Ataques cibernéticos, ¿el otro veneno ruso?

Los ataques cibernéticos son, a día de hoy, una de las peores amenazas para cualquier gobierno del mundo. Muchas veces su capacidad destructiva es inimaginable, pues medir la profundidad del daño puede tardar meses. Por eso es tan grave el hecho de que el gobierno de Estados Unidos confirmara el pasado domingo que sus redes informáticas fueron afectadas por un ataque de este estilo, el peor de los últimos cinco años del país. Incluso, The Washington Post y The New York Times advirtieron que al menos dos departamentos del gobierno, incluido el Tesoro, se vieron comprometidos, además de miles de compañías. Todo apunta que una vez más los servicios de inteligencia de Rusia estarían detrás del hecho.

“Hemos estado trabajando en estrecha colaboración con nuestras agencias asociadas con respecto a la actividad recientemente descubierta en las redes gubernamentales”, dijo a la AFP un portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés). “CISA está brindando asistencia técnica a las entidades afectadas mientras trabaja para identificar y mitigar cualquier compromiso potencial”.

¿Qué se sabe del ataque? Por ahora las fuentes internas del gobierno estadounidense señalaron que el principal afectado fue SolarWinds, una empresa de gestión de redes e infraestructura tecnológica. El problema es que sus productos son usados por cientos de importantes empresas a lo largo y ancho de Estados Unidos. En este grupo están incluidos algunos organismos y departamentos gubernamentales. De hecho, la empresa aseguró: “Nos han informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque estrecho, extremadamente dirigido y ejecutado manualmente, en lugar de un ataque amplio en todo el sistema”.

El núcleo del problema sería la plataforma Orión, según afirmó en su reporte Microsoft, es decir, un software de supervisión que habría sido infectado. Al tener su control los piratas habrían desplegado un sistema de vigilancia para ir sacando poco a poco información de diferentes puntos de interés. Esto es positivo porque no fue un ataque destructivo, al menos en apariencia, pero negativo porque al poder pasar desapercibido es casi imposible saber hasta dónde penetró.

Joe Slowik, investigador de la firma de inteligencia de amenazas DomainTools, le dijo a Wired: “Los atacantes en cuestión han sido especialmente discretos en el uso de la infraestructura de red. En particular, parece que se han basado en gran medida en renovar o volver a registrar dominios existentes en lugar de crear elementos completamente nuevos y utilizar una variedad de servicios de alojamiento en la nube para la infraestructura de red”.

Sí, el ataque sería muy parecido a un veneno que va haciendo daño poco a poco y que es difícil de interceptar y de sacar del organismo que lo padezca. Lo peor del caso es que no sería la primera vez que Rusia utilizara un sistema de este tipo a través de sus piratas informáticos, conocidos como ‘Cozy Bear’. La revista Wired afirma: “En 2017, la inteligencia militar GRU del país utilizó el acceso al software de contabilidad ucraniano MeDoc para desatar su destructivo malware NotPetya en todo el mundo. En este nuevo ataque, una vez que los atacantes se han integrado en las redes de destino, lo que a menudo se denomina ‘establecimiento de persistencia’, simplemente actualizar el software comprometido no es suficiente para eliminar a los atacantes. El hecho de que Cozy Bear haya sido capturado no significa que el problema esté resuelto”.

Con todo y eso la embajada rusa en Estados Unidos respondió la noche del domingo denunciando como infundados los reportes de prensa y negando su papel en los supuestos ataques. “Las actividades maliciosas en el espacio de la información contradicen los principios de la política exterior rusa, los intereses nacionales y nuestra visión de las relaciones entre Estados”, declaró la embajada en un comunicado en su sitio de Facebook. “Rusia no realiza operaciones ofensivas en internet”.

Sistemas tan complicados como sencillos

Los sistemas de hackeo cada vez son más poderosos. Antes se pensaba que uno de los elementos imposibles de penetrar eran los llamados espacios de aire. Es decir, quitar todos los componentes electrónicos que conecten los computadores a internet y protegerlo con barreras físicas es generar literalmente un espacio de aire con el resto del mundo. Pero la tecnología avanza a una velocidad frenética y ya hay equipos especializados en violar estos sistemas de seguridad.

