FLAME: EL ESPIA CIBERNETICO
>> lunes, 18 de junio de 2012
El espía imperceptible
http://www.elespectador.com/ 18/06/2012
Desde 2008 un virus informático se instaló en los computadores de Oriente Medio y robó información sensible. Su nombre, Flame, prendió las alarmas de los expertos en guerra cibernética.
Fue un archivo que desapareció. Contenía una bitácora de trabajo, las cuentas del mes anterior o un análisis de la política interna. El contenido era lo de lo menos: la información se había esfumado de un día a otro. Y a medida que nuevos archivos fueron esfumándose, la sospecha de un sabotaje terminó por consolidarse.
“Realizamos un chequeo físico de las máquinas y encontramos estos archivos desconocidos. Después de una investigación de seis meses pudimos comprobar que se trataba de un arma sofisticada”. Es el relato de Dmitry Bestuzhev, uno de los directores del equipo técnico de investigadores y analistas que la firma de seguridad informática Kaspersky ha desplegado por el mundo para estudiar, diseccionar y combatir todo tipo de crimen cibernético.
O de guerra. Como la que estalló cuando una ONG iraní los contactó porque, sin saber cómo, buena parte de su información institucional simplemente desapareció de sus equipos. Y el primer indicio de sus pesquisas consistió en el nombre poco común. “Encontramos un número realmente grande de archivos extraños cuyo nombre comienza con una tilde, un símbolo extraño que nunca se utiliza en los archivos del sistema”, explica.
El nombre genérico con el que se bautizó a todas las piezas fue el de Flame (llamarada en inglés) y su peligrosidad creció a medida que los investigadores, en asocio con la Unión Internacional de Telecomunicaciones, CrySys Lab de Hungría y las firmas GoDaddy y OpenDNS, se dieron cuenta de que el virus no se limitaba a robarse la información almacenada, sino que podía encender el micrófono de la máquina y grabar las conversaciones en torno a ella.
Y con el paso de las horas fueron apareciendo nuevos casos de ataques, principalmente a personas relacionadas con entidades gubernamentales y de educación superior en Irán. A la hora de encontrar un culpable, los primeros pensamientos señalaron a Israel. Pero la hipótesis se desmoronó en cuestión de horas, cuando nuevos ataques fueron desvelándose no sólo en el país sospechoso, sino en Arabia Saudita, Siria, Egipto y Líbano.
Alguien había convertido a Oriente Medio en el blanco de una minuciosa operación de espionaje cibernético. O lo que es peor, guerra cibernética.
Guerra de computadoras
La primera vez que el mundo entero tuvo noticia de un caso similar fue en el año 2007, cuando en un mismo día colapsaron las páginas de internet de la Presidencia, el Parlamento, todos los ministerios, los partidos políticos, medios de comunicación y dos grandes bancos de Estonia. El gran acusado fue el gobierno de Rusia, que en esos días libraba una fuerte batalla pública por la relocalización de tumbas soviéticas que databan de la época de la Cortina de Hierro en Tallin, la capital estonia.
Aunque una persona fue procesada y condenada, la duda quedó en el aire. El caso fue olvidado con la aparición de nuevas amenazas cibernéticas, en especial los virus de sabotaje Stuxnet y Duqu (ver artículo superior), pero en las últimas semanas, con la revelación de Flame, volvió a recordársele como uno de los antecedentes de la guerra cibernética.
Se trata, en teoría, de una evolución en las confrontaciones internacionales, donde un país, en lugar de invertir grandes sumas de dinero en ejércitos, estrategias militares, armas y desplazamientos, recluta a grupos de desarrolladores o piratas cibernéticos para lanzar ataques contundentes y efectivos contra la infraestructura enemiga.
“Los blancos predilectos suelen ser grandes corporaciones, sobre todo financieras, e instituciones gubernamentales, por el ánimo de lucro, la sensibilidad de los datos manejados y la proyección mediática que conllevan estos ataques”, explica Josué González, consultor informático.
