Así cayó el primer ciberespía de EE UU, un agente miembro del Opus que grababa sus relaciones sexuales
El exempleado del FBI Eric O’Neill consiguió cazar, gracias a una agenda electrónica, a un infiltrado que vendió información a Rusia durante más de 20 años
Solo tenía 22 años cuando el entonces estudiante de derecho de Washington (EE UU) Eric O’Neill, nacido en 1973, fue reclutado por el FBI, “porque sabía encender un ordenador”, para formar parte del equipo que capturó a Earl Edwin Pitts, un exagente condenado por ser espía de Rusia. Su misión, bajo el alias de Hombre Lobo, era convertirse en “fantasma”, un efectivo encubierto dedicado a seguir a los sospechosos. Cuatro años después, el agente especial Gene McClelland le llamó un domingo por la mañana para encargarle la misión de su vida: detener a Robert Hanssen, un agente del FBI considerado el primer ciberespía de EE UU, miembro activo del Opus Dei y a quien se le intervino, entre numeroso material secreto, archivos audiovisuales de encuentros sexuales con su esposa.
“Era uno de los nuestros y no estábamos preparados”, recuerda ahora O’Neill en Miami, donde ha participado en la primera cumbre de ciberseguridad organizada por la compañía Acronis y a la que ha sido invitado EL PAÍS junto a otros medios internacionales. El ahora abogado y experto en protección informática recuerda un FBI sin medios, donde las computadoras no soportaban los programas habituales que utilizaba cualquier estudiante y solo se disponía de un ordenador por unidad para conectarse a internet. “Era como una casa de una familia numerosa con un solo baño”, bromea.
Hanssen (Chicago, 1944), con formación en empresariales y experto informático, fue agente del FBI desde 1976 y solo tres años después comenzó a espiar para la Unión Soviética y continuó haciéndolo para Rusia hasta su detención el 18 de febrero de 2001. Pitts le señaló como posible agente doble, pero el FBI carecía de pruebas.
La agencia de investigación norteamericana decidió a principios de la pasada década nombrarlo jefe supervisor de la seguridad informática y situar a O’Neill como su asistente personal con el fin de cazarlo con una “pistola humeante”. “Necesitaban cogerle en el acto”, explica el experto en ciberseguridad, quien ha recogido su historia en el libro Gray Day (Crown 2019).
O’Neill, se ganó la confianza de quien era conocido entre los compañeros como Doctor Muerte. Registraba cada movimiento y cada conversación en un disco flexible (floppy disk) que entregaba puntualmente a diario. “Todos tenemos rutinas y los delincuentes también”, comenta O’Neill sobre la clave de su trabajo. De estos comportamientos constantes se obtiene información fundamental: si reduce la velocidad en un lugar determinado es porque está buscando una señal, un mensaje, o si altera su actividad diaria es porque algo anómalo está pasando.
Hanssen percibió un día un aviso de su PDA (agenda personal digital). Era un recordatorio de la hora de la oración. El espía, exluterano que se hizo miembro del Opus Dei, asistía regularmente a misa y regaló un ejemplar de Camino (libro del fundador de la Obra, Escrivá de Balaguer) a su asistente. O’Neill reparó entonces en una rutina que sería clave en la resolución del caso. Su jefe guardaba la PDA en el bolsillo trasero del pantalón y la dejaba en un maletín junto a él cada vez que se sentaba. Nunca se despegaba del dispositivo. O’Neill pensó que el papel de esa agenda electrónica en la vida de su jefe era fundamental.
Una cita fuera de la hermética oficina de Hanssen, que cerraba siempre que se ausentaba y a la que nadie tenía permitido el acceso, fue la oportunidad para que el equipo de contraespionaje accediera a los archivos personales. Tras el encuentro, O’Neill eligió intencionadamente una ruta de vuelta donde sabía que habría un atasco para dar más tiempo a sus compañeros. Descubrieron que el agente del FBI, a quien le asignaron el nombre en clave Gray Day, disponía de documentación sensible, que incluía información sobre el arsenal nuclear de EE UU, y comunicaciones con agentes rusos firmadas como Ramón García o como simplemente B.