Es el caso del de Mordechi Guri, investigador de la Universidad Ben Gurion del Negev en Israel, un país especialista en este campo. Sus expertos han conseguido infectar computadoras y robar datos a través de componentes como los parlantes, los ventiladores o incluso las tomas eléctricas a las que están conectadas.

¿Cómo? Como reporta en Medium Thomas Smith, fundador y CEO de Gado Images, “uno de sus programas cambia la velocidad del ventilador de enfriamiento de una computadora segura, esencialmente usándolo para extraer ritmos que codifican datos. Esto puede ser recogido y decodificado por un teléfono celular infectado cercano. Su truco Diskfiltration hace lo mismo, pero va un paso más allá. Utiliza el brazo de lectura y escritura de un disco duro para extraer los sonidos, eliminando por completo la necesidad de altavoces”.

Pero la forma más fácil de lograr un ataque exitoso es mucho más fácil de lo que cualquiera se imagina. La mayoría de las veces el gran enemigo para la seguridad informática somos nosotros mismos. Un estudio de la Universidad de Illinois quiso verificar qué tanto cedemos a la curiosidad de ver qué hay en una USB que encontramos en la calle. Los resultados fueron sorprendentes. “Aproximadamente el 45% de las veces el que encontró la unidad la conectó a su computadora. Cuando se les realizó la encuesta, la mayoría de las personas dijeron que lo hicieron porque les preocupaba que alguien hubiera perdido el disco y querían devolvérselo a su legítimo propietario. Pero el 18% citó la ‘curiosidad’ como su única razón para conectar las unidades sospechosas”, asegura Smith.

Y remata: “Hasta el 95% de las infracciones son el resultado de un error humano, no un problema técnico. Todo el software de seguridad complejo del mundo no es rival para el trabajador de oficina que mantiene sus contraseñas en un Post-It pegado a su monitor”.

Los ataques cibernéticos son, a día de hoy, una de las peores amenazas para cualquier gobierno del mundo. Muchas veces su capacidad destructiva es inimaginable, pues medir la profundidad del daño puede tardar meses. Por eso es tan grave el hecho de que el gobierno de Estados Unidos confirmara el pasado domingo que sus redes informáticas fueron afectadas por un ataque de este estilo, el peor de los últimos cinco años del país. Incluso, The Washington Post y The New York Times advirtieron que al menos dos departamentos del gobierno, incluido el Tesoro, se vieron comprometidos, además de miles de compañías. Todo apunta que una vez más los servicios de inteligencia de Rusia estarían detrás del hecho.

“Hemos estado trabajando en estrecha colaboración con nuestras agencias asociadas con respecto a la actividad recientemente descubierta en las redes gubernamentales”, dijo a la AFP un portavoz de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA, por su sigla en inglés). “CISA está brindando asistencia técnica a las entidades afectadas mientras trabaja para identificar y mitigar cualquier compromiso potencial”.

¿Qué se sabe del ataque? Por ahora las fuentes internas del gobierno estadounidense señalaron que el principal afectado fue SolarWinds, una empresa de gestión de redes e infraestructura tecnológica. El problema es que sus productos son usados por cientos de importantes empresas a lo largo y ancho de Estados Unidos. En este grupo están incluidos algunos organismos y departamentos gubernamentales. De hecho, la empresa aseguró: “Nos han informado que este ataque probablemente fue realizado por un estado nacional externo y tenía la intención de ser un ataque estrecho, extremadamente dirigido y ejecutado manualmente, en lugar de un ataque amplio en todo el sistema”.

El núcleo del problema sería la plataforma Orión, según afirmó en su reporte Microsoft, es decir, un software de supervisión que habría sido infectado. Al tener su control los piratas habrían desplegado un sistema de vigilancia para ir sacando poco a poco información de diferentes puntos de interés. Esto es positivo porque no fue un ataque destructivo, al menos en apariencia, pero negativo porque al poder pasar desapercibido es casi imposible saber hasta dónde penetró.