Los impulsores de estas tácticas son países del primer mundo, con profesionales muy bien preparados y un desarrollo tecnológico de altísimo nivel, razón por la cual América Latina ha sido relativamente ajena a esta realidad. La región, en cambio, es un foco muy importante para el crimen cibernético, donde los países más afectados son tres de sus principales economías: México, Brasil y Colombia; este último concentra el 8% de los ataques producidos, según Kaspersky. “Es uno de los blancos predilectos en la región por la buena salud de su economía en los últimos años. Y a medida que crece el número de usuarios que acceden a internet o a dispositivos móviles, como teléfonos inteligentes, su importancia aumenta”, dice Roberto Martínez, analista de la firma.
El panorama actual, dominado por los dispositivos móviles, se ha convertido en un auténtico caldo de cultivo para las amenazas cibernéticas. Según la compañía de seguridad informática McAfee, en el primer trimestre del año se detectaron 8 millones de nuevas muestras de virus en el mundo.
El rastro
En los seis meses de investigación que han transcurrido desde la identificación de Flame, el equipo de Kaspersky ha identificado 80 distintas direcciones de internet, alquiladas bajo identidades falsas a partir de 2008, que conducen a los servidores donde está alojado el virus. De hecho, se encontraron más equipos infectados en India, China, el sudeste asiático, Europa y Norteamérica.
“Tenemos claro que la motivación de este ataque es gubernamental. Puede que haya sido desarrollado por las propias fuerzas oficiales de un Estado, o que se haya valido de una firma informática”, comenta Bestuzhev, quien explica que la amenaza explotó varias de las vulnerabilidades del sistema operativo Windows con un fin específico: “Están atacando a algo que no trae dinero de por sí, como es la costumbre de los criminales cibernéticos que siempre buscan el lucro. Aquí no lo hay, porque se trata de descubrir los procesos industriales de los países de Medio Oriente”.
Entre las razones que soportan esta hipótesis sobresale el hallazgo de los archivos que Flame enviaba encriptados a su fuente de origen: documentos de Office y en formato PDF, así como planos de AutoCad, insumos necesarios que hacen pensar en un espionaje industrial y táctico del más alto nivel.
La identidad del cerebro sigue estando en el misterio absoluto. Gran parte de la culpa radica en el amplio impacto mediático que generó esta revelación y que causó que la infraestructura técnica y de control que permaneció activa en los últimos cuatro años se apagara sin dejar rastro de un momento a otro.
Lo único cierto es que el análisis de la amenaza continuará. Para Bestuzhev, su alta sofisticación podría convertirla en un arma decisiva en tiempos de guerra: “Controlar una infraestructura crítica de un país te da poder, la ventaja en caso de una guerra o la posibilidad de chantajear sin la necesidad de movilizar aviones o tropas. Simplemente podrían explotar algo y poner al contendor de rodillas”.
Stuxnet, un poder destructor
Una de las más grandes pesadillas del mundo industrial se descubrió en junio de 2010, cuando la firma bielorrusa VirusBlokAda halló un gusano (virus de propagación rápida) que infectaba las redes industriales de la compañía alemana Siemens.
Diseñado para tareas de espionaje, Stuxnet se caracterizó por interrumpir complejos procesos industriales. De hecho, el 60% de sus ataques se concentraron en Irán y tuvo un papel clave en interrumpir los procesos de enriquecimiento de uranio del programa nuclear iraní.
Aunque la Casa Blanca y el gobierno israelí negaron cualquier relación con su autoría, diarios como el británico ‘Daily Telegraph’ o el estadounidense ‘The New York Times’ aseguraron lo contrario.
La sutileza de Duqu
Un documento de Word se convirtió en el vehículo perfecto para que un troyano, denominado después como Duqu, se instalara en el computador de sus víctimas y robara información sensible relacionada con procesos industriales.
