CIBERATAQUE A MINISTERIO DE FINANZAS DE JAPON PARA ROBAR INFORMACION

Japón teme la filtración de datos del Ministerio de Finanzas tras un ciberataque
http://www.noticiasdenavarra.com/ 20/07/2012
El Ministerio nipón de Finanzas anunció este viernes que investiga el ataque de un virus informático en uno de sus ordenadores ante el temor de que se haya podido producir la filtración de información.

TOKIO. El ministro de Finanzas, Jun Azumi, confirmó el ataque informático y aseguró que han procedido a chequear todos los ordenadores utilizados en el Ministerio para poder analizar la magnitud del problema.

Uno de los funcionarios del Ministerio aseguró a la agencia local Kyodo que el virus encontrado es del tipo "Troyano", que se caracteriza por entrar a través del correo electrónico con el propósito de obtener el acceso a los archivos de la computadora.

Este no es el primer ataque informático que reporta el Gobierno nipón, después de que el mes pasado varias páginas web del Ejecutivo y de partidos políticos sufrieron diversos ciberataques.

En ese caso, la primera en sufrir el ataque fue la del Ministerio de Finanzas, donde fue detectado un acceso ilícito en el apartado referente a los activos que tiene en propiedad el Gobierno nipón.

El ataque se produjo después de las amenazas de "hackers" del grupo de ciberactivistas Anonymous, que condenaron de este modo la reactivación de los dos primeros reactores nucleares en Japón tras la crisis atómica en Fukushima.

Además, en octubre las autoridades niponas detectaron un ataque informático a la empresa Mitsubishi Heavy Industries, el mayor fabricante armamentístico de Japón, que transfirió información sobre el desarrollo de un avión militar a un servidor en el exterior.

Japón acaba de aprobar recientemente una nueva ley para la protección de derechos de autor que contempla importantes multas y penas de hasta 2 años de prisión para aquellos que descarguen archivos ilegales, música o películas pirateadas.

Read more...

CIBERESPIONAJE FUE DIRIGIDO EXCLUSIVAMENTE A PERU DESDE PERU

Operación Medre: Ataque dirigido en el Perú
http://www.cioperu.pe/ 05/07/2012
La semana pasada ESET Latinoamérica hacía público que había detectado una inusual cantidad de infecciones en computadoras peruanas. El malware que se había encontrado recibió el nombre de ACAD/Medre.A, y despertó el interés de los investigadores de la firma de seguridad informática ya que resultaba muy extraño que unmalware se concentrara en un solo país.

Aproximadamente el 96% de las detecciones de este malwarese presentaron en máquinas peruanas. Más extraño aún, el objetivo era atacar archivos de AutoCAD y sustraer información hacia un servicio de correo electrónico en China. Era, realmente, la primera vez que se conjugaban tantos elementos tan poco comunes en un mismo escenario.

Pero, más importante aún, dejaba en el ambiente la pregunta de quién pudo haber realizado tal ataque y cuál era el objetivo. La focalización de la amenaza y otros factores que se fueron encontrando durante la investigación hacen suponer que existe una enorme probabilidad de que el autor se encuentre en el Perú, y que incluso ya haya logrado su objetivo.
Sebastián Bortnik, coordinador deAwareness & Research de ESET Latinoamérica, aprovechó la conferencia de prensa en la que ESET presentó hace un par de días sus nuevos productos corporativos para realizar una detallada explicación de los hallazgos que realizaron al investigar este malware. En pocas palabras, nos ofreció una cronología de las investigaciones que llevaron al descubrimiento de este ataque focalizado.

El ataque
La historia del descubrimiento de este ataque comenzó con unas estadísticas provenientes del ESET Live Grid. Éste es un sistema que se encarga de recopilar la información de los ataques sufridos por los usuarios de los productos ESET y de generar un mapa del mundo en el que los países van adquiriendo diversos colores -siendo el rojo indicativo del nivel más alto- dependiendo de cuán infectados se encuentren con respecto a determinado malware.
Hace ocho semanas, Bortnik utilizó el sistema para analizar los códigos maliciosos con mayor presencia en el Perú -iba a dar una charla y deseaba utilizar estos datos en su presentación-, y se dio con la sorpresa que al analizar el mapa de infecciones para el ACAD/Medre.A, el mapa mundial solo ofrecía un país en rojo, el Perú; todos los demás se encontraban celestes, color indicativo de un nivel de infección muy bajo o inexistente.

