Una hacktivista se topa con secretos de seguridad de EEUU, incluida la lista antiterrorista del FBI de personas vetadas para volar: lo que encuentra revela una "perversa consecuencia del estado de vigilancia"

La lista secreta de 'exclusión aérea' del Centro de Detección de Terrorismo del FBI se ha vuelto mucho menos misteriosa gracias a una aburrida hacker suiza que exploraba servidores no seguros en su tiempo libre.

Maia Arson Crimew, descrita por el Departamento de Justicia como una "prolífica" hacker en una acusación no relacionada, ha declarado que estaba haciendo clic en un motor de búsqueda en línea lleno de servidores no protegidos el 12 de enero cuando accedió a uno mantenido por una aerolínea poco conocida y encontró los documentos altamente sensibles, junto con lo que ella llama un "premio gordo" de otra información.

Daily Dot ha sido el primero en informar el pasado jueves de que el servidor, alojado por CommuteAir, una aerolínea regional asociada con United Airlines para formar rutas United Express, contenía entre sus archivos una versión redactada de 2019 de la lista antiterrorista de 'exclusión aérea'. 

Los archivos "NoFly.csv," y "selectee.csv" encontrados por Crimew contienen más de 1,8 millones de entradas que incluyen nombres y fechas de nacimiento de personas que el FBI identifica como "terroristas conocidos o sospechosos" a los que se impide embarcar en aviones "cuando vuelan dentro, hacia, desde y sobre los Estados Unidos".

Se filtra en la red una lista con datos de casi 2 millones de personas sospechosas por terrorismo: muchas podrían ser inocentes y estar en peligro

Un portavoz de la aerolínea ha confirmado a Business Insider la autenticidad de los archivos y compartido que en el pirateo también se ha encontrado información personal identificable perteneciente a empleados.

"Basándonos en nuestra investigación inicial, no se expusieron datos de clientes", apunta Erik Kane, portavoz de CommuteAir, en una declaración a Business Insider: 

"CommuteAir desconectó inmediatamente el servidor afectado e inició una investigación para determinar el alcance del acceso a los datos. CommuteAir ha informado de la exposición de datos a la Agencia de Ciberseguridad y Seguridad de Infraestructuras y también ha notificado a sus empleados", añade.

La Administración de Seguridad en el Transporte (agencia del Gobierno de EEUU) ha confirmado a Business Insider que ha sido informada del incidente: "Estamos investigando en coordinación con nuestros socios federales", comparte Lorie Dankers, portavoz de la TSA, en un comunicado al medio.

El FBI no ha respondido inmediatamente a la solicitud de comentarios por parte de Business Insider.

Secretos fácilmente accesibles

Crimew ha declarado a Business Insider que solo tardó unos minutos en acceder al servidor y encontrar las credenciales que le permitieron ver la base de datos. Cuenta que estaba explorando los servidores como una forma de combatir el aburrimiento mientras estaba sentada sola y que no tenía intención de descubrir algo con implicaciones para la seguridad nacional de Estados Unidos.

Mientras navegaba por los archivos del servidor de la empresa, "caí en la cuenta de lo mucho que me había adueñado de ellos en tan solo media hora más o menos", escribe Crimew en una entrada de su blog en la que detalla el hackeo. 

Las credenciales que ha encontrado, que le dan acceso a los archivos, también le permitirían acceder a las interfaces internas que controlan el repostaje de combustible, la cancelación y actualización de vuelos y el cambio de miembros de la tripulación, si así lo deseara, publica.

Los archivos masivos, revisados por Business Insider, contienen más de una docena de alias de Viktor Bout, el "Mercader de la Muerte" ruso que fue canjeado en un intercambio de prisioneros por la jugadora de baloncesto Brittney Griner, así como un gran número de nombres de personas sospechosas de crimen organizado en Irlanda.

La pesadilla tras Pegasus continúa: detectan un nuevo programa espía que está atacando a usuarios de Android en Oriente Medio

Sin embargo, Crimew señala que hay una tendencia notable entre los nombres. "Al examinar los archivos, se confirmaron muchas de las cosas que yo, y probablemente todos los demás, sospechábamos en cuanto a los prejuicios de la lista. Basta con desplazarse por ella para ver que casi todos los nombres son de Oriente Medio", declara Crimew a Business Insider.

Edward Hasbrouck, autor y defensor de los derechos humanos, escribe en su análisis de los documentos que las listas "confirman (1) la islamofobia de la TSA, (2) el exceso de confianza en la certeza de sus predicciones previas a la delincuencia y (3) el avance de la misión".