A diferencia de Stuxnet, esta amenaza fue creada para recolectar cualquier tipo de contenido digital de valor.
http://www.elespectador.com/ 18/06/2012
Desde 2008 un virus informático se instaló en los computadores de Oriente Medio y robó información sensible. Su nombre, Flame, prendió las alarmas de los expertos en guerra cibernética.
Fue un archivo que desapareció. Contenía una bitácora de trabajo, las cuentas del mes anterior o un análisis de la política interna. El contenido era lo de lo menos: la información se había esfumado de un día a otro. Y a medida que nuevos archivos fueron esfumándose, la sospecha de un sabotaje terminó por consolidarse.
“Realizamos un chequeo físico de las máquinas y encontramos estos archivos desconocidos. Después de una investigación de seis meses pudimos comprobar que se trataba de un arma sofisticada”. Es el relato de Dmitry Bestuzhev, uno de los directores del equipo técnico de investigadores y analistas que la firma de seguridad informática Kaspersky ha desplegado por el mundo para estudiar, diseccionar y combatir todo tipo de crimen cibernético.
O de guerra. Como la que estalló cuando una ONG iraní los contactó porque, sin saber cómo, buena parte de su información institucional simplemente desapareció de sus equipos. Y el primer indicio de sus pesquisas consistió en el nombre poco común. “Encontramos un número realmente grande de archivos extraños cuyo nombre comienza con una tilde, un símbolo extraño que nunca se utiliza en los archivos del sistema”, explica.
El nombre genérico con el que se bautizó a todas las piezas fue el de Flame (llamarada en inglés) y su peligrosidad creció a medida que los investigadores, en asocio con la Unión Internacional de Telecomunicaciones, CrySys Lab de Hungría y las firmas GoDaddy y OpenDNS, se dieron cuenta de que el virus no se limitaba a robarse la información almacenada, sino que podía encender el micrófono de la máquina y grabar las conversaciones en torno a ella.
Y con el paso de las horas fueron apareciendo nuevos casos de ataques, principalmente a personas relacionadas con entidades gubernamentales y de educación superior en Irán. A la hora de encontrar un culpable, los primeros pensamientos señalaron a Israel. Pero la hipótesis se desmoronó en cuestión de horas, cuando nuevos ataques fueron desvelándose no sólo en el país sospechoso, sino en Arabia Saudita, Siria, Egipto y Líbano.
Alguien había convertido a Oriente Medio en el blanco de una minuciosa operación de espionaje cibernético. O lo que es peor, guerra cibernética.
Guerra de computadoras
La primera vez que el mundo entero tuvo noticia de un caso similar fue en el año 2007, cuando en un mismo día colapsaron las páginas de internet de la Presidencia, el Parlamento, todos los ministerios, los partidos políticos, medios de comunicación y dos grandes bancos de Estonia. El gran acusado fue el gobierno de Rusia, que en esos días libraba una fuerte batalla pública por la relocalización de tumbas soviéticas que databan de la época de la Cortina de Hierro en Tallin, la capital estonia.
Aunque una persona fue procesada y condenada, la duda quedó en el aire. El caso fue olvidado con la aparición de nuevas amenazas cibernéticas, en especial los virus de sabotaje Stuxnet y Duqu (ver artículo superior), pero en las últimas semanas, con la revelación de Flame, volvió a recordársele como uno de los antecedentes de la guerra cibernética.
Se trata, en teoría, de una evolución en las confrontaciones internacionales, donde un país, en lugar de invertir grandes sumas de dinero en ejércitos, estrategias militares, armas y desplazamientos, recluta a grupos de desarrolladores o piratas cibernéticos para lanzar ataques contundentes y efectivos contra la infraestructura enemiga.
“Los blancos predilectos suelen ser grandes corporaciones, sobre todo financieras, e instituciones gubernamentales, por el ánimo de lucro, la sensibilidad de los datos manejados y la proyección mediática que conllevan estos ataques”, explica Josué González, consultor informático.
