martes, 7 de junio de 2011

¿Puede Google saber de dónde provino el ataque a Gmail?

Fuente: Technology Review


La empresa culpa a China, pero ninguna de las pruebas es definitiva; esta es la naturaleza de este tipo de ataques.


Por Erica Naone

El martes, Google reveló una nueva oleada de ataques dirigidos a usuarios de Gmail, y señaló que los ataques parecían provenir de Jinan, China. Los nuevos ataques ilustran la dificultad de detener a los piratas informáticos que utilizan simples trucos de "ingeniería social" para robar datos personales, y plantean preguntas acerca de cómo este tipo de ataques se podrían llegar a rastrear con certeza.

Cuentas personales pertenecientes a funcionarios del gobierno de EE.UU., activistas políticos en China, militares y periodistas fueron atacadas, afirmó la compañía en un blog. Google ha señalado a los hackers chinos con anterioridad—a principios de 2010 aseguró que atacantes procedentes del país habían robado su propiedad intelectual y habían tratado de acceder a las cuentas de Gmail de activistas de derechos humanos. El Ministerio de Exteriores chino ha rechazado enérgicamente la idea de que el gobierno chino fuese el responsable de los ataques.

Google explica que los atacantes no explotan agujeros de seguridad en el servicio de correo electrónico de la empresa. En vez de eso, engañan a los usuarios haciendo que compartan su información de registro. Una serie de mensajes hechos a medida y con sumo cuidado, aparentemente escritos por un amigo o colega, se utilizaron para que las víctimas visitasen una pantalla falsa de inicio de sesión, donde sus detalles fueron capturados. Esta técnica, conocida como "spear phishing", también se utilizó recientemente para robar información de la importante empresa de seguridad RSA—una información que puede haber sido utilizada para llevar a cabo nuevos ataques contra los clientes de la compañía.

Los expertos señalan que este tipo de ataque es difícil de detener; a diferencia de otros tipos de ataques, no hay una solución técnica. "Considero los incidentes como éste más como una serie de éxitos y fracasos por parte del atacante", afirma Nart Villeneuve, un investigador senior de amenazas en Trend Micro, que crea antivirus, antispam, y software de seguridad de Internet. "Es más una campaña que un único ataque".

Antes de unirse a Trend Micro, Villeneuve estuvo muy involucrado en el seguimiento de ataques contra activistas de derechos humanos—él formó parte del grupo que reveló una compleja operación de hackers que espiaba a figuras como el Dalai Lama.

Villeneuve también afirma que es difícil identificar el origen real de este tipo de ataque con el fin de detenerlo. Para localizar el origen de los incidentes recientes, Google probablemente observó una diversa variedad de pistas, afirma. La compañía pudo examinar las direcciones IP utilizadas para acceder a las cuentas de correo electrónico, capaces de revelar la ubicación de un usuario. La compañía también podría buscar en los servidores utilizados para albergar páginas de inicio de sesión falsas y recopilar información personal de los usuarios.

Sin embargo, todo esto por sí solo no es suficiente, afirma Villeneuve. Los atacantes pueden fácilmente hacerse con ordenadores que se encuentren en otro lugar, y utilizarlos para lanzar un ataque. "Hacer que un ataque parezca como si viniera de otra parte no es difícil", advierte.

Por tanto, Villeneuve afirma que Google probablemente tuvo en cuenta muchas más pistas a la hora de decidir la fuente de los ataques recientes. Por ejemplo, afirma, la compañía podría haberse fijado en los patrones de los tiempos en que los ataques tuvieron lugar. Villeneuve cree que "desde su punto de buena visibilidad, podrían recopilar una gran cantidad de información".

Incluso entonces, enfatiza Villeneuve, es extremadamente difícil precisar la responsabilidad de los ataques en una sola entidad, organización o nación.

Bruce Schneier, prominente experto en seguridad informática y jefe de seguridad de la compañía británica BT, está de acuerdo. "Los ataques no vienen con una dirección de remite", afirma. "Este es un problema perenne. No es un problema de anonimato; es un problema relacionado con cómo funciona Internet".

Aunque hay buenas razones para sospechar la participación de China, no hay manera de saberlo a ciencia cierta, afirma Schneier. El direccionamiento de un ataque a través de China sería un excelente método de despiste para una tercera parte interesada en hacer que los investigadores perdieran su pista, afirma. No obstante, Schneier añade que el tipo de ataque dirigido a los usuarios de Gmail está sucediendo todo el tiempo.

La investigadora de seguridad Mila Parkour ha identificado y publicado muestras de algunos de los mensajes de correo electrónico falsos y las falsas páginas web que se usan para engañar a los usuarios de Gmail y hacer que entreguen su información de registro. Señala que "el método de spear phishing utilizado en este ataque no es nada nuevo o sofisticado", aunque apunta que los servicios de correo web que ofrecen Google, Yahoo, y otros no ofrecen a los usuarios el mismo nivel de protección que muchos sistemas de empresa. Es más, afirma, muchos usuarios reenvían mensajes de cuentas de las empresas a las cuentas personales, por lo que las cuentas personales tienen valor para ser atacadas.

Villeneuve explica que en algunos de los ataques de correo web que ha estudiado, los atacantes parecen estar recopilando información sobre el ordenador de un usuario o el software antivirus. Dado que muchas personas verifican su correo electrónico personal en el trabajo, los atacantes también podrían estar buscando reunir información sobre los sistemas en otros lugares que deseen atacar más tarde, según cree Villeneuve.

Aunque Google ha sido protagonista de titulares por hablar claramente de este tema en las noticias, Villeneuve señala que los ataques específicos dirigidos a personas de alto valor "no son sólo un problema de Google". Ha identificado recientemente ejemplos similares destinados a los usuarios de correo de Yahoo y Hotmail, aunque no puede confirmar que estén relacionados.

Copyright Technology Review 2011.

No hay comentarios:

Publicar un comentario