Pero no era suficiente. Sólo podían demostrar que Hanssen disponía de material secreto conseguido como “infiltrado de confianza” y gracias a las débiles medidas de seguridad establecidas en aquella época. En una ocasión anterior fue descubierto con material sensible y alegó que lo tenía para demostrar la falta de protección. Ese era su trabajo.
El FBI necesitaba pruebas de que el destino era venderlo a Rusia. Un registro posterior de su vehículo permitió encontrar cinta adhesiva para dejar señales y material impermeable para envolver que hacía sospechar de una entrega inminente. Pero era necesario sorprenderlo en el acto.
O’Neill decidió actuar. Programó una visita inesperada a la oficina de un superior que invitó a Hanssen a practicar tiro. Las armas eran una de sus obsesiones y siempre llevaba una o dos encima. Hanssen no tuvo tiempo de reaccionar y, por primera vez, dejó la PDA en el maletín. El asistente disponía de solo unos minutos. Entró en el despacho, cogió el dispositivo y corrió hacia un despacho donde le aguardaban unos compañeros para copiar los archivos. La información estaba encriptada, por lo que decidieron clonarla y descifrarla más tarde.
O’Neill tuvo el tiempo justo de regresar al despacho y devolver el dispositivo. No recordaba de cuál de los cuatro bolsillos del maletín había cogido la PDA y decidió dejarla en uno de ellos con el temor de que, si Hanssen se daba cuenta, podría sospechar y huir sin completar la entrega.
El espía regresó malhumorado a su despacho y lo primero que hizo fue comprobar que la PDA estaba en el maletín. Llamó a su asistente al despacho y le preguntó: “¿Has estado en mi oficina?”. O’Neill mantuvo la calma: “Los dos hemos estado. Le dejé la memoria en la bandeja. ¿La vio?”. Hanssen guardó silencio y le miró fijamente esperando un gesto comprometedor. “No quiero que entres en mi despacho”, zanjó antes de coger el maletín y dejar las instalaciones del FBI.
La PDA desveló cuándo y dónde se iba a realizar la entrega: el domingo 18 de febrero de 2001 a las ocho de la noche en el parque Foxstone de Virginia. O’Neill relata satisfecho la escena: “Era un día gris y frío. Hanssen había pasado la jornada con su familia y su amigo Jack Hoschouer. Le llevó al aeropuerto y le despidió en la puerta de embarque. Entonces todavía se podía y no hacía falta quitarse los zapatos. Cuando regresó, cogió los archivos envueltos en material impermeable y fue hacia un puente de madera del parque, dejó el paquete en uno de los pilares bajo la estructura, regresó al camino y sonrió. Entonces aparecieron los agentes del FBI, que lo rodearon apuntándole con las armas. ‘Las pistolas no son necesarias’, dijo”.
La información intervenida y los registros posteriores desvelaron un aspecto hasta entonces desconocido de este miembro del Opus Dei de misa diaria. Robert Hanssen grababa sus relaciones sexuales con su esposa y las compartía con Hoschouer. También fueron detectados mensajes en chats de internet en los que describía los detalles de su vida sexual y registros de numerosos encuentros con una bailarina de un club de strippers de Washington, a la que, después de entregarle valiosos regalos, incluido un coche de la marca Mercedes, dejó poco antes de su detención. Eran evidencias de la doble vida que llevó Hanssen en todos los ámbitos durante más de 20 años y a la que eran ajenas las personas más cercanas a él, incluida su familia. Fue el final del considerado por el Departamento de Justicia como “el peor desastre de inteligencia en la historia de los EE UU”.
"Cualquier tecnología puede ser objeto de abuso"
Eric O’Neill dejó el FBI tras el caso y fundó el grupo Georgetown, una firma de investigación y seguridad. También figura como experto en protección nacional de la entidad Carbon Black.