Los impulsores de estas tácticas son países del primer mundo, con profesionales muy bien preparados y un desarrollo tecnológico de altísimo nivel, razón por la cual América Latina ha sido relativamente ajena a esta realidad. La región, en cambio, es un foco muy importante para el crimen cibernético, donde los países más afectados son tres de sus principales economías: México, Brasil y Colombia; este último concentra el 8% de los ataques producidos, según Kaspersky. “Es uno de los blancos predilectos en la región por la buena salud de su economía en los últimos años. Y a medida que crece el número de usuarios que acceden a internet o a dispositivos móviles, como teléfonos inteligentes, su importancia aumenta”, dice Roberto Martínez, analista de la firma.
El panorama actual, dominado por los dispositivos móviles, se ha convertido en un auténtico caldo de cultivo para las amenazas cibernéticas. Según la compañía de seguridad informática McAfee, en el primer trimestre del año se detectaron 8 millones de nuevas muestras de virus en el mundo.
El rastro
En los seis meses de investigación que han transcurrido desde la identificación de Flame, el equipo de Kaspersky ha identificado 80 distintas direcciones de internet, alquiladas bajo identidades falsas a partir de 2008, que conducen a los servidores donde está alojado el virus. De hecho, se encontraron más equipos infectados en India, China, el sudeste asiático, Europa y Norteamérica.
“Tenemos claro que la motivación de este ataque es gubernamental. Puede que haya sido desarrollado por las propias fuerzas oficiales de un Estado, o que se haya valido de una firma informática”, comenta Bestuzhev, quien explica que la amenaza explotó varias de las vulnerabilidades del sistema operativo Windows con un fin específico: “Están atacando a algo que no trae dinero de por sí, como es la costumbre de los criminales cibernéticos que siempre buscan el lucro. Aquí no lo hay, porque se trata de descubrir los procesos industriales de los países de Medio Oriente”.
Entre las razones que soportan esta hipótesis sobresale el hallazgo de los archivos que Flame enviaba encriptados a su fuente de origen: documentos de Office y en formato PDF, así como planos de AutoCad, insumos necesarios que hacen pensar en un espionaje industrial y táctico del más alto nivel.
La identidad del cerebro sigue estando en el misterio absoluto. Gran parte de la culpa radica en el amplio impacto mediático que generó esta revelación y que causó que la infraestructura técnica y de control que permaneció activa en los últimos cuatro años se apagara sin dejar rastro de un momento a otro.
Lo único cierto es que el análisis de la amenaza continuará. Para Bestuzhev, su alta sofisticación podría convertirla en un arma decisiva en tiempos de guerra: “Controlar una infraestructura crítica de un país te da poder, la ventaja en caso de una guerra o la posibilidad de chantajear sin la necesidad de movilizar aviones o tropas. Simplemente podrían explotar algo y poner al contendor de rodillas”.
Stuxnet, un poder destructor
Una de las más grandes pesadillas del mundo industrial se descubrió en junio de 2010, cuando la firma bielorrusa VirusBlokAda halló un gusano (virus de propagación rápida) que infectaba las redes industriales de la compañía alemana Siemens.
Diseñado para tareas de espionaje, Stuxnet se caracterizó por interrumpir complejos procesos industriales. De hecho, el 60% de sus ataques se concentraron en Irán y tuvo un papel clave en interrumpir los procesos de enriquecimiento de uranio del programa nuclear iraní.
Aunque la Casa Blanca y el gobierno israelí negaron cualquier relación con su autoría, diarios como el británico ‘Daily Telegraph’ o el estadounidense ‘The New York Times’ aseguraron lo contrario.
La sutileza de Duqu
Un documento de Word se convirtió en el vehículo perfecto para que un troyano, denominado después como Duqu, se instalara en el computador de sus víctimas y robara información sensible relacionada con procesos industriales.
A diferencia de Stuxnet, esta amenaza fue creada para recolectar cualquier tipo de contenido digital de valor.
0 comentarios :
Publicar un comentario