Ilustración: Jim Cooke/GMG, fotografía: Getty

Hace dos semanas, en una esplendorosa ma√Īana de primavera, desplegamos nuestras redes por la costa de Florida, aunque esta vez no est√°bamos buscando peces.

Aparcamos un bote de motor de unos 5 metros en una laguna a unos 243 metros del jard√≠n trasero del club Mar-a-Lago en Palm Beach, conocido como ‚Äúla Casa Blanca de invierno‚ÄĚ. All√≠, apuntamos una antena inal√°mbrica de medio metro en direcci√≥n al club. En menos de un minuto, ubicamos tres redes wifi pobremente encriptadas. Hubi√©semos podido, perfectamente, hackearlas en menos de cinco minutos, pero nos abstuvimos.

Advertisement

Unos d√≠as despu√©s, fuimos en coche hasta los jardines del Trump National Golf Club en Bedminster, en Nueva Jersey, con la misma antena, que apuntamos a la casa del club. Esta vez, identificamos dos redes wifi a las que, insistimos, cualquiera hubiese podido ingresar sin necesidad de una contrase√Īa. Nosotros pudimos resistir la tentaci√≥n.

Tambi√©n visitamos dos de las casas de retiro familiar del presidente Donald Trump: el Trump International Hotel en Washington D.C. y un club de golf en Sterling en Virginia. Nuestra inspecci√≥n encontr√≥ redes wifi abiertas y d√©biles: impresoras inal√°mbricas sin contrase√Īa, servidores con software desfasado y vulnerable, y p√°ginas de acceso privado sin ninguna encriptaci√≥n, lo que permite a una capa de acceso de datos que puede contener informaci√≥n delicada y confidencial.

Advertisement

Los riesgos que plantea esta seguridad tan laxa, dicen los expertos, va más allá del simple fisgoneo digital. Ataques sofisticados podrían aprovecharse de la vulnerabilidad de las redes wifi para controlar dispositivos como computadoras o smartphones y usarlos para grabar conversaciones que involucren a cualquiera de los que se encuentren en las instalaciones.

‚ÄúTodas esas redes deben de estar siendo rastreadas por intrusos extranjeros, no solo por ProPublica [y Gizmodo]‚ÄĚ, dijo Dave Aitel, director ejecutivo de Immuniti, Inc., una compa√Ī√≠a de seguridad digital, cuando le comentamos qu√© hab√≠amos encontrado.

Fuimos en bote al lago próximo a Mar-a-Lago par echar un vistazo a las inseguras redes wifi, usando simplemente una antena direccional y un software convencional. Fotografía de Surya Mattu

Advertisement

Los fallos de seguridad no son inusuales en la industria hospitalaria, la cual ‚ÄĒal igual que la mayor√≠a de industrias y agencias del Gobierno‚ÄĒ han visto incrementado el n√ļmero de ataques cibern√©ticos recibidos. Sin embargo, estos fallos son mucho m√°s preocupantes en lugares que visitan regularmente el presidente de los Estados Unidos, otros jefes de Estado y funcionarios p√ļblicos.

Los l√≠deres de los Estados Unidos no pueden permitirse este tipo de vulnerabilidades. Como mostraron las campa√Īas presidenciales de Estados Unidos y Francia, los hackers han explotado cada vez m√°s las debilidades de los sistemas de seguridad de Internet con el objetivo de influir en las elecciones o en la pol√≠tica nacional. La semana pasada, ciberataques que utilizaban software robado de la Agencia Nacional de Seguridad paralizaron las operaciones en al menos una docena de pa√≠ses, afectando por ejemplo al Servicio Nacional de Salud del Reino Unido y al Ministerio del Interior de Rusia, entre otros.

Advertisement

Desde la elecci√≥n, Trump ha recibido en sus propiedades al presidente de China, Xi Jinping; al primer ministro japon√©s, Shinzo Abe, y al pol√≠tico brit√°nico Nigel Farage. El problema de ciberseguridad que descubrimos podr√≠a permitir que esos debates diplom√°ticos ‚ÄĒas√≠ como otras conversaciones sobre temas confidenciales‚ÄĒ puedan ser escuchados y grabados por los hackers.

