Mundo > Investigación
El software antivirus puede convertirse en una herramienta de espionaje con facilidad
Un hacker estadounidense descubrió cómo la inteligencia rusa obtenía información clave
Tiempo de lectura: -'
14 de enero de 2018 a las 05:00
Por Nicole Perlroth, The New York Times News Service
Es un secreto conocido desde hace mucho por las agencias de inteligencia –pero rara vez revelado a los consumidores– que el software de seguridad puede ser una poderosa herramienta de espionaje.
El software de seguridad está más cerca de las partes esenciales de una computadora y tiene acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electrónicos y archivos.
Hay una muy buena razón para esto: los productos de seguridad existen con el propósito de evaluar todo lo que toca tu máquina en búsqueda de cualquier programa maligno o incluso vagamente sospechoso.
Al descargar el software de seguridad, los consumidores también corren el riesgo de que un fabricante de antivirus poco confiable –o un ciberatacante o espía con acceso a su sistema– pueda abusar de ese acceso profundo para dar seguimiento a todos los movimientos digitales de los clientes.
"En la batalla contra el código malicioso, los productos antivirus son básicos", dijo Patrick Wardle, investigador en jefe en Digita Security, una empresa de seguridad.
"Irónicamente, estos productos comparten muchas características con los implantes avanzados de ciberespionaje de recolección que buscan detectar".
Wardle lo sabe, pues es un antiguo hacker de la Agencia de Seguridad Nacional (NSA) y hace poco logró subvertir un software de antivirus que vende Kaspersky Lab, y lo convirtió en una poderosa herramienta de búsqueda para documentos clasificados.
La curiosidad de Wardle aumentó con las noticias recientes de que espías rusos habían utilizado los productos antivirus de Kaspersky para extraer documentos clasificados de la computadora personal de un desarrollador de la NSA y pudieron haber desempeñado un papel esencial en una recolección rusa de inteligencia más extensa.
Durante años, las agencias de inteligencia sospecharon que los productos de seguridad de Kaspersky ofrecían una puerta trasera de entrada para la inteligencia rusa.
Un borrador de un informe ultrasecreto filtrado por Edward Snowden, antiguo contratista de la NSA, describió una iniciativa ultrasecreta de la NSA en 2008 que concluyó que el software de Kaspersky recolectaba información de las computadoras de los clientes.
Los documentos mostraron que Kaspersky no fue el único blanco de la NSA. Sus siguientes objetivos incluyeron casi dos decenas de fabricantes extranjeros de antivirus, entre ellos Checkpoint de Israel y Avast de la República Checa.
En la NSA, los analistas tenían prohibido utilizar el software antivirus de Kaspersky debido al riesgo de darle al Kremlin acceso extendido a sus computadoras y datos.
Sin embargo, con la excepción de la sede de la NSA en Fort Meade, Kaspersky logró asegurar contratos con casi dos decenas de agencias gubernamentales en Estados Unidos a lo largo de los últimos años.
En setiembre pasado, el Departamento de Seguridad Nacional ordenó a todas las agencias federales que dejaran de utilizar los productos de Kaspersky debido a la amenaza de que "proporcionaran acceso a archivos".
En octubre, The New York Times informó que la orden se basó, en gran medida, en la información compartida por los funcionarios israelíes de inteligencia que realizaron un exitoso ataque informático a Kaspersky Lab en 2014.
Observaron durante meses mientras los hackers del gobierno ruso escaneaban las computadoras pertenecientes a clientes de Kaspersky en todo el mundo en busca de programas clasificados ultrasecretos del gobierno estadounidense.
En por lo menos un caso, los funcionarios de Estados Unidos afirmaron que los agentes de la inteligencia rusa utilizaron el software de Kaspersky para extraer documentos clasificados de la computadora personal de Nghia H. Pho, un desarrollador de la NSA que había instalado el software antivirus de Kaspersky en su ordenador.
