El servicio de espionaje de Canadá obtuvo el permiso de un juez para acceder a servidores infectados, enrutadores domésticos y equipos de IoT ubicados en suelo canadiense y neutralizar dos botnets extranjeras.
El Tribunal Federal publicó una versión pública del fallo el 15 de junio. Es la primera vez que el Servicio de Inteligencia de Seguridad de Canadá utiliza sus poderes de orden de reducción de amenazas de esta manera.
La orden permitió al CSIS alterar, degradar y destruir los datos de la botnet en las máquinas infectadas y desconectar los dispositivos de las redes.
Los objetivos eran servidores con sede en Canadá, enrutadores para pequeñas oficinas y oficinas domésticas (SOHO) y dispositivos de Internet de las cosas: timbres Ring, cámaras de seguridad, televisores y otros dispositivos habilitados para Wi-Fi.
La jueza Catherine Kane concedió la orden el 1 de mayo de 2024, la renovó en agosto y emitió los motivos confidenciales en febrero de 2026. La orden permaneció fuera de la vista del público durante más de dos años, hasta su publicación redactada este mes.
El CSIS necesitaba la orden porque la limpieza probablemente habría sido un delito sin ella. Acceder al dispositivo de otra persona y borrar datos es un daño informático según el Código Penal, por lo que el Servicio necesitaba la aprobación de un juez antes de tocar las máquinas.
El tribunal consideró que la amenaza a Canadá estaba claramente establecida e inminente, y que las medidas eran necesarias, razonables y proporcionales. Destacó que la operación se centró en los dispositivos, no en las personas: no se buscaron identidades de usuarios, no se interceptó ningún contenido, y los datos personales recogidos fueron destruidos incidentalmente.
Las dos botnets ejecutaron el manual de retransmisión estándar. Un nivel de mando emitió las órdenes; una capa de dispositivos infectados transmitía el tráfico. Al enrutarse a través de hardware canadiense secuestrado, un estado extranjero puede parecer una conexión ordinaria, un trabajador a domicilio o un cliente de ISP, mientras investiga infraestructura crítica, redes gubernamentales y militares.
El propietario del timbre infectado parece responsable del tráfico que nunca envió. El tribunal señaló al sector energético entre los objetivos y advirtió que los adversarios podrían dirigir las botnets para investigar y potencialmente alterar la infraestructura canadiense.
El fallo público resuelve el qué: dos adversarios extranjeros, una amenaza a la seguridad de Canadá, según consideró claramente el tribunal. Lo que desnuda es el quién. El momento y la técnica coinciden con un momento específico a principios de 2024, pero la Oficina, que sacó a la luz el fallo, dice que no puede decir a partir de las razones redactadas si las dos botnets de Canadá eran chinas, ambas rusas o una de cada. La mano del Estado extranjero es un hallazgo. La bandera es la redacción.
Misma táctica, una autoridad diferente
Ese momento fue una serie de limpiezas de botnets ordenadas por tribunales en los Estados Unidos. En una operación de diciembre de 2023, el FBI utilizó el propio canal de comando de la botnet para eliminar el malware KV-botnet de cientos de enrutadores SOHO de EE. UU., en su mayoría cajas Cisco y NetGear al final de su vida útil que Volt Typhoon, vinculado a China, estaba usando para ocultar el acceso que había plantado antes de una posible crisis dentro de los sistemas de comunicaciones, energía, agua y transporte estadounidenses.
Semanas más tarde, llevó a cabo una operación casi idéntica contra una red separada de enrutadores Ubiquiti que el GRU de Rusia, el grupo APT28, había convertido en un repetidor de espionaje.
El centro cibernético de Canadá se había sumado a las advertencias de los aliados sobre el uso abusivo de los equipos SOHO y IoT por parte de actores estatales. La misma forma ordenada por el tribunal en ambas ocasiones: equipo de consumo descuidado, un operador estatal, un juez aprobando la desinfección remota.
La diferencia es quién tiene la orden judicial. Las operaciones estadounidenses fueron las fuerzas del orden, el FBI y el Departamento de Justicia que actuaron bajo la autoridad de búsqueda e incautación.
El de Canadá es un servicio de inteligencia que utiliza medidas de reducción de amenazas, el poder del CSIS para interrumpir activamente una amenaza en lugar de simplemente recopilar información sobre ella, escrito en la Ley del CSIS hace años y reelaborado en la Ley de Seguridad Nacional de 2017, que entró en vigor en 2019. El CSIS nunca lo había aprovechado de esta manera hasta ahora.
Todavía todo se reduce a los enrutadores antiguos
La lección para los defensores es aburrida. Las botnets se alimentan de equipos que nadie mantiene: enrutadores al final de su vida útil que aún están conectados a la red, kits de IoT que nunca recibieron su última actualización de firmware, cualquier cosa que tenga credenciales predeterminadas con un panel de administración orientado a Internet.
Una limpieza gubernamental no toca eso. En las operaciones de EE. UU., el malware desapareció, pero las debilidades persistieron, y un reinicio o un restablecimiento de fábrica podría deshacer la solución y reabrir la puerta a la reinfección. Retirar el hardware inactivo y bloquear lo que queda depende del propietario, no de la agencia que lo limpió.
Un cabo suelto que el fallo público no cierra: la solicitud, según cuenta la Oficina, se apoyó en direcciones IP que el CSIS había recopilado sin una orden judicial, semanas después de que la Corte Suprema de Canadá dictaminara en R. v. Bykovets que una dirección IP conlleva una expectativa razonable de privacidad.
Si eso concuerda con las autoridades de recolección del CSIS y si alguna vez se informó a los propietarios de los dispositivos desinfectados, permanece abierto.