“Nunca habíamos visto esto -que un solo país latinoamericano se encuentre marcado-, y cuando digo ‘nunca’ me refiero realmente a ello, no es solo una expresión. Para hacernos una idea, el color celeste significa que la infección va del 0% al 1% y el rojo más de 10%”, sostuvo Bortnik.

Otra característica que llamó la atención del investigador es que al observar el top 10 de amenazas de la lista por lo general se encuentran amenazas tipo Win.32, es decir, archivos ejecutables de Windows, o tipo HTML o JS que son amenazas web (páginas web infectadas). Sin embargo, el código malicioso que acababan de encontrar era un ejecutable de AutoCAD, algo muy extraño para la lista de las top 10.

“Hasta llegamos a dudar si es que se había producido algún error en los sistemas que produjera esto”, enfatizó Bortnik. Pero no lo era.

El caso comparable más cercano fue el de los spybankerbrasileños, unos troyanos desarrollados en Brasil para atacar bancos de este país, pero aun así su tasa de infección llegaba‘solo’ al 54%; ACAD/Medre.A superaba ampliamente este nivel. Era sin duda un caso sui generis.

“Esto nos comprobaba que el código malicioso [Medre] era un ataque dirigido”, sostuvo Bortnik.

El siguiente paso
Una vez que se determinó que el ataque se encontraba dirigido hacia el Perú, el siguiente paso en la investigación realizada por ESET era determinar qué hacía el malware; es decir, qué le pasaba a una máquina cuando se infectada con este código malicioso. Esa fue la siguiente etapa.

El equipo, entonces, analizó el malware. Los investigadores determinaron que se trataba de un gusano que había sido escrito en lenguaje AutoLISP -una variante del lenguaje de programación LISP- que permite ejecutar código en proyectos de AutoCAD.

El gusano tenía básicamente dos funcionalidades. La primera de ellas era copiarse a sí mismo en distintas ubicaciones del sistema para continuar su propagación. Si una persona se infectaba con este gusano, a partir de ese momento cada proyecto de AutoCAD que abriera en su computadora pasaría a infectarse.
El segundo componente -la acción maliciosa o payload en sí- era enviar cada proyecto de AutoCAD que se abriera en la computadora a un servidor de correo en China.

“Es algo bastante extraño pues antes habíamos encontrado infecciones a proyectos de AutoCAD, pero [en esos casos] la intención no era robarlos sino usarlos como un medio [para propagarse]”, señaló Bortnik.

El uso de los archivos AutoCAD en el proceso de ataque obligó al equipo de Bortnik a entender la lógica del funcionamiento de esta aplicación de diseño. Como es comprensible, en el equipo de investigación no usaban AutoCAD así que tuvieron que acudir a usuarios expertos que les pudieran aclarar las dudas que iban a aparecer en el proceso de investigación.

¿Cómo operaba el malware?

Los archivos de AutoCAD generan una extensión .dwg, es decir, el archivo con esta extensión es el que se usa para abrir un proyecto en este programa. Sin embargo, al hacerlo, AutoCAD utiliza una funcionalidad por defecto que hace que cada vez que se abra un archivo .dwg, el programa busque en la misma carpeta otros archivos que se identifican mediante la extensión .fas -que son los que conforman el proyecto de AutoCAD- y los ejecute.

El código malicioso afecta a los archivos con extensión .fas. Específicamente, lo que hace es tomar uno de estos archivos -con extensión .lsp- y alterarlo para que se convierta en su vehículo de transmisión y así poder infectar otros archivos de AutoCAD.

El malware también genera un archivo .vbs -un script- que se encarga de enviar todo el proyecto por correo electrónico.

Al analizar el malware el equipo encontró que el código podía alterar archivos .lsp desde la versión 14 hasta la 19.2 de AutoCAD, y que el atacante preparó el malware para que pudiera infectar incluso archivos hasta el año 2015.

Al seguir analizando el malware, el equipo de ESET encontró que dentro de él se podía identificar una función que creaba un correo electrónico (MAKEMAIL) y que contenía los nombres de 46 usuarios y contraseñas para dos servicios de correo en China.

El código malicioso, entonces, elegía una de estas cuentas en forma aleatoria para conformar un mensaje de correo electrónico con el proyecto de AutoCAD como adjunto.