Pregunta. ¿Sigue vinculado al contraespionaje?
Respuesta. Mi trabajo ha sido llevar mi experiencia en la captura de espías a la ciberseguridad. Las principales compañías tratan de comprender y predecir las amenazas antes de que se produzcan. Existe el elemento humano para identificar riesgos y comprender cuáles son las siguientes amenazas en la cadena. Y, por supuesto, está el componente tecnológico, porque nada de esto se puede hacer sin la mejor tecnología.
P. ¿Dónde se detectan las amenazas?
R. Hay que pasar mucho tiempo con equipos de análisis de amenazas en la web oscura, donde se siguen, compran y venden todas las herramientas. Y luego se realiza una ingeniería inversa para proteger y encontrar una solución contra ellas.
P. ¿Hay una solución global?
R. Hay muchas compañías de seguridad cibernética con buenas soluciones. Las que tienen mayor éxito son las que tienen un enfoque de colaboración a gran escala. ¿Un mundo seguro ante los ciberataques? Creo que es muy difícil debido a internet. El FBI acaba de emitir una advertencia sobre programas maliciosos capaces de superar la autenticación de dos factores. Además, las personas pueden ser engañadas solo con la ingeniería social. Creo que hay un par de cosas que sucederán en el futuro: vamos a adoptar completamente la nube, porque eso permite usar instantáneamente inteligencia artificial y análisis, actualizar todo para abordar la amenaza cuando golpea y antes de que ocurra, así como proteger todo lo que se encuentre en el mismo entorno; por otro lado, las contraseñas desaparecerán. Son arcaicas y el talón de Aquiles ante cualquier ataque. Creo que la biometría será el gran cambio.
P. Y las entidades, ¿están protegidas?
R. Para proteger una compañía, tienes que ser mejor que los atacantes, que siempre van a ir a por la fruta baja [la que sea de más fácil acceso]. Existe una teoría de seguridad llamada desplazamiento: alejar el crimen de la entidad que se está protegiendo al hacer que la seguridad sea mejor que la de todos los demás. Las mejores compañías cibernéticas van a sobrevivir y prosperar, y las pobres serán las que fracasarán y se hundirán.
P. ¿Hay que renunciar a la privacidad por la seguridad?
R. Estoy de acuerdo con las leyes de protección de datos. Son buenas. Una de las formas fundamentales de proteger la información es aislarla, limitar las personas de dentro y fuera de la empresa que tienen acceso a ella, los puntos de acceso. Al hacerlo, hay más posibilidades de protegerla. Por otra parte, el uso de biometría, por ejemplo, en los aeropuertos puede ser beneficioso. ¿Dónde está el límite? Cualquier tecnología puede ser objeto de abuso.
P. ¿Qué piensa del pago de rescate por secuestros informáticos?
R. Si no se paga, el secuestro no tiene sentido. Es preferible no pagar, pero hay que tener en cuenta circunstancias particulares. Si una entidad no dispone de una copia de seguridad de sus sistemas puede perder una enorme cantidad de dinero por un secuestro y, quizás, hundirse. Se puede pensar entonces que es más rentable, como decisión comercial, pagar 10.000 dólares. Los secuestradores son inteligentes y saben dónde atacar. Incluso conocen la situación financiera de la entidad para pedir lo que pueden pagar. Son muy silenciosos, meticulosos y ejecutan, durante meses, ataques lentos donde comprometen múltiples sistemas, roban datos y aprenden muchísimo sobre la empresa o el Estado o la ciudad. Buscan organizaciones que tienen mucha presión, como las ciudades o los hospitales.
P. ¿La próxima generación de terrorismo será cibernético?
R. No es la próxima generación, ya lo es. Ya existen numerosos ataques a infraestructuras críticas que han afectado a los Estados Unidos y a otros países. Las guerras del futuro no van a ser con balas y armas, van a ser en el ciberespacio.
Sobre la firma
