En tres años ha saltado a la luz pública el trío de los más complejos virus informáticos que la humanidad haya visto, enfocados directamente a afectar las operaciones de gobiernos en el Medio Oriente y con indicios de que son sólo la punta del iceberg. ¿Está Estados Unidos detrás de esta nueva guerra por el ciberespacio?
A mediados de mayo de 2012 un equipo de investigación del laboratorio de seguridad Kaspersky, en Europa Oriental, buscaba rutinariamente un nuevo virus informático. Las herramientas de análisis mostraban actividad sospechosa en el Medio Oriente, y todo indicaba que podrían encontrarse con un código de elevada sofisticación.
Simultáneamente, el Centro de Coordinación del Equipo de Respuesta de Emergencias Computacionales (CERT) de Irán terminaba por convencerse de que parte de la infraestructura crítica de un centro asociado al gobierno había sido vulnerado por un nuevo tipo de virus. Luego de días y días de monitorear centenares de máquinas y registrar la actividad que operaba en la red, los equipos se encontraron con algo mucho más grande e importante de lo que esperaban hallar, algo que fue catalogado como el virus más complejo, voluminoso y peligroso que alguna vez se había identificado. El nombre que recibió fue Flamer y todo apuntaba a que había sido hecho por un gobierno, y contra un gobierno.
El espIa perfecto
Flamer no es el primer artefacto de este tipo que los investigadores logran descubrir. Ya en 2010 Irán fue atacado por un virus de características similares, pero mucho menor, el llamado Stuxnet. Las primeras semanas de aquel año los científicos de la Agencia Internacional de Energía Atómica notaron, en una planta cercana a la ciudad de Natanz, que existía algún tipo de anomalía en las centrífugas encargadas de enriquecer el uranio, un proceso necesario tanto para obtener energía nuclear como para fabricar bombas atómicas. Lo normal es cambiar por mantenimiento un par de cientos de estos aparatos al año, pero la planta lo hacía a un ritmo vertiginoso de miles en un lapso de meses. ¿Qué podría estar afectando a las centrífugas que pasara desapercibido para sus ingenieros? Un par de meses después, una pequeña compañía de seguridad bielorrusa llamada VirusBlokAda, descubrió un singular malware que explotaba una vulnerabilidad nunca antes vista en el sistema operativo Windows. Sólo bastarían unas semanas para que el virus ya estuviera siendo analizado en todo el mundo, y su complejidad y especificidad asombrara a los expertos; había sido diseñado para actuar solamente sobre un objetivo y con un fin bastante claro: las plantas de enriquecimiento en Irán y retrasar el programa nuclear iraní.
Apenas un año después otro virus aparecía, de nombre Duqu, y similitudes imposibles de obviar con Stuxnet, pero poniendo el énfasis en el robo de información más que en la destrucción o detrimento de un objetivo inmediato.
Estos malwares lograron operar por lo menos por un año sin lograr ser identificados, toda una hazaña. Pero Flamer, como si estuviéramos cambiando de ligas en un parpadeo, podría haber operado de cinco a ocho años en el más absoluto silencio. Por si esto fuera poco, es tanto más complejo y voluminoso que sus contrapartes que compararlos es como ir de una casa a un rascacielos.
¿Qué hace tan especial a Flamer? Dimitry Bestuzhev, director de Investigación y Análisis para Kaspersky en Latinoamérica, explica que el virus es 20 veces más grande en tamaño que Stuxnet. Pesa 20 MB una vez alojado. Este tamaño llega a parecer ridículo considerando que los malwares suelen pesar, con suerte, un 5% de esa cifra. De hecho deben ser livianos para pasar desapercibidos. “El tamaño no sería un problema si no fuera por la complejidad de los módulos que Flamer despliega”, explica Bestuzhev. “Éstos le dan la capacidad de controlar un número muy grande de funciones del computador, además de permitirle replicarse fácilmente a otros computadores en la red o mediante un memory stick”.
Flamer puede, por ejemplo, controlar la cámara y el micrófono del computador para obtener información sin que el usuario lo note, registrar lo que se escribe en el teclado y lo que se ve en la pantalla e incluso, en una función única hasta ahora, puede utilizar la conexión bluetooth de todos los dispositivos que la tengan a su alrededor para crear un mapa del entorno físico del computador infectado. Aparte de recolectar información, el virus sirve también para descargar más material nocivo que lleve incluso a la inutilización del equipo.
Los albores de la ciberguerra
¿Quién está detrás de Stuxnet, Duqu y Flamer? Sus similitudes son demasiadas y su calibre tal que necesariamente debieron ser planeados (y financiados) por una misma y gran organización. La respuesta que más se repitió a lo largo de los distintos laboratorios y analistas del mundo fue una sola: Flame es un trabajo conjunto de Estados Unidos e Israel.
“Ciertamente nada es imposible en internet”, opina el experto de Kaspersky, “pero las posibilidades de que un usuario o un grupo de hackers logre un trabajo tan grande como Flamer son demasiado remotas. Hay empresas que cuentan con los recursos para realizar tareas de este tipo, pero reunir a los expertos necesarios para hacerlo y arriesgarse a realizarlo es algo que sólo apunta a espionaje gubernamental”.
“Ésta es sólo la preparación para otro tipo de ataques en mayor escala”, fue la confirmación que un ex alto mando del ejército estadounidense dio al Washington Post. “El ciberespionaje contra el gobierno iraní está mucho más avanzado que lo que están viendo acá”, sentenció.
Por supuesto, tanto el gobierno estadounidense como el israelí han declinado hacer comentarios. Aunque se lograra probar su culpabilidad, no existe una regulación formal que establezca sanciones o llamadas de atención por estos ataques. Por lo mismo cabe esperar represalias subrepticias que podrían remitir a una ciberguerra fría.
“En los últimos años hemos visto tantos ataques desde los gobiernos que podríamos decir que prácticamente todas las naciones están siendo vulneradas de forma ciberné-tica”, cuenta Vikram Thakur, principal Security Response Manager de la empresa de seguridad Symantec. “Si esto no es una guerra cibernética no sabría qué nombre dar-le”.
Y aunque los peligros parezcan en un principio lejanos, este tipo de virus puede ser utilizado para atacar cualquier organización, por ejemplo los sistemas de tránsito o servicios básicos de una ciudad. “Los gobiernos del mundo están conscientes de que tienen infraestructura crítica que funciona bajo sistemas computacionales: energía, agua y otros importantes bienes, y que esta infraestructura debe ser protegida”, cuenta con alarma Thakur. “Una guerra abierta usando internet podría ser realmente catastrófica para el ciudadano común, perdiendo la electricidad, el suministro de agua e incluso peores consecuencias”.
Pero lo más amenazador de Flamer es la sensación de vulnerabilidad que cae sobre las empresas de seguridad informática. Qué usuario o gerente de informática no se preguntará si, en este mismo momento, sus máquinas están siendo atacadas por virus que aún no se detectan. Los expertos consultados son unánimes al respecto: sin duda es así. Y ahora, con el fracaso aceptado de los principales laboratorios de seguridad, ¿quién podrá defendernos?.
*Publicado en la edición de julio de AméricaEconomia.