El mensaje era enviado a una dirección de correo electrónico -que no se pudo determinar- que, se supone, era la del atacante. Lo extraño es que el correo, además del archivo adjunto de AutoCAD, tenía poca información en el cuerpo del mensaje: solo la ruta de donde sustrajo el archivo.
“Un archivo de AutoCAD es un plano o un diseño industrial, así que cualquiera de ellos contiene información sensible para la persona que lo desarrolló”, resaltó Bortnik.

Más detalles
Analizando con mayor profundidad -con ingeniería reversa- el código malicioso, el equipo descubrió los usuarios y contraseñas de los servidores SMTP que el atacante estaba usando. Decidió entonces ingresar a los servidores para investigar la magnitud del ataque y descubrió que hace aproximadamente un año los correos enviados desde esos servidores -hacia el correo electrónico del atacante- rebotaban. Esto les permitió ver los archivos que se habían sustraído en ese periodo.

Había miles de archivos, de hecho, se estimó que habían sido sustraídos más de 10 mil archivos únicos. Era una operación de gran magnitud, sin duda.

Luego de llegar hasta este nivel con la investigación, el equipo de ESET contactó con AutoDesk, los creadores de AutoCAD, y le proporcionó la información que había recopilado. También contactó con los dos servicios de correo que el atacante estaba usando en China; uno de ellos decidió deshabilitar todas las cuentas, mientras que el otro solicitó a ESET que iniciara acciones legales en China para hacerlo.

“También contactamos con diferentes organismos del Perú. De hecho, nuestra presencia aquí no solo tiene que ver con la conferencia de prensa, sino que estamos acercándonos a organismos gubernamentales que son competentes en el caso y a las instituciones que han sido afectadas”, sostuvo Bortnik.

ESET también desarrolló un cleaner gratuito para que los usuarios de AutoCAD puedan eliminar la amenaza.

Al preguntársele sobre los organismos y la información afectada Bortnik indicó que no podía brinda esa información, pero sí confirmó que encontraron “organismos de alta sensibilidad infectados” y que había “información muy sensible infectada”.

De hecho, el equipo de ESET se estuvo reuniendo en días pasados con representantes de los organismos infectados y con la unidad de delitos informáticos de la policía.

“Existe un límite en lo que nosotros podemos investigar. Pero lo que sí le puedo confirmar es que el hecho de que se envíen los archivos a China no significa que sea un chino el que hizo el ataque. Podría ser un peruano; y entre todas las hipótesis posibles muchas encajan en que hay un interés local”, señaló el investigador.

Al preguntársele por el motivo por el que los correos rebotaron, Bortnik señaló que “esto ya lleva un año de rebotes. Lo que nosotros creemos es que esta persona lanzó el ataque, obtuvo lo que quiso y lo dejó andando. Ya obtuvo lo que quería; quizás solo quería un archivo”.

Read more...

CONTINUA EL CIBERESPIONAJE Y ROBO DE ARCHIVOS EN INTERNET AHORA ENVIADOS A CHINA

Un virus que roba archivos atenta a la Web
http://www.sinmordaza.com/ 27/06/2012

Se detectó un nuevo ataque que envía la información a correos de China

La compañía de seguridad informática Eset detectó un nuevo virus, llamado ACAD/Medre.A, que afecta a archivos realizados con el programa profesional de edición AutoCAD, utilizado por ingenieros, arquitectos y diseñadores en todo el mundo.

"El objetivo del nuevo gusano parece estar enfocado al robo de diseños y planos en una operación internacional de espionaje industrial. Se detectaron varios casos de infecciones, sobre todo en países de habla hispana", aseguraron desde Eset.

En las últimas semanas se habló mucho sobre Flame, el virus más complejo jamás creado, enfocada en este caso a obtener información de los ordenadores de altos cargos del gobierno iraní. Flame y Stuxnet son los dos virus más destacados en el terreno del ciberespionaje y, según parece, están relacionados con los gobiernos de Estados Unidos e Israel.

El virus mostró hace pocos días un pico de actividad por lo que la compañía comenzó a vigilar las causas y llegó a la conclusión de que el gusano robaba archivos y los enviaba a ciertas cuentas de correo electrónico alojadas en China.