La Organizaci√≥n Trump aplica ‚Äúlas mejores pr√°cticas en ciberseguridad‚ÄĚ, dijo la portavoz Amanda Miller. ‚ÄúComo casi cualquier otra compa√Ī√≠a hoy en d√≠a, somos atacados rutinariamente por ciberterroristas cuyo √ļnico objetivo es infligir da√Īo a los grandes negocios americanos. Aunque no comentaremos asuntos espec√≠ficos de seguridad, confiamos en los pasos que hemos dado para proteger nuestro negocio y salvaguardar nuestra informaci√≥n. Nuestro equipo trabaja diligentemente para implementar la mejor clase de firewall y plataformas de protecci√≥n con monitoreo constante las 24 horas del d√≠a‚ÄĚ.

La Casa Blanca no brind√≥ ning√ļn comentario pese a nuestras constantes solicitudes.

Advertisement

Las propiedades de Trump han sido hackeadas anteriormente. El a√Īo pasado, la cadena de hoteles Trump pago $50,000 para resolver los cargos presentados por el fiscal general de Nueva York en torno a que no hab√≠a explicado debidamente la p√©rdida de m√°s de 70,000 n√ļmeros de tarjetas de cr√©dito y 302 de seguridad social. Los fiscales, por su parte, alegaron que el sistema de tarjetas de cr√©dito del hotel fue ‚Äúel blanco de un ciberataque‚ÄĚ debido a su deficiente seguridad. Finalmente, la compa√Ī√≠a acord√≥ reforzar este sistema, aunque no estamos seguros si es que las vulnerabilidades que encontramos significan una violaci√≥n de ese acuerdo. Un portavoz del fiscal general de Nueva York prefiri√≥ no hacer comentarios.

Advertisement

Nuestra experiencia también indica que es fácil obtener acceso físico a las propiedades de Trump, al menos cuando el presidente no se encuentra en ellas. Como lo ha reportado anteriormente Politico, los clubes y hoteles Trump están pobremente resguardados. Fuimos en coche hasta el frente de Mar-a-Lago y aparcamos un bote cerca. Fuimos en coche hasta cerca del campo de golf de Bedminster, y también al parking del campo de golf en Sterling en Virginia. Nadie nos hizo pregunta alguna.

Tanto el presidente Obama como el presidente Bush en ocasiones vacacionaban en un refugio presidencial más tradicional: el campamento militar Camp David. Las computadoras y redes allí y en la Casa Blanca son administradas por la Agencia de Sistemas de Información de Defensa (DISA, en inglés).

En 2016, los militares gastaron $64 millones en el mantenimiento de las redes de la Casa Blanca y Camp David, y m√°s de $2 millones en ‚Äúsoluciones de defensa, personal, t√©cnicas y las mejores pr√°cticas para defender, detectar y mitigar amenazas cibern√©ticas‚ÄĚ que intenten hackear sus redes.

Advertisement

Incluso despu√©s de gastar millones de d√≥lares en seguridad, la Casa Blanca admiti√≥ en 2015 que fue hackeada por Rusia. Tras el hackeo, la Casa Blanca reemplaz√≥ todos sus sistemas inform√°ticos, seg√ļn una persona conocedora de la materia. A todos los empleados que trabajan en la Casa Blanca se les dice que ‚Äúhay gente que constantemente est√° mirando lo que hacen‚ÄĚ, dijo Mikey Dickerson, quien dirigi√≥ el Servicio Digital de los Estados Unidos durante per√≠odo de Obama.

