Golan
Ben-Oni es el responsable de sistemas informáticos en IDT, empresa que fue
víctima de un avanzado ciberataque en abril. Credit Justin T. Gellerson para
The New York Times
NEWARK,
Nueva Jersey — En los últimos meses, Golan Ben-Oni ha sentido que grita hacia
el vacío. El 29 de abril alguien atacó a su empleador, IDT Corporation, con dos
ciberarmas que le fueron robadas a la Agencia de Seguridad Nacional (NSA, por
su sigla en inglés).
Ben-Oni,
el director de información global del IDT, pudo repelerlas pero el ataque lo
dejó consternado. En 22 años de lidiar con hackers de todo tipo, nunca había
visto nada parecido. ¿Quién estaba detrás de eso? ¿Cómo pudieron evadir todas
sus defensas? ¿Cuántos más habían sido atacados pero no estaban conscientes de
eso?
Desde
entonces, Ben-Oni ha expresado su preocupación llamando a cualquiera que lo
escuche en la Casa Blanca, el Buró Federal de Investigación (FBI, por su sigla
en inglés) y las compañías más importantes de ciberseguridad para advertirles
sobre un ataque que aún podría estar dañando invisiblemente a víctimas por todo
el mundo.
Dos
semanas después de lo sucedido en IDT, el ciberataque conocido como WannaCry
causó estragos en hospitales de Inglaterra, universidades de China, sistemas
ferroviarios de Alemania e incluso plantas automotrices de Japón. Sin duda fue
muy destructivo.
Sin
embargo, lo que Ben-Oni atestiguó fue mucho peor y, con todas las miradas
puestas en la destrucción causada por WannaCry, pocas personas se han fijado en
el ataque contra los sistemas de IDT… y otros similares que seguramente se han
producido en otros lugares.
El
ataque a IDT, un conglomerado cuyas oficinas centrales tienen una gran vista
del horizonte de Manhattan, fue similar a WannaCry en un sentido: los hackers
encriptaron los datos de IDT y exigieron un rescate para desbloquearlos. No
obstante, la exigencia del rescate solo fue una cortina de humo para ocultar un
ataque mucho más invasivo que se robó las credenciales de los empleados.
Con
esas credenciales, los hackers podrían haber circulado libremente por la red
informática de la empresa, llevándose información confidencial o destruyendo
los equipos.
Lo
peor es que el ataque, que nunca antes se había reportado, no fue detectado por
algunos de los productos de ciberseguridad líderes en Estados Unidos ni por los
principales ingenieros de seguridad de las compañías tecnológicas más grandes
ni por los analistas gubernamentales de inteligencia.
Si
no hubiera sido por una caja negra digital que grabó todo lo que sucedió en la
red de IDT, y por la tenacidad de Ben-Oni, el ataque pudo haber pasado
inadvertido. Los escaneos realizados a las dos herramientas usadas en contra de
IDT indican que la empresa no está sola. De hecho, las mismas armas de la NSA
tuvieron acceso ilegal a decenas de miles de sistemas de cómputo en todo el
mundo.
Ben-Obi
y otros investigadores de seguridad temen que muchas de esas computadoras
infectadas estén conectadas a redes de transporte, hospitales, plantas de
tratamiento de agua y otros servicios. Un ataque a esas redes, advierte el
experto en informática, podría poner en riesgo muchas vidas.
“El
mundo está escandalizado con WannaCry, pero esto es una bomba nuclear en comparación
con WannaCry”, dijo Ben-Oni. “Esto es distinto. Es mucho peor. Se roba las
credenciales. No puedes atraparlo y está sucediendo frente a nuestros ojos”. Y
añadió: “El mundo no está preparado para esto”.
ATAQUE AL CENTRO NEURAL
En
IDT, Ben-Oni se ha topado con cientos de miles de hackers de todo tipo de
causas y niveles de habilidad. Según calcula, los negocios que trabajan con IDT
experimentan cientos de ataques al día, pero quizá solo cuatro incidentes le
preocupan cada año.
Sin
embargo, ninguno se compara con el ataque sufrido en abril. Al igual que el
ataque WannaCry de mayo, el realizado contra IDT fue hecho con ciberarmas
desarrolladas por la NSA que fueron filtradas en línea por un misterioso grupo
que se hace llamar Shadow Brókers, que se piensa que está integrado por
ciberdelincuentes respaldados por Rusia, un infiltrado en la NSA o por ambos.
El
ataque con WannaCry —que tanto la NSA como los investigadores de seguridad han
vinculado a Corea del Norte— usó una ciberarma de la NSA; el ataque a IDT usó
dos.
Las
oficinas de la NSA en Fort Meade, Maryland. Decenas de miles de sistemas
computaciones han sido "hackeados" con herramientas desarrolladas por
esta agencia que fueron robadas en abril. Credit Patrick Semansky/Associated
Press
Tanto
en WannaCry, como en el incidente de IDT utilizaron una herramienta de hackeo
que la agencia llamó EternalBlue. Esa aplicación se aprovechó de los servidores
de Microsoft que no tenían las actualizaciones de seguridad para propagar
automáticamente el programa malicioso de un servidor a otro, de tal manera que
en 24 horas los hackers ya habían contagiado su ransomware a más de 200.000
servidores en todo el planeta.
El
ataque a IDT fue un paso más allá: usó otra ciberarma robada a la NSA llamada
DoublePulsar. La NSA la desarrolló para infiltrarse en sistemas informáticos
sin activar las alarmas de seguridad. Eso permitió que los espías de la NSA
pudieran inyectar sus herramientas al centro neural del sistema informático de
un objetivo, llamado kernel o núcleo, que gestiona la comunicación entre el
hardware y el software de una computadora.
En
el orden jerárquico de un sistema de cómputo, el núcleo está en la cima, por lo
que permite que cualquiera que tenga acceso secreto a él pueda tomar el control
total de un equipo. También es un peligroso punto ciego para la mayor parte del
software de seguridad, pues permite a los atacantes hacer lo que quieran sin
ser detectados.
Luego
los hackers activaron el programa de secuestro (ransomware) como una pantalla
para cubrir su motivo real: un acceso más amplio a los negocios de IDT. Ben-Oni
se enteró del ataque cuando una contratista, que trabajaba desde casa, prendió
su computadora y se dio cuenta de que todos sus datos estaban encriptados y los
atacantes exigían un rescate para desbloquearlos. Ben-Oni pudo haber supuesto
que se trataba de un simple caso de programa de secuestro.
Sin
embargo, le pareció peculiar. Para empezar, estaba perfectamente sincronizado
con el sabbat. Los atacantes entraron a la red de IDT a las 18:00 en punto de
un sábado, dos horas y media antes de que terminara el sabbat y por lo tanto un
momento en que la mayoría de los empleados de IDT —el 40 por ciento de los
cuales se identifican como judíos ortodoxos— estaban descansando. Además, los
atacantes se infiltraron en la computadora de la contratista a través del módem
de su casa, lo cual se le hizo muy extraño.
“Hay
que entender que esto es, en realidad, una guerra: con la ofensiva de un lado e
instituciones, organizaciones y escuelas del otro, defendiéndose de un
adversario desconocido”.
GOLAN BEN-ONI, RESPONSABLE DE SISTEMAS
INFORMÁTICOS EN IDT
La
especie de caja negra, un dispositivo de grabación de la red fabricado por la
empresa israelí de seguridad Secdo, muestra que primero los atacantes se
robaron las credenciales de la contratista. Se las arreglaron para evitar todos
los mecanismos de detección de seguridad con los que se encontraron.
Finalmente, antes de salir, encriptaron su computadora con un programa de
secuestro y le exigieron 130 dólares para desbloquearla. Así encubrieron el
ataque, mucho más invasivo, que habían realizado en su computadora.
Ben-Oni
calcula que ha hablado con 107 expertos e investigadores de seguridad sobre
este ataque, incluyendo a los directores de casi todas las principales
compañías de ciberseguridad y los jefes de inteligencia contra amenazas de
Google, Microsoft y Amazon.
Con
excepción de Amazon, que encontró que algunas de las computadoras de sus
clientes habían sido escaneadas por la misma computadora que atacó IDT, nadie
había visto ningún rastro del ataque antes de que Ben-Oni les avisara. “Comencé
a sentir que éramos el conejillo de indias”, dijo. “Pero lo grabamos”.
Desde
el ataque a IDT, Ben-Oni se ha puesto en contacto con muchos de sus contactos
para advertirles de un ataque que aún podría estar sucediendo, sin ser
detectado, a través de los sistemas de las víctimas. “Se está acabando el
tiempo”, dijo Ben-Oni. “Hay que entender que esto es, en realidad, una guerra:
con la ofensiva de un lado e instituciones, organizaciones y escuelas del otro,
defendiéndose de un adversario desconocido”.
‘NADIE SE ESTÁ HACIENDO CARGO’
Desde
que los Shadow Brokers filtraron las codiciadas herramientas de ataque en
abril, los hospitales, escuelas, ciudades, departamentos de policía y compañías
alrededor del mundo han tenido que arreglárselas por sí mismos para defenderse
o protegerse ante las armas desarrolladas por el atacante más sofisticado del
mundo: la NSA.
En
marzo, Microsoft lanzó un parche para software con el fin de que los equipos
pudieran defenderse de las herramientas de ataque informático de la NSA, lo que
sugiere que la agencia le había avisado a la compañía. No todas las empresas lo
instalaron a tiempo y fueron afectadas por WannaCry. Ben-Oni dijo que instaló
los parches de Microsoft en cuanto estuvieron disponibles pero los atacantes
lograron tener acceso al módem de la casa de la contratista de IDT.
Hace
seis años, Ben-Oni se encontró con un empleado de la NSA en una conferencia y
le preguntó cómo defenderse ante las amenazas cibernéticas actuales. El hombre
le aconsejó “ejecutar tres de todo”: tres cortafuegos, tres antivirus, tres
sistemas de detección de intrusión. Y así lo implementó.
Pero
en este caso, los sistemas de detección y las actualizaciones no detuvieron el
ataque a IDT. Tampoco lo hicieron con ninguno de los 128 proveedores de
inteligencia contra amenazas públicamente disponibles a los que IDT está
suscrito. Ni siquiera lo notaron los diez proveedores de inteligencia contra
amenazas en las que su empresa gasta medio millón de dólares anuales por
información urgente. Desde entonces ha dicho que podrían regresarles sus
productos.
“A
nuestra industria le gusta trabajar con problemas conocidos”, dijo Ben-Oni.
“Este es un problema desconocido. No estamos preparados para él”.
No
ha hablado con nadie que sepa si ha sufrido un ataque, pero ahora hay videos en
YouTube que les enseñan a los criminales cómo atacar sistemas usando las mismas
herramientas de la NSA empleadas en contra de IDT, y Metasploit, una
herramienta de ataques informáticos automatizada, permite que cualquiera
realice estos ataques con solo un clic.
Lo
que es peor, dijo Ben-Oni, es que “nadie se está haciendo cargo”.
En
mayo, él mismo le presentó un resumen al analista del FBI encargado de
investigar el ataque con WannaCry. Le dijo que la agencia se había centrado en
WannaCry y que, a pesar de que el ataque a su empresa era más invasivo y
sofisticado, técnicamente era algo distinto, y por lo tanto el FBI no podía
atender su caso. (El FBI no respondió a nuestras solicitudes de comentarios).
Así
que Ben-Oni le ha dado seguimiento, en gran medida, por sus propios medios. Su
equipo en IDT pudo rastrear parte del ataque a un teléfono Android personal en
Rusia, y ha estado proporcionando sus hallazgos a Europol, la agencia europea
con sede en La Haya.
“A
nuestra industria le gusta trabajar con problemas conocidos. Este es un
problema desconocido. No estamos preparados”.
GOLAN BEN-ONI, EXPERTO EN INFORMÁTICA
Las
probabilidades de que IDT haya sido la única víctima de este ataque son pocas.
Sean Dillon, un analista sénior en RiskSense, una compañía de seguridad de
Nuevo México, fue de los primeros analistas de seguridad en escanear el
internet en busca de la herramienta DoublePulsar de la NSA. Encontró decenas de
miles de computadoras huéspedes infectadas, que los atacantes pueden usar a su
antojo.
“Una
vez que DoublePulsar está en el equipo, nada puede evitar que otro llegue y
entre por la puerta trasera”, dijo Dillon. Es aún más preocupante que Dillon
probó los principales productos antivirus contra la infección de DoublePulsar,
pero 99 por ciento de ellos no pudieron detectarlo.
“Hemos
revisado las mismas computadoras infectadas con DoublePulsar durante dos meses
y no sabemos cuántos programas maliciosos hay en esos sistemas”, dijo Dillon.
“En este momento no tenemos idea de qué ha sido infiltrado en estas
organizaciones”.
En
el peor de los casos, dijo Dillon, los atacantes podrían usar esas puertas
secretas para desatar el programa maligno destructivo en infraestructura
crucial, inmovilizar sistemas ferroviarios, causar apagones en hospitales o
incluso paralizar los servicios de electricidad.
¿Podría
avecinarse un ataque así? Los Shadow Brókers volvieron a salir a la luz en
mayo, cuando prometieron un cargamento fresco de herramientas de ataque de la NSA
e incluso se las ofrecieron a los suscriptores que pagaran mensualmente.
Ben-Oni
está convencido de que IDT no es la única víctima y de que estas herramientas
pueden usarse —y se usarán— para hacer mucho más daño. “Creo que esta situación
es de vida o muerte”, dijo. “Hoy somos nosotros, pero mañana puede ser alguien
más”.
(THE
NEW YORK TIME/ NICOLE PERLROTH /26 de junio de 2017)
No hay comentarios:
Publicar un comentario