Pho se declaró culpable de llevarse documentos y escritos clasificados en 2017, y dijo que lo hizo solo para intentar expandir su currículum.
Kaspersky sigue diciendo que no sabía del escaneo de programas clasificados de EEUU y negó haber permitido que sus productos antivirus fueran utilizados por la inteligencia rusa.
Eugene Kaspersky, director ejecutivo de la empresa, señaló que permitiría que el gobierno estadounidense inspeccionara el código fuente de su empresa para despejar la desconfianza hacia sus productos antivirus y de ciberseguridad.
Sin embargo, al aplicar ingeniería inversa al software antivirus de Kaspersky, Wardle descubrió que una simple revisión de su código fuente no haría nada por comprobar que sus productos no habían sido utilizados como herramienta de recolección de inteligencia por parte de Rusia.
Wardle descubrió que el software antivirus de Kaspersky es complejo.
A diferencia del software tradicional antivirus, que utiliza firmas digitales para buscar códigos maliciosos y patrones de actividad, las firmas de Kaspersky se actualizan con facilidad, pueden sacarse automáticamente de las computadoras de ciertos clientes y contienen un código que puede modificarse para escanear automáticamente y extraer documentos clasificados.
En suma, según los hallazgos de Wardle, "el antivirus podría ser una herramienta de ciberespionaje por excelencia".
Wardle dijo que era relativamente fácil utilizar un punto débil en el software Windows de Microsoft para manipular el software de Kaspersky.
Debido a que los funcionarios clasifican de manera rutinaria documentos ultrasecretos con una marca, Wardle agregó una regla para que el programa antivirus de Kaspersky marcara cualquier documento que tuviera esa etiqueta.
"Es imposible para Kaspersky Lab entregar una firma específica o actualizar los datos de un solo usuario de manera secreta y dirigida, porque todas las firmas siempre están disponibles de manera abierta a todos nuestros usuarios; además, las actualizaciones se firman digitalmente, por lo que se hace aun menos posible crear una actualización falsa", señaló la empresa en una declaración apenas trascendió esa información.
Es un secreto conocido desde hace mucho por las agencias de inteligencia –pero rara vez revelado a los consumidores– que el software de seguridad puede ser una poderosa herramienta de espionaje.
El software de seguridad está más cerca de las partes esenciales de una computadora y tiene acceso privilegiado a casi todos los programas, aplicaciones, exploradores web, correos electrónicos y archivos.
Hay una muy buena razón para esto: los productos de seguridad existen con el propósito de evaluar todo lo que toca tu máquina en búsqueda de cualquier programa maligno o incluso vagamente sospechoso.
Al descargar el software de seguridad, los consumidores también corren el riesgo de que un fabricante de antivirus poco confiable –o un ciberatacante o espía con acceso a su sistema– pueda abusar de ese acceso profundo para dar seguimiento a todos los movimientos digitales de los clientes.
"En la batalla contra el código malicioso, los productos antivirus son básicos", dijo Patrick Wardle, investigador en jefe en Digita Security, una empresa de seguridad.
"Irónicamente, estos productos comparten muchas características con los implantes avanzados de ciberespionaje de recolección que buscan detectar".
Wardle lo sabe, pues es un antiguo hacker de la Agencia de Seguridad Nacional (NSA) y hace poco logró subvertir un software de antivirus que vende Kaspersky Lab, y lo convirtió en una poderosa herramienta de búsqueda para documentos clasificados.
La curiosidad de Wardle aumentó con las noticias recientes de que espías rusos habían utilizado los productos antivirus de Kaspersky para extraer documentos clasificados de la computadora personal de un desarrollador de la NSA y pudieron haber desempeñado un papel esencial en una recolección rusa de inteligencia más extensa.
Durante años, las agencias de inteligencia sospecharon que los productos de seguridad de Kaspersky ofrecían una puerta trasera de entrada para la inteligencia rusa.