En comparaci√≥n, Mar-a-Lago presupuest√≥ $442,931 para seguridad en 2016 ‚ÄĒpoco m√°s del doble que la cuota de membres√≠a para un nuevo miembro del club‚ÄĒ. La Organizaci√≥n Trump se neg√≥ a decir a cu√°nto ascienden los gastos espec√≠ficos de Mar-a-Lago en lo que respecta a seguridad digital. El club, que seg√ļn el √ļltimo reporte cuenta con 500 miembros que pagan anualmente $14,000 cada uno, asign√≥ $1,703,163 para toda su administraci√≥n el a√Īo pasado, de acuerdo con los documentos archivados en una demanda de Trump contra el Condado de Palm Beach, en un esfuerzo por evitar que los vuelos comerciales sobrevuelen Mar-a-Lago. La demanda fue desestimada, pero la Administraci√≥n Federal de Aviaci√≥n (FAA en ingl√©s) actualmente restringe vuelos sobre el club cuando el presidente est√° all√≠.

Advertisement

No queda claro si es que Trump se conecta a estas redes inseguras cuando visita las propiedades de su familia. Cuando viaja, al presidente se le provee de un equipo de comunicación portátil que es totalmente seguro. Por ejemplo, Trump rastreó el ataque militar a una base aérea en Siria el mes pasado desde una sala de crisis en Mar-a-Lago con un equipo de vídeo seguro.

Sin embargo, Trump ha celebrado reuniones importantes en espacios p√ļblicos dentro de sus propiedades. La m√°s famosa es la que tuvo en febrero con el primer ministro japon√©s, con quien discuti√≥ en el patio de Mar-a-Lago sobre una prueba de lanzamiento de misil de Corea del Norte. En el curso de esa semana en febrero, la cuenta en Twitter del presidente poste√≥ 21 tweets desde un m√≥vil Android. Un an√°lisis realizado por un sitio web especializado en este sistema operativo mostr√≥ que Trump ha usado la misma marca de m√≥vil desde 2015. El dispositivo que usa es un modelo antiguo que no est√° aprobado por la Agencia de Seguridad Nacional (NSA en ingl√©s) para uso clasificado.

Un invitado en Mar-a-Lago fotografió a Trump y su personal dando indicaciones al primer ministro japonés, Shinzo Abe, acerca de la prueba de lanzamiento de misil de Corea del Norte en febrero. Cualquier dispositivo conectado a la red wifi de Mar-a-Lango podría haberse visto comprometido al ataque de un hacker. Fotos de Facebook de Richard DeAgazio.

Advertisement

Fotos de Trump y Abe tomadas por unos comensales en aquella ocasión provocaron que cuatro senadores demócratas preguntasen a la Oficina de Responsabilidad Gubernamental (GAO en inglés) que investigue si las comunicaciones electrónicas eran seguras en Mar-a-Lago.

En marzo, la GAO accedi√≥ a abrir una investigaci√≥n al respecto. Chuck Young, un portavoz de esa oficina, dijo en una entrevista que el trabajo se encontraba en ‚Äúlas etapas iniciales‚ÄĚ, y no ofreci√≥ un tiempo estimado de cu√°ndo se podr√≠a contar con un reporte completo.

Advertisement

Entonces, decidimos probar la ciberseguridad de los lugares preferidos de Trump.

Nuestra primera parade fue Mar-a-Lago, un club campestre de Trump en Palm Beach, Florida, donde el presidente pasa la mayor√≠a de los fines de semana desde que asumi√≥ el cargo. Conduciendo por el club, captamos la se√Īal de una impresora y esc√°ner que hab√≠a estado accesible desde febrero de 2016, seg√ļn una base de datos p√ļblicas de redes wifi.

Una impresora abierta puede sonar inocua, pero es muy √ļtil para los hackers: les permite desde captar todos los documentos enviados al dispositivo hasta infiltrarse a toda la red.

Advertisement

Para prevenir este tipo de ataques, la Agencia de Sistemas de Informaci√≥n de Defensa, que protege a la Casa Blanca y otras redes militares, proh√≠be expresamente la instalaci√≥n de impresoras desde las cuales cualquiera pueda conectarse desde una red externa. Tambi√©n advierte acerca del uso de impresoras que incorporan otras funciones, como la de enviar fax. ‚ÄúSi un atacante obtiene acceso a la red a trav√©s de uno de estos dispositivos, se queda expuesto a una amplia gama de software malicioso‚ÄĚ, advierte la agencia en su gu√≠a de seguridad.

