La necesidad de no ser detectados por las víctimas, ni siquiera por los administradores de las posibles redes afectadas, llevó al diseño de varias estrategias. [...] La única peculiaridad solamente podía ser advertida por los usuarios más avanzados: la autenticación de certificado era opcional en el servidor. Los visitantes no se autentican, pero las comunicaciones de la CIA sí. Justo entonces entran en juego los certificados digitales falsos y es cuando la agencia del Gobierno de EE. UU. se hace pasar por Kaspersky.