"El patrón más obvio en los datos es la abrumadora preponderancia de nombres árabes o de apariencia musulmana", recoge Hasbrouck en un ensayo publicado el viernes por Papers, Please, un grupo de defensa dedicado a abordar la progresiva aplicación de normas nacionales de viaje basadas en la identidad.

Avance de la misión "No volar"

La lista de personas a las que se prohíbe volar se creó bajo el gobierno de George W. Bush y al principio era una pequeña lista de personas a las que se impedía volar en vuelos comerciales debido a amenazas concretas. 

La lista se formalizó y amplió enormemente su alcance tras los atentados terroristas del 11 de septiembre en Nueva York, una tragedia nacional que generó un repunte de la discriminación y los delitos de odio contra los musulmanes en todo el país, según el Departamento de Justicia de EEUU. 

La inclusión en la lista impide embarcar en aviones que vuelen dentro de Estados Unidos, con origen o destino en ese país, o que lo sobrevuelen, a las personas que el FBI identifique como "susceptibles de representar una amenaza para la aviación civil o la seguridad nacional". No es necesario que hayan sido acusados o condenados por un delito para ser incluidos, basta con que sean "razonablemente sospechosos" de ayudar o planear actos de terrorismo.

En los años transcurridos desde que se elaboró la lista original de "exclusión aérea", esta ha obtenido el reconocimiento federal oficial y ha pasado de solo 16 nombres, según la ACLU (Unión Estadounidense por las Libertades Civiles, por sus siglas en inglés), a las 1.807.230 entradas que figuran en los documentos encontrados por Crimew.

Al mirar la lista, señala Crimew a Business Insider, "empiezas a darte cuenta de lo jóvenes que son algunas de las personas". Entre los cientos de miles de nombres de la lista se encuentran los hijos de presuntos terroristas, incluido un niño cuya fecha de nacimiento indica que tendría 4 o 5 años en el momento en que fue incluido.

"¿Qué problema se pretende resolver con esto? Creo que es una consecuencia perversa del estado de vigilancia. Y no solo en Estados Unidos, es una tendencia mundial", añade.

A principios de la década de 2000, hubo muchos informes de personas que habían sido incluidas erróneamente en la lista de "no volar", entre ellas el entonces senador estadounidense Ted Kennedy y las activistas por la paz Rebecca Gordon y Jan Adams. 

En 2006, la ACLU resolvió una demanda federal sobre la lista, lo que provocó la publicación de sus 30.000 nombres y la creación por parte de la TSA de un defensor del pueblo para supervisar las quejas.

No es el primer hackeo

Crimew, autodenominada izquierdista y anticapitalista, fue acusada de conspiración, fraude electrónico y usurpación de identidad con agravantes en relación con un hackeo anterior en 2021. El Departamento de Justicia alega que ella y varios conspiradores "piratearon docenas de empresas y entidades gubernamentales y publicaron en la web los datos privados de las víctimas de más de 100 entidades".

El resultado del caso de 2021 aún está pendiente, según ha declarado Crimew a Business Insider. Aunque las fuerzas del orden no se han puesto en contacto con ella en relación con el último hackeo, cuenta que no le sorprendería haber llamado de nuevo la atención de las agencias federales.

"Es un montón de información personal identificable que podría ser utilizada en contra de la gente, especialmente en manos de agencias de inteligencia no estadounidenses", escribe Crimew en una declaración al medio.

La industria de los programas espías es más grande de lo que crees: las apps que usas diariamente y pueden ser tan peligrosas como Pegasus

Por ese motivo, dice que ha optado por divulgar la lista a través de periodistas y fuentes académicas en lugar de publicarla libremente en su blog. "No es que EEUU no la utilice contra la gente, es que no es necesario que llegue a manos de más gente que hace daño", aclara. 

CommuteAir sufrió una filtración de datos similar en noviembre, según informó CNN, después de que una "parte no autorizada" accediera a información que incluía nombres, fechas de nacimiento y números parciales de la seguridad social en poder de la aerolínea.

Crimew explica a Business Insider que la falta de inversión de la compañía en ciberseguridad es un descuido provocado por la codicia empresarial, ya que para la empresa es más barato recortar gastos en sus procedimientos de seguridad y pagar por las consecuencias que invertir adecuadamente en un sistema más seguro.

"Incluso el hecho de que ya les hubieran hackeado antes no fue suficiente para que invirtieran en ello. Y eso demuestra dónde están las prioridades. Espero que hayan aprendido la lección la segunda vez", sostiene.