Por @Alvy — 26 de Diciembre de 2005

Aunque el artículo original se refiere a la NSA, esta técnica tiene un alcance mucho más universal. También aplicaciones más prácticas si tu nivel de paranoia no es tan alto como para creer que realmente te espía la NSA.

Recordatorio rápido sobre qué es la NSA:

Por si alguien todavía no lo sabe, la NSA es la agencia de los Estados Unidos que espía a los invividuos, organizaciones y países extranjeros, frente a (como se explicaba jocosamente en Sneakers) el FBI, que es quien espía a los ciudanos norteamericanos, y la CIA, que es quien derroca gobiernos extranjeros. Simplemente en tamaño, personal y presupuesto, la NSA supera al FBI y la CIA juntos, que son agencias más conocidas y con más visibilidad.
La técnica que se explica a continuación es totalmente de baja tecnología y fácil de poner en práctica si sabes algo acerca de cómo crear una página web y leer los logs del servidor (poner un contador de visitas también puede valer). Puede detectar a la NSA y a otras entidades/personas:

Is the NSA Reading Your E-Mail? - Richard M Smith ha publicado algunas ideas interesantes sobre cómo comprobar si la NSA está leyendo tu correo. Con toda la controversia acerca de lo que la NSA está monitorizando desde el 11-S, entre llamadas de teléfono y mensajes de correo entre los propios estadounidenses, hay quien realmente está preocupado por si realmente están leyendo su correo. El siguiente método es muy simple de poner en práctica y sirve para descubrir si alguien está leyendo tu correo:
  1. Crea una cuenta por ejemplo en Hotmail.
  2. Crea una segunda cuenta de correo en un proveedor que no esté en los Estados Unidos (por ejemplo, Rediffmail.com)
  3. Envíate mensajes entre las dos cuentas, con algo que pudiera ser de interés para la NSA.
  4. En los mensajes, incluye una URL a un servidor web al que tengas acceso y en el que puedas ver los logs. Esa URL sólo la debes conocer tú y no debe estar enlazada desde ninguna otra página [ni contener enlaces que tú mismo pulses]. El texto del mensaje debe ser atractivo como para que si hay alguien de la NSA monitorizándote quiera visitar la URL.
  5. Si ves en el archivo de logs del servidor que alguien ha pedido esa URL, ya sabes que realmente te están espiando. La IP de origen de esa petición puede que revele algo acerca de quién está haciéndolo.
Un detalle importante que no se recalca en el original pero que he añadido entre [corchetes] es el de que no haya enlaces en la «página cebo». Mejor que no tenga, pero si por algúna razón tiene, es importante que tú mismo no pulses esos enlaces para comprobarlos, porque entonces se enviaría esa URL supuestamente secreta como referer al servidor destino, y podrían llegar a la larga visitas «normales» (en vez de la NSA ;-) No te pierdas en el original los consejos para hacer el mensaje «interesante» para la NSA. Además de prácticos son divertidos.

Puedo asegurar que funciona. He visto poner en práctica alguna variación de este sistema para «cazar anónimos», o cuando alguien sospecha que otra persona conoce su contraseña de correo. Espectacular. En vez de esperar a ver si te espían, se pueden ofrecer cebos interesantes por email al «anónimo» (que es alguien cuya identidad no se conoce pero tiene un correo anónimo que es público) o al «espía» que sospechas que lee tu correo. Al final «pican». El truco es enviar correos suficientemente «jugosos» como para picar la curiosidad. Un blogger anónimo que molestaba a un montón de gente tuvo que dejar de escribir súbitamente cuando le pillaron con las manos en la masa visitando una URL «cebo» de este estilo. Sucedió que para colmo picó el cebo desde una IP fija: la de su casa. Así que la identificación de su verdadera identidad resultó inequívoca.

Si pruebas el truco y te llega una visita desde Fort Meade, Maryland ¡ya sabes lo poco seguro que está tu correo!

(Vía Schneier on Security.)

Actualización: un lector del post original comenta que podría suceder que hubiera falsos positivos: por alguna razón un robot-araña, un antivirus, anti-spyware, anti-spam o similar podría comprobar las URLs que hay en los mensajes. La forma de hacerlo a prueba de errores sería poner en la página un botón POST que dijera "Enviar" o algo parecido, porque las arañas no pulsan los botones. (Yo diría que si usas una cuenta Hotmail por un lado y un buzón POP3 normal y corriente de tu proveedor de Internet en España no tienes ese problema.)

Por cierto que justamente se ha publicado The Agency That Could Be Big Brother en el New York Times, un buen artículo sobre la NSA de James Bamford, autor de los clásicos The Puzzle Palace y Body of Secrets.

Compartir en Flipboard  Compartir en Facebook  Tuitear