Un borrador de un informe ultrasecreto filtrado por Edward Snowden, antiguo contratista de la NSA, describió una iniciativa ultrasecreta de la NSA en 2008 que concluyó que el software de Kaspersky recolectaba información de las computadoras de los clientes.
Los documentos mostraron que Kaspersky no fue el único blanco de la NSA. Sus siguientes objetivos incluyeron casi dos decenas de fabricantes extranjeros de antivirus, entre ellos Checkpoint de Israel y Avast de la República Checa.
En la NSA, los analistas tenían prohibido utilizar el software antivirus de Kaspersky debido al riesgo de darle al Kremlin acceso extendido a sus computadoras y datos.
Sin embargo, con la excepción de la sede de la NSA en Fort Meade, Kaspersky logró asegurar contratos con casi dos decenas de agencias gubernamentales en Estados Unidos a lo largo de los últimos años.
En setiembre pasado, el Departamento de Seguridad Nacional ordenó a todas las agencias federales que dejaran de utilizar los productos de Kaspersky debido a la amenaza de que "proporcionaran acceso a archivos".
En octubre, The New York Times informó que la orden se basó, en gran medida, en la información compartida por los funcionarios israelíes de inteligencia que realizaron un exitoso ataque informático a Kaspersky Lab en 2014.
Observaron durante meses mientras los hackers del gobierno ruso escaneaban las computadoras pertenecientes a clientes de Kaspersky en todo el mundo en busca de programas clasificados ultrasecretos del gobierno estadounidense.
En por lo menos un caso, los funcionarios de Estados Unidos afirmaron que los agentes de la inteligencia rusa utilizaron el software de Kaspersky para extraer documentos clasificados de la computadora personal de Nghia H. Pho, un desarrollador de la NSA que había instalado el software antivirus de Kaspersky en su ordenador.
Pho se declaró culpable de llevarse documentos y escritos clasificados en 2017, y dijo que lo hizo solo para intentar expandir su currículum.
Kaspersky sigue diciendo que no sabía del escaneo de programas clasificados de EEUU y negó haber permitido que sus productos antivirus fueran utilizados por la inteligencia rusa.
Eugene Kaspersky, director ejecutivo de la empresa, señaló que permitiría que el gobierno estadounidense inspeccionara el código fuente de su empresa para despejar la desconfianza hacia sus productos antivirus y de ciberseguridad.
Sin embargo, al aplicar ingeniería inversa al software antivirus de Kaspersky, Wardle descubrió que una simple revisión de su código fuente no haría nada por comprobar que sus productos no habían sido utilizados como herramienta de recolección de inteligencia por parte de Rusia.
Wardle descubrió que el software antivirus de Kaspersky es complejo.
A diferencia del software tradicional antivirus, que utiliza firmas digitales para buscar códigos maliciosos y patrones de actividad, las firmas de Kaspersky se actualizan con facilidad, pueden sacarse automáticamente de las computadoras de ciertos clientes y contienen un código que puede modificarse para escanear automáticamente y extraer documentos clasificados.
En suma, según los hallazgos de Wardle, "el antivirus podría ser una herramienta de ciberespionaje por excelencia".
Wardle dijo que era relativamente fácil utilizar un punto débil en el software Windows de Microsoft para manipular el software de Kaspersky.
Debido a que los funcionarios clasifican de manera rutinaria documentos ultrasecretos con una marca, Wardle agregó una regla para que el programa antivirus de Kaspersky marcara cualquier documento que tuviera esa etiqueta.
Los descargos de la empresa
Kaspersky Lab dijo que la investigación de Patrick Wardle no reflejaba cómo funciona el software de la empresa."Es imposible para Kaspersky Lab entregar una firma específica o actualizar los datos de un solo usuario de manera secreta y dirigida, porque todas las firmas siempre están disponibles de manera abierta a todos nuestros usuarios; además, las actualizaciones se firman digitalmente, por lo que se hace aun menos posible crear una actualización falsa", señaló la empresa en una declaración apenas trascendió esa información.
