En Corea del Norte solo se puede usar un sistema operativo: Red Star OS. En 2014, un turista consiguió sacarlo del país y publicarlo en internet. El español Simón Roses ha analizado cómo funciona.
Imagine que es el enemigo número uno de Estados Unidos, principal productor de 'software' del mundo y sospechoso de introducir puertas traseras para que las usen sus servicios secretos. ¿Instalaría programas hechos en EEUU en sus redes más sensibles? Rusia, China, India o Corea del Norte tienen claro que no, y por eso han creado o están creando sus propios sistemas operativos, la mayoría versiones de GNU/Linux. Uno de los que llevan más tiempo funcionando es el sistema operativo de Corea del Norte, Red Star OS, que el Gobierno empezó a desarrollar en 2002, partiendo de la distribución Linux Fedora.
A diferencia de otros países, que crean su propio 'sofware' para usarlo solo en puntos sensibles, como el ejército, infraestructuras críticas o agencias de inteligencia, Corea del Norte obliga a toda su población a usar Red Star OS. En 2010, un estudiante ruso de visita en aquel país escribió en su blog una reseña sobre el prácticamente desconocido programa, que fue ampliamente replicada. En 2013, otro estudiante filtró capturas de pantalla, pero no fue hasta finales del año pasado que alguien compró (sí, se puede comprar) y publicó diversos ficheros ISO del sistema, que rápidamente se distribuyeron por internet.
Incluye un navegador espía
Expertos de todo el mundo lo han estado analizando en los últimos meses. Entre ellos, Simón Roses, consejero delegado de la empresa de ciberseguridad Vulnex, quien se sorprendió al ver el alto grado de monitorización que aplica Red Star a sus usuarios: "Analizando el navegador, podemos concluir que toda Corea del Norte es una gran red local (LAN) y que filtran la salida a internet. Además, el navegador, una versión modificada de Firefox, envía información de las páginas que visita el usuario a un servidor controlado por el Gobierno norcoreano".
Como todo sistema operativo, Red Star tiene clientes de correo, audio, vídeo y editores de texto, que son modificaciones de programas conocidos. Y además incluye un 'software', llamado 'Contents Guard', que, según Roses, "firma de forma oculta todo tipo de documentos y gráficos para poder identificar el origen de todos los ficheros". Como curiosidad, el salvapantallas muestra fotos de paisajes de Corea del Norte, algunos inéditos, que ilustran este artículo.
Red Star limita la navegación y firma todos los documentos para identificar a los ciudadanos. Su objetivo: vigilar a los ciudadanos
Tras analizarlo durante semanas, Simón Roses lo tiene claro: "Red Star es un sistema operativo para controlar la población, su finalidad es vigilar al ciudadano, impedir su libertad limitando su navegación y firmando todos sus documentos para identificarle". A nivel defensivo, incluye un antivirus propio y la llamada Canción de Pyongyang, un programa para gestionar un cortafuegos y un detector de intrusos.
Por su implantación generalizada en el país, Red Star podría ser primo hermano de Nova, un sistema operativo creado por el Gobierno cubano en 2009 con la intención de ser usado por toda la población, aunque sin las características de monitorización descubiertas en Red Star. Otros sistemas gubernamentales ciñen su uso exclusivamente a ámbitos donde se maneje información sensible y su principal función no es de espionaje a la población sino defensiva, como el Chino Kylin SO, o Plan X, desarrollado por DARPA en Estados Unidos para uso militar, en operaciones de guerra cibernética.
En los últimos tiempos se están creando también sistemas operativos gubernamentales para telefonía móvil, basados en Android, como la versión segura que según Simón Roses estaría desarrollando la Agencia de Sistemas de Información de Defensa de EEUU, para ser usada en todos los dispositivos móviles del Gobierno. O COS (China Operating System), basado en Linux y desarrollado por el Gobierno chino con la intención de sustituir a Android e iOS entre la población.
"Otros países, como India, Rusia y Estados Unidos, han anunciado sus propios programas, pero no están publicados. Conseguir este tipo de 'software' suele ser bastante complicado", afirma Roses. Su importancia estratégica, por los sitios clave donde se usan, los hace especialmente codiciados: "Un país enemigo pagaría muy bien por un '0day' (vulnerabilidad desconocida públicamente) que le permitiera conseguir sus objetivos ofensivos".
Rusia y EEUU han anunciado sus propios SOs, pero no están publicados. Es la "seguridad por la oscuridad": son seguros mientras no se conozca su código
Es la llamada "seguridad por la oscuridad": son sistemas operativos seguros mientras no se conozca su código. Es esto lo que hace que se paguen caros los fallos que allí se descubran y no lo seguros que sean en sí mismos. En realidad son versiones más o menos securizadas de Linux, sobre todo las distribuciones Fedora y Ubuntu, que incluyen las últimas defensas conocidas a nivel de usuario y sistema operativo. En el caso de teléfonos móviles, son versiones de Android a las que se han quitado los servicios de Google.
Lo ratifica Simón Roses: "Conseguirlos es lo realmente difícil, una vez que se tiene acceso no son complicados de analizar". De hecho, asegura, cuando pudo acceder al código de Red Star fue fácil descubrir que "incluye diferentes vulnerabilidades que permiten obtener privilegios de administrador en el sistema, con el perfil desactivado por defecto".
¿A dónde nos lleva todo esto? Roses imagina escenarios de infoguerra donde los estados creen falsos sistemas operativos para que sus adversarios gasten recursos tratando de obtener copias y analizarlas; o bien sistemas operativos gubernamentales con "sorpresa": un 'software' ofensivo que infecte a quien intente analizarlo y tome el control de su red. Es la nueva guerra digital en la que ya estamos metidos.