"ACAD/Medre.A representa un importante caso de espionaje industrial, ya que se envía cada diseño al operador del malware de forma automática. Sobra decir que esto puede costar mucho dinero al autor de los archivos, ya que los cibercriminales tienen acceso a los diseños antes de que vayan a producción y pueden, por lo tanto, incluso registrar las patentes antes que el legítimo poseedor de los derechos de propiedad intelectual", afirma Righard Zwienenberg, responsable senior en el laboratorio de la compañía de seguridad.

Read more...

CIBERATAQUE ATAQUE DIRIGIDO EN PERÚ PARA OBTENER ARCHIVOS AUTOCAD.

OPERACIÓN MEDRE: MÁS DE 10 MIL PROYECTOS ROBADOS EN SUPUESTO CASO DE CIBERESPIONAJE
http://www.cioal.com/ 27/06/2012

El Laboratorio de análisis e investigación de ESET Latinoamérica anuncia el descubrimiento de un ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado en América Latina de esta magnitud.

La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró activa desde el 2009 y desde entonces, logró recolectar más de 10.000 archivos de planos y proyectos realizados con el programa Autodesk AutoCAD. Las detecciones se reportan en un 95% en Perú, de modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal como ha sucedido anteriormente con los casos de Stuxnet, Duqu y Flamer.

De acuerdo a la investigación de ESET Latinoamérica, el código malicioso fue identificado, entre otros, en dos dominios pertenecientes al gobierno peruano, uno de ellos relativo al sistema por medio del cual las empresas pueden participar de los procesos de selección convocados por entidades gubernamentales para contrataciones públicas.

“Operación Medre ha sido diseñada por los cibercriminales con el claro objetivo de robar proyectos de índole industrial, probablemente con el foco en aquellos presentados por empresas al Estado peruano, tal como evidencian los índices de propagación de la amenaza, sus funciones y los dominios afectados. A partir de la investigación realizada creemos que se trataría de un caso de ciberespionaje industrial de gran escala y el primero de esta clase en valerse de códigos maliciosos como herramienta en nuestra región”, aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

Medre es un gusano diseñado para infectar versiones actuales y futuras – incluye características que le permitirían adaptarse hasta la versión 2015 del software – de Autodesk AutoCAD, popular programa de diseño asistido por computadora para dibujo en dos y tres dimensiones utilizado por arquitectos, ingenieros y diseñadores industriales. Luego de realizar ciertas configuraciones, el código malicioso envía todo proyecto que se abra a una dirección de correo electrónico radicada en un servidor en China.

“En la línea de Stuxnet, Duqu, o Flamer, se trata de amenazas complejas con objetivos específicos, lo que permite a los ciberatacantes no sólo una mayor efectividad sino también un bajo índice de propagación a nivel mundial de modo de evitar alertar a la víctima y a la industria de la seguridad informática”, agregó Joaquín Rodríguez Varela, Coordinador de Laboratorio de ESET Latinoamérica.

Luego del descubrimiento, la compañía líder en detección proactiva de amenazas ha desarrollado una herramienta de limpieza gratuita que se encuentra disponible para ser descargada por cualquier usuario en: http://www.eset-la.com/download/herramientas-limpieza-virus-gratuitas

Finalmente, con el objetivo de dar a conocer la investigación realizada e informar detalladamente sobre Operación Medre los especialistas de ESET Latinoamérica brindarán un webinario gratuito y abierto a la comunidad el próximo jueves 28 a las 16:00 hs (hora argentina). Todos los interesados en participar de la exposición podrán hacerlo ingresando a: http://eset.la/M4I02l

A su vez, los interesados en conocer más sobre el caso pueden acceder al informe completo elaborado por los investigadores de ESET en: http://www.eset-la.com/centro-amenazas/articulo/Operacion-Medre-espionaje-industrial-latinoamerica/2777

Read more...

ROBO DE ARCHIVOS POR MEDIO DEL CIBERESPIONAJE EN PERU

Operación Medre: más de 10 mil proyectos robados en supuesto caso de ciberespionaje en Perú
http://www.agenciaorbita.org/ 21/06/2012

El Laboratorio de análisis e investigación de ESET Latinoamérica anuncia el descubrimiento de un ataque dirigido con la intención de robar información sensible a instituciones y empresas de Perú. Se trataría del primer caso reportado de ciberespionaje a través de códigos maliciosos exclusivamente orientado en América Latina de esta magnitud.

