CIA. AP

Como parte de la serie de filtraciones Vault7, WikiLeaks ha publicado los detalles de ELSA, un método que la CIA utiliza para geolocalizar equipos con Windows. No se trata de una herramienta cualquiera, el malware podría saber el lugar donde se encuentra cualquier usuario que tenga habilitada la wifi.

Cuando decimos “habilitada” no nos referimos a estar conectado a una red, ya sea pública o privada, nos referimos simplemente a que esté activada la función de búsqueda de redes disponibles.

Advertisement

Para ello, la herramienta infecta los dispositivos de destino con malware que identifica a qué redes públicas se puede conectar un equipo en un momento dado, así como las intensidades de la señal de esas redes. A partir de ese momento, el programa es capaz de comparar la lista de las wifi disponibles con las bases de datos de redes públicas. De esta forma, averigua el lugar donde está el dispositivo.

Los documentos detallan que ELSA comenzó en el 2013, según Wired, en aquella época estaba dirigido específicamente a Windows 7, pero la técnica es lo suficientemente simple como para que la agencia pueda tener una versión de la misma para cada versión posterior del sistema operativo. Según el experto en seguridad, Alex McGeorge:

Esta técnica se ha hecho y se conoce desde hace mucho tiempo, aunque con otros dispositivos. Es como si me dieran toda la información de las radios de su ordenador para tratar de obtener la mejor solución dada su ubicación.

Obviamente, la técnica sólo funciona en equipos con wifi habilitadas, más o menos el 99% de ellos. Una vez instalado el malware (lo hace a través de distintos exploits), ELSA puede registrar la dirección MAC, el identificador ESS (la huella digital de una red wifi) y como decíamos, la fuerza de la señal. Según el informe:

La máquina de destino no tiene que estar online o conectada a un punto de acceso para recoger los datos. Tan sólo debe estar en ejecución con un dispositivo wifi habilitado.

En el caso de estar conectado a Internet, ELSA lleva a cabo el resto del trabajo. Entonces el malware usa las bases de datos de localización geográfica de Microsoft y Google para determinar la ubicación del equipo. Posteriormente, guarda los datos y las coordenadas en una copia cifrada en el interior del ordenador. Esa copia, supuestamente, se envía a los servidores de la agencia en algún momento.

Advertisement

Por cierto, los investigadores señalan que las bases de datos wifi de Google y Microsoft se han expandido y mejorado desde el 2013, así que es muy probable que la herramienta de espionaje no haya hecho más que mejorar con el tiempo. [Wired]