Técnicas utilizadas por programas maliciosos respaldados por el Gobierno están surgiendo en el código utilizado por los delincuentes cibernéticos ordinarios.
El código malicioso que los Gobiernos aparentemente utilizan para espiarse, acosarse y sabotearse entre ellos ha acaparado los titulares en los últimos años, aunque la naturaleza tan específica de este tipo de ataques ha hecho que los usuarios normales de Internet hayan tenido poco que temer hasta ahora. Eso podría estar cambiando, ya que algunos expertos señalan que las técnicas utilizadas en el malware de alta sofisticación y respaldado a nivel estatal están llegando a manos de programadores menos hábiles que se dirigen a los usuarios habituales de Internet (y a sus cuentas en línea o a los datos de sus tarjetas de crédito).
"Los cibercriminales también leen las noticias", señala Roel Schouwenberg, investigador de seguridad de la empresa rusa de seguridad informática Kaspersky. Schouwenberg añade que "las ciberarmas sofisticadas (y patrocinadas a nivel gubernamental) y los ataques dirigidos nos dan una idea de lo que podemos esperar que entre en la corriente principal".
El malware patrocinado por el Gobierno llegó a ser ampliamente conocido en 2010 con el descubrimiento de Stuxnet, un programa dirigido a los sistemas de control industrial iraníes y que se cree que fue patrocinado por Israel y Estados Unidos. Desde entonces, se han descubierto varios paquetes de malware de gran sofisticación, que también se cree que han sido elaborados por Gobiernos o contratistas del Gobierno. Estos paquetes incluyen Duqu, que salió a la luz a finales de 2011, y Flame, encontrado en mayo de 2012.
Una de las razones por las que los programas maliciosos son tan eficaces es porque tienden a explotar vulnerabilidades de software desconocidas, conocidas como 'zero-days', en programas ampliamente utilizados como Microsoft Windows, para obtener el control de un ordenador. Schouwenberg señala que esas vulnerabilidades pueden ser rápidamente "copiadas y pegadas" por otros programadores, como ocurrió tras el descubrimiento de Stuxnet, pero también suelen ser parcheadas con relativa rapidez por las empresas de software. Lo más preocupante es la forma en que las características de diseño de alto nivel están siendo copiadas, asegura.
"Están copiando la filosofía de diseño", señala Schouwenberg, que agrega que una de las técnicas más populares encontradas en 'malware criminal' convencional está inspirada en el descubrimiento de Stuxnet. Por ejemplo, Stuxnet instalaba controladores de dispositivos falsos usando certificados digitales de seguridad robados a dos empresas taiwanesas de componentes informáticos, con lo que podía pasar a través de cualquier software de seguridad. El malware actual utiliza certificados falsos de forma similar, para esconder software malicioso frente a los programas antivirus.
"Stuxnet fue el primer malware serio con un certificado robado y desde entonces se ha convertido en algo cada vez más común", indica Schouwenberg. "Hoy día el uso de certificados falsos en malware es muy común".
Aviv Raff, director de tecnología y cofundador de la empresa israelí de seguridad informática Seculert, está de acuerdo. "Las características de diseño de Stuxnet, Duqu y Flame están apareciendo en el malware criminal oportunista", asegura.
Schouwenberg señala que en este momento está en busca de trucos usados en el recientemente descubierto Flame, descrito por algunos investigadores como "el más complejo jamás encontrado".
Flame tenía un diseño modular, lo que permitía a sus operadores enviar partes actualizadas según fuera necesario, por ejemplo, para llevar a cabo determinadas acciones o ataques. "Creo que definitivamente este tipo de enfoque se hará más común", asegura Schouwenberg, que cree que podría ser atractivo para los creadores de malwarecomo forma de vender su trabajo a otros. "Proporciona una oportunidad para ampliar las ventas, si es que pueden vender algo, y luego ofrecer kits de actualización y mejora más adelante".
Schouwenberg señala que un diseño modular también dificulta que las empresas de seguridad puedan dar seguimiento a una determinada pieza de solftware malicioso. "Cuando solo cargan los módulos para objetivos específicos es mucho más difícil captar todos los componentes y ver y saberlo todo sobre ellos".
Sean Sullivan, investigador de la empresa de seguridad finlandesa F-Secure, está de acuerdo en que esta es una buena forma de entender la forma en que los delincuentes cibernéticos comunes crean tecnología. "Los delincuentes operan en un ecosistema donde el 'malware como servicio' tiene un consumo masivo. Compran componentes y los incluyen en sus operaciones. Como si se tratara de un negocio, los optimizan con fines de lucro", señala.
Sin embargo, Sullivan también afirma que muchos criminales cibernéticos han invertido en su propio código y no pueden dedicar recursos a la misma escala de un contratista o una agencia del Gobierno.
"La seguridad operacional requerida por los responsables de Stuxnet, Flame, etc. hace que simplemente no puedan subcontratar nada, tienen que hacer de todo, de principio a fin", indica Sullivan, "Esto supone una gran inversión y, ciertamente, no es en absoluto rentable".
No obstante, Schouwenberg asegura que es probable que la afluencia de nuevas ideas costosamente desarrolladas hacia el malware criminal aumente en los próximos años. Las agencias y contratistas gubernamentales de todo el mundo buscan abiertamente a programadores con las habilidades necesarias para crear malware sofisticado, afirma, lo que sugiere que tendremos más Stuxnets, Duqus y Flames en el futuro. "Ese es un gran cambio comparado con la situación unos años atrás", señala.
Copyright Technology Review 2012.
No hay comentarios:
Publicar un comentario