La Operación Medre, denominada del mismo modo que el malware que ejecuta el ataque, se encontró activa desde el 2009 y desde entonces, logró recolectar más de 10.000 archivos de planos y proyectos realizados con el programa Autodesk AutoCAD. Las detecciones se reportan en un 95% en Perú, de modo que los especialistas infieren que se trata de un ataque con un objetivo claramente definido, tal como ha sucedido anteriormente con los casos de Stuxnet, Duqu y Flamer.

De acuerdo a la investigación de ESET Latinoamérica, el código malicioso fue identificado, entre otros, en dos dominios pertenecientes al gobierno peruano, uno de ellos relativo al sistema por medio del cual las empresas pueden participar de los procesos de selección convocados por entidades gubernamentales para contrataciones públicas.

"Operación Medre ha sido diseñada por los cibercriminales con el claro objetivo de robar proyectos de índole industrial, probablemente con el foco en aquellos presentados por empresas al Estado peruano, tal como evidencian los índices de propagación de la amenaza, sus funciones y los dominios afectados. A partir de la investigación realizada creemos que se trataría de un caso de ciberespionaje industrial de gran escala y el primero de esta clase en valerse de códigos maliciosos como herramienta en nuestra región”, aseguró Sebastián Bortnik, Gerente de Educación & Servicios de ESET Latinoamérica.

Medre es un gusano diseñado para infectar versiones actuales y futuras - incluye características que le permitirían adaptarse hasta la versión 2015 del software - de Autodesk AutoCAD, popular programa de diseño asistido por computadora para dibujo en dos y tres dimensiones utilizado por arquitectos, ingenieros y diseñadores industriales. Luego de realizar ciertas configuraciones, el código malicioso envía todo proyecto que se abra a una dirección de correo electrónico radicada en un servidor en China.

“En la línea de Stuxnet, Duqu, o Flamer, se trata de amenazas complejas con objetivos específicos, lo que permite a los ciberatacantes no sólo una mayor efectividad sino también un bajo índice de propagación a nivel mundial de modo de evitar alertar a la víctima y a la industria de la seguridad informática”, agregó Joaquín Rodríguez Varela, Coordinador de Laboratorio de ESET Latinoamérica.

Luego del descubrimiento, la compañía líder en detección proactiva de amenazas ha desarrollado una herramienta de limpieza gratuita que se encuentra disponible para ser descargada por cualquier usuario en: http://www.eset-la.com/download/herramientas-limpieza-virus-gratuitas
Finalmente, con el objetivo de dar a conocer la investigación realizada e informar detalladamente sobre Operación Medre los especialistas de ESET Latinoamérica brindarán un webinario gratuito y abierto a la comunidad el próximo jueves 28 a las 16:00 hs (hora argentina). Todos los interesados en participar de la exposición podrán hacerlo ingresando a: http://eset.la/M4I02l
A su vez, los interesados en conocer más sobre el caso pueden acceder al informe completo elaborado por los investigadores de ESET en: http://www.eset-la.com/centro-amenazas/articulo/Operacion-Medre-espionaje-industrial-latinoamerica/2777

Acerca de ESET
Fundada en 1992, ESET es una compañía global de soluciones de software de seguridad que provee protección de última generación contra amenazas informáticas. En 2012 la empresa se encuentra celebrando los 20 años de trayectoria en la industria de la seguridad informática. En la actualidad cuenta con oficinas centrales en Bratislava, Eslovaquia y oficinas de coordinación regional en San Diego, Estados Unidos; Buenos Aires, Argentina y Singapur. También posee sedes en Bristol (Reino Unido), Praga (República Checa), Cracovia (Polonia), San Pablo (Brasil) y Distrito Federal (México).

Además de su producto estrella ESET NOD32 Antivirus, desde el 2007 la compañía ofrece ESET Smart Security, la solución unificada que integra la multipremiada protección proactiva del primero con un firewall y anti-spam. Las soluciones de ESET ofrecen a los clientes corporativos el mayor retorno de la inversión (ROI) de la industria como resultado de una alta tasa de productividad, velocidad de exploración y un uso mínimo de los recursos.

El trabajo de ESET con grandes corporaciones como Canon, Dell, Bridgestone y Microsoft le ha permitido entrar en el Deloitte Technology Fast 500, región Europa, Medio Oriente y África, por cinco años consecutivos.

