La CIA mantiene un equipo de analistas políglotas que leen unos cinco millones de mensajes al día de redes sociales como Twitter y Facebook. Inquieta el troyano Duqu a la industria de la seguridad informática
Por primera vez Estados Unidos acusó formalmente a China y Rusia de ciberespionaje, en lo que se ha entendido en el mundo como una nueva escalada en la guerra cibernética.
Hace una semana, el sitio de la Office of the National Counterintelligence Executive (ONCIX), que anuncia en portada su misión de «Conducir un esfuerzo nacional integrado de CI (contraespionaje) contra las amenazas de inteligencia exterior de Estados Unidos», publicó un informe al Congreso estadounidense titulado Espías extranjeros roban secretos económicos de Estados Unidos en el ciberespacio, en cuyo prólogo se indica: «Los actores chinos son los más activos y meticulosos para realizar espionaje industrial. Los servicios rusos de inteligencia realizan una serie de actividades para recabar información económica y tecnológica desde objetivos estadounidenses. Creemos que los Gobiernos de China y Rusia continuarán sus actividades como recolectores agresivos y competentes de información económica reservada y tecnologías, especialmente en el ciberespacio».
Así, «la pobre víctima» que resulta Estados Unidos, «incapaz de hacerle algo así a nadie», se queja de lo desconsiderados que pueden ser chinos y rusos.
De la reacción de Rusia no sabemos, pero el pasado viernes China descalificó ese informe. El portavoz de su Ministerio de Exteriores, Hong Lei, declaró que los ataques cibernéticos se destacan por su expansión más allá de las fronteras nacionales y por su anonimato.
«Identificar a los agresores sin llevar a cabo una investigación exhaustiva y hacer suposiciones sobre los atacantes es poco profesional e irresponsable… Espero que la comunidad internacional pueda abandonar los prejuicios y trabaje duro con China para mantener la seguridad online», indicó Hong a la prensa, de acuerdo con la agencia Reuters.
El citado informe norteamericano agrega que «la tendencia actual, con un acceso cada vez mayor a la información desde plataformas móviles, proporciona nuevas posibilidades y recursos a los espías. Tiene lugar al mismo tiempo un cambio cultural, en el cual se asigna cada vez mayor importancia al acceso a la información y menos relevancia a la protección de la privacidad y la seguridad de los datos».
Es curioso que la denuncia provenga del mismo país en el que la Agencia Central de Inteligencia (CIA) mantiene un equipo de analistas políglotas, los cuales leen con sumo cuidado unos cinco millones de mensajes al día de redes sociales como Twitter y Facebook.
Según se informó recientemente en el portal de CBS News, esos «bibliotecarios vengativos» reúnen información en cualquier idioma o dialecto, y la comparan con noticias de periódicos locales y conversaciones telefónicas interceptadas de manera clandestina. Después de descartar millones de mensajes sin importancia, elevan los que consideran significativos a altos mandos de la Casa Blanca.
Esta forma de espionaje moderno aplicado desde el centro de análisis de la CIA fue creada por recomendación de la Comisión 9/11. Como prioridad debe centrarse en la lucha antiterrorista, pero esos centenares o miles de analistas siguen una amplia gama de temas políticos, sociales y económicos.
El ciberespionaje también revive en la red de redes otro capítulo de inusitado ataque. La industria mundial de la seguridad informática continúa siendo un hervidero de intercambio de experiencias y criterios sobre un posible descendiente del famoso programa maligno Stuxnet, el cual fue considerado a finales de 2010, después de haber sido utilizado para sabotear el programa nuclear iraní, como el gusano informático más avanzado de la historia.
Al de ahora le llaman Duqu, o Win32.Duqu. Es un troyano hecho para Windows que fue detectado a fines de octubre pasado y se disfraza de documento de Word. Según la firma húngara que lo descubrió, CrySys Labs, esta nueva amenaza se aprovecha de una vulnerabilidad del día cero de Microsoft Word: cuando la víctima abre el documento, los elementos principales de Duqu se instalan automáticamente en el sistema.
Un ataque de día-cero, o también 0day se basa en encontrar vulnerabilidades aún desconocidas en las aplicaciones informáticas. En Wikipedia se explica que este tipo de exploit circula generalmente entre las filas de los potenciales atacantes hasta que finalmente es publicado en foros públicos.
Un exploit de día-cero normalmente es desconocido para los usuarios y para el fabricante del producto. Este tipo de ataque se considera uno de los más peligrosos en una guerra informática, y ocurre cuando una vulnerabilidad muestra una ventana entre el tiempo en el que se da a conocer una amenaza y aquel en que se publican los parches que la solucionan. Normalmente estos parches son preparados por los responsables del programa defectuoso.
Los laboratorios Symantec fueron los primeros en anunciar el pasado año que el gusano Stuxnet era un código altamente especializado, probablemente desarrollado «a nivel de Estado», cuyo cometido era atacar instalaciones industriales, y habían determinado que los indicios apuntaban hacia Israel como atacante y a Irán como objetivo.
Ahora esta misma empresa estadounidense descubrió que Duqu puede viajar mediante redes internas de empresas o saltar hasta que logre encontrar un equipo con acceso a Internet. Ya instalado, busca direcciones de correo de Outlook o Mozilla Thunderbird y se reenvía a sí mismo. Como el mensaje es de fuente conocida, hay más probabilidades de que alguien caiga y abra el documento.
Duqu viene a seguir una tendencia que comenzó con Stuxnet: apunta a empresas y no a personas, aunque nadie todavía ha podido asegurar cuál es su objetivo final. Podría ser interrumpir sistemas de plantas de energía, por ejemplo, o robar información. Es tan temido porque es del tipo de amenaza que ya no está dirigida a las cuentas bancarias, sino a sistemas y objetivos más complejos u oscuros.
Microsoft presentó en estos días un parche temporal. En su asesoría de seguridad número 2639658, la compañía explicó que un fallo en el análisis de fuentes TrueType, en Win32k, ha afectado a todas las versiones de Windows desde XP hasta Windows 7, incluyendo Windows Server 2008, el cual permite la expansión de esta variante Stuxnet a través de un documento de Word.
«Un atacante que aproveche esta vulnerabilidad con éxito podría ejecutar código arbitrario en modo kernel… y podría instalar programas, ver, cambiar o eliminar datos y crear nuevas cuentas con plenos derechos», se admite en la nota, en la cual se asegura que un parche permanente será incorporado más adelante, sin especificar plazo.
Tras el revuelo causado por Stuxnet, un discreto velo mediático comenzó a correrse sobre este programa maligno, después de que en febrero de este año las confesiones del general de ejército israelí Gabi Ashkenazi confirmaron la autoría de Israel en el ataque cibernético a centrífugas para el enriquecimiento de uranio en Natanz, Irán, algo que todo el mundo sospechaba, de la misma forma que se recelaba de Estados Unidos, como principal aliado de los israelitas.
Entonces el sitio Diario TI citó al general Ashkenazi, quien en un video con motivo de su jubilación admitió haber sido el responsable de supervisar el desarrollo del Stuxnet, de lo cual se hicieron eco los periódicos The Telegraph y Le Monde, que a su vez hicieron referencia a un artículo publicado por el diario israelí Haaretz.
21
