Technology Review

La industria del software malicioso

El gobierno de Estados Unidos está desarrollando nuevas armas cibernéticas a la vez que financia un mercado negro de vulnerabilidades de “día cero”. ¿El resultado? Una Web cada vez más peligrosa para todos.



Cada verano, los expertos de seguridad informática se reúnen en Las Vegas, Estados Unidos, para Black Hat y DEFCON, las conferencias que ganaron notoriedad por demostraciones de agujeros de seguridad críticos en el software de uso masivo. Pero los bugs que se descubrieron en los últimos años no fueron tan dramáticos.

Una razón es que una debilidad descubierta en una pieza popular de software, conocida como vulnerabilidad de “día cero” (porque los fabricantes de software no tuvieron tiempo de desarrollar un arreglo), se puede cobrar por mucho más que un impulso en la reputación y algunas bebidas gratis en el bar. La información sobre este tipo de defectos puede atraer cientos de miles de dólares en contratos de defensa y gobierno.

Este comercio de vulnerabilidades informáticas está pobremente documentado, pero es parte de una nueva industria que en los años próximos seguramente se coma porciones crecientes del presupuesto nacional de defensa de los Estados Unidos, le dé otra forma a las relaciones internacionales y quizá haga a la Web menos segura para todos.

Las explotaciones de día cero son valiosas porque se pueden usar para poner software en un sistema informático sin la detección de las medidas convencionales de seguridad, como los paquetes de antivirus y firewall. Los criminales, por ejemplo, podrían interceptar números de tarjetas de crédito. Y una agencia de inteligencia o fuerza militar podría interceptar comunicaciones diplomáticas o cerrar una planta de energía.

El día Stuxnet
En 2010, se volvió claro que este tipo de ataques definiría una nueva era en la guerra, cuando los investigadores de seguridad descubrieron una pieza de software malicioso, o “malware”, conocido como Stuxnet y que se cree que se trató de un proyecto de inteligencia de Estados Unidos e Israel.

 
 

Stuxnet fue diseñado para infectar múltiples sistemas necesarios para acceder y controlar el equipamiento industrial usado en el programa nuclear de Irán. La carga explosiva fue claramente el trabajo de un grupo con acceso a inteligencia y recursos a escala gubernamental, y fue posible por cuatro “bugs” día cero para Windows que permitieron que se infectaran silenciosamente las computadoras. Que se pudieran usar tantos días cero valiosos al mismo tiempo fue solamente una de las características notables de Stuxnet.

Desde entonces, se descubrió más “malware” estilo Stuxnet y se involucraron técnicas aún más complejas. Es probable que se hayan utilizado incluso más, pero le escaparon a la notoriedad pública. Mientras tanto, los gobiernos y empresas en todo el mundo comenzaron a pagar cada vez más por este tipo de recursos, necesarios para que ese tipo de armas funcionen, señala Christopher Soghoian, tecnólogo principal de la American Civil Liberties Union.

“Por un lado, el gobierno se vuelve loco con la seguridad informática, pero por el otro los Estados Unidos están participando en un mercado global de vulnerabilidades y empujando los precios hacia arriba”, dice Soghoian. Y agrega: “Incluso las agencias gubernamentales pagan por vulnerabilidades de día cero para poner software espía en las computadoras o celulares de personas sospechosas”.

Las vulnerabilidades en los sistemas operativos móviles tienen una valuación particular, dice Soghoian, porque, a diferencia de las computadoras de escritorio, los sistemas móviles se actualizan raramente. Apple envía actualizaciones al software de iPhone un par de veces al año, lo que implica que cualquier debilidad se puede explotar durante mucho tiempo. A veces quien descubre vulnerabilidades de día cero recibe un pago mensual mientras la debilidad permanezca oculta.

Ninguna ley regula directamente la venta de las vulnerabilidades de día cero en Estados Unidos o cualquier otro lugar, así que algunos comerciantes lo buscan bastante abiertamente. Un investigador de seguridad basado en Tailandia que responde al nombre de “el Grugq” habló con la prensa sobre los acuerdos y negociaciones valuadas en cientos de miles de dólares con compradores del gobierno de los Estados Unidos y Europa occidental. La compañía de seguridad francesa Vupen manifiesta en su sitio web que “provee explotaciones al nivel gubernamental específicamente diseñadas para la comunidad de inteligencia y las agencias de seguridad nacional para ayudarlos a cumplir su ofensiva de seguridad informática y sus misiones de intercepción legítima”. El año pasado, los empleados de Vupen demostraron una falla de día cero que comprometió al navegador Chrome, de Google, pero rechazaron la oferta de Google por una recompensa de US$ 60.000 si compartían cómo funcionaba. Se desconoce qué pasó después.

Peligro expansivo
Ninguna agencia gubernamental de Estados Unidos admite públicamente que compra “bugs” de día cero. Pero las agencias de defensa estadounidenses y quienes tienen contratos en el área comenzaron a reconocer que tienen la intención de lanzar también una defensa contra los ataques cibernéticos, una instancia que requerirá nuevas maneras de penetrar en las computadoras enemigas. Hablar sobre la ofensiva de esta manera podría introducir un elemento de disuasión, una estrategia establecida para conflictos nucleares y convencionales. Pero, como en las pasadas carreras armamentísticas, la competencia entre Estados Unidos y los gobiernos y proveedores extranjeros podría volver al mundo más peligroso para todos. La facilidad con la cual quienes cometen un ataque informático pueden esconder sus huellas aumenta el riesgo de que se puedan usar ese tipo de herramientas, comenta Sujeet Shenoi, quien lidera el Cyber Corps Program, esponsoreado por el gobierno de Estados Unidos, en la Universidad de Tulsa. Y, peor, aunque un ataque con software malicioso no sea exitoso, hay una fuerte posibilidad de que las copias lleguen a sistemas de computación a los que no se apuntaba, como sucedió con Stuxnet. Algunas firmas de seguridad identificaron “malware” criminal que usa métodos que se vieron por primera vez en Stuxnet.

“El paralelismo es tirar la bomba atómica pero también panfletos con el diseño de ella”, afirma Peter Singer, director de la 21st Century Defense Initiative en el Instituto Brookings, un “think tank” de Washington. La entidad estima que unos 100 países tienen unidades de guerra cibernética de algún tipo y unos 20 de ellos desarrollaron capacidades formidables. “Hay mucha gente financiando este juego”, asegura.

Temas relacionados
Más noticias de internet

Compartí tus comentarios

¿Querés dejar tu opinión? Registrate para comentar este artículo.
Nombre