ESET cuenta también con un largo historial de reconocimientos por parte de prestigiosos laboratorios de la industria: su solución ESET NOD32 logra más premios de Virus Bulletin que ningún otro producto antivirus disponible, detectando consistentemente todos las muestras activas (In-the-Wild) sin generar falsos positivos.

Desde el 2004, ESET opera para la región de América Latina en Buenos Aires, Argentina, donde dispone de un equipo de profesionales capacitados para responder a las demandas del mercado en forma concisa e inmediata y un laboratorio de investigación focalizado en el descubrimiento proactivo de variadas amenazas informáticas.

La importancia de complementar la protección brindada por tecnología líder en detección proactiva de amenazas con una navegación y uso responsable del equipo, junto con el interés de fomentar la concientización de los usuarios en materia de seguridad informática, convierten a las campañas educativas en el pilar de la identidad corporativa de ESET, cuya Gira Antivirus ya ha adquirido renombre propio.

Read more...

FLAME: EL ESPIA CIBERNETICO

El espía imperceptible
http://www.elespectador.com/ 18/06/2012

Desde 2008 un virus informático se instaló en los computadores de Oriente Medio y robó información sensible. Su nombre, Flame, prendió las alarmas de los expertos en guerra cibernética.

Fue un archivo que desapareció. Contenía una bitácora de trabajo, las cuentas del mes anterior o un análisis de la política interna. El contenido era lo de lo menos: la información se había esfumado de un día a otro. Y a medida que nuevos archivos fueron esfumándose, la sospecha de un sabotaje terminó por consolidarse.

“Realizamos un chequeo físico de las máquinas y encontramos estos archivos desconocidos. Después de una investigación de seis meses pudimos comprobar que se trataba de un arma sofisticada”. Es el relato de Dmitry Bestuzhev, uno de los directores del equipo técnico de investigadores y analistas que la firma de seguridad informática Kaspersky ha desplegado por el mundo para estudiar, diseccionar y combatir todo tipo de crimen cibernético.

O de guerra. Como la que estalló cuando una ONG iraní los contactó porque, sin saber cómo, buena parte de su información institucional simplemente desapareció de sus equipos. Y el primer indicio de sus pesquisas consistió en el nombre poco común. “Encontramos un número realmente grande de archivos extraños cuyo nombre comienza con una tilde, un símbolo extraño que nunca se utiliza en los archivos del sistema”, explica.

El nombre genérico con el que se bautizó a todas las piezas fue el de Flame (llamarada en inglés) y su peligrosidad creció a medida que los investigadores, en asocio con la Unión Internacional de Telecomunicaciones, CrySys Lab de Hungría y las firmas GoDaddy y OpenDNS, se dieron cuenta de que el virus no se limitaba a robarse la información almacenada, sino que podía encender el micrófono de la máquina y grabar las conversaciones en torno a ella.

Y con el paso de las horas fueron apareciendo nuevos casos de ataques, principalmente a personas relacionadas con entidades gubernamentales y de educación superior en Irán. A la hora de encontrar un culpable, los primeros pensamientos señalaron a Israel. Pero la hipótesis se desmoronó en cuestión de horas, cuando nuevos ataques fueron desvelándose no sólo en el país sospechoso, sino en Arabia Saudita, Siria, Egipto y Líbano.

Alguien había convertido a Oriente Medio en el blanco de una minuciosa operación de espionaje cibernético. O lo que es peor, guerra cibernética.

Guerra de computadoras

La primera vez que el mundo entero tuvo noticia de un caso similar fue en el año 2007, cuando en un mismo día colapsaron las páginas de internet de la Presidencia, el Parlamento, todos los ministerios, los partidos políticos, medios de comunicación y dos grandes bancos de Estonia. El gran acusado fue el gobierno de Rusia, que en esos días libraba una fuerte batalla pública por la relocalización de tumbas soviéticas que databan de la época de la Cortina de Hierro en Tallin, la capital estonia.

Aunque una persona fue procesada y condenada, la duda quedó en el aire. El caso fue olvidado con la aparición de nuevas amenazas cibernéticas, en especial los virus de sabotaje Stuxnet y Duqu (ver artículo superior), pero en las últimas semanas, con la revelación de Flame, volvió a recordársele como uno de los antecedentes de la guerra cibernética.

Se trata, en teoría, de una evolución en las confrontaciones internacionales, donde un país, en lugar de invertir grandes sumas de dinero en ejércitos, estrategias militares, armas y desplazamientos, recluta a grupos de desarrolladores o piratas cibernéticos para lanzar ataques contundentes y efectivos contra la infraestructura enemiga.

