probablemente condujo a la exfiltración de información de múltiples miembros de alto rango del partido».

La comunidad de inteligencia evaluó «con alta confiabilidad» que los hackers rusos «entregaron el material que robaron» del DNC y de altos funcionarios demócratas a WikiLeaks. En la evaluación se señaló que «la alta confiabilidad de un juicio no implica que la evaluación sea un hecho o una certeza; tales juicios podrían ser erróneos».

Según Yared Tamene del DNC, en mayo y junio de 2016, el DNC creó imágenes de 38 sistemas comprometidos por los hackers. De esos, CrowdStrike seleccionó 26 sistemas para una mayor investigación. El FBI solicitó y recibió algunas o todas esas imágenes a través de CrowdStrike. CrowdStrike no respondió cuando se le preguntó si el servidor de Microsoft Exchange era una de las imágenes del sistema entregadas al FBI. El FBI no respondió cuando se le preguntó si el servidor estaba entre las imágenes.

Sigue a Ivan en Twitter: @ivanpentchoukov


Apoye nuestro periodismo independiente donando un «café» para el equipo.


A continuación

China, Rusia, Corea del Norte e Irán forman alianza antiamericana

Cómo puede usted ayudarnos a seguir informando

¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.