Un "super virus" informático amenaza con iniciar una ciberguerra mundial

El reciente descubrimiento del virus informático Flame, que funciona desde hace varios años y cuyo potencial destructivo sería inigualable, confirma los temores de los expertos de que el mundo enfrenta una nueva etapa en la guerra cibernética.

“Estamos viendo el surgimiento de programas informáticos maliciosos y de ataques mucho más específicos” que antes, admitió David Marcus, director de investigación en seguridad de la firma de protección de ordenadores McAfee Labs. 

¿Qué tiene de nuevo este virus? Según Marcus, “el atacante conoce a su víctima y diseña sus programas maliciosos basados en el entorno en el que se ejecutará”, señaló. 

Otra empresa de seguridad informática, Kaspersky Lab, anunció que había identificado un virus con un potencial destructivo sin precedentes, y utilizado como una “ciberarma” en contra de varios países. 

Esta compañía, de origen ruso, aseguró que ese software ha estado circulando “durante más de dos años”.

La actividad de recopilar información sobre objetivos para luego concebir virus que ataquen a redes específicas y a las personas que las utilizan es una práctica “en boga” y constituye un estilo de agresión, cuyo nacimiento fue anunciado con el descubrimiento del Stuxnet, recordó Marcus. 

Detectado en julio de 2010, este programa maligno apuntaba a los sistemas de control informático fabricados por el gigante industrial alemán Siemens, generalmente utilizados para administrar la distribución de agua y gestionar plataformas petroleras. 

El virus habría sido específicamente diseñado para atacar los motores de las centrifugadoras iraníes de enriquecimiento de uranio. 

Pero Flame es de una magnitud “20 veces mayor que Stuxnet”, según Kaspersky Lab. 

Este virus es capaz de robar información importante, contenida no sólo en las computadoras sino en los sistemas informáticos que tiene como objetivo, tanto de documentos archivados y contactos de usuario, como incluso de grabaciones de audio y conversaciones, señaló la firma rusa. 

De acuerdo con medios de comunicación occidentales, Flame fue usado para atacar el ministerio de Petróleo y la principal terminal petrolera de Irán. 

Después del virus Stuxnet y de Duqu, otro programa similar, Flame marca “una nueva etapa” en la guerra cibernética, “y es importante comprender que estas ciberarmas podrían utilizarse fácilmente en contra de cualquier país”, dijo Yevgeny Kaspersky, director general de la firma rusa.

Este último software agresivo es particularmente activo en Medio Oriente, pero también está muy extendido en otras partes del mundo, advirtió Laurent Heslault, de la empresa de seguridad informática Symantec. 

El nuevo virus fue localizado “más que nada en Medio Oriente, en un banco en Palestina, en Irán y en Líbano. Pero también, en menor medida, en Rusia, Austria, Hong Kong, Emiratos Árabes Unidos”, detalló Heslault. 

Según el experto, se trata de “una amenaza muy sofisticada y modular”. 

“Es la caja de herramientas del ciberespionaje en todo su esplendor”, afirmó. Y completó: “Realmente se trata de una herramienta de espionaje, capaz de grabar un montón de cosas, de robar una gran cantidad de documentos”. 

Marcus coincidió. “No podemos negar que esto es enorme”, admitió. “Alguien ha hecho un gran esfuerzo para confundir a los investigadores. Estaremos desmontando este aspirador (de datos) desde hace mucho tiempo para darnos cuenta de todo lo que hacía”, agregó.

Trabajo conjuntoLos responsables de desarrollar Flame y Stuxnet estarían conectados ya que colaboraron en las primeras fases de elaboración de ambos virus. 

Investigadores de seguridad encontraron pruebas firmes que confirman ese trabajo conjunto.

Los virus fueron desarrollados por dos equipos distintos, que compartieron una parte del código en las primeras fases de creación.

Al parecer, uno de los módulos de Flame se utilizó como parte de la base de Stuxnet. 

Según la cronología publicada por Kaspersky en esta nota, Stuxnet fue creado entre enero y junio de 2009, un año antes que Flame.

Los investigadores de seguridad han destacado que la aparición de dicho módulo en el código del primer programa maligno no implica que los dos virus sean producto del mismo equipo de desarrolladores. 

De hecho, encontraron evidencias de que la gestación de ambos sistemas se realizó por separado, con lo que la relación habría sido solo de cooperación entre dos grupos independientes.

El hallazgo de Kaspersky es especialmente importante porque se produce después de informaciones que apuntan a que Stuxnet fue creado y dirigido por Estados Unidos e Israel.

Según The New York Times, el presidente Barak Obama aceleró un plan de la anterior administración para desarrollar y lanzar ciberarmas, entre ellas Stuxnet, contra los sistemas de Irán. 

De esta forma, teniendo en cuenta el descubrimiento de Kaspersky, Estados Unidos podría tener cierta relación con Flame.

Este virus se autodestruiráLos responsables detrás de Flame han enviado un nuevo código para su virus con el objetivo de que se elimine de equipos infectados y no permita su investigación. 

Especialistas de seguridad han descubierto varios casos en los que el virus ha desaparecido sin dejar rastro, dificultando las tareas forenses que podrían conducir a conocer más datos sobre su naturaleza.