Joe Slowik, investigador de la firma de inteligencia de amenazas DomainTools, le dijo a Wired: “Los atacantes en cuestión han sido especialmente discretos en el uso de la infraestructura de red. En particular, parece que se han basado en gran medida en renovar o volver a registrar dominios existentes en lugar de crear elementos completamente nuevos y utilizar una variedad de servicios de alojamiento en la nube para la infraestructura de red”.

Sí, el ataque sería muy parecido a un veneno que va haciendo daño poco a poco y que es difícil de interceptar y de sacar del organismo que lo padezca. Lo peor del caso es que no sería la primera vez que Rusia utilizara un sistema de este tipo a través de sus piratas informáticos, conocidos como ‘Cozy Bear’. La revista Wired afirma: “En 2017, la inteligencia militar GRU del país utilizó el acceso al software de contabilidad ucraniano MeDoc para desatar su destructivo malware NotPetya en todo el mundo. En este nuevo ataque, una vez que los atacantes se han integrado en las redes de destino, lo que a menudo se denomina ‘establecimiento de persistencia’, simplemente actualizar el software comprometido no es suficiente para eliminar a los atacantes. El hecho de que Cozy Bear haya sido capturado no significa que el problema esté resuelto”.

Con todo y eso la embajada rusa en Estados Unidos respondió la noche del domingo denunciando como infundados los reportes de prensa y negando su papel en los supuestos ataques. “Las actividades maliciosas en el espacio de la información contradicen los principios de la política exterior rusa, los intereses nacionales y nuestra visión de las relaciones entre Estados”, declaró la embajada en un comunicado en su sitio de Facebook. “Rusia no realiza operaciones ofensivas en internet”.

Sistemas tan complicados como sencillos

Los sistemas de hackeo cada vez son más poderosos. Antes se pensaba que uno de los elementos imposibles de penetrar eran los llamados espacios de aire. Es decir, quitar todos los componentes electrónicos que conecten los computadores a internet y protegerlo con barreras físicas es generar literalmente un espacio de aire con el resto del mundo. Pero la tecnología avanza a una velocidad frenética y ya hay equipos especializados en violar estos sistemas de seguridad.

Es el caso del de Mordechi Guri, investigador de la Universidad Ben Gurion del Negev en Israel, un país especialista en este campo. Sus expertos han conseguido infectar computadoras y robar datos a través de componentes como los parlantes, los ventiladores o incluso las tomas eléctricas a las que están conectadas.

¿Cómo? Como reporta en Medium Thomas Smith, fundador y CEO de Gado Images, “uno de sus programas cambia la velocidad del ventilador de enfriamiento de una computadora segura, esencialmente usándolo para extraer ritmos que codifican datos. Esto puede ser recogido y decodificado por un teléfono celular infectado cercano. Su truco Diskfiltration hace lo mismo, pero va un paso más allá. Utiliza el brazo de lectura y escritura de un disco duro para extraer los sonidos, eliminando por completo la necesidad de altavoces”.

Pero la forma más fácil de lograr un ataque exitoso es mucho más fácil de lo que cualquiera se imagina. La mayoría de las veces el gran enemigo para la seguridad informática somos nosotros mismos. Un estudio de la Universidad de Illinois quiso verificar qué tanto cedemos a la curiosidad de ver qué hay en una USB que encontramos en la calle. Los resultados fueron sorprendentes. “Aproximadamente el 45% de las veces el que encontró la unidad la conectó a su computadora. Cuando se les realizó la encuesta, la mayoría de las personas dijeron que lo hicieron porque les preocupaba que alguien hubiera perdido el disco y querían devolvérselo a su legítimo propietario. Pero el 18% citó la ‘curiosidad’ como su única razón para conectar las unidades sospechosas”, asegura Smith.

Y remata: “Hasta el 95% de las infracciones son el resultado de un error humano, no un problema técnico. Todo el software de seguridad complejo del mundo no es rival para el trabajador de oficina que mantiene sus contraseñas en un Post-It pegado a su monitor”.