“Los blancos predilectos suelen ser grandes corporaciones, sobre todo financieras, e instituciones gubernamentales, por el ánimo de lucro, la sensibilidad de los datos manejados y la proyección mediática que conllevan estos ataques”, explica Josué González, consultor informático.

Los impulsores de estas tácticas son países del primer mundo, con profesionales muy bien preparados y un desarrollo tecnológico de altísimo nivel, razón por la cual América Latina ha sido relativamente ajena a esta realidad. La región, en cambio, es un foco muy importante para el crimen cibernético, donde los países más afectados son tres de sus principales economías: México, Brasil y Colombia; este último concentra el 8% de los ataques producidos, según Kaspersky. “Es uno de los blancos predilectos en la región por la buena salud de su economía en los últimos años. Y a medida que crece el número de usuarios que acceden a internet o a dispositivos móviles, como teléfonos inteligentes, su importancia aumenta”, dice Roberto Martínez, analista de la firma.

El panorama actual, dominado por los dispositivos móviles, se ha convertido en un auténtico caldo de cultivo para las amenazas cibernéticas. Según la compañía de seguridad informática McAfee, en el primer trimestre del año se detectaron 8 millones de nuevas muestras de virus en el mundo.

El rastro

En los seis meses de investigación que han transcurrido desde la identificación de Flame, el equipo de Kaspersky ha identificado 80 distintas direcciones de internet, alquiladas bajo identidades falsas a partir de 2008, que conducen a los servidores donde está alojado el virus. De hecho, se encontraron más equipos infectados en India, China, el sudeste asiático, Europa y Norteamérica.

“Tenemos claro que la motivación de este ataque es gubernamental. Puede que haya sido desarrollado por las propias fuerzas oficiales de un Estado, o que se haya valido de una firma informática”, comenta Bestuzhev, quien explica que la amenaza explotó varias de las vulnerabilidades del sistema operativo Windows con un fin específico: “Están atacando a algo que no trae dinero de por sí, como es la costumbre de los criminales cibernéticos que siempre buscan el lucro. Aquí no lo hay, porque se trata de descubrir los procesos industriales de los países de Medio Oriente”.

Entre las razones que soportan esta hipótesis sobresale el hallazgo de los archivos que Flame enviaba encriptados a su fuente de origen: documentos de Office y en formato PDF, así como planos de AutoCad, insumos necesarios que hacen pensar en un espionaje industrial y táctico del más alto nivel.

La identidad del cerebro sigue estando en el misterio absoluto. Gran parte de la culpa radica en el amplio impacto mediático que generó esta revelación y que causó que la infraestructura técnica y de control que permaneció activa en los últimos cuatro años se apagara sin dejar rastro de un momento a otro.

Lo único cierto es que el análisis de la amenaza continuará. Para Bestuzhev, su alta sofisticación podría convertirla en un arma decisiva en tiempos de guerra: “Controlar una infraestructura crítica de un país te da poder, la ventaja en caso de una guerra o la posibilidad de chantajear sin la necesidad de movilizar aviones o tropas. Simplemente podrían explotar algo y poner al contendor de rodillas”.

Stuxnet, un poder destructor

Una de las más grandes pesadillas del mundo industrial se descubrió en junio de 2010, cuando la firma bielorrusa VirusBlokAda halló un gusano (virus de propagación rápida) que infectaba las redes industriales de la compañía alemana Siemens.

Diseñado para tareas de espionaje, Stuxnet se caracterizó por interrumpir complejos procesos industriales. De hecho, el 60% de sus ataques se concentraron en Irán y tuvo un papel clave en interrumpir los procesos de enriquecimiento de uranio del programa nuclear iraní.

Aunque la Casa Blanca y el gobierno israelí negaron cualquier relación con su autoría, diarios como el británico ‘Daily Telegraph’ o el estadounidense ‘The New York Times’ aseguraron lo contrario.

La sutileza de Duqu

Un documento de Word se convirtió en el vehículo perfecto para que un troyano, denominado después como Duqu, se instalara en el computador de sus víctimas y robara información sensible relacionada con procesos industriales.

A diferencia de Stuxnet, esta amenaza fue creada para recolectar cualquier tipo de contenido digital de valor.

Read more...