El espionaje ruso robó documentos clasificados americanos a
través del software de seguridad Kaspersky. Te contamos cómo un
antivirus de este tipo puede convertirse en una potente herramienta de
espionaje y acceder a material clasificado.
Ha sido un secreto, conocido desde hace tiempo para las agencias de inteligencia, pero rara vez para los consumidores, que el software de seguridad puede ser una poderosa herramienta de espionaje.
El software de antivirus
se ejecuta más cerca del hardware de una computadora, con acceso
privilegiado a casi todos los programas, aplicaciones, exploradores web,
correos electrónicos y archivos. El motivo de esto, es que los productos de seguridad están destinados a evaluar todo lo que toca su máquina en busca de algo malicioso, o incluso vagamente sospechoso.
Al descargar el antivirus, los consumidores también
corren el riesgo de que un fabricante poco fiable, o un pirata
informático con un punto de apoyo en sus sistemas, pueda abusar de ese acceso profundo para rastrear cada movimiento digital de los clientes.
En línea con esto hace unos meses saltaba la noticia de que los espías rusos habían utilizado los productos antivirus de Kaspersky
para extraer documentos clasificados estadounidenses. Así lo hacían
saber los agentes Israelíes que habían conseguido acceder al antivirus y
se dieron cuenta de que este escaneaba buscando archivos clasificados
de la potencia americana.
Kaspersky es un famoso software antivirus que es
utilizado por al menos 400 millones de personas en todo el mundo, aunque
un 60% de esos usuarios se sitúan en Estados Unidos. En septiembre
pasado, el Departamento de Seguridad Nacional ordenó a todas las
agencias federales que dejaran de usar los productos de Kaspersky debido
a la amenaza de que estos pudieran “brindar acceso a archivos” clasificados.
Pero cómo un antivirus puede convertirse en una potente herramienta de espionaje. Ahora según informa The New York Times parece conocerse la forma en que este software ha podido llevar a cabo la tarea de escaneo de archivos clasificados.
Patrick Wardle, jefe de una oficina de seguridad digital ha querido
saber si “si este era un mecanismo de ataque factible” y ha realizado
una investigación que podría mostrar cómo un antivirus puede utilizarse como herramienta de espionaje.
“No quería entrar en las complejas acusaciones. Pero desde el punto
de vista técnico, si un creador de antivirus lo quería, se lo
coaccionaban, se lo pirateaba o se lo subvierte de algún modo, ¿podría
crear una firma para marcar documentos clasificados?, añadía Wardle.
Así, tras sus investigaciones, Wardle descubrió que el software
antivirus de Kaspersky es increíblemente complejo. A diferencia del
software antivirus tradicional, que utiliza “firmas” digitales para
buscar códigos maliciosos y patrones de actividad, las firmas de
Kaspersky se actualizan fácilmente, se pueden enviar automáticamente a
ciertos clientes y contienen código que se puede ajustar para hacer
cosas como escanear automáticamente y desviar los documentos clasificados.
En resumen, Wardle descubrió, “el antivirus podría ser la última herramienta de ciberespionaje”
y que era relativamente fácil usar una vulnerabilidad en el software
Windows de Microsoft para manipular el software Kaspersky.
Cómo es el proceso
Debido a que los funcionarios clasifican rutinariamente los documentos secretos
con la marca “TS / SCI”, que significa “información secreta / altamente
confidencial compartimentada”, Wardle agregó una regla al programa
antivirus de Kaspersky para marcar cualquier documento que contuviera el
“TS / SCI” como marcador.
Luego editó un documento en su ordenador que contenía texto de los
libros para niños de Winnie the Pooh a los que incluyó la marca “TS /
SCI” y esperó a ver si el producto antivirus ajustado de Kaspersky lo
atrapaba.
Efectivamente, tan pronto como se guardó el texto de Winnie the Pooh
en su ordenador bajo dicho marchador, el software antivirus de Kaspersky
marcó y puso en cuarentena el documento. Cuando agregó el mismo
marcador TS / SCI a otro documento que contenía el texto “El veloz zorro
marrón saltó sobre el perro perezoso”, también este fue marcado y
puesto en cuarentena por el programa antivirus ajustado de Kaspersky.
“No es una gran sorpresa que esto haya funcionado”, dijo Wardle,
“pero sigue siendo bueno confirmar que un producto antivirus puede ser
trivial, aunque subrepticiamente, usado para detectar documentos clasificados“.
La siguiente pregunta que se formuló fue: ¿Qué sucede con estos archivos una vez que están marcados? Wardle no llegó a piratear los servidores en la nube de Kaspersky,
donde los archivos sospechosos se cargan rutinariamente. Sin embargo,
señaló que los clientes de antivirus, incluido Kaspersky, acuerdan de
forma predeterminada en las condiciones a aceptar, el permitir que los
proveedores de seguridad envíen cualquier cosa desde su ordenador a los
servidores de los vendedores para una mayor investigación.
Existen razones legítimas para esto: al cargar estos elementos en la nube de Kaspersky, los analistas de seguridad pueden evaluar si representan una amenaza y actualizar sus firmas como resultado.
Pero ante esta afirmación desde la compañía del antivirus
afirmó en un comunicado que “es imposible para Kaspersky Lab entregar
una firma específica o una actualización a un solo usuario de forma
secreta y específica porque todas las firmas están siempre disponibles
para todos nuestros usuarios; y las actualizaciones están firmadas
digitalmente, lo que hace que sea imposible falsificar una actualización
“.
La compañía agregó que aplicaba los mismos estándares de seguridad
y mantenía los mismos niveles de acceso que otros proveedores de
seguridad, y reiteró que estaba dispuesto a hacer que su código fuente,
reglas de detección de amenazas y actualizaciones de software estén
disponibles para la auditoría de expertos independientes.
Pero, como demostró la investigación del experto en seguridad
digital, un proveedor poco confiable, o un pirata informático o espía
con acceso a los sistemas de ese proveedor, puede convertir el software antivirus en una herramienta de búsqueda dinámica,
no diferente de Google, para escanear documentos de los clientes que
contienen ciertas palabras clave. “Y nadie lo sabría”, agregó. “Es el
cibercrimen perfecto”.
0 Comentarios