Según denunciaron expertos de Symantec, el mayor proveedor mundial de antivirus, en esta nota, los responsables del virus, conscientes de que ha sido descubierto, han empezado a eliminar Flame de forma remota. 

Los investigadores de esta compañía han hallado nuevas piezas de código para Flame que estaría destinado a que el programa agresor desapareciese de los equipos. 

Los especialistas han definido este código como un desinstalador, que termina con todo rastro del software maligno en el equipo infectado.

El objetivo de los ciberdelincuentes detrás de Flame sería acabar con cualquier posibilidad de análisis del virus, evitando así que los investigadores puedan prosperar en su trabajo. Se trata de otra de sus características que confirma su complejidad. 

BluettothSymantec identificó en esta nota que Flame utiliza Bluettoth y el propósito para el cual podría servir esta funcionalidad. 

La razón que llevó a los atacantes a incluir esta herramienta en el código malicioso sigue siendo un misterio, pero tres teorías han surgido como resultado de un análisis técnico realizado por la citada firma:

1. Para mapear los círculos sociales y profesionales de los usuarios infectados mediante la clasificación de otros dispositivos habilitados para Bluetooth que pudieran encontrarse.
2. Con el fin de identificar las ubicaciones físicas de los usuarios infectados para determinar su proximidad a los objetivos de alta prioridad, ya sea que se trate de otras personas y/o sistemas informáticos.
3. Para dirigirse a otros dispositivos Bluetooth dentro del perímetro con el fin de sustraer información de ellos, o usarlos para escuchar o aprovechar sus conexiones de datos y extraer los datos que ya fueron robados.

A pesar de que las intenciones exactas sobre la inclusión de la conectividad Bluetooth en el código de Flame aún no pueden determinarse, estos tres posibles escenarios confirman la sofisticación de este código malicioso como una herramienta de espionaje avanzado.

Mitos y verdades sobre FlameEl 28 de mayo pasado, el Centro de Coordinación del Equipo de Respuesta de Emergencias Computacionales (CERT) de Irán puso a disposición las muestras a algunas empresas fabricantes de software de seguridad para que sean debidamente analizadas. 

A partir de eso, el Laboratorio de Criptografía y Seguridad en Sistemas de la Universidad de Tecnología de Budapest hizo un análisis sobre la amenaza, a partir del cual la compañía de protección informática ESET difundió una lista de cinco mitos o verdades en torno a este gusano:

• Flame es una amenaza nuevaFalso. Esta amenaza ya está hace algunos años activa. No obstante, ahora han aumentado las atenciones hacia ella desde que fue publicada por el CERT de Irán y las respectivas compañías de seguridad. 

  Adicionalmente, comenzaron a aparecer detecciones en algunos países que ya han sufrido ataques cibernéticos dirigidos a sus instalaciones y plantas industriales, lo que lleva a pensar en una evolución de ese malware.

• Flame está relacionado con Stuxnet y DuquEn algunos aspectos es verdadero, ya que existen determinados indicios que llevan a considerar esta teoría. 

  En primer lugar, según ESET, Flame sí tiene algunas cosas en común como un diseño modular que le permite agregar o actualizar funcionalidades de forma independiente y en diferentes momentos. 

  Sin embargo, por otro lado, Flame es capaz de propagarse a través de USB al igual que Stuxnet pero no ocurre eso con Duqu. 

  Stuxnet, además, se replicaba automáticamente, mientras que Flamer y Duqu no. 

  Por lo tanto, existen una infinidad de características que lo hacen similar a estas dos amenazas y otro tanto que lo hacen una particular.

• Su tamaño es de 20 Mb, lo cual es sensiblemente mayor a las otras amenazasVerdadero. Tomando todos sus módulos es una amenaza con un tamaño considerable ya que el resto, normalmente, no supera el megabyte. De hecho, es decenas de veces más grande que otras amenazas, como Stuxnet. 

  Esto puede deberse a que tiene mucho código de terceros embebido en su contenido, mientras que la mayoría de los otros malwares no lo hace.

• Es el código malicioso más letal de todos los tiemposDepende. Es difícil poder determinar esto sin saber realmente cuáles son sus blancos. 

  Es una amenaza que está teóricamente diseñada para el robo de información, sin embargo han aparecido detecciones en diversos países. Desde el Medio Oriente hasta algunos países de Europa del Este. Por lo tanto, lo más razonable sería contar con más información para poder afirmar este hecho.

• No se puede proteger de estas amenazas complejasFalso. A pesar de que estas amenazas presentan muchas características de propagación y un nivel de complejidad superior al promedio, existen mecanismos para proteger la información del usuario. En el caso particular de Flame, se explotan vulnerabilidades conocidas como MS10-061 y MS10-046, y ninguna 0-day. 

  Por lo tanto, existen parches tanto para la primera como para la segunda vulnerabilidad explotada, ya publicados por parte de Microsoft. 

Adicionalmente, desde ESET recomendaron la utilización de una tecnología de seguridad que permita detectar esta amenaza antes de que ingrese al sistema, para mantener a los usuarios seguros de forma proactiva.