Pudimos, también, detectar un router mal configurado y sin encriptar, lo que potencialmente dejaría la puerta abierta para los hackers.

Advertisement

Para obtener una mejor vista, rentamos un bote y lo piloteamos hasta divisar el club. All√≠, captamos se√Īales de la red inal√°mbrica del club, tres de las cuales estaban protegidas con una d√©bil y pasada de moda forma de encriptaci√≥n conocida como WEP. En 2005, un agente del FBI, p√ļblicamente, quebr√≥ este tipo de encriptaci√≥n en solo minutos.

En comparaci√≥n, los militares limitan la fuerza de la se√Īal de las redes en lugares como Camp Davis y la Casa Blanca; de esa manera, son inalcanzables desde un coche que pasa por ah√≠. Requiere, adem√°s, que las redes inal√°mbricas usen la m√°s fuerte forma de encriptaci√≥n disponible.

Desde nuestros escritorios de Nueva York, pudimos determinar que la página web del club alberga una base de datos con una página de inicio de sesión insegura que no está protegida con encriptación estándar. Estos formularios de acceso son considerados un riesgo severo, de acuerdo con la Agencia de Sistemas de Información de Defensa.

Advertisement

Sin encriptaci√≥n, los esp√≠as podr√≠an fisgonear en la red hasta que un empleado del club se registre, y luego robar su nombre de usuario y contrase√Īa. Luego, podr√≠an descargar una base de datos que podr√≠a incluir informaci√≥n sensible sobre los miembros del club y sus familias, seg√ļn un v√≠deo publicado por el proveedor de software del club.

Una p√°gina de inicio de sesi√≥n de A Mar-a-Lago, administrada por un sitio web sin encriptaci√≥n est√°ndar. Un intruso que obtenga acceso a la red de Mar-a-Lango podr√≠a obtener los nombres de usuario y contrase√Īas de cualquiera que inicie sesi√≥n.

Esto es ‚Äúmalo, muy malo‚ÄĚ dijo Jeremiah Grossman, jefe de Seguridad Estrat√©gica para la firma de ciberseguridad SentinelOne. ‚ÄúSupongo que los datos ya han sido robados y los sistemas, comprometidos‚ÄĚ.

Advertisement

Unos días después, llevamos nuestro equipo a otro club Trump en Bedminster, Nueva Jersey. Previo a su toma de mando, Trump entrevistó a candidatos para los puestos más altos de la administración, incluyendo a James Mattis, actual secretario de Defensa.

Conducimos por una carretera de tierra hasta cerca de los campos de golf y detectamos dos redes wifi abiertas: ‚ÄúTrumpMembers‚ÄĚ y ‚ÄúWelcomeToTrumpNationalGolfClub‚ÄĚ, las cuales no ped√≠an contrase√Īa de acceso.

Advertisement

Este tipo de redes permite que cualquiera con el alcance suficiente recoja toda la actividad en Internet no encriptada que est√© ocurriendo en el lugar. Esto podr√≠a, en sitios inseguros, incluir nombres de usuarios, contrase√Īas y correos electr√≥nicos.

Robert Graham, un experto en ciberseguridad de Atlanta, Georgia, dijo que los hackers pueden usar el wifi abierto para encender remotamente los micr√≥fonos y c√°maras de los dispositivos conectados a la red. ‚ÄúLo que est√°s describiendo es la t√≠pica seguridad de hotel‚ÄĚ, nos dijo, pero ‚Äúes muy preocupante‚ÄĚ que un atacante pueda escuchar conversaciones sensibles en materia de seguridad nacional.

Dos días después de que visitamos el club Bedminster, Trump llegó para pasar allí el fin de semana.

Advertisement

Luego visitamos el Hotel Internacional Trump en Washington D.C., donde el presidente a veces cena con su yerno y asesor Jared Kushner, cuyas responsabilidades van desde la diplomacia en Oriente Medio hasta la renovación de la burocracia federal. Decidimos examinar las redes desde un Starbucks ubicado en el sótano del hotel.

Desde ahí, vimos que había dos redes wifi en el hotel, protegidos por lo que se conoce como un portal cautivo. Estas pantallas de inicio de sesión son usualmente utilizadas en aeropuertos y hoteles para asegurarse de que solo los clientes que hayan pagado puedan acceder a la red.

Advertisement

Sin embargo, obtuvimos acceso a las dos redes simplemente digitando ‚Äú457‚ÄĚ en la casilla de n√ļmero de habitaci√≥n. Como dimos un n√ļmero de habitaci√≥n, el sistema asumi√≥ que √©ramos hu√©spedes. Antes de cerrar sesi√≥n, buscamos la direcci√≥n de IP p√ļblica del hotel.

Desde nuestro escritorio en Nueva York, pudimos tambi√©n ver que el hotel est√° usando un servidor que es accesible desde la Internet p√ļblica. Este servidor utiliza un software que fue lanzado hace casi 13 a√Īos.

Advertisement

Finalmente, visitamos el Trump National Golf Club en Sterling, Virginia, donde el presidente suele jugar golf. Desde el estacionamiento, pudimos reconocer tres redes inalámbricas encriptadas, un móvil inalámbrico encriptado y dos impresoras con acceso wifi libre.

El sitio web del club Trump est√° administrada por una compa√Ī√≠a llamada Clubessential, ubicada en Ohio. Ofrece de todo, desde administraci√≥n back-office y comunicaci√≥n de socios hasta reservas de campos de golf y habitaciones.

En una presentaci√≥n realizada el 2014, un director de una compa√Ī√≠a de ventas advirti√≥ que la industria del club, en su totalidad, es ‚Äúdemasiado laxa‚ÄĚ para administrar y proteger las contrase√Īas. Ha habido un ‚Äúincremento en el n√ļmero de ataques a sitios web de clubes en los √ļltimos dos a√Īos‚ÄĚ, de acuerdo con el experto. Clubessential ‚Äúrealiz√≥ [una] auditor√≠a de seguridad en la industria del club‚ÄĚ y ‚Äúencontr√≥ que miles de documentos con informaci√≥n sensible de los clubes estaban expuestas en Internet‚ÄĚ, por ejemplo, la ‚Äúlista de socios y trabajadores, as√≠ como su informaci√≥n de contacto, actas de juntas, estados financieros, etc.‚ÄĚ.

Advertisement

A pesar de todo, la compa√Ī√≠a de software del club ha configurado un servidor con una capa de acceso de datos a la que se puede llegar desde Internet, y cuya encriptaci√≥n est√° configurada incorrectamente. Cualquiera que alcance la p√°gina de inicio recibe una advertencia de que la encriptaci√≥n est√° rota. En su documentaci√≥n, la compa√Ī√≠a aconseja a los administradores del club que ignoren esta advertencia y se registren a pesar de todo. Eso significa que cualquiera que fisgonee en la conexi√≥n desprotegida puede interceptar las contrase√Īas de los administradores y obtener acceso al sistema entero.

Clubessential, la compa√Ī√≠a del software usado por los campos de golf de Trump para la gesti√≥n de invitados, advierte a sus clientes iniciar sesi√≥n en su sitio web incluso despu√©s de haberles advertido que la conexi√≥n no es segura.

La compa√Ī√≠a tambi√©n publica en l√≠nea, sin una contrase√Īa, muchos de los ajustes predeterminados y nombres de usuarios para su software. Es decir, en esencia, proporciona una hoja de ruta para cualquier intruso.

Advertisement

Clubessential rechaz√≥ hacer alg√ļn comentario.

Aitel, el CEO de Immunity, dijo que los problemas de las propiedades de Trump dif√≠cilmente podr√°n arreglarse: ‚ÄúUna vez que est√°s en un nivel bajo en lo que respecta a seguridad, es dif√≠cil desarrollar un sistema de red seguro. Tienes que, b√°sicamente, empezar desde cero‚ÄĚ.

Este historia surge de una colaboración entre Gizmodo Media Group Special Projects